筒倉計算表格

分析公司Quocirca的最新研究證實，現(xiàn)在許多企業(yè)的外部用戶比內(nèi)部用戶更多：在歐洲，有58％的企業(yè)直接與其他企業(yè)和/或消費者的用戶進(jìn)行交易； 僅在英國，這一數(shù)字就達(dá)到了65％。 如果回顧歷史，當(dāng)今大多數(shù)企業(yè)都是通過收購，合并和合伙制發(fā)展的。 根據(jù)Dealogic的數(shù)據(jù)，僅在美國，2013年前9個月的并購交易總額達(dá)到8651億美元。 與去年同期相比增長了39％，是自2008年以來的九個月最高水平。

這對企業(yè)身份管理意味著什么？

您將必須使用多個異構(gòu)用戶存儲-身份驗證協(xié)議-舊式系統(tǒng)等等。

SAML，OpenID，OpenID Connect，WS-Federation均支持身份聯(lián)合–跨域身份驗證。 但是，我們是否總能期望聯(lián)盟用例中的所有各方都支持SAML，OpenID或OpenID Connect？ 我們今天看到的大多數(shù)聯(lián)邦系統(tǒng)都處于孤島中。 它可以是SAML聯(lián)合的孤島，OpenID Connect聯(lián)合的孤島或OpenID聯(lián)合的孤島。

即使在給定的聯(lián)合倉庫中，您如何隨著越來越多的服務(wù)提供商和身份提供商進(jìn)行擴(kuò)展？ 每個服務(wù)提供者都必須信任每個身份提供者，這會導(dǎo)致進(jìn)入Spaghetti Identity反模式。

Federation Silos和Spaghetti Identity是Identity Bus模式直接解決的兩個反模式 。

使用身份總線 ，給定的服務(wù)提供者不會與給定的身份提供者耦合，也不會與給定的聯(lián)合協(xié)議耦合。 用戶應(yīng)該能夠使用僅發(fā)行OpenID Connect令牌的身份提供商登錄到僅接受SAML 2.0令牌的服務(wù)提供商。 身份總線充當(dāng)中間人，其在異構(gòu)身份協(xié)議之間中介和轉(zhuǎn)換身份令牌。

讓我們看看身份總線模式的一些好處。

引進(jìn)新的服務(wù)提供商非常容易。 您只需要在身份總線上注冊服務(wù)提供商，然后從那里選擇信任的身份提供商。 無需將服務(wù)提供商配置添加到每個身份提供商。

刪除現(xiàn)有服務(wù)提供商非常容易。 您只需要從身份總線中刪除服務(wù)提供商即可。 無需從每個身份提供者中刪除服務(wù)提供者。

引入新的身份提供者非常容易。 您只需要在身份總線上注冊身份提供者。 任何服務(wù)提供商均可使用。

刪除現(xiàn)有的身份提供者非常容易。 您只需要從身份總線中刪除身份提供者。

強制執(zhí)行新的身份驗證協(xié)議非常容易。 假設(shè)您需要同時使用用戶名/密碼和雙重安全性（基于SMS的身份驗證）對用戶進(jìn)行身份驗證–您只需要將該功能添加到身份總線，然后從此處針對給定的服務(wù)提供商選擇所需的身份驗證協(xié)議集即可服務(wù)提供商注冊的時間。 每個服務(wù)提供商都可以在身份總線上選擇其希望如何認(rèn)證用戶。

索賠轉(zhuǎn)換。 您的服務(wù)提供商可能會從http://sp1.org/claims/email屬性ID中讀取用戶的電子郵件地址，但用戶的身份提供商可能會將其作為http://idp1.org/claims/emai發(fā)送。 身份總線可以將其從身份提供者收到的聲明轉(zhuǎn)換為服務(wù)提供者期望的格式。

角色映射。 您的服務(wù)提供商需要在用戶登錄后授權(quán)他們。用戶在身份提供商處可以執(zhí)行的操作與同一用戶在服務(wù)提供商處可以執(zhí)行的操作不同。 來自身份提供者的用戶角色定義了他可以在身份提供者處執(zhí)行的操作。 服務(wù)提供商的角色定義了用戶可以在服務(wù)提供商處執(zhí)行的操作。 身份總線能夠?qū)⑸矸萏峁┱叩慕巧成涞椒?wù)提供者的角色。 例如，用戶可以在SAML響應(yīng)中從其身份提供者那里獲得idp-admin角色，然后身份總線將找到與此對應(yīng)的映射服務(wù)提供者角色，例如sp-admin，并將其添加到SAML響應(yīng)中，然后返回從身份總線連接到服務(wù)提供商。

即時調(diào)配。 由于身份總線位于所有身份事務(wù)的中間，因此它可以將所有外部用戶身份提供給內(nèi)部用戶存儲。

集中監(jiān)控和審計。

引入新的聯(lián)合協(xié)議所需的更改最少。 如果您具有支持專有聯(lián)合協(xié)議的服務(wù)提供商或身份提供商，則只需將該功能添加到身份總線。 無需在每個身份提供商或服務(wù)提供商處實現(xiàn)它。

WSO2 Identity Server是一個開源的身份和權(quán)利管理服務(wù)器，它支持SAML 2.0，OpenID，OAuth 2.0，OpenID Connect，XACML 3.0，SCIM，WS-Federation（被動）和許多其他身份聯(lián)合模式。 下圖顯示了WSO2 Identity Server的高級體系結(jié)構(gòu)-支持Identity Bus模式。

翻譯自: https://www.javacodegeeks.com/2014/10/identity-anti-patterns-federation-silos-and-spaghetti-identity.html

筒倉計算表格

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的筒仓计算表格_身份反模式：联邦筒仓和意大利面条身份的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。