我们的场景推荐什么: OpenID +self provider或SAML？

Question

我们的情况如下：

• 我们拥有一个主门户，它是在ASP.Net 4.0
• 中开发的，在我们的组织中还有其他一些门户，它们希望使用我们的门户进行身份验证& SSO。这些门户可以出现在任何平台上: PHP、经典ASP、JSP等
• ，还有更多的外部门户，我们也希望对这些门户进行SSO。这些外部门户是众所周知的，并且是在一个封闭的环境中:这意味着他们不喜欢使用随机的公共OpenID OpenID登录尝试。

我已经阅读了多篇文章，包括关于StackOverflow的文章，以及关于What is the difference between OpenID and SAML?的文章，但是我无法得出结论，对于上述场景，以下哪一种是最好的选择：

• OpenID +自提供程序，使用DotNetOpenAuth ( http://www.dotnetopenauth.net/)之类的库。客户将只信任一个http://www.componentspace.com/saml)
• Any提供者: us.
• SAML，它起诉一个类似ComponentSpace (其他更好的OpenID )的库。

所有提示将受到高度赞赏:)

Answer 1

让我强调一下OpenID和SAML之间的一个重要区别。在OpenID中，服务提供者不耦合到标识提供程序。服务提供者在对用户提供的OpenID标识符进行发现之前不知道身份提供程序。但是在SAML中，服务提供者耦合到身份提供者/s，它们之间有一个预定义的信任。

因此，当查看您的情况时，最好的解决方案是使用SAML。SAML将允许组织中的用户通过组织登录到门户。外部门户可以信任您的组织身份提供者，并允许您的组织的用户登录到这些外部门户。或者，如果这些外部门户已经拥有自己的身份提供程序，则可以使用SAML (例如被动STS)在外部标识提供程序和组织的标识提供程序之间建立信任，并让组织的用户登录到这些外部门户。