该认证将基本上用于Api调用,其中客户系统将在我们的产品中调用API。
下面是问题-我们可以在Web服务中使用SAML进行身份验证吗-产品需要进行哪些更改才能从Oauth2.0升级到基于Open ID的身份验证。
OAuth2是允许软件应用程序(称为客户端)获取代表用户调用API的访问令牌的协议。
作为该协议的一部分,授权服务器需要对用户进行身份验证(以确保它委派了对正确资源的访问权限)。
授权服务器可以通过验证用户的凭据(用户名和密码,MFA令牌等)来执行此操作,也可以将其委派给另一个身份提供者。在后一种情况下,SAML2协议是将身份验证委托给外部身份提供商的常用协议。
OpenID Connect是OAuth2的扩展,它为客户端提供ID令牌,以告知客户端用户实际身份(例如访问令牌不一定包含用户名)以及登录时间。它还提供了一些会话管理,例如注销等。
如果您的应用程序对OAuth2使用标准库,则它可能已经支持OpenID Connect。授权服务器是否支持基于SAML的联盟取决于您使用的产品。
否,您不能使用SAML调用Web服务,即REST API。
REST API需要JWT,而SAML会生成SAML令牌。
[有一个SAML概要文件(承载令牌),允许您为JWT交换SAML令牌,但尚未广泛实施。