跨多個系統（包括第三方系統）的單點登錄

Question

通過多種數字平臺（如Web和移動設備），用戶配置文件還存儲在多個系統中，包括提供輔助服務的其他方所擁有的系統。例如，網絡渠道提供購買產品和服務的能力，但是運輸是輔助服務。

在這個例子中，用戶會購買產品並登錄我們的網站。這些細節保存在我們的數據庫中。

在交易結束時，用戶被提供使用第三方提供的輔助服務的能力。他們登錄/註冊與第三方，第三方存儲他們的所有細節。

現在需要提供「單點登錄」功能，即能夠使用在我們網站上創建的憑證或使用輔助服務創建的憑證，反之亦然，並且能夠從服務中提取身份如谷歌，Facebook等

似乎沒有一種簡單的方法來實現這一點，而不必以安全的方式傳遞證書，並且能夠與Google，Facebook等人交換這些證書不太可能，即用戶使用我們網站上創建的憑據登錄Google。

有沒有一種明智的方法來解決這個問題？優缺點都有什麼？

編輯

的post by APICrazy似乎是可口的，雖然這需要第三方提供商與身份驗證代理集成，提供給我們的身份提供者之一。

有沒有辦法克服這個問題，即沒有第三方做出任何改變，但仍然接受我們的身份存儲的憑據？

Answer 1

您提出的問題非常廣泛。如果我要總結一下，您的組織正在啓動一個身份和訪問管理（IAM）項目，該項目將重點關注聯合/ SSO和用戶配置。您的客戶可以使用存儲在用戶憑證存儲區（AD/LDAP/etc）中的憑證或通過雲身份連接器（Facebook/LinkedIn /等）直接執行SSO到身份提供商（IdP）服務器。一旦對您的門戶進行身份驗證，就可以通過身份標準（如SAML，OAuth，OpenID Connect）跨域與第三方網站進行聯合身份驗證。 SCIM標準也很有幫助，因爲您可能會遇到第三方網站需要用戶配置的情況。

在此空間中有許多供應商解決方案可以解決您的上述使用案例。我會看看支持廣泛的用例和聯合標準的供應商。我的建議是諮詢IAM系統專家here is a good article that describes IAM Architecture Approach。另一個建議是看Gartner評價最高的一些供應商，主要是Okta，OneLogin，Ping Identity，Microsoft和Centrify。您需要確定該功能是否爲雲託管或內部部署。根據您對需求的廣泛描述，內部部署（可以在AWS實例上進行管理）可能是最好的，因爲高端用例的雲功能往往受到限制。