2017-02-17 23 views
1

Я хочу иметь собственный поставщик удостоверений на своем веб-сайте. Я не хочу использовать другой провайдер идентификации, например google, yahoo и т. Д. Для подключения OpenID (для регистрации моего веб-сайта).
Я думаю, что Shibboleth - это хорошее и стабильное решение для этого. Но я не уверен в этом:
1- Shibboleth - это только уровень идентификации и не имеет базы данных для атрибутов пользователей магазина. Это означает, что у меня должно быть другое решение для хранения атрибута моего пользователя и использования shibboleth только для SSO и аутентификация.
2- Я могу использовать shibboleth для SSO/аутентификации и «хранилища атрибутов пользователя»У Shibboleth есть локальный «магазин пользователей»?

ответ

1

Сначала у меня есть вопросы для вас.

  1. Вы хотите использовать любой другой поставщик аутентификации для своего приложения?
  2. Вы хотите дать аутентификацию/разрешение на любой другой веб-сайт?
  3. У вас есть или будет несколько приложений, которым потребуется один знак точки?

Если ответ на любой из вышеуказанных вопросов неверен, вам не нужен Шибболет.

Вы должны сначала понять, как работает шибболет. Есть два основных продукта в shibboleth Провайдер услуг и Identity Provider. Если ваш случай - точка 1, тогда вам нужен SP, если ваш случай - точка 2, тогда вам нужен idP, и если ваш случай - точка 3, вам нужны оба.

idP и SP являются полностью непересекающимися вещами. Если вы входите в stackoverflow с помощью учетной записи google, google - это idP, а stackoverflow - SP.

IDP управляет аутентификацией, поэтому он будет иметь пользовательскую базу данных/данные, поэтому отвечая на ваш первый вопрос, да шибболет не имеют баз данных для хранения пользовательских данных, и только слой идентичности. Или, точнее, уровень авторизации.

Поскольку SP - это то, что использует эту аутентификацию для авторизации некоторых путей на своем веб-сайте. Если вы настроите свой SP таким образом, чтобы example.com/secure был доступен только тогда, когда пользователь аутентифицирован в example2.com - аутентификация - тогда, когда пользователь перейдет на example.com/secure, shibboleth перенаправит его на example.com/ login (настраивается в idP) и разрешает доступ только тогда, когда shibboleth будет иметь действительный сеанс.

Отвечая на ваш второй вопрос, Да, вы можете использовать оба способа, но вы не должны, потому что это программное обеспечение аутентификации/авторизации, это дает некоторые атрибуты из IDP в SP, но всегда рекомендуется использовать эту информацию и хранить это в нашей БД.

Edit (после прочтения комментария)

Так что вам обязательно нужно SSO. Он не должен иметь Shibboleth, который основан на SAML. Выбор метода SSO - большая вещь и требует длительных ответов. Я использовал OAuth, LDAP, Shibboleth, SAML. Я использую OAuth2 для своих приложений.

Пожалуйста, найдите сравнение между Shibboleth и OAuth2 и решите. This может помочь.

+0

Благодарим за сообщение, ответили на ваш вопрос: 1-нет 2-да 3-да – Sadegh

+0

Если я хочу использовать shibboleth для authN/authZ на своем веб-сайте, для магазина пользователя (имя пользователя и пароль и другие атрибуты пользователей) какое программное обеспечение является хорошим решением? Обратите внимание: я хочу дать authN/authZ другому сайту или приложению. – Sadegh

+0

Я думаю, что SSO - это решение между многими провайдерами идентификации (у которых есть магазин таких пользователей, как имя пользователя и пароль и другой атрибут), которые доверяли друг другу для единого входа. Но мне нужно решение idP для своих пользователей с одноточечным управлением (базой данных), которое другое программное обеспечение использует для аутентификации/авторизации. Я думаю, что SSO - это больше authN/authZ решение (без хранения/базы данных). Я нахожу решение, в котором есть база данных для хранения идентификаторов пользователей, таких как имя пользователя/пароль. Я нахожу поставщика удостоверений, который является моим собственным. Если мое мнение ложно, пожалуйста, помогите мне. – Sadegh

Смежные вопросы