小智 13
我是Gluu的创始人.我可以对设计决策有所了解:
确实,我们利用了存在活跃社区的良好开源组件.我们为什么要重新发明轮子?Shibboleth IDP是一个优秀,全面的实施.Shibboleth联盟迅速解决了这些问题,该联盟为开发人员研究任何潜在问题提供资金,并快速修补软件.我们还使用Passport-js.对于许多社交网络有超过300种策略,如果我们自己编写所有内容,我们就无法覆盖所需的连接器范围.最后,我们分享了OpenDJ的最新开源版本,该版本在我们的生产中已经稳定了十多年.你可以说在很多方面,Gluu是开源的真空吸尘器 - 我们找到了很好的开源组件,并将它们集成到我们的平台中.这使我们能够专注于开发我们添加最大价值的组件 - OAuth2,UMA,OpenID Connect和devops工具.在这些领域,我们不能依靠外部社区进行足够快速的创新.SAML或LDAP中没有任何新内容.但OAuth正在迅速发展.因此,我们的目标是采用标准非常稳定的软件,并在需要快速创新的地方编写软件.谨防那些想要编写整个堆栈的公司 - 这会导致产品出现重大缺陷,因为没有哪家公司可以成为所有公司的专家.开源开发方法的优势在于利用社区.
我们非常努力地将组件集成在一起,以降低部署和运营成本.如果您不相信我,请尝试安装Gluu Server.您所要做的就是安装软件包,运行安装程序,回答大约10个问题,然后启动并运行.将其与其他IAM平台的部署说明(开源或商用)进行比较.你会发现它们会让你在servlet容器中删除war文件,手动编辑配置文件,配置数据库,启动许多服务,配置web服务器等等.你可以说任何linux发行版也是一堆粘在一起的开源软件.但是像linux发行版一样,Gluu Server在很长一段时间内都经过集成,测试和支持.十多年来,我们一直在支持金融,政府,电信,医疗保健,零售,大学和更多行业的关键任务部署.此外,随着时间的推移,我们优化了Gluu Server,以降低运营成本.随着时间的推移,运营成本是TCO(总体拥有成本)的主要贡献者.运营成本甚至超过许可证成本 - 因此,如果您认为商业产品的运营成本较低,您应该支付许可证.我们通过提供管理GUI和工具实现了低TCO.并通过减少一次性集成和专有安全解决方案(仅支持广泛采用的安全开放标准).一个供应商的快速专有解决方案是明天的支持/升级头痛.
Gluu对"身份经纪"进行了巨额投资,我们称之为管理"入境身份".这就是我们整合Passport-JS的原因.您可以接受来自SAML,OpenID Connect,CAS,Facebook,Microsoft Azure AD,Linkedin或300多个不同社交登录提供商的入站身份.事实上,入境身份是我们业务的驱动力.没有其他平台能够提供足够的灵活性来控制如何映射属性,动态注册用户(通过社交登录或SAML首次出现在您的网站上)或断言后的其他工具欺诈检测技术的工作流程.
我们已经使用OpenJDK进行了测试.版本2.4.4仅使用OpenJDK.关于使用哪个开源JVM的问题是每个人都一样的行业问题:Keycloak,WS02和Gluu都使用Java.运营成本,速度,集群,功能:这些是IAM平台部署的驱动因素 - 而不是JVM.
当您考虑开源IAM时,您应该看看四个基本要素:代码,文档,包和支持.如果你考虑所有这些因素,你会发现Gluu是唯一一个在每个类别中都有强大故事的人.包裹特别重要.Gluu为Centos,Red Hat,Ubuntu和Debian提供软件包.我们还提供了一个Linux容器分发版,Kubernetes,以及很快的Helm图表.系统管理员不需要代码,他们希望易于安装二进制文件(并且易于升级).综合文档也是一个问题.最后,社区支持至关重要.IAM的邮件列表是不够的.问题太复杂了.这就是我们推出支持门户的原因:https://support.gluu.org Gluu花了很多时间回答社区问题.虽然总有一些限制 - 我们不会无限期地支持大公司(我们以销售支持合同为生) - 我们会审查每个支持问题并尝试帮助社区盯着,并解决任何阻碍问题.
Keycloak是Red Hat的一部分,后者正被IBM收购.这对产品造成了很大的不确定性,这是不幸的.我希望看到一个强大的开源IAM市场.然而,现实情况是IBM拥有一个IAM平台,而Keycloak是否已经融入此产品,生命终结或分叉是一个既不是IBM或Red Hat也未解决的悬而未决的问题.IBM不允许工程师处理与自己的产品竞争的开源项目.因此,如果Keycloak继续下去,现在的团队将不得不离开他们的雇主,否则其他人将不得不分叉.这说起来容易做起来难.在Gluu,我们一直围绕开放式平台建立业务,这真的是一个艰难的市场.有大型竞争对手和强大的SaaS产品(如Okta,Microsoft Azure AD和Google Identity).分配代码是不够的 - 鉴于创新和不断增加的安全表面积,IAM产品需要持续努力以保持其相关性.IAM基础设施很难替代.确保您了解您安装的内容将会存在很长时间.在Gluu,我们已经使用了10年.我们是内部资助的,所以我们没有VC在我们的脖子上呼吸,为他们提供出口.通过构建最好的产品,吸引最大的社区到我们的产品,我们有一个长期的愿景,即在内部IAM市场中获胜.这可能需要几十年的时间.但我们长期处于这种状态.
确保您考虑的产品至少通过了OpenID Connect认证:https: //openid.net/certification/
即使Gluu Server做了很多工作,它仍然只是一个更大的开源身份/安全社区的一部分.这就是我写一本关于这个主题的书的原因之一,叫做"保护周界".它涵盖了产品背后的理论(什么是SAML?),还展示了如何使用Gluu Server以及其他开源产品实现目标的示例.您可以在Apress上找到它:https://gluu.co/book
Gluu Server的设计考虑了三个目标:1)速度; 2)冗余; 3)低TCO."项目"和"产品"之间存在很大差异.产品包括文档,质量保证,包装,营销,支持,培训,开发工具 - 使项目成功所需的全部内容."产品"和"平台"之间也存在差异.Gluu服务器不是我们唯一的产品.我们还有:1)Super Gluu(移动FIDO 2FA应用程序); 2)oxd(OAuth客户端中间件服务器); 3)Cluster Manager(用于部署集群的GUI); 4)Casa(凭证管理/同意管理的门户网站); 5)Gluu Gateway(基于Kong-CE的API网关).
我希望您在评估中发现这些要点非常有用.决定使用哪个IAM平台是一个重大决定 - 它可能与您相关十年或更长时间.如果您决定使用Gluu服务器,那么欢迎您加入社区.而且我认为你会发现未来有很多很棒的功能将巩固我们作为开源IAM市场领导者的地位.
bma*_*pin 12
我正在进行类似的搜索,并且总体而言,它们看起来非常相似,这意味着其中任何一个可能都不是一个坏选择:
我正在这里记录结果,但我将尝试重点介绍我的主要收获:
不幸的是,让我与众不同的是当我看着它时弹出的红旗:
Gluu与许多其他产品的不同之处在于,他们采用了许多其他开源产品,添加了一些自己的产品并将其打包在一起。我什至不愿尝试它,因为我担心所有组件之间的交互程度以及Gluu能够支持别人构建的组件的程度。
Shibboleth IdP是此类组件之一,Gluu依靠它来进行SAML。在我最初询问时,Shibboleth IdP不支持OpenJDK,因此我担心Gluu会有相同的限制。尽管Shibboleth IdP现在提供了对OpenJDK的部分支持,但Gluu似乎还不支持它:
我们不对OpenJDK进行质量检查。因此,如果您进行该切换,我们将无法支持。
https://support.gluu.org/installation/7035/replace-oracle-java-with-openjdk/
我的担忧使我在自己的询问中忽略了Gluu,但我鼓励您以不同的角度阅读Mike Schwartz的回答。
与Gluu不同,Keycloak从头开始设计为单一产品。这也是3种产品中唯一支持OpenJDK的产品。(如前所述,这不再是事实)
Keycloak似乎最适合我的情况,因此它是我实际尝试过的三个方法中的唯一一个。
我遇到了两个小错误,并注意到有几次文档不够具体,无法完全指导我完成手头的任务。这可能是由于其相对不成熟(第一个版本是2014年9月发布)而引起的,但是尽管如此,它的整体感觉还是不错的。
我没有这些方面的专业知识,但是根据您列出的其他产品,这些也可能会让您感兴趣: