真或假：跨域SSO總是需要第三方身份提供

Question

我現在有幾個網站，其住在單獨的域：

www.app1.com

www.app2.com

www.app3.com

每個人都有自己的認證機制 - 一些通過Web服務查詢活動目錄，其他人有自己的用戶數據庫。

目標是通過一些不需要用戶在跨域訪問頁面時重新輸入密碼的技術或產品實現單點登錄。

問：回顧SAML，看來跨域SSO解決方案將始終需要第三方身份提供者對用戶進行認證，如：

www.my-master-login.com

這是真的嗎？

如果是這樣，是否按照每個現有的網站將需要更新，以便其認證由第三方網站處理？

Answer 1

我認爲這取決於你的意思是由第三方。我會看看維基媒體如何做到這一點。他們目前不使用OpenID或類似的東西。相反，他們的CentralAuth服務（另請參閱Help:Unified login只是在您登錄到任何指定網站時爲所有主要網站（wikipedia.org，wiktionary.org，wikinews.org）提供Cookie），因此沒有主站點，因此無關緊要登錄其網站上第一，該糕餅嵌入在登錄頁上的圖像。

但是，是的，每個網站都需要以某種方式更新。