OpenID als Single Sign On Option?

Question

Ich bin nur auf der Suche nach anderen Meinungen. Halten Sie OpenID für eine gute Single-Sign-On-Lösung?

Die Art und Weise funktioniert es scheint ein wenig verwirrend für einen durchschnittlichen Benutzer zu sein und könnte es Probleme zu „setzen alle Eier in den gleichen Korb“ bezogen sein.

Wie auch immer, jemand hat versucht, seine eigene OpenId-Lösung im Kontext eines Intranets zu implementieren, wo es viele verschiedene Anwendungen gibt (Wordpress, Elgg, Media Wiki, ..) ??

Ich halte es könnte eine große Lösung sein, das „digitale Identität“ Problem zu lösen, aber ich weiß nicht, ob es mit der Arbeit wird „einmal einloggen und surfen Sie im Intranet“ Problem.

Meinungen?

Answer 1

Ich denke, OpenID viel zu verwirrend und klobig ist auf jedem Benutzer zu zwingen, und ich bin nicht einmal überzeugt, dass es ein authentisches Problem ist zu lösen. Die Registrierung auf jeder Seite, die ich nutze, hat mich nie als ein großes Problem angesehen. Zumal es dieses Problem nicht besonders löst; Als ich meine OpenID mit StackOverflow verband, musste ich zusätzliche Details auf jeden Fall ausfüllen. Es hätte genauso gut einen regulären Registrierungsprozess für alle Unterschiede, die es macht, gehabt.

Answer 2

Nun .. ich habe eine einfache Login-pwd Combo mag (die ich durch mit Passwordmaker.org Brise würde). jedoch ein Entwickler zu sein, kann ich verstehen, dass sie knapp über das Login-Rad wieder neu zu erfinden wollen ...

OpenID:.

ich meine Blog-URL eingeben => Google Zeichen in => Ich bin in

Es ist ein extra Level .. aber es ist OK.

Answer 3

Eigentlich hätte mir im Fall von StackOverflow ein separater Account viel Ärger erspart. Ich habe mich entschieden, meine OpenID OpenPress zu verwenden, da ich hier meinen Blog hosting, aber es stellte sich heraus, dass WordPress.com ernsthafte Probleme mit ihrem OpenID-Service hat und ich mich meistens nicht bei StackOverflow anmelden kann überhaupt. Natürlich kann ich einen anderen OpenID-Provider verwenden, um mich anzumelden, aber dann habe ich eine andere Identität auf der Site.

Ich denke, man könnte sagen, WordPress.com daran schuld ist, aber das Problem reimains gleich. Durch die Verwendung von OpenID sind Sie abhängig vom Dienst einer anderen Site. Probleme auf der Website des Drittanbieters werden in der Tat auch Ihre Website deaktivieren.

Als alternative Lösung habe ich versucht, mich mit meiner Yahoo OpenID anzumelden, aber dann bekam ich eine zufällige Zeichenfolge als Benutzername, und wie DrPizza schon darauf hingewiesen hatte, würde ich sowieso meine persönlichen Daten bearbeiten müssen.

OpenID ist eine nette Idee, aber es ist immer noch nicht etwas, auf das ich mich mit dem aktuellen Stand der Dinge verlassen würde.

Answer 4

Ich brauchte eine Weile, um OpenID zu verstehen (so viele Anbieter!), Aber ich mag das Konzept wirklich. Binden Sie es mit Gravatar ein und das Umschreiben Ihres Profils ist viel schmerzloser - vielleicht ein oder zwei Felder.

Die einzigen Probleme sind, dass Sie Ihrem OpenID-Provider vertrauen müssen - aber das ist nicht wirklich, was ich ein Problem nennen würde, eher wie gesunder Menschenverstand.

Edit: Menschen mit Problemen mit OpenID-Anbietern sollten in Erwägung ziehen, eine neue einzurichten.Mein Provider ist myopenid.com und ich hatte keine Probleme. Sie können mehrere Personas (wie Profile) einrichten, also habe ich eine für Blog-Kommentare, eine für Technologie-Sites wie diese.

Um ein neues SO-Profil zu haben, sagte Jeff etwas darüber, dass man seine OpenID ändern kann, ohne in Zukunft seine Profilstatistiken zu verlieren.

Answer 5

Zumindest im Intranet-Szenario, denke ich, Active Directory (oder ähnlich) ist immer noch eine der besten Möglichkeiten.

Answer 6

Außerdem bedeutet SSO (wie du erwähnt hast) normalerweise, dass ich mich nur einmal anmelden muss (vermutlich an meinem Arbeitsplatz) und dann muss ich mich von dort aus nirgendwo mehr anmelden.

OpenID löst natürlich dieses Problem nicht. Wenn ich beispielsweise OpenID für die Anmeldung bei StackOverflow verwende, bedeutet dies nicht, dass ich mich nicht erneut bei einer anderen Website anmelden muss, die dieselbe openID verwendet.

Answer 7

Ich muss sagen, dass ich den Aussagen absolut zustimme, dass es für den "durchschnittlichen" Internetnutzer zu schwierig ist. Ich denke, dass OpenID immer noch als "neu" betrachtet werden kann, obwohl der ursprüngliche Vorschlag bereits im Jahr 2005 war. Websites mit hohem Traffic nehmen es nur als Option zum Erstellen eines Kontos auf, anstatt dass die Benutzer eine OpenID haben müssen.

Meiner Meinung nach, solange normale Benutzernamen/Passwort-Konto Erstellung neben OpenID angeboten wird, beginnen durchschnittliche Internet-Benutzer natürlich zu versuchen und schließlich bei der Verwendung von OpenID bleiben.

Die Authentifizierungsprobleme gelten für OpenID genauso wie für die Registrierung auf einer beliebigen Website. Sie vertrauen der Website mit Ihrem Passwort (vorausgesetzt, Sie verwenden kein Passwortspeicherprogramm), so dass es nicht gegen OpenID verwendet werden sollte.

All dies beiseite, die Standardisierung der Kontoerstellung ist absolut Cream Soße für einen Web-Entwickler. Ich würde mich einfach nur nicht um den normalen Erstellungsprozess kümmern müssen, sondern stattdessen einfach eine OpenID-Bibliothek einfügen und auf die Datenbank verweisen.

Answer 8

zumindest im Intranet Szenario Ich denke, Active Directory (oder ähnlich) ist immer noch eine der besten Optionen.

Ja, auf jeden Fall ist Active Directory hinter den Kulissen des OpenId Server Providers.

Um eine SSO-Lösung innerhalb eines Intranets zu entwickeln, gibt es kommerzielle Optionen wie Access Manager (früher IChain) + Active Directory, aber ich weiß nicht, ob es eine offene Lösung abgesehen von "Own OpenId Server" + "Etwas cool noch "+ LDAP" entwickeln.

Answer 9

OpenID löst natürlich dieses Problem nicht. Wenn ich beispielsweise OpenID für die Anmeldung bei StackOverflow verwende, bedeutet dies nicht, dass ich mich nicht erneut bei einer anderen Website anmelden muss, die dieselbe openID verwendet. - tj9991

Es kann aber bedeuten, dass. Wenn Sie sich auf der OpenID-Site anmelden (z. B. durch Cookies), müssen Sie sich nur einmal pro Browsersitzung (oder einmal pro Woche, einmal pro Monat ...) für alle von Ihnen besuchten OpenID-Websites anmelden .

Browser-Unterstützung und eine API könnte sogar die Passwortabfrage und die Seitenumleitung beseitigen. Großartige Idee!

Answer 10

Es ist nicht so ein Usability-Problem auf Stack-Overflow, da alle Benutzer sowieso Programmierer sind, aber ich kann nicht an viele andere Seiten denken, die damit durchkommen könnten.

Ich denke, OpenID wird sich im Laufe der Zeit verbessern, und sobald alle Websites, die es verwenden, mit der Implementierung aller Funktionen beginnen (wie das automatische Füllen der about me-Dateien), wird es sich lohnen.

Answer 11

Es gibt ein kleines Problem mit OpenID.

Die nahtlose Anmeldung mit OpenID erfordert eine automatische (ungeprüfte) Umleitung zwischen den Domänen.

Das macht den OpenID-Server zu einer dritten Partei. Dies kann dazu führen, dass Cookies für den OpenID-Server abgelehnt werden, wenn Sie Cookies von Drittanbietern deaktivieren und Ihr Browser strikt die Regel für nicht verifizierbare Transaktionen in 3.3.6 von RFC2965 befolgt.

Ein Beispiel dafür ist Opera. Wenn Sie Cookies von Drittanbietern deaktivieren (indem Sie die globale Einstellung auf "Nur Cookies von der von mir besuchten Website akzeptieren" setzen), können Sie sich nicht mit OpenID anmelden, da das von Ihnen gesendete Serverskript automatisch weitergeleitet wird (ohne Ihre Interaktion zu genehmigen) Sie auf den OpenID-Server und den OpenID-Server tun das gleiche, um Sie zurück zu bekommen.

Aber Sie haben Glück in Firefox, IE und Safari mit ihrer entsprechenden Blockierung von 3rd Party Cookies, weil sie RFC2965 in mehreren Situationen verletzen.

Die Verwendung von OpenID in diesem Fall stellt einen Dienst für kompliantere Clients dar.

Als Abhilfe können in Opera, außer alle cookeis akzeptieren, können Sie goto Tools - > Vorlieben - > erweiterte - > Netzwerk und deaktivieren Sie die automatische Umleitung. Anschließend können Sie jeden Link überprüfen und auf ihn klicken, auf den Sie weitergeleitet werden, und die Cookies werden nicht abgelehnt, da die Transaktionen überprüft wurden.

Es sollte auch funktionieren, wenn Sie die automatische Umleitung beibehalten und beide Server eine Seite mit einem Link generieren, auf den Sie klicken können, um die Transaktion zu überprüfen. Es kann jedoch keine automatischen Weiterleitungen geben.

Mit nur einem Benutzernamen und Passwort anmelden, wo Sie nur mit First-Party-Cookies beschäftigen, wäre in diesem Fall viel besser.

OpenID ist immer noch cool und ich denke, Opera benötigt nur eine Option, um nicht verifizierbare Transaktionen zwischen SO und Ihrem OpenID-Server zu erlauben, so dass Sie "Nur Cookies von der besuchten Website akzeptieren" hier verwenden können.

Answer 12

Ich bin ziemlich ambivalent auf OpenID. Einerseits adressiert es das "Identitätsprovider-Erkennungsproblem" (wie die Seite der vertrauenden Seite ermittelt, wo der Benutzer sich authentifizieren soll). Auf der anderen Seite sind URLs ungeheuer klobig für den durchschnittlichen Benutzer.

Ich sehe OpenID, wie es derzeit als ein nützlicher Halt auf dem Weg zu einer Lösung für Web-Identität, aber sicherlich nicht das ultimative Ziel ist.

Speziell für Ihre Intranetfrage ist OpenID wahrscheinlich nicht die richtige Antwort. Wie ich oben erwähnt habe, kauft OpenID Sie die Fähigkeit, den Identity-Provider zu finden, auf Kosten der Eingabe dieser URL bei jeder vertrauenden Partei. Wenn Sie alle Ihre Benutzer bei einem internen Identitätsanbieter authentifizieren und nur Benutzer von diesem Identitätsanbieter akzeptieren, wird OpenID Sie nicht wirklich begeistern.

Ich würde ein System wie CAS oder OpenSSO betrachten, von denen beide Benutzer auf die Anmeldeseite umleiten, ohne eine URL eingeben zu müssen. I recently blogged über ein Unternehmen, das OpenSSO in nur 4 Monaten für 3000 Benutzer auf 40 Intranet-Anwendungen ausgerollt hat, mit Apps auf IIS 6.0, Apache, JBoss und Tomcat.

Answer 13

OpenID-Implementierungen erfordern eine Menge Aufwand und gelten als erfolgreich, und selbst dann können Sie von schlechten Identitätsanbietern (zum Beispiel Yahoo) vereitelt werden. OpenID kann sehr gut funktionieren, wenn Sie Probleme mit der Benutzererfahrung ausgearbeitet haben, aber eine schlechte Implementierung ist für die meisten Benutzer nur erschreckend schwierig. Meiner Meinung nach ist das größte Problem von OpenID, dass Leute versuchten, das Problem mit der Benutzerwahrnehmung zu lösen. Sie wären besser dran gewesen, einfach eine Liste von OpenID-Anbietern zu geben und die Benutzer anzuklicken, die sie verwenden wollten. Dies erfordert manchmal Kenntnisse darüber, wie ein Anbieter OpenID implementiert hat, wenn sie nicht die Version 2.0 der Spezifikation unterstützen, sondern dem Endbenutzer eine viel bessere Gesamterfahrung bietet.

Answer 14

Die beste Antwort auf can someone briefly explain Single sign on? i want to use openid as SSO erklärt auch, wie OpenID und SSO unterschiedlich ist:

Single-Sign-on ist etwa an einem Ort anmelden und mit, dass Sie automatisch an anderen Standorten authentifizieren. OpenID ist etwa Delegation Authentifizierung an einen OpenID-Anbieter, so dass Sie sich effektiv anmelden können an mehrere Standorte mit dem einen Satz von Anmeldeinformationen .

Der gleiche Beitrag gibt auch eine ausgezeichnete Antwort auf die ursprüngliche Frage:

Sie OpenID als Authentifizierungsschema für SSO verwenden könnte, aber das ist nebensächlich.