Я планирую разработать веб-приложение, которое поддерживает OpenID Connect в качестве проверяющей стороны, чтобы пользователь приложения мог зарегистрироваться и войти в систему, используя поставщика удостоверений по своему выбору. (Это та же технология, которую использует «Мой логин» на каждом сайте Stack Exchange.) Это приложение будет доступно для загрузки и установки операторами серверов, так же как доступны программы WordPress, phpBB и MediaWiki. С какими поставщиками OpenID Connect серверный оператор должен ожидать регистрации вручную?

Когда OpenID 2.0 был наиболее распространенной версией протокола, большинство провайдеров идентификации (IDP) позволяли любой проверяющей стороне (RP) использовать свои службы идентификации. Только несколько ВПЛ использовали белый список РП; я столкнулся с PayPal Access (теперь называетсяВойти через PayPal). Существуют деловые причины для закрытия доступа, но закрытая политика требует дополнительных усилий для ВПЛ, поэтому большинство из них не беспокоятся.

В апреле 2015 года Google отказался от OpenID 2.0 в пользу OpenID Connect, в котором каждый RP представляет собой клиентское приложение OAuth 2.0 со своим собственным идентификатором клиента и секретом клиента, выданным поставщиком. Как правило, OAuth требует, чтобы каждый клиент регистрировался у каждого поставщика вне диапазона, что хорошо, когда каждый поставщик предоставляет защищенный ресурс с уникальным API. Но OpenID Connect - это общий API-интерфейс аутентификации, который, как ожидается, должен быть представлен всеми IDP одинаково, когда пользователь вводит соответствующий URI идентификатора OpenID на страницу входа RP. ИтакСпецификация OpenID Connect описывает дополнительную функцию динамической регистрации клиента (dyn-reg), которая позволяет RP автоматически регистрироваться как клиент OAuth, как упомянуто вОтвет Ханса З. «Можно ли использовать OpenID Connect без получения учетных данных OAuth?», Однако каждый ВПЛ должен приложить усилия для реализации dyn-reg. Google и PayPal являются примерами IDP OpenID Connect, которые решили не делать этого. И даже если провайдер реализует dyn-reg, спецификация по-прежнему позволяет IDP требовать, чтобы RP сначала представил действительный токен начального доступа, выданный провайдером. Таким образом, если естьn RP иm ВПЛ, человек должен прочитать и принять контрактn*m раз.

Иными словами, по умолчанию в OpenID 2.0 открыт; по умолчанию в OpenID Connect закрыто.

Так как все больше провайдеров OpenID следуют примеру Google и отбрасывают OpenID 2.0 в пользу OpenID Connect, если я возьму RP в прямом эфире, я ожидаю, что конечные пользователи, вставившие в URI идентификатора, будут отвергнуты с сообщением об ошибке «Поставщик этот идентификатор неизвестен Example.com и не поддерживает динамическую регистрацию клиентов. " Оператор сервера, на котором запущено мое веб-приложение, должен будет прочитать журнал таких ошибок и вручную подписаться на каждый такой IDP для получения учетных данных клиента. И мне пришлось бы встраивать переменные конфигурации в это веб-приложение, чтобы оператор сервера мог заранее указать учетные данные клиента для каждого популярного поставщика, чтобы пользователи сайта были преобразованы, а не разочарованы.

Я хочу, чтобы оператор сервера, который скачал мое приложение, мог легко установить его на веб-сервере в своем домене и запустить как RP. Поэтому я хочу, чтобы процесс установки предлагал общедоступные IDP, для которых операторы серверов могут столкнуться с этой проблемой, а не просто пустую форму «Добавить OpenID Connect Provider», которая оставляет администратора наедине с собой.

Другие связанные вопросы (OpenID Connect провайдеры а такжеСписок поставщиков OpenID Connect) иметь слишком короткий, устаревший список, не отделяющий ВПЛ, для которых ожидается ручная регистрация, и не отделяющий популярных ВПЛ от нишевых. Например, Salesforce.com является нишей IDP, котораяпозволяет только своим клиентам быть RPи я не думаю, что конечные пользователи будут ожидать ввода идентификатора из ниши IDP в общедоступном веб-приложении. Я хотел бы узнать, из каких источников я мог бы собирать информацию о широко используемых ВПЛ самостоятельно и быть в курсе.

Итак, как мне найти известных поставщиков OpenID Connect общего назначения, которые не поддерживают открытую динамическую регистрацию клиентов?до берете сайт вживую?