标准协议简介

简介

目前越来越多的系统通过Web服务、门户和集成化应用程序彼此链接，为解决信息孤岛的问题通常采取集中式身份管理，把对访问控制的管理从本地的多个应用系统转移到管理中心，用户数据可以通过Web服务非常方便的访问。随着互联网规模的不断增长，建立了一系列标准协议，它通过联合识别、验证和授权的形式允许企业建立自己所有和控制的数据，并能够以结构化的、受控的方式与协作企业共享这些数据。

本模块介绍的联邦认证即通过标准协议将不同的身份提供商联合对用户进行认证。

IDaaS平台的标准认证

IDaaS平台支持通过多种标准协议进行认证，各协议介绍如下。

SAML

用于在当事方之间交换身份验证和授权数据，尤其是在身份提供者（IDP）和服务提供者（SP）之间交换。SAML协议主要解决标准化、跨域、基于Web的单点登录（SSO）问题。SAML2.0协议的详情介绍请自行搜索或者参考http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html。

OAuth

OAuth（开放授权）是一个开放标准，该协议允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息，而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0协议的详情介绍请自行搜索或者参考https://www.rfc-editor.org/rfc/rfc6749。

OIDC

OIDC建立在OAuth 2.0框架的基础上，让客户端服务即应用通过OpenID验证服务器核验用户身份并通过RESTful API交换配置文件信息，这些API会分派JSON Web令牌（JWT）用于身份验证过程中的信息共享，具有高度的可扩展性和跨平台的灵活性。OIDC协议的详情介绍请自行搜索或者参考https://openid.net/specs/openid-connect-core-1_0.html。

CAS

CAS（Central Authentication Service）中央认证服务，涉及到CAS Server和CAS Client两个主体，其中CAS Server负责对用户的认证；CAS Client负责提供资源，当资源受保护时需要用户进行身份认证时，重定向到CAS Server进行认证。CAS协议的详情介绍请自行搜索或者参考https://apereo.github.io/cas/6.6.x/protocol/CAS-Protocol-Specification.html。

Kerberos

一种计算机网络认证协议 ，其设计目标是通过密钥系统为网络中通信的客户机（Client）/服务器（Server）应用程序提供严格的身份验证服务，确保通信双方身份的真实性和安全性。

AD

AD（Active Directory）即活动目录，是基于LDAP协议的一套解决方案（LDAP服务器 + 应用），解决了细粒度的权限控制。

LDAP

LDAP是一种目录访问协议，它规定了以树状结构的方式来存储和访问数据。