openidconnect - ¿OpenID como opción de inicio de sesión único?
openid connect tutorial (14)
Al menos en el escenario de intranet, creo que Active Directory (o similar) sigue siendo una de las mejores opciones.
Sí, en cualquier caso, Active Directory está detrás de las cortinas del proveedor de OpenId Server.
Para desarrollar una solución SSO dentro de una Intranet hay opciones comerciales como Access Manager (IChain anterior) + Active Directory, pero no sé si hay una solución abierta aparte de "Own OpenId Server" + "Algo bueno aún por desarrollar" + LDAP.
Solo estoy buscando opiniones diferentes. ¿Considera que OpenID es una buena solución de "inicio de sesión único"?
La forma en que funciona parece ser un poco confusa para un usuario promedio y podría haber problemas relacionados con "poner todos los huevos en la misma cesta".
De todos modos, ¿alguien ha tratado de implementar su propia solución OpenId dentro del contexto de una Intranet donde hay muchas aplicaciones diferentes (Wordpress, Elgg, Media Wiki, ...)?
Considero que podría ser una gran solución para resolver el problema de la "Identidad digital", pero no sé si funcionará con el problema "Iniciar sesión y navegar por la intranet".
Opiniones?
OpenID, por supuesto, no resuelve ese problema. Por ejemplo, si uso OpenID para iniciar sesión en , no significa que no necesite volver a iniciar sesión en otro sitio web usando el mismo openID. - tj9991
Puede significar eso, sin embargo. Si se recuerda su inicio de sesión en el sitio OpenID (por ejemplo, a través de cookies), solo tendrá que iniciar sesión una vez por sesión de navegador (o una vez por semana, una vez por mes ...) para todos los sitios OpenID que visite. .
El soporte del navegador y una API podrían incluso eliminar la solicitud de contraseña y redirigir la página. ¡Gran idea!
Además, SSO (como mencionas) generalmente implica que solo tengo que iniciar sesión una vez (presumiblemente en mi estación de trabajo) y de allí en adelante, no necesito iniciar sesión en ninguna parte.
OpenID, por supuesto, no resuelve ese problema. Por ejemplo, si uso OpenID para iniciar sesión en , no significa que no necesite volver a iniciar sesión en otro sitio web usando el mismo openID.
Al menos en el escenario de intranet, creo que Active Directory (o similar) sigue siendo una de las mejores opciones.
Bueno ... Me hubiera gustado un simple combo de inicio de sesión-pwd (que pasaría fácilmente con Passwordmaker.org). Sin embargo, al ser un desarrollador, puedo entender que no querían reinventar la rueda de inicio de sesión nuevamente ...
OpenID:
Entro en mi blog url => Ingresar Google => Estoy en.
Es un nivel extra ... pero está bien.
Creo que OpenID es demasiado confuso y torpe para forzar a cualquier usuario, y ni siquiera estoy convencido de que esté resolviendo un problema auténtico. Tener que registrarse en cada sitio que uso nunca me ha parecido un problema importante. Particularmente porque no resuelve especialmente ese problema; cuando conecté mi OpenID a tuve que completar detalles adicionales de todos modos . También podría haber tenido un proceso de registro regular para toda la diferencia que hace.
Debo decir que estoy absolutamente de acuerdo con las afirmaciones de que es demasiado difícil para el usuario de Internet "promedio". Creo que OpenID aún podría considerarse "nuevo", a pesar de que la propuesta original estaba en el 2005. Más sitios de alto tráfico lo están tomando como una opción para crear una cuenta, en lugar de requerir que los usuarios tengan un presente de OpenID.
En mi opinión, siempre que se ofrezca la creación de una cuenta de usuario / contraseña normal junto con OpenID, los usuarios promedio de Internet comenzarán naturalmente a probar y eventualmente a usar OpenID.
Los problemas de autenticación se aplican tanto a OpenID como al registro en cualquier sitio web. Usted deposita su confianza en el sitio web con su contraseña (suponiendo que no utilice un programa de almacenamiento de contraseñas), por lo que no debe utilizarse contra OpenID.
Aparte de eso, la estandarización de la creación de cuentas es absolutamente increíble para un desarrollador web. Me encantaría no tener que preocuparme por el proceso normal de creación, sino simplemente incluir una biblioteca OpenID y hacer referencia a la base de datos.
En realidad, en el caso de , una cuenta separada me habría ahorrado muchos problemas. Decidí usar mi WordPress.com OpenID, ya que es donde hospedo mi blog, pero resultó que WordPress.com tiene serios problemas con su servicio OpenID, y la mayoría de las veces no puedo iniciar sesión en . en absoluto. Por supuesto, puedo usar un proveedor de OpenID diferente para iniciar sesión, pero luego tendré una identidad diferente en el sitio.
Supongo que se podría decir que WordPress.com tiene la culpa de esto, pero el problema vuelve a ser el mismo. Al usar OpenID, depende del servicio de otro sitio para funcionar. Cualquier problema en el sitio de terceros en efecto también deshabilitará su sitio.
Como solución alternativa, traté de iniciar sesión con mi Yahoo OpenID, pero luego obtuve una cadena aleatoria como nombre de usuario, y como DrPizza ya señaló, tendría que editar mis datos personales de todos modos.
OpenID es una buena idea, pero todavía no es algo en lo que confiaría con el estado actual de las cosas.
Me tomó un tiempo entender OpenID (¡tantos proveedores!) Pero realmente me gusta el concepto. Átelo con Gravatar y reescribir su perfil es mucho más sencillo, tal vez uno o dos campos.
Los únicos problemas son que tienes que confiar en tu proveedor de OpenID, pero eso no es realmente lo que yo llamaría un problema, sino más bien sentido común.
Editar: las personas que tengan problemas con los proveedores de OpenID deberían considerar configurar uno nuevo. Mi proveedor es myopenid.com y no tuve problemas. Puede configurar varias personas (como perfiles), así que tengo uno para comentarios de blog, uno para sitios de tecnología como este.
En cuanto a tener un nuevo perfil SO, Jeff dijo algo sobre poder cambiar su OpenID sin perder las estadísticas de su perfil en el futuro.
Hay un pequeño problema con OpenID.
Iniciar sesión sin problemas con OpenID requiere una redirección automática (no verificada) entre dominios.
Eso hace que el servidor OpenID sea un tercero. Esto puede hacer que se rechacen las cookies para el servidor OpenID si apaga las cookies de terceros y su navegador sigue estrictamente la regla de Transacciones no verificables en 3.3.6 de RFC2965.
Un ejemplo de esto es Opera. Si desactivas las cookies de terceros (configurando globalmente "Aceptar solo las cookies del sitio que visito"), no puedes iniciar sesión con OpenID porque el script del servidor que envías automáticamente (sin que tu interacción lo apruebe) redirige usted al servidor OpenID y el servidor OpenID hace lo mismo para volver.
Pero, tienes suerte en Firefox, IE y Safari con su correspondiente bloqueo de cookies de terceros porque violan RFC2965 en múltiples situaciones.
Tener que usar OpenID en este caso hace un mal servicio a los clientes más compatibles.
Como solución, en Opera, además de aceptar todos los cookeis, puede ir a herramientas -> preferencias -> avanzadas -> red y desactivar la redirección automática. Luego, podrá verificar y hacer clic en cada enlace al que se le redirige y las cookies no se rechazarán porque las transacciones se verifican.
También debería funcionar si mantiene la redirección automática activada y ambos servidores generan una página con un enlace para que usted haga clic y pueda verificar la transacción. Pero no puede haber redireccionamientos automáticos en ninguna parte.
Iniciar sesión con solo un nombre de usuario y contraseña en el que solo está tratando con cookies de origen sería mucho mejor en este caso.
Sin embargo, OpenID sigue siendo genial y supongo que Opera solo necesita una opción para permitir transacciones no verificables entre SO y su servidor OpenID para que pueda usar "Aceptar solo las cookies del sitio que visito" aquí.
No es un problema de usabilidad en el desbordamiento de la pila, ya que todos los usuarios son programadores de todos modos, pero no puedo pensar en muchos otros sitios que podrían salirse con la suya.
Creo que, con el tiempo, el ID de OpenID mejorará y, una vez que todos los sitios que lo usan comiencen a implementar todas las características (como llenar automáticamente las cosas sobre mí), valdrá más la pena.
Las implementaciones de OpenID requieren mucho esfuerzo y se cree que tienen éxito, e incluso entonces, puede verse frustrado por los proveedores de identidad defectuosos (por ejemplo, Yahoo). OpenID puede funcionar muy bien si ha resuelto los problemas de la experiencia del usuario, pero una mala implementación es terriblemente difícil para la mayoría de los usuarios. En mi opinión, el mayor problema con OpenID es que la gente trató de resolver el problema con la conciencia del usuario. Hubieran sido mejores simplemente dando una lista de proveedores de OpenID y haciendo que los usuarios hicieran clic en el que deseaban usar. Esto a veces requiere conocimiento de cómo un proveedor ha implementado OpenID si no es compatible con la versión 2.0 de la especificación, pero ofrece una experiencia global mucho mejor para el usuario final.
Soy bastante ambivalente en OpenID. Por un lado, aborda el "problema de descubrimiento de proveedor de identidad" (cómo el sitio de la parte confiante descubre dónde enviar al usuario para autenticarse). Por otro lado, las URL son tremendamente anticuadas para el usuario promedio.
Veo OpenID, ya que actualmente es una parada útil en el camino hacia una solución para la identidad web, pero ciertamente no es el destino final.
Específicamente abordando su pregunta de intranet, OpenID probablemente no sea la respuesta correcta. Como mencioné anteriormente, OpenID le compra la capacidad de localizar el proveedor de identidades, a costa de escribir esa URL en cada parte confiable. Si vas a autenticar a todos tus usuarios en algún proveedor de identidad interno, y solo aceptas usuarios de ese proveedor de identidad, OpenID realmente no te gana mucho.
Me gustaría ver un sistema como CAS o OpenSSO , cualquiera de los cuales redireccionará a los usuarios a la página de inicio de sesión sin necesidad de ingresar una URL. Hace poco publiqué sobre una compañía que lanzó OpenSSO a 40 aplicaciones de intranet para 3000 usuarios en solo 4 meses, con aplicaciones en IIS 6.0, Apache, JBoss y Tomcat.
La mejor respuesta es ¿alguien puede explicar brevemente el inicio de sesión único? Quiero usar OpenID ya que SSO explica bien cómo OpenID y SSO son diferentes:
El inicio de sesión único consiste en iniciar sesión en un solo lugar y tener que autenticarte en otras ubicaciones automáticamente. OpenID se trata de delegar la autenticación a un proveedor de OpenID para que pueda iniciar sesión efectivamente en varios sitios con un conjunto de credenciales.
La misma publicación también da una excelente respuesta a la pregunta original:
Puede usar OpenID como su esquema de autenticación para SSO, pero eso es incidental.