小红花·文摘

这篇文章讨论了SAML 2.0协议在企业IT环境中的重要性。尽管SAML自2005年发布以来已显得陈旧，但由于企业惯性和合规要求，它仍被广泛应用。文章介绍了SAML的基本概念、参与方、断言类型及其与OIDC的对比，强调在B2B SaaS，特别是金融和医疗行业中掌握SAML的必要性。最后，作者建议在集成时使用成熟的库和工具，以降低安全风险和技术债务。

【身份与访问控制工程】SAML 还值得学吗：企业遗留 SSO 的现实世界

土法炼钢兴趣小组的博客 ·

SCIM（跨域身份管理系统）旨在自动化用户账号管理，解决企业在员工入职、变岗、休假和离职时的账号生命周期管理问题。SCIM 2.0 定义了用户和群组的标准化接口，支持增量同步，确保高效的数据管理。企业需实现 SCIM 2.0 的 CRUD 操作，并与客户对齐属性映射，以确保账号管理的安全与效率。

【身份与访问控制工程】SCIM 与账号生命周期：开通、变更、离职自动化

土法炼钢兴趣小组的博客 ·

一家年营收2000万美元的SaaS公司因未满足财富500强企业的身份与访问管理（IAM）要求，导致与其洽谈的180万美元合同停滞。IAM在公司扩展和合规客户接触中至关重要，涉及SSO、SCIM等技术。未能满足合规审计要求可能导致合同流失或大幅削减，因此企业需提前规划IAM建设，以应对未来的客户需求和合规压力。

【身份与访问控制工程】IAM 全景：为什么这是高价值赛道

土法炼钢兴趣小组的博客 ·

本文讨论了OpenID Connect（OIDC）在OAuth 2.0基础上增强的功能，强调了企业在B2B SaaS中对单点登录（SSO）的需求。分析了SSO的必要性，包括大客户的安全合规要求、集团多产品线的统一登录以及SaaS平台接入第三方身份提供者的场景。OIDC通过提供id_token、UserInfo端点和Discovery文档等功能，简化了身份验证流程，提升了企业的安全性和合规性。

【身份与访问控制工程】企业单点登录：OIDC 与现代 SSO

土法炼钢兴趣小组的博客 ·

某团队的单页应用在安全审计中发现access_token以URL fragment形式暴露，存在高风险。审计指出，攻击者可通过浏览器历史和日志获取token。OAuth 2.1通过废弃隐式授权和强制使用PKCE等措施提升安全性，确保公共客户端安全地使用授权码流程。PKCE通过动态生成挑战和答案，防止授权码被拦截，增强了OAuth的安全性。