Разница между Shibboleth и CAS?

Question

Пожалуйста, объясните, чем отличаются Shibboleth от CAS?

Answer 1

Первый (Shibboleth) - это сервер, а второй (CAS) - протокол. Имеет смысл сравнить Центральная служба аутентификации (CAS) с Язык разметки утверждений безопасности (SAML) , который является протоколом, используемым Shibboleth. Оба могут быть использованы для реализации централизованного единого входа (SSO).

Answer 2

Многие люди используют CAS и Shibboleth в сочетании друг с другом.Посмотрите на CAS как механизм аутентификации (пользователя, который обычно хранится в LDAP) и авторизации (запрашивающего веб-сервиса).Shibboleth, который на самом деле является двумя компонентами, SP (поставщик услуг), который запрашивает атрибуты, и IDP (поставщик удостоверений), который передает атрибуты, является объединяющим механизмом, который делает атрибуты (возможно, также хранящиеся в том же LDAP) доступными, как толькобыл аутентифицирован и сервис авторизован.

Хотя оба могут использоваться для обеспечения единого входа, CAS лучше всего справляется с управлением состоянием сеанса (и возможной устойчивостью), а Shibboleth лучше всего разбирает и представляет атрибуты, запрошенные поставщиками услуг.Я реализовал как CAS, так и Shibboleth и нашел документацию для вики Shibboleth и Jasig (CAS) очень полезной.

Answer 3

Shibboleth использует язык разметки утверждений безопасности (SAML) для обмена утверждениями между провайдером идентификации (IdP) и провайдером услуг (SP, обычно это защищаемое веб-приложение).

CAS, с другой стороны, использует собственный протокол для выдачи «билетов» (в отличие от «утверждений») пользователю при попытке доступа к защищенному ресурсу.По сути, это очень похожий процесс на механизм аутентификации Shibboleth / SAML, он просто использует протокол CAS, а не SAML.

Если вы используете последнюю версию CAS (я думаю, 5+) или недавнюю версиюShibboleth IdP (3.2+, я думаю) вы сможете использовать либо для обеспечения интеграции поставщика услуг либо с протоколом CAS, либо с SAML, хотя есть определенные ограничения (например, Shib IdP поддерживает протокол CAS v2, но не v3).

На практике в наши дни вы, вероятно, можете избежать использования одного или другого в качестве IdP.Как поставщик услуг (который CAS называет «клиентом»), вы должны поддерживать их отдельно, т.е. Shib SP или phpCAS.

Answer 4

CAS - поставщик аутентификации, который лучше всего использовать для единого входа во многие службы / приложения с одним входом в систему. Однако у CAS есть ограничение выпуска дополнительных атрибутов для обслуживания. Вот где у Shib есть наибольшее преимущество, поскольку он предоставляет администраторам возможность настраивать уникальный набор атрибутов для различных сервисов.

Mr.BMW, как вы интегрировали CAS и Shib? Похоже, есть несколько способов сделать это. CAS является нашим основным провайдером аутентификации, и у нас большие инвестиции в него. Недавно мы установили Shib и задаемся вопросом, каков наилучший способ интеграции обоих. Любое понимание будет оценено.