什么是 SAML？

SAML 提供商是一种允许用户访问受信任环境内的服务或资源的系统。

有两种类型的 SAML 提供商：

• 身份提供者 (IdP)——对用户进行身份验证并将授权信息传递给 SP。
• 服务提供商 (SP)——根据来自 IdP 的身份验证和授权信息授权用户访问资源。

SSO 通过集中式 SAML 提供程序启用身份验证，简化了用户对各种服务的访问。 用户向 SAML 提供商进行一次身份验证，随后 SAML 提供商会将其身份验证状态安全地传达给参与服务，授予他们访问权限，而无需重复登录。

SAML 拥有成熟的库、工具和文档生态系统，方便开发人员和管理员使用。

采用 SAML 的一些好处包括：

• 用户体验——SAML 减少了用户通过 SSO 和联合身份记住多组凭证的需要，允许用户使用一组登录凭据访问多个applications和服务。
• 增强的安全性——SAML 采用强大的身份验证方法和安全的通信协议。 这些增强措施可以保护敏感数据并降低身份盗窃和其他网络威胁（例如中间人攻击）的风险。
• 标准化协议 – SAML 在各种平台、服务和applications中得到广泛采用。 这种标准化确保了互操作性并简化了连接不同系统时的集成工作。
• 降低成本——SAML 通过使用细粒度的访问控制和集中身份管理简化身份验证流程，有助于降低管理成本。 它还减少了手动用户管理的需要。

虽然 SAML 很流行（特别是对于已经拥有成熟的 SAML 基础设施或在 SAML 上构建的遗留系统的组织），但还有其他选择。 其中两种替代方案包括轻量级目录访问协议 (LDAP)和OpenID Connect (OIDC) 。

LDAP 是一种成熟的协议，旨在维护和访问网络内的目录服务。 它主要用作本地身份验证中心。 SAML 通过一组用户凭证提供一种简化的方法，使其更适合基于云的计算环境并且更具可扩展性。

OIDC 是一种较新的身份验证选项，可以用作 SAML 的替代。 虽然 OIDC 通常被视为更轻量、性能更高，但 SAML 仍被视为更稳定、可扩展的选项。

在考虑 OIDC 时，SAML 采用者应考虑以下几点：

• 现有基础设施 - 如果您的组织已经拥有成熟的 SAML 基础设施，则过渡到 OIDC 可能会涉及重大变更和迁移。 在这种情况下，坚持使用 SAML 可能更可行且更具成本效益。
• 遗留系统 – SAML 的存在时间比 OIDC 更长，并且在遗留applications和系统中得到了更深入的支持。 如果您有支持 SAML 但不支持 OIDC 的旧applications，则选择 SAML 可以简化集成工作。