OpenID 提供商可以使用 Kerberos 或其他“替代”协议吗？认证机制？

Question

我们处于一个复杂的身份验证环境中，需要支持对我们正在开发的应用程序中的许多不同来源进行身份验证。由于我们不想到处重复身份验证代码，因此我们正在考虑使用单个 OpenID 提供程序包装各种身份验证源，然后让所有应用程序都依赖于该服务。

我们必须允许进行身份验证的来源包括 Active Directory 用户名/密码、Kerberos、通用 LDAP、外部 OpenID 提供程序等。

例如，在 Kerberos 情况下，当用户点击 OpenID 提供程序的身份验证页面时，如果 (s)他可以使用 Kerberos 进行身份验证，并且已经向请求应用程序授予了权限，用户将被透明地进行身份验证，就像输入了密码并传回请求应用程序一样。

因此，问题是，我们能否创建一个 OpenID 提供程序来通过所有这些不同的方法处理身份验证？提供商是否必须实现如何以特定方式对用户进行身份验证？

Answer 1

OpenID 2.0 规范没有指定如何在 OpenID 提供商处对用户进行身份验证，因为它是特定于供应商的。所以我的答案是肯定的，您可以拥有一个通过所有这些方法处理身份验证的 OpenID 提供程序，但您必须弄清楚如何操作，例如如何向 OpenID 提供程序提供 Kerberos 票证由您决定。