选择你的 SSO 方法：SAML 和 OpenID Connect

介绍#

在当今的云驱动世界中，单点登录（SSO）是一种简化用户身份验证和授权的好方法。与让用户记住不同应用程序的多个用户名和密码相比，SSO 允许他们一次登录并无缝访问多个应用程序。

大多数大型身份提供商（IdPs）如 Microsoft Entra 提供两种主要的 SSO 选择：安全断言标记语言（SAML）和 OpenID Connect (OIDC)。虽然两者都是安全且成熟的协议，但为你的组织选择正确的一个取决于多种因素。让我们更深入地探讨它们的优缺点以帮助你选择你的 SSO 冠军。

OpenID Connect (OIDC)：现代应用程序的轻量级选择#

OIDC 是一个基于 OAuth 2.0 构建的简单轻量级协议。它在提供用户友好的设置过程方面表现出色，使其成为现代应用程序的热门选择。

优点#

• 简单性： 与 SAML 相比，OIDC 提供更简单的设置过程。这转化为更快的实施和更容易的持续维护。它是基于已经广泛用于授权目的的 OAuth 2.0 设计的。
• 现代设计： 为现代网络环境而建，它与现代应用程序和框架良好集成。OIDC 是 RESTful 和基于 JSON 的，使其在现代开发环境中更容易使用，并提供更流畅的用户体验。
• 可扩展性： OIDC 被设计为可扩展的，使其成为具有复杂需求的大型组织的良好选择。
• 效率： OIDC 使用 JSON Web Tokens (JWTs) 进行数据交换。这些紧凑的令牌相比 SAML 使用的较臃肿的 XML 消息更轻量和高效。这转化为更快的身份验证时间。

缺点#

• 有限的属性控制： 默认情况下，OIDC 提供有限的基本用户属性信息，它可能不提供与 SAML 相同级别的精细控制。对于具有严格访问控制要求的组织来说，这可能是一个问题。为了更高级的属性控制，你可能需要通过额外的授权机制来扩展协议。例如基于角色的访问控制（RBAC）或基于属性的访问控制（ABAC）。
• 对遗留应用程序的有限支持： 由于 OIDC 是一个较新的协议，与已建立的 SAML 标准相比，它可能没有被旧有企业应用程序广泛采用。

安全断言标记语言 (SAML)：具有精细控制的企业标准#

多年来，SAML 一直是企业界 SSO 的首选协议。其广泛的采用和强大的功能集使其成为具有复杂需求的组织的坚实选择。

优点#

• 广泛采用： SAML 已经存在很长时间，并被许多企业应用程序广泛采用。这确保了与你现有 IT 基础设施的高兼容性。
• 细粒度属性控制： SAML 提供了一组丰富的属性，可以在 IdP 和服务提供商 (SP) 之间交换。这允许精细的访问控制和用户属性的定制。

缺点#

• 复杂性： 设置和配置 SAML 可能是一个相比 OIDC 更为复杂的过程。SAML 使用的 XML 消息相比 OIDC 的 JSON 消息更臃肿且更冗长。这需要更深入的协议理解和可能更多的工程资源。

• 较大的消息体： SAML 消息是基于 XML 的，可能更臃肿和效率更低于 OIDC 使用的 JSON 消息。这可能导致较慢的身份验证时间，特别是对于大负载。

选择你的 SSO 冠军#

在选择 SAML 和 OIDC 时，考虑以下因素：

超越二元：结合 SAML 和 OIDC 进行混合方法#

在某些情况下，你可能不需要在 SAML 和 OIDC 之间做出选择。某些 IdPs 提供支持两种协议的灵活性，使你可以在最需要的地方利用每种协议的优势。例如，如果你的组织拥有现代和遗留的应用程序组合但共享相同的 IdP，你可以利用 OIDC 和 SAML 进行全面的 SSO 解决方案。例如，你可以将 OIDC 用于你的网络和移动应用程序，同时为你的遗留企业系统保留 SAML。

结论：为工作选择合适的工具#

适合你的组织的最佳 SSO 协议取决于你的特定应用程序环境、安全需求和用户体验目标。通过了解 OIDC 和 SAML 的优缺点，你将能够很好地为你的组织选择最佳的协议。

在 Logto 中，我们支持 SAML 和 OIDC 作为我们综合 SSO 解决方案的一部分。无论你是连接现代网络应用程序还是遗留企业系统，我们都能满足你的需求。注册一个免费账户，立即开始简化你的身份验证和授权工作流程吧。