SSO 最佳实践：无法访问 IDP 的解决方案是什么？

Question

这是与此关于一般 SSO 最佳实践的问题类似的内容。 处理残疾或由于某种原因无法访问的中央身份提供商的最佳方法是什么？ 如果您的网站允许用户使用集中存储的凭据登录，并且中央服务无法正常工作或无法访问，您是否：

• 允许用户在本地站点上重新输入其凭据，以便他们可以使用本机登录Web 应用程序（或内容管理系统或其他）的设施

• 允许用户请求可以在 Web 应用程序本身上使用的另一组辅助凭据（即，当 IDP 关闭时他们可以使用单独的密码）[注意：显然，这违背了“单一凭据”目标抛弃所有想法]。

• 用户使用相同凭据的多个不同维护者中的任何一个登录（通过为他们提供多个提供者的多个链接，然后尝试每个提供者，直到其中一个真正连接并工作）

出于可能明显的原因，这些上面的解决方案似乎很有吸引力，因此在您用最佳替代方法回答时，请随意将这些解决方案放入“最差实践”列表中。

Answer 1

我认为最好的方法是采用去中心化 SSO，就像 Open ID 中实现的那样。 如果每个帐户可以有多个提供程序，那么如果一个提供程序出现故障，您可以故障转移到另一个提供程序。

另一方面，如果需要集中式 SSO。 我唯一能想到的就是让中央机构为每个用户生成一个加密证书。 如果服务具有证书吊销列表的最新副本和中央机构公钥的缓存副本，则即使中央机构不可用，它也可以验证证书。 不幸的是，这种方法可能会遇到可用性问题，因为用户既需要随身携带证书副本，又需要在您要求时知道您在说什么。