Me pregunto si debería usar el protocolo CAS o OAuth + algún proveedor de autenticación para el inicio de sesión único.SSO con CAS o OAuth?
Ejemplo Escenario:
- un usuario intenta acceder a un recurso protegido, pero no está autenticado.
- La aplicación redirige al usuario al servidor SSO.
- Si se autentica, el usuario recibe un token del servidor SSO.
- El SSO redirige a la aplicación original.
- La aplicación original comprueba el token contra el servidor SSO.
- Si el token está bien, se permitirá el acceso y la aplicación conocerá la identificación del usuario.
- El usuario realiza un cierre de sesión y se desconecta de todas las aplicaciones conectadas al mismo tiempo (cierre de sesión único).
Por lo que entiendo, eso es exactamente para lo que se inventó CAS. Los clientes de CAS deben implementar el protocolo CAS para usar el servicio de autenticación. Ahora estoy pensando en usar CAS o OAuth en el sitio del cliente (consumidor). ¿Es OAuth un reemplazo para esa parte de CAS? ¿Se debe preferir OAuth como nuevo estándar de facto? ¿Existe un reemplazo fácil de usar (no Sun OpenSSO!) Para la parte de autenticación de CAS que admite diferentes métodos como nombre de usuario/contraseña, OpenID, certificados TLS ...?
Contexto:
- diferentes aplicaciones deben confiar en la autenticación del servidor SSO y deben usar algo similar a la sesión.
- Las aplicaciones pueden ser aplicaciones web GUI o servicios (REST).
- El servidor de SSO debe proporcionar una identificación de usuario, que es necesaria para obtener más información sobre las funciones de usuario, el correo electrónico, etc. de un almacén de información de usuario central.
- Solo se debe cerrar la sesión.
- La mayoría de los clientes están escritos en Java o PHP.
Tengo solo discovered WRAP, que podría convertirse en el sucesor de OAuth. Es un nuevo protocolo especificado por Microsoft, Google y Yahoo.
Adición
He aprendido que OAuth no fue diseñado para la autenticación incluso podría ser utilizado para implementar SSO, pero sólo junto con un servicio de SSO como OpenID.
OpenID me parece ser el "nuevo CAS". CAS tiene algunas características de errores de OpenID (como el cierre de sesión único), pero no debería ser difícil agregar las partes faltantes en un escenario particular. Creo que OpenID tiene una amplia aceptación y es mejor integrar OpenID en aplicaciones o servidores de aplicaciones. Sé que CAS también admite OpenID, pero creo que CAS es prescindible de OpenID.
inicio de sesión único a cabo es un anti-función. Todos los estudios de usuarios de los que tengo conocimiento que lo han cubierto han indicado que es desde levemente hasta extremadamente confuso para principiantes y usuarios avanzados. Personalmente, tengo que usar un sistema que hace uso del cierre de sesión único a diario, y me parece increíblemente irritante. Casi nunca es el comportamiento que quiero. –
No estoy de acuerdo con que el cierre de sesión único sea una antifeature. Todo depende de las aplicaciones en cuestión. Para las aplicaciones web que de alguna manera se relacionan entre sí, es decir, google mail y google calendar, tiene sentido que si se desconecta explícitamente de una, que cierre la sesión de la otra. En casos con aplicaciones donde no hay aparente "relación", estoy de acuerdo con Bob. – ashwoods
Tenga en cuenta que esta pregunta se realizó originalmente antes de que OAuth 2.0 se introdujera, por lo que es posible que la información relacionada con OAuth ya no sea correcta. – Andrew