我想在我的网站上拥有自己的身份提供者。我不想使用另一个身份提供者,如谷歌,雅虎等OpenID连接(为我的网站注册)。
我认为Shibboleth是一个很好且稳定的解决方案。但我不确定:
1- shibboleth是唯一的身份层,没有任何数据库存储用户属性,这意味着,我应该有另一个解决方案来存储我的用户的属性和shibboleth只用于SSO和认证。
2-我可以使用shibboleth进行SSO /身份验证和“用户属性存储”Shibboleth有一个当地的“用户商店”?
首先,我对您有疑问。
如果上述任何一个问题的答案是错误的,那么你不需要Shibboleth。
您需要先了解shibboleth的工作原理。 shibboleth有两个主要产品服务提供商和身份提供商。如果你的案例是第1点,那么你需要SP,如果你的案例是第2点,那么你需要idP,如果你的案例是第3点,那么你需要两个。
idP和SP是完全不相交的东西。如果你使用谷歌的帐户登录到计算器,google是idP,而stackoverflow是SP。
IDP管理认证,所以它会在用户数据库/数据,所以回答你的第一个问题,是陈词滥调没有任何数据库存储用户数据,这是唯一的身份层。或者更确切地说是授权层。
因为SP是使用该身份验证来授权其网站中的某些路径。如果您配置SP的方式只能在example2.com验证用户身份时验证example.com/secure - 验证 - 那么当用户转到example.com/secure时,shibboleth会将其重定向到example.com/登录(可在IDP中配置),并且只允许在shibboleth进行有效会话时访问。
回答你的第二个问题,是的,你可以使用这两种方法,但你不应该,因为它是认证/授权的软件,它提供了从IDP某些属性SP,但它始终是推荐使用的信息和存储它在我们的数据库中。
编辑(后阅读评论)
那么你肯定需要SSO。它不需要有基于SAML的Shibboleth。选择SSO技术是一件大事,需要长时间的回答。 我已经使用OAuth,LDAP,Shibboleth,SAML。我正在为我的应用程序使用OAuth2。
请搜索Shibboleth和OAuth2之间的对比并决定是否。 This可能会有所帮助。
感谢您的回复,您的问题解答:1 - 否2 - 是3 - 是 – Sadegh
如果我想在我的网站上使用shibboleth作为authN/authZ,对于用户存储(存储用户名和密码以及其他用户属性)哪个软件是好的解决方案?请注意:我想给authN/authZ其他网站或应用程序。 – Sadegh
我认为SSO是许多身份提供者(拥有诸如用户名和密码以及其他属性之类的用户的存储)之间的解决方案,它们相互信任以进行单点登录。但是我需要一个idP解决方案用于我自己的单点管理用户(数据库),其他软件使用它来进行身份验证/授权。我认为SSO更authN/authZ解决方案(没有商店/数据库)。我正在寻找一种解决方案,该解决方案具有用于存储用户身份的数据库,如用户名/密码。我正在寻找一个属于我自己的身份提供者。如果我的想法不对,请指导我。 – Sadegh