Chương 2: Các gi i pháp Single sign on (SSO) ả 2.1 Các lo i Single sign onạ
2.2. Các l oi giao th c SSO ứ
Hiện nay có khá nhiều giải pháp SSO được giới thiệu và đưa vào sử dụng trên thực tế:
● OpenID
● OAuth 2.0 Authorization
● Open Single SignOn (OpenSSO) hoạt động dựa trên Token.
● Central Authentication Service (CAS)
● IBM Taivoli Access Manager for Enterprise Single SignOn (TSM).
● Java Open SSO (JOSSO)
2.2.1. OpenID.
OpenID là một tiêu chuẩn mở và là một giao thức authen được phân cấp.
Được phát triển bởi tổ chức phi lợi nhuận OpenID Foundation, OpenID cho phép user có thể được authen bởi rất nhiều website (Relying Parties hoặc RP) sử dụng service của bên thứ 3. Nó giảm được việc phái thiết lập riêng logic sign up/login cho mỗi website, cho phép các user có thể login tới nhiều webstie ko hề liên quan tới nhau mà ko cần phải có những định danh và password riêng cho mỗi site.
Người dùng thể chọn việc liên kết thông tin với OpenID của họ - thông tin này sẽ được share tới các website mà họ đã truy cập (ví dụ như tên or mail của người dùng). Với OpenID, người dùng có thể kiếm soát được lượng thông tin mà họ muốn cho phép các website họ đến thăm biết được.
Với OpenID, chỉ duy nhất identity provider quản lý password, và provider này sẽ confirm identity của người dùng tới các website mà họ đến thăm, ko có một website nào có thể biết được password của họ - đây là một yếu tố bảo mật rất cao.
OpenID nhanh chóng nhận được sự công nhận và sự dụng của cộng đồng web, với hơn 1 tỷ OpenID account được thiết lập và 50,000 webstie sử dụng phương thức OpenID để login. Một vài tổ chức lớn cho phép hoặc phát hành OpenIDs or tái sử dụng lại OpenID ví dụ như Google, Facebook, Yahoo!, Microsoft, AOL, MySpace, Sears, Universal Music Group, France Telecom, Novell, Sun, Telecom Italia v.v....
Chính vì thế OpenID có nhiều lợi thế có thể kể đến như
● Đăng ký dễ dàng:
Hình 3: Sử dụng OpenID đăng ký tài khoản dễ dàng
● Đăng nhập dễ dàng:
Hình 4: Sử dụng OpenID để đăng nhập một cách dễ dàng
● Cơ chế hoạt động:
Hình 5: Tổng quan giao thức OpenID Connect core 1.0
Giao thức OpenID Connect, tóm tắt, thực hiện theo các bước sau: Bước 1: RP (Máy khách) gửi yêu cầu đến Nhà cung cấp OpenID (OP).
Bước 2: OP xác thực Người dùng cuối và được ủy quyền.
Bước 3: OP trả lời bằng Mã thông báo ID (ID Token) và thường là Mã thông báo truy cập.
Bước 4: RP có thể gửi yêu cầu với Mã thông báo truy cập đến Điểm cuối UserInfo.
Bước 5: Điểm cuối UserInfo trả về Phản hồi về Người dùng cuối.