OpenID как вариант единого входа?
Я просто ищу разные мнения. Считаете ли вы OpenID хорошим решением для «единого входа»?
То, как это работает, может немного сбить с толку обычного пользователя, и могут возникнуть проблемы, связанные с «помещением всех яиц в одну корзину».
В любом случае, пробовал ли кто-нибудь реализовать свое собственное решение OpenId в контексте интрасети, где есть много разных приложений (Wordpress, Elgg, Media Wiki, ..) ??
Я считаю, что это могло бы быть отличным решением проблемы «цифровой идентичности», но я не знаю, будет ли оно работать с проблемой «один раз войти в систему и просматривать интрасеть».
Мнения?
Ответы 14
Я думаю, что OpenID слишком запутан и неуклюж, чтобы навязывать его любому пользователю, и я даже не уверен, что он решает настоящую проблему. Необходимость регистрации на каждом сайте, который я использую, никогда не казалась мне серьезной проблемой. Тем более, что это не особо решает эту проблему; когда я связал свой OpenID со StackOverflow, мне пришлось заполнить дополнительные данные так или иначе. С тем же успехом у него мог быть обычный процесс регистрации, несмотря на всю разницу, которую он имеет.
Что ж ... Мне бы понравилась простая комбинация логин-pwd (которую я бы проделал с Passwordmaker.org). Однако, как разработчик, я понимаю, что они не хотели снова изобретать колесо входа в систему ...
OpenID:
Я ввожу URL своего блога => Вход в Google => Я в системе.
Это дополнительный уровень .. но это нормально.
Собственно, в случае StackOverflow отдельная учетная запись избавила бы меня от многих проблем. Я решил использовать свой OpenID WordPress.com, так как именно там я размещаю свой блог, но оказалось, что у WordPress.com серьезные проблемы с их службой OpenID, и большую часть времени я не могу войти в StackOverflow. вообще. Конечно, я могу использовать другого провайдера OpenID для входа в систему, но тогда у меня будет другой идентификатор на сайте.
Думаю, вы могли бы сказать, что в этом виноват WordPress.com, но проблема остается прежней. Используя OpenID, вы зависите от работы службы другого сайта. Любые проблемы на стороннем сайте фактически приведут к отключению вашего сайта.
В качестве альтернативного решения я попытался войти в систему с помощью своего Yahoo OpenID, но затем я получил случайную строку в качестве имени пользователя, и, как уже указывал DrPizza, мне все равно придется отредактировать свои личные данные.
OpenID - хорошая идея, но я бы не стал полагаться на нее при текущем положении дел.
Мне потребовалось время, чтобы понять OpenID (так много провайдеров!), Но мне очень нравится эта концепция. Свяжите это с Gravatar, и переписать свой профиль будет гораздо проще - возможно, одно или два поля.
Единственная проблема заключается в том, что вы должны доверять своему провайдеру OpenID - но это не совсем то, что я назвал бы проблемой, больше похоже на здравый смысл.
Редактировать: Людям, у которых возникают проблемы с поставщиками OpenID, следует подумать о создании нового. Мой провайдер - myopenid.com, и у меня не было проблем. Вы можете настроить несколько персонажей (например, профилей), поэтому у меня есть один для комментариев в блоге, другой для подобных сайтов.
Что касается нового профиля SO, Джефф кое-что сказал о возможности изменить свой OpenID без потери статистики профиля в будущем.
По крайней мере, в сценарии интрасети, я думаю, что Active Directory (или аналогичный) по-прежнему является одним из лучших вариантов.
Кроме того, SSO (как вы упомянули) обычно подразумевает, что мне нужно войти в систему только один раз (предположительно, на мою рабочую станцию), а затем оттуда мне не нужно никуда входить.
OpenID, конечно, не решает эту проблему. Например, если я использую OpenID для входа в StackOverflow, это не означает, что мне не нужно снова входить на другой веб-сайт, используя тот же openID.
Возможно, вам придется предоставить свой OpenID второму веб-сайту, но не может ли провайдер OpenId аутентифицировать вас, не запрашивая пароль во второй раз?
Если в вашем браузере включены файлы cookie и вы «разрешили» провайдеру OpenID автоматически аутентифицировать вас. Тогда будет казаться, что вы «автоматически» войдете в систему ... потому что файл cookie будет получен провайдером, и вы будете перенаправлены обратно.
Должен сказать, что абсолютно согласен с утверждениями о том, что это слишком сложно для "среднего" интернет-пользователя. Я думаю, что OpenID все еще можно считать «новым», даже несмотря на то, что первоначальное предложение было сделано еще в 2005 году. Все больше сайтов с высокой посещаемостью рассматривают его как просто вариант для создания учетной записи, а не требуют, чтобы у пользователей присутствовал OpenID.
На мой взгляд, до тех пор, пока наряду с OpenID предлагается создание учетной записи с обычным именем пользователя и паролем, среднестатистические пользователи Интернета, естественно, начнут пытаться и в конечном итоге будут придерживаться OpenID.
Проблемы аутентификации касаются OpenID в той же степени, что и регистрация на любом веб-сайте. Вы доверяете веб-сайту свой пароль (при условии, что вы не используете программу хранения паролей), поэтому его нельзя использовать против OpenID.
Помимо всего прочего, стандартизация создания учетных записей - это просто сливки для веб-разработчика. Я бы просто хотел, чтобы мне даже не приходилось беспокоиться о нормальном процессе создания, а просто зайти в библиотеку OpenID и сослаться на нее в базе данных.
At least in the intranet scenario, I think Active Directory (or similar) is still one of the best options.
Да, в любом случае Active Directory находится за кулисами поставщика сервера OpenId.
Для разработки решения единого входа в интрасети есть коммерческие варианты, такие как Access Manager (бывший IChain) + Active Directory, но я не знаю, есть ли открытое решение, кроме «Собственного сервера OpenId» + «Что-то классное еще предстоит разработать» + LDAP.
OpenID of course doesn't solve that problem. For example, if I use OpenID to sign in to StackOverflow, it doesn't mean I don't need to sign in to another website again using the same openID. -- tj9991
Хотя это может означать и это. Если ваш вход на сайт OpenID запоминается (например, с помощью файлов cookie), вам нужно будет выполнять вход только один раз за сеанс браузера (или один раз в неделю, один раз в месяц ...) для всех сайтов OpenID, которые вы посещаете. .
Поддержка браузера и API могут даже избавиться от запроса пароля и перенаправления страницы. Отличная идея!
Это не такая уж проблема юзабилити при переполнении стека, поскольку все пользователи в любом случае являются программистами, но я не могу вспомнить многие другие сайты, которым это сойдет с рук.
Я думаю, что со временем openID будет улучшаться, и как только все сайты, использующие его, начнут реализовывать все функции (например, автоматическое заполнение информации обо мне), это будет более целесообразным.
Есть одна крошечная проблема с OpenID.
Для беспрепятственного входа в систему с помощью OpenID требуется автоматическое (непроверенное) перенаправление между доменами.
Это делает сервер OpenID сторонним. Это может привести к отклонению файлов cookie для сервера OpenID, если вы отключите сторонние файлы cookie и ваш браузер строго следует правилу непроверяемых транзакций в 3.3.6 RFC2965.
Примером этого является Opera. Если вы отключите сторонние файлы cookie (установив глобальное значение «Принимать только файлы cookie с сайта, который я посещаю»), вы не сможете войти в систему с помощью OpenID, потому что сценарий сервера, который вы отправляете автоматически (без вашего взаимодействия для его утверждения), перенаправляет вас на сервер OpenID, и сервер OpenID сделает то же самое, чтобы вернуть вас.
Но вам повезло в Firefox, IE и Safari с их соответствующей блокировкой сторонних файлов cookie, потому что они нарушают RFC2965 во многих ситуациях.
Необходимость использовать OpenID в этом случае оказывает медвежью услугу более послушным клиентам.
В качестве обходного пути в Opera, помимо принятия всех куков, вы можете перейти к инструментам -> настройки -> расширенный -> Сеть и отключить автоматическое перенаправление. Затем вы сможете проверить и щелкнуть каждую ссылку, на которую вы перенаправлены, и файлы cookie не будут отклонены, потому что транзакции проверены.
Он также должен работать, если вы сохраняете автоматическое перенаправление и оба сервера генерируют страницу со ссылкой, по которой вы можете щелкнуть, чтобы вы могли проверить транзакцию. Но нигде не может быть никаких автоматических перенаправлений.
В этом случае было бы намного лучше войти в систему с использованием только имени пользователя и пароля, если вы имеете дело только с основными файлами cookie.
OpenID по-прежнему хорош, и я думаю, Opera просто нужна возможность разрешить непроверяемые транзакции между SO и вашим сервером OpenID, чтобы вы могли использовать здесь «Принимать только файлы cookie с сайта, который я посещаю».
Моим основным браузером является Opera на OSX, поскольку я считаю, что я представляю меньшую цель для хакеров ... и был "вынужден" (читай "неудобно") использовать Firefox и вырезать и вставить (ссылки RSS будут идти в Opera) .. Я попробую предложенный маршрут ..
Я только что вошел в систему с отключенным "Автоматическим перенаправлением". Мне пришлось щелкнуть 3-4 ссылки, идущие с SO на страницу входа myopenid и обратно. Мне кажется, что "перенаправление" используется как вызов процедуры / метода ... очень неудобно. Прямой вход в SO было бы намного проще!
Я понимаю, что это примерно три тысячи лет спустя, но неважно. Перенаправление - это набор перенаправлений вызова метода процедуры. Он должен пройти через вас как конечную точку, потому что это раздражает и неудобно. Просто для удобства будущих читателей.
Я довольно неоднозначно отношусь к OpenID. С одной стороны, он решает «проблему обнаружения провайдера идентификации» (как сайт проверяющей стороны определяет, куда отправить пользователя для аутентификации). С другой стороны, URL-адреса чрезвычайно неудобны для обычного пользователя.
Я рассматриваю OpenID в его нынешнем виде как полезную остановку на пути к решению для веб-идентификации, но, конечно, не как конечный пункт назначения.
Если говорить конкретно о вашем вопросе в интрасети, OpenID, вероятно, не является правильным ответом. Как я упоминал выше, OpenID дает вам возможность найти поставщика удостоверений за счет ввода этого URL-адреса на проверяющей стороне каждый. Если вы собираетесь аутентифицировать всех своих пользователей у какого-то внутреннего поставщика удостоверений и принимать пользователей только от этого поставщика удостоверений, OpenID действительно не принесет вам многого.
Я бы посмотрел на такую систему, как CAS или OpenSSO, каждая из которых будет перенаправлять пользователей на страницу входа без необходимости вводить URL-адрес. Я недавно писал в блоге о компании, которая развернула OpenSSO для 40 приложений интрасети для 3000 пользователей всего за 4 месяца с приложениями на IIS 6.0, Apache, JBoss и Tomcat.
Кто сказал, что для OpenID, который используется только на одном сайте, пользователи должны вводить URL-адрес? Вместо этого попросите их нажать ссылку для входа и автоматически перенаправить их на страницу входа OpenID. Так же просто, и пользователю не нужно вводить URL.
Реализация OpenID требует больших усилий и считается успешной, и даже в этом случае вам могут помешать плохие провайдеры идентификации (например, Yahoo). OpenID может работать очень хорошо, если вы решили проблемы взаимодействия с пользователем, но плохая реализация ужасно трудна для большинства пользователей. На мой взгляд, самая большая проблема с OpenID заключается в том, что люди пытались решить проблему с осведомленностью пользователей. Лучше было бы просто предоставить список поставщиков OpenID и попросить пользователей щелкнуть того, который они хотят использовать. Иногда это требует знания того, как поставщик реализовал OpenID, если он не поддерживает версию 2.0 спецификации, но дает гораздо лучший общий опыт для конечного пользователя.
Лучший ответ на может кто-нибудь вкратце объяснить единый вход? я хочу использовать openid как SSO хорошо объясняет, чем отличаются OpenID и SSO:
Single-sign-on is about logging on in one place and having that authenticate you at other locations automatically. OpenID is about delegating authentication to an OpenID provider so you can effectively log on to multiple sites with the one set of credentials.
Тот же пост также дает отличный ответ на исходный вопрос:
You could use OpenID as your authentication scheme for SSO but that's incidental.
StackOverflow теперь позволяет использовать несколько провайдеров входа OpenID для одной и той же учетной записи. Что касается всей регистрации информации об учетной записи, она была решена с помощью расширения OpenID Simple Registration Extension, которое может позволить пользователю поделиться своим псевдонимом, настоящим именем, dob, полом, электронной почтой и некоторыми другими ключевыми частями информации. Больше не нужно заполнять профили на каждой странице, на которой вы входите с помощью OpenID.