OpenID Connect適合物聯網嗎？

Question

我學習認證和授權協議我的碩士論文，我發現，可能是最好的2替代品ID連接和SAML 2.0（實際上，在歐洲，基於SAML的項目中，我公司參與4年之前稱爲SENSEI）。

本論文的目的是擴展現有的物聯網系統，它基本上是一個從數百萬傳感器獲取信息的流的目錄，並提供AAA（包括會計），將其轉化爲一個實際的市場人們可能會付費訂閱某些流。

到目前爲止，我認爲OpenID Connect將是Sensei和SAML的更好選擇。原因是大量的信息，文檔，圖書館和支持該標準的公司。也更適合開發者和近期。但是，我通過閱讀寫了下面一段OWASPin this article

雖然已經的OpenID採取最的消費市場，SAML往往是 選擇企業級應用。原因通常是 有幾個OpenId身份提供商被認爲是 企業級（這意味着它們驗證用戶身份的方式不具有企業身份所需的高標準）。更常見的是 查看內部網站內部使用的SAML， 有時甚至使用來自內部網的服務器作爲標識 的提供者。

所以我在想，如果你請，可以幫助我以下的問題：

1. 你也覺得SAML也許是更適合企業的項目，如我的嗎？ OpenID是更加面向用戶的嗎？
2. 我必須考慮關於傳感器的信任模型以確保它們是可靠的信息來源。因此，您認爲使用相同的協議是一個好主意：1）希望登錄系統的用戶和2）應該證明他們是具有非僞造數據的可信源的設備？
3. 與前面的問題相關，如果我可以使用OpenID Connect for devices，我怎麼能讓它們在沒有電子郵件或密碼的情況下進行身份驗證？我在考慮將UUID作爲標識符，但我被告知這不是一個好主意，並且在this StackOverflow thread上也讀了相同的內容。
4. 有誰知道是否存在任何知名的協議來處理或支持系統中的會計？據我所知，OpenID Connect支持會話管理，但不支持100％的會計。

在此先感謝。

Answer 1

我不確定我可以在這裏回答你所有的問題......但是根據我的經驗和知識，我會給它最好的照片。而且，我會說你對這個問題有些含糊不清（也許你需要，以免暴露你數十億美元的想法）。因此，我的答案（確實）更可能被認爲是一個討論點，可能比「答案」更爲可取。

OIDC（OpenID Connect）與IoT（物聯網）一樣是新的。企業很少有流血的邊緣，除非他們被一個更大的企業合作伙伴拖拽並尖叫。這就是說，OIDC建立在OAuth2.0的基礎之上，因此它在那裏有了解，而企業真的處於採用階段（IMO），並且許多購買的平臺（如我的公司）在[目前的草案1]。

我認爲很重要的一點是，SAML或OIDC都不是「身份驗證」。這是一種基於標準的方法，通過該方法，您可以將認證點中的屬性攜帶到需要知道誰或連接到它的應用程序點。你的用戶可以單向連接，你的「傳感器」可以連接另一個。或者也許兩個。或者也許正好相反。如果你正在構建下一個萬億美元的社交媒體網站，你想限制你的用戶可以加入的方式嗎？

關於你關於OIDC和傳感器的問題......我會建議一個基於證書的認證系統，如果這些東西真的只是坐在那裏自己。但是，OIDC（和SAML）再次不是一個真正的認證系統。它不會做認證的「第一線」 - 它提供了一種方法，通過該方法可以根據與可信賴的合作伙伴進行的驗證聲明將身份信息傳送給依賴方。 UUID可能是設備「用戶名」的好選擇，但它肯定不應該是「密碼」。

最後，我不太清楚你要求會計。您是否想要通過微交易（如果有的話）向用戶訪問您的物聯網設備流（有趣的概念）。再一次，SAML和OIDC都沒有提供這樣的事情，至少據我所知。會計（和賬單）必須內置到應用程序中。

HTH - Andy