Вопрос по OpenID Connect, Saml и OAuth

Question

• Наш текущий продукт поддерживает аутентификацию на основе SAML и Oauth2.0.
• Клиент имеет Azure AD и хочет аутентификацию с использованием Open ID connect.

Аутентификация будет в основном используются для вызовов Api, где система Заказчика будет вызывать API в наших продуктах.

Ниже приведены вопросы - Можем ли мы использовать SAML для аутентификации в веб-сервисах - Какие изменения потребуются в продукте для его обновления? Проверка подлинности на основе Oauth2.0 to Open ID.

Answer 1

Нет, вы не можете использовать SAML для вызова веб-сервисов, т.е. REST API.

REST API требует JWT, тогда как SAML создает токен SAML.

Существует профиль SAML (токен носителя ), который позволяет вам менять токен SAML для JWT, но это еще не получило широкого распространения.

Answer 2

OAuth2 - это протокол, который позволяет программному приложению (называемому клиентом) получить токен доступа для вызова API от имени пользователя.

Как часть этого протокола, сервер авторизации должен аутентифицировать пользователь (чтобы убедиться, что он делегирует доступ к нужным ресурсам).

Сервер авторизации может сделать это, проверив учетные данные пользователя (имя пользователя и пароль, токен MFA и т. Д. c), или он может делегировать это другому провайдеру идентификации. В последнем случае протокол SAML2 является часто используемым протоколом для делегирования аутентификации внешнему провайдеру идентификации.

OpenID Connect - это расширение поверх OAuth2, которое дает клиенту токен идентификатора, сообщающий ему, кто на самом деле является пользователем (токен доступа не обязательно должен содержать имя пользователя, например) и когда он вошел в систему. Он также обеспечивает некоторое управление сеансом, например, log out и c.

Если ваше приложение использует стандартную библиотеку для OAuth2, возможно, он уже поддерживает OpenID Connect. Поддерживает ли ваш сервер авторизации федерацию на основе SAML, зависит от используемого вами продукта.