SAML vs OIDC:兩種常見身份管理協議的對比與應用分析
安全斷言標記語言(SAML)和 OpenID Connect(OIDC)是兩種較為常見的身份驗證協議和身份標準,有各自的優缺點和差異性。本文將對比 SAML 和 OIDC 兩種協議探究各自的企業用例,以及每種協議對身份和訪問管理(IAM)的貢獻。兩種協議都支持單點登錄(SSO),但在部署之前需要明確兩者在技術和概念上的差異:SAML 的重點在于安全授予跨域網站訪問權限,而 OIDC 為移動應用和 Web 應用提供了額外的情境。
01SAML 和 OIDC 的差異
在比較 SAML 2.0 和 OIDC協議之前,首先要比較 SAML 和 OAuth 協議,OAuth 是 OIDC 的基礎,OIDC 通過身份層在此基礎上進行了擴展,實現去中心化的身份驗證服務。OpenID 開源社區于2005年啟動了 OpenID 的開發項目。據基金會稱,現在已有來自超過50,000多個網站的10億多個用戶賬號啟用 OpenID,管理支持 OIDC 身份驗證、OIDC 社區以及合規操作的基礎架構。
而SAML 2.0 是一個開放標準,自2003年以來一直為商用、私用身份提供程序(IdP)和服務提供程序(SP)提供身份驗證和授權功能。SAML 最初使用基于可擴展標記語言(XML)的框架來實現單點登錄,允許 IdP 和 SP 彼此獨立,支持集中式用戶管理。下節將介紹 SAML 的工作原理,探究協議中的每個組件。
SAML 的實現原理
上文提到,SAML 是一種用于身份驗證和授權的開放標準,通過身份聯合提供對 Web 應用的單點登錄訪問。SAML 從 IdP 中繼用戶憑證來驗證訪問權限和 SP,其中服務提供程序(SP)需要在授予用戶訪問權限之前進行身份驗證。每個用戶或組都有各自的屬性概括了配置文件信息,并聲明具體的訪問權限。
SAML 使用 XML 元數據文檔, 也就是 SAML 令牌進行斷言,驗證用戶身份和訪問權限。
SAML 插件通常會用在應用或資源中實現單點登錄,確保符合安全要求,協議中的憑證和斷言明確了訪問準入的身份。此外,SAML 還能用于控制身份在應用中的訪問權限。SAML 的核心組件包括IdP、SP、客戶端和屬性,這些組件可以交換用戶信息從而控制準入。
1)身份提供程序(IdP)
IdP 是維護管理數字身份的服務,在整個應用、網絡和 Web 服務范圍內驗證用戶憑證,主要作用是保護用戶憑證的完整性,并在需要單點登錄的地方提供用戶身份聯合。
2)客戶端
客戶端是指使用由 IdP 管理的憑證對服務進行身份驗證的用戶。舉例來說,企業可以通過 SAML 協議批準員工使用企業郵箱和密碼完成單點登錄來訪問所需服務。
3)屬性
SAML 還負責將稱為斷言的消息從 IdP 傳輸到 SP。這些斷言通過驗證、授權和確定客戶端的權限級別來設置訪問事件的所有相關安全要求。這一過程中會使用“部門”、“郵件”和“角色”等屬性實施訪問管理和準入控制。有時還會使用自定義屬性擴展 SAML 協議以支持自定義軟件。
4)服務提供程序(SP)
SP 是用戶使用 SAML 進行單點登錄后通過身份驗證所要使用的資源,通常是私有網站或應用。SP 在授予用戶訪問權限之前會先接收或拒絕 IdP 針對客戶端配置文件發送的斷言。SP 會向 IdP 發送身份驗證請求,然后客戶端會向 IdP 發送斷言作為響應。這一過程有時會顛倒順序,IdP 可以按照任一順序開始登錄流程。
OIDC 的實現原理
OIDC 在 OAuth 協議上進行了擴展,主要組件包括 OAuth 協議的基礎框架加上具有唯一性的用戶工作流。OIDC 讓客戶端服務也就是應用通過 OpenID 驗證服務器核驗用戶身份并通過 RESTful API 交換配置文件信息,這些 API 會分派 JSON Web 令牌(JWT)用于身份驗證過程中的信息共享。這種方法具有高度的可擴展性和跨平臺的靈活性,而且實施相對簡單,吸引了很多開發人員。
用戶認證
用戶是資源所有者,通過授權服務器的身份驗證后獲取客戶端應用的訪問權限,授權服務器會授予用戶訪問令牌,允許應用從用戶信息(UserInfo)端點接收同意信息,用戶信息端點受到 OpenID 服務器的保護,服務器中的 JSON 對象包含了有關每個用戶的斷言。隨后服務器將身份驗證信息編碼在應用接收的 ID 令牌中,信息緩存后就能實現可擴展性以及個性化的終端用戶體驗。
基于 OAuth 2.0 協議
OIDC 建立在 OAuth 2.0 框架的基礎上,OAuth 2.0 標準可授予第三方應用和服務訪問用戶 ID 資源的權限。用戶憑證并不是通過網絡發送,也不會存儲在第三方服務器上,因此提高了資源安全性,也方便了管理員操作。
SAML 和 OIDC 的相似性與差異性
1)相似性
? SAML 和 OIDC 都是實現單點登錄的身份協議。
? SAML 和 OIDC 都是安全成熟、有據可查的技術。
? 用戶都通過 IdP 進行一次身份驗證后就可以訪問“信任”IdP 的其他應用。部分零信任服務都會在信任鏈的每個節點進行身份驗證,并使用另一種驗證方法定期驗證訪問。
? 登錄工作流對于終端用戶似乎都一樣,但后臺的技術實現卻有著千差萬別。
2)差異性
? 很多開發人員認為 OIDC 的實現更簡單,不需要 XML 處理。
? OIDC 缺乏權限等用戶授權數據,重點關注身份斷言。SAML 是身份數據的交換,功能更加豐富。
? OIDC 支持去中心化的身份驗證。
? SAML 使用斷言,OIDC 和 OAuth 使用 ID 令牌。
? OIDC 專為 API 工作負載而設計,可用于保護 API。
用例
開發人員和企業應選擇最適合自身特定用例的解決方案,部分情況下也可以采用組合方案。OIDC 主要用于需要請求訪問令牌的反向通道網站和移動應用。
SAML 幾乎都用于前向通道網站訪問,這類訪問中用戶會觸發應用的身份驗證,并且假定客戶端應用(Web 服務)在與用戶設備以外的其他設備上運行。以下是針對兩種協議用例的一些通用提示:
? 移動應用通常使用 OIDC 類型的輕量化服務,開發人員使用的工具很大一部分都是預構建工具,也可以從插件庫中獲得。
? 內置 SAML 的應用使用起來很簡單,只涉及 SAML。
? 使用 SAML 從門戶訪問企業應用。
? 使用 OAuth 2.0 或 OIDC 服務保護 API 或公開 API。
? 企業有時更喜歡用 SAML,因為可以自定義,而且優先交換安全數據。有監管要求的行業幾乎都會用 SAML 保護用戶敏感信息。
OIDC 和 SAML 協議之間不會相互排斥,企業可以考慮將 SAML 用于單點登錄,保護資源訪問,對于具有高可擴展性要求的移動化用例則可以使用 OIDC。總的來說,兩者各有其優點,都支持單點登錄服務。
