SAML 2.0 / OpenID Connect bro
Som standard er FoxIDs en bro mellom SAML 2.0 og OpenID Connect / OAuth 2.0 uten ekstra konfigurasjon.
Føderert identitetsforvaltning (FIM) handler om å knytte identiteter på tvers av domener, mens single sign-on (SSO) forenkler tilgang på tvers av applikasjoner. FoxIDs støtter både FIM og SSO, og broen muliggjør dette på tvers av SAML 2.0 og OpenID Connect.
OpenID Connect (OIDC) og SAML 2.0 er begge utbredte protokoller for identitetsføderasjon, single sign on (SSO) og brukerautentisering. De er likevel grunnleggende forskjellige i struktur og design. Noen ganger må du bygge bro eller integrere disse protokollene, for eksempel når en applikasjon som støtter OpenID Connect skal fungere med en Identity Provider (IdP) som bare støtter SAML 2.0.
Viktige forskjeller mellom de to protokolltypene:
- OIDC: Bygger på OAuth 2.0, er en moderne protokoll for web og mobile apps med RESTful APIs. Bruker JSON Web Tokens (JWT) for identitetstoken og access tokens.
- SAML 2.0: XML basert og fokusert på nettleserbaserte SSO scenarier, ofte brukt i enterprise miljøer. Bruker XML baserte assertions / tokens.
For å koble et OpenID Connect system med et SAML 2.0 system trenger du et protokolloversettelse eller bro lag. Dette kan oppnås med en mellomkomponent som fungerer både som OpenID Connect Provider (OP) og SAML Service Provider (SP) eller omvendt.
Hvis du konfigurerer en SAML 2.0 autentiseringsmetode til en ekstern Identity Provider (IdP) og kobler appen din som en OpenID Connect applikasjon der du velger SAML 2.0 autentiseringsmetoden, blir en login request fra appen din rutet som en ekstern SAML 2.0 login request. SAML 2.0 login responsen blir deretter mappet til en OpenID Connect respons for appen din. SAML 2.0 claims blir automatisk konvertert til JWT (OAuth 2.0) claims.
Det motsatte er også mulig ved å starte login requesten fra en SAML 2.0 application registration app og rute til en ekstern OpenID Provider (OP) konfigurert som en OpenID Connect autentiseringsmetode. Deretter blir responsen konvertert til en SAML 2.0 respons.
FoxIDs støtter å bygge bro for både login, logout og single logout mellom SAML 2.0 og OpenID Connect.
Ett miljø - én Identity Provider
All bro funksjonalitet kan kombineres i samme miljø. Det gjør det mulig for en OpenID Connect app å støtte login via både en SAML 2.0 eller OpenID Connect autentiseringsmetode samtidig. OpenID Connect appen kan enten velge autentiseringsmetoden programmatisk eller la brukeren velge på en home realm discovery (HRD) side.
Det anbefales å ha en applikasjonsinfrastruktur med OpenID Connect aktiverte klienter og OAuth 2.0 aktiverte APIer. Der alle applikasjoner (klienter og APIer) stoler på den samme Identity Provider (IdP) - én IdP er lik ett miljø i FoxIDs. Ved å bruke bro funksjonaliteten i FoxIDs blir SAML 2.0 tokens mappet til ID tokens og access tokens som kan brukes til å autentisere OpenID Connect apper og til å kalle eksisterende APIer.
Token exchange
Hvis en bruker får tilgang til en SAML 2.0 app etter vellykket login med en ekstern SAML 2.0 Identity Provider (IdP), får brukeren tilgang til SAML 2.0 appen i konteksten til brukeren selv. Med zero trust (aldri stole, alltid verifisere) må du kalle APIene dine i konteksten til brukeren. Dette er mulig ved å bruke token exchange der SAML 2.0 token kan byttes til et access token med sluttbrukerens identitet. Deretter kan din OAuth 2.0 aktiverte API kalles i konteksten til brukeren.
Claim mappings
FoxIDs bruker JWT claims internt og mapper SAML 2.0 claims til JWT claims. Som standard mappes et sett av standard JWT til SAML 2.0 claims, for eksempel sub til http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier, email til http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress osv.
Du kan legge til flere JWT til SAML 2.0 claim mappings.
Hvis det ikke finnes en mapping for en bestemt claim, beholdes det lange SAML 2.0 claim navnet fra claims mottatt i et SAML 2.0 token i stedet for et kortere tilsvarende JWT claim navn. Det samme gjelder i motsatt retning.