ocl包括了哪幾個規範?安全斷言标記語言（SAML）和 OpenID Connect（OIDC）是兩種較為常見的身份驗證協議和身份标準，有各自的優缺點和差異性本文将對比 SAML 和 OIDC 兩種協議探究各自的企業用例，以及每種協議對身份和訪問管理（IAM）的貢獻兩種協議都支持單點登錄（SSO），但在部署之前需要明确兩者在技術和概念上的差異：SAML 的重點在于安全授予跨域網站訪問權限，而 OIDC 為移動應用和 Web 應用提供了額外的情境，下面我們就來說一說關于ocl包括了哪幾個規範?我們一起去了解并探讨一下這個問題吧!

ocl包括了哪幾個規範

安全斷言标記語言（SAML）和 OpenID Connect（OIDC）是兩種較為常見的身份驗證協議和身份标準，有各自的優缺點和差異性。本文将對比 SAML 和 OIDC 兩種協議探究各自的企業用例，以及每種協議對身份和訪問管理（IAM）的貢獻。兩種協議都支持單點登錄（SSO），但在部署之前需要明确兩者在技術和概念上的差異：SAML 的重點在于安全授予跨域網站訪問權限，而 OIDC 為移動應用和 Web 應用提供了額外的情境。

在比較 SAML 2.0 和 OIDC協議之前，首先要比較 SAML 和 OAuth 協議，OAuth 是 OIDC 的基礎，OIDC 通過身份層在此基礎上進行了擴展，實現去中心化的身份驗證服務。OpenID 開源社區于2005年啟動了 OpenID 的開發項目。據基金會稱，現在已有來自超過50,000多個網站的10億多個用戶賬号啟用 OpenID，管理支持 OIDC 身份驗證、OIDC 社區以及合規操作的基礎架構。

而SAML 2.0 是一個開放标準，自2003年以來一直為商用、私用身份提供程序（IdP）和服務提供程序（SP）提供身份驗證和授權功能。SAML 最初使用基于可擴展标記語言（XML）的框架來實現單點登錄，允許 IdP 和 SP 彼此獨立，支持集中式用戶管理。下節将介紹 SAML 的工作原理，探究協議中的每個組件。

上文提到，SAML 是一種用于身份驗證和授權的開放标準，通過身份聯合提供對 Web 應用的單點登錄訪問。SAML 從 IdP 中繼用戶憑證來驗證訪問權限和 SP，其中服務提供提供程序（SP）需要在授予用戶訪問權限之前進行身份驗證。每個用戶或組都有各自的屬性概括了配置文件信息，并聲明具體的訪問權限。

SAML 使用 XML 元數據文檔， 也就是 SAML 令牌進行斷言，驗證用戶身份和訪問權限。

SAML 插件通常會用在應用或資源中實現單點登錄，确保符合安全要求，協議中的憑證和斷言明确了訪問準入的身份。此外，SAML 還能用于控制身份在應用中的訪問權限。 SAML 的核心組件包括IdP、SP、客戶端和屬性，這些組件可以交換用戶信息從而控制準入。

1）身份提供程序（IdP）

IdP 是維護管理數字身份的服務，在整個應用、網絡和 Web 服務範圍内驗證用戶憑證，主要作用是保護用戶憑證的完整性，并在需要單點登錄的地方提供用戶身份聯合。

2）客戶端

客戶端是指使用由 IdP 管理的憑證對服務進行身份驗證的用戶。舉例來說，企業可以通過 SAML 協議批準員工使用企業郵箱和密碼完成單點登錄來訪問所需服務。

3）屬性

SAML 還負責将稱為斷言的消息從 IdP 傳輸到 SP。這些斷言通過驗證、授權和确定客戶端的權限級别來設置訪問事件的所有相關安全要求。這一過程中會使用“部門”、“郵件”和“角色”等屬性實施訪問管理和準入控制。有時還會使用自定義屬性擴展 SAML 協議以支持自定義軟件。

4）服務提供程序（SP）

SP 是用戶使用 SAML 進行單點登錄後通過身份驗證所要使用的資源，通常是私有網站或應用。SP 在授予用戶訪問權限之前會先接收或拒絕 IdP 針對客戶端配置文件發送的斷言。SP 會向 IdP 發送身份驗證請求，然後客戶端會向 IdP 發送斷言作為響應。這一過程有時會颠倒順序，IdP 可以以任何一種順序開始登錄流程。

OIDC 在 OAuth 協議上進行了擴展，主要組件包括 OAuth 協議的基礎框架加上具有唯一性的用戶工作流。OIDC 讓客戶端服務也就是應用通過 OpenID 驗證服務器核驗用戶身份并通過 RESTful API 交換配置文件信息，這些 API 會分派 JSON Web 令牌（JWT）用于身份驗證過程中的信息共享。這種方法具有高度的可擴展性和跨平台的靈活性，而且實施相對簡單，吸引了很多開發人員。

用戶是資源所有者，通過授權服務器的身份驗證後獲取客戶端應用的訪問權限，授權服務器會授予用戶訪問令牌，允許應用從用戶信息（UserInfo）端點接收同意信息，用戶信息端點受到 OpenID 服務器的保護，服務器中的 JSON 對象包含了有關每個用戶的斷言。随後服務器将身份驗證信息編碼在應用接收的 ID 令牌中，信息緩存後就能實現可擴展性以及個性化的終端用戶體驗。

OIDC 建立在 OAuth 2.0 框架的基礎上，OAuth 2.0 标準可授予第三方應用和服務訪問用戶 ID 資源的權限。用戶憑證并不是通過網絡發送，也不會存儲在第三方服務器上，因此提高了資源安全性，也方便了管理員操作。

相似性

• SAML 和 OIDC 都是實現單點登錄的身份協議。
• SAML 和 OIDC 都是安全成熟、有據可查的技術。
• 用戶都通過 IdP 進行一次身份驗證後就可以訪問“信任”IdP 的其他應用。部分零信任服務都會在信任鍊的每個節點進行身份驗證，并使用另一種驗證方法定期驗證訪問。
• 登錄工作流對于終端用戶似乎都一樣，但後台的技術實現卻有着千差萬别。

差異性

• 很多開發人員認為 OIDC 的實現更簡單，不需要 XML 處理。
• OIDC 缺乏權限等用戶授權數據，重點關注身份斷言。SAML 是身份數據的交換，功能更加豐富
• OIDC 支持去中心化的身份驗證。
• SAML 使用斷言，OIDC 和 OAuth 使用 ID 令牌。
• OIDC 專為 API 工作負載而設計，可用于保護 API。

開發人員和企業應選擇最适合自身特定用例的解決方案，部分情況也可以采用組合方案。OIDC要用于需要請求訪問令牌的反向通道網站和移動應用。

SAML 幾乎都用于前向通道網站訪問，這類訪問中用戶會觸發應用的身份驗證，并且假定客戶端應用（Web 服務）在與用戶設備以外的其他設備上運行。以下是針對兩種協議用例的一些通用提示：

• 移動應用通常使用 OIDC 類型的輕量化服務，開發人員使用的工具很大一部分都是預構建工具，也可以從插件庫中獲得。
• 内置 SAML 的應用使用很簡單，隻涉及 SAML。
• 使用 SAML 從門戶訪問企業應用。
• 使用 OAuth 2.0 或 OIDC 服務保護 API 或公開 API。
• 企業有時更喜歡用 SAML，因為可以自定義，而且優先交換安全數據。有監管要求的行業幾乎都會用 SAML 保護用戶敏感信息。

OIDC 和 SAML 協議之間不會相互排斥，企業可以考慮将 SAML 用于單點登錄，保護資源訪問，對于具有高可擴展性要求的移動化用例則可以使用 OIDC。總的來說，兩者各有其優點，都支持單點登錄服務。