RiderZbytečně nafukuješ problém:
Nemohu si ale být jist, jaké claimy mi budou schopni dát a jak budou zajištěné.
Tohle ale v zásadě nepotřebuješ. Hlavní smysl běžné autentifikace je ověření, že ten Lojza co přišel dneska je ten samý Lojza, který tu byl minulý týden. Ty ve skutečnosti nepotřebuješ vedět kdo to je. Jen potřebuješ autentifikovat konkrétního uživatele. Lojza svěřil své přihlašování nějakému IdP, kterému věří a přenáší tedy zodpovědnost za svou bezpečnost na někoho třetího, který jej umí zabezpečit lépe, než nějaký, skoro nedůvěryhodný SP uživatelským jménem a heslem.
Ta je ovšem bohatě vyvážená komplikovanějším procesem přihlášení a registrace a nutností aby se uživatel *někde* nějak registroval a ideově souhlasil s tím, že tenhle účet třetí strany použije
Z mého pohledu je komplikovanější registrovat se v každém e-shopu, který navštívím jednou, maximálně dvakrát. Nehledě na to, že poskytuju osobní údaje, aniž bych měl jistotu, že ty osobní údaje nezneužije někdo třetí. Teď mi nejde o vlastní SP, ale vlivem okolností (jedná se o e-shop) použiji slabé heslo, které někdo uhodně a získá tak přístup k informacím, které by neměl vědět.
Druhá možnost je, že potřebuji mít uživatele nějak "předověřené", potřebuju, aby mi IdP dal nějaké konkrétní claimy a nějak se za ně zaručil
Nepotřebuješ. Smyslem autentifikace je ověřit uživatele podle jeho ID. Nepotřebuješ znát jeho adresu a bydliště. Nezajímá tě, zda ty informace jsou důkladně ověřené. Ty víš, že lojza přišel z počitače jidra.oprsalek.cz, ze tam má nějakého IdP a jaké má to IdP zabezpečení tě nezajímá. Pokud si Jindra a Lojza lezou do zelí tě jako SP nezajímá. Ty poskytuješ služby uživatelům na IdP jidra.oprsalek.cz.
Modelový příklad: provozuju e-shop a hodilo by se mi vědět, že uživatelem zadané jméno a adresa je skutečné, takže budu mít větší jistotu, že to není vtipálek
Proč chceš od systému něco, co ti na současném systému nic nezaručí? Jak zabráníš vtipálkovi vyplnit registrační formulář v e-shopu neplatnými údaji? Srovnávej srovnatelné. Přihlašování přes prostředníka řeší jiný problém, než ověření reálných osobních údajů uživatele. Ani to kolikrát není žádoucí!
Proto je ostatně SAML tak složitý - předpokládá se, že požadovaného efektu dosáhnu nikoliv programováním, ale parametrizací, nějakým hotovým řešením
Samozřejmě, autokololetadloponorka bude vždycky velice drahá a náročná na provoz a na řízení.
bude Aukro skutečně chtít být IdP?
Ale IdP a SP si nemusí lést konkurenčně do zelí. Třeba Aukro má plné právo nebýt IdP. Ale také to může být zajímavý způsob, jak při přihlašování k jinému aukčnímu serveru umístit do dialogu přihlašování display reklamu na aukce Aukra. Mimochodem, do minulého pátku jsem netušil, jak tahle display reklama řepí třeba na Seznamu.
Samozřejmě, že jak IdP tak SP mohou své protějšký omezit, IdP pomocí returnUrl a SP pomocí domény. |
Registrace nového uživatele 
