シングルサインオンを使用して、これらの両方(Saml 2.0とOIDC)の標準について非常に多くの記事を読んだ後、使用するものを完全に混乱させたい。私は彼らがどのように動作するかについての基本的な考え方を持っていますが、どちらがセキュリティに関して最も良いかはわかりません。どのSSO戦略がより安全なSAML 2.0またはOpenId Connectですか?
openid-connectのハイブリッドフローは、これらのトークンをユーザエージェントに公開するauth_codeを指定してid_tokenとaccess_tokenを送信するため、安全性が低くなります。ハイブリッドフローは、一般にSSO(シングルサインオン)に使用されます。
SSOの場合、OIDCはSAMLほど強力ですか?
OpenID Connectはより現代的で、より多くのシナリオをサポートします。古いハンドであるSAML2は、さまざまなプラットフォームやクラウドでより幅広くサポートされています。
私はOpenID Connectに何か新しいものを付けたいと思います。
いずれの場合でも、既存のソフトウェアスタックを使用することをお勧めします。 SAML2またはOpenID Connectの正しい実装を書くことは、ハードです。
@andersと@Hansと完全に同意します。自分自身をロールしないでください。
私は1つが他よりも安全性が低いとは思わない。
OIDC/OAuthには4つのメインフローがあり、いくつかは他よりも安全です。リソース所有者のパスワードはおそらく最も安全性が低いと考えられます。
Facebook/Google/TwitterなどすべてがOIDCを使用しています。
Saleforce/WorkdayなどすべてSAMLを使用します。
これらのプロトコルは、プロトコルが安全でない場合はこれを行いません。
おそらくもっと良い質問は、あなたのユースケースに最適です。
大いにその最後のパラグラフに同意しました! –
OpenID Connectはそれほど難しいことではありません。実際、仕様に従うことで、選択したフローの最小作業コードをほぼ即座に構築できます。 SAML2は、特に署名/暗号化と、一部のプロバイダによって実装された正規化/正規化に関する特定の要件については、獣です。 –