欢迎来到公海710 身份联盟

联合实现了更加集中的身份模型，可以有选择地在不同的域之间共享，并允许最终用户创建、维护和控制单一身份。

联合身份这一概念是建立在 OpenID Connect 之上的 (OIDC) 和OAuth 2.0标准。本文假设读者对有基本的了解现代身份验证模型和对模型的有效理解SCIM 协议的目的和功能.

作为数字革命从 Web 2.0 转向 Web 3.0，身份和安全是对话的核心。身份盗窃和勒索软件攻击在新闻中很常见，身份盗窃研究中心报道了增加 68%2020 年至 2021 年的数据泄露。

为了解决 Web 2.0 世界的隐私问题，万维网联盟 (W3C) 致力于开发去中心化标识符的概念 (DID）。虽然互联网上的一些知名公司（例如 Microsoft、Google、Apple、Mozilla）已经成立了 Web 超文本应用技术工作组 (什么工作组）并表示他们反对 DID 标准，但重点仍然是数字世界中的核心或更统一的身份概念既必要又迫在眉睫。

本文的目的是告知身份的方向和争论，从表面上确定这些问题的因果关系，然后重点关注当今存在的商定标准和实施。

现实世界中的联邦

物理世界中联邦的最佳类比就是护照的概念。

个人由其原籍国颁发护照：一份有时间限制的签名文件，其中载有有关持有人的信息。如果美国公民希望前往加拿大，加拿大无需验证该个人的信息；它信任美国发行并允许个人入境。

简而言之，这就是联邦的概念。用户想要访问某些资源（加拿大土壤），并且该资源由 IdP（加拿大海关）控制，但该 IdP 并不充当该用户信息的来源。相反，它与配置文件源 IdP（美国政府）联合并授予对其资源的访问权限，纯粹是因为它信任来自原始 IdP（美国政府）的访问权限。

密码

根据来自 LastPass 的报告，一般企业用户有 191 个密码，他们必须跟踪和管理。此外，美国国家标准与技术研究院 (NIST) 关于密码复杂性和构成的指南已更改这些年来。

密码复杂性（大写/小写/数字/特殊）与轮换频率曾经是良好密码卫生的标准，NIST 更改了建议，而是将重点放在长度超过复杂性，并建议不要强制密码轮换。

这主要是因为用户需要管理太多密码，当他们被迫频繁轮换密码时，他们无法记住最新的排列并诉诸将它们写在便利贴上在他们的电脑旁边。 NIST 所说的是我们正在做到更难对于人类记住他们的密码并且更简单对于计算机猜测。

联盟

NIST 定义联邦作为“允许在一组网络系统之间传送身份和身份验证信息的过程。”

这种方法是合理的，因为密码带来的问题表明合理的解决方案是减少用户需要记住的密码数量。

理想情况下，用户可以通过集中式身份提供商 (IdP) 建立自己的身份，然后传达一个或多个“网络系统”之间的身份。这是单点登录（单点登录）互联网，不仅仅适用于单个域内的一组系统。

还需要注意的是，每个联合域都必须与 IdP 建立信任 — 像 DID 这样的通用解决方案更多的是理想主义的顶峰，而不是当前的现实。

IdP 和联盟

SSO 的核心概念植根于联邦的功能。在这里，我们要强调那些需要不同域相互信任的联合案例。

在这些以及大多数情况下，两个 IdP 需要就谁是用户身份 (IdP) 所有者以及谁成为身份委托人（服务提供商 [SP] 或资源提供商 [RP]）达成一致。在这种情况下，RP 可能被视为其他服务的 IdP，但会将部分或全部身份职责联合到正式 IdP。

考虑下图：

用户访问应用程序（第 1 步）并希望访问服务或资源。该应用程序是联合的（小f，指定受信任的域）到 IdP（例如 Okta、Microsoft AAD）。但是，该用户的个人资料来自辅助 IdP。

应用程序将 IdP 的访问权限委托给 RP（步骤 2），然后 RP 将身份委托给配置文件源 IdP（步骤 3）。一旦配置文件源 IdP 验证了用户身份，它将作为 RP 将访问权限（例如令牌）传回 IdP（步骤 4）。

然后，IdP 作为 RP 建立必要的会话或访问权限（即[新]签名令牌），并将其传回原始调用应用程序（第 5 步）。

此时，用户可以访问该应用程序。由于用户现在已与作为 RP 的 IdP 和配置文件源 IdP 建立了会话，因此用户可以访问另一个应用程序（步骤 6 和步骤 8），该应用程序将要求其 IdP（步骤 7 和步骤 9）进行验证。由于现有会话，这会立即允许用户访问（前提是会话的生命周期尚未超过）。

增强联盟

虽然联合是解决（或至少减少）“密码过多”问题的非凡工具，但它并非没有局限性。

在纯粹的联合系统中，只有当用户成功登录联合系统时，才会更新用户的有效性（如果用户仍允许登录）和配置文件的属性（有关该用户的信息）。

通过上面的实际示例，加拿大并没有所有获得护照的美国公民的记录。相反，当美国公民进入加拿大时，他们会被及时记录，并且加拿大拥有有关该个人用户的有限信息。

在典型的联合系统中，同样的概念也是如此：上图中的用户已将其个人资料存储在配置文件源 IdP 中，但作为 RP 的 IdP 仅拥有有限数量的信息，并且仅当作为 RP 的 IdP 需要将该用户身份与其自身或其应用程序联合时，该信息才会更新。

这就是地方SCIM，即跨域身份管理系统开始发挥作用。

SCIM 允许标准化介质，配置文件源 IdP 可以通过该介质主动与作为 RP 的 IdP 共享部分或全部用户详细信息。虽然 SCIM 不是联邦的必需条件，但它是一个巨大的增强功能，可以显着提高所有相关系统的功能。

结论

身份是现代世界概念的核心，数字身份变得越来越难管理。像地址更改这样简单的事情可能需要数小时、数天甚至数周的时间才能在单个用户与之交互的各种系统中传播。

联合使企业能够允许员工访问客户工具（通过员工身份）并启用自动取消配置模型。

您或您的公司是否正在为跨分布式系统的身份而苦苦挣扎？如果是这样，我们希望这会有所帮助，但如果您需要更多信息或帮助，请与我们联系 - 我们很乐意提供帮助。