Trong các hệ thống hiện đại, đặc biệt là môi trường Cloud như Azure, AWS hay các kiến trúc SaaS, việc quản lý danh tính (Identity Management) không chỉ là tạo user và password nữa. Nó liên quan đến xác thực (Authentication), ủy quyền (Authorization), và quản lý vòng đời tài khoản.

Bốn giao thức quan trọng mà bất kỳ kỹ sư hệ thống hoặc cloud nào cũng cần nắm vững bao gồm: SAML, OAuth, SCIM và OpenID Connect.

---

1. SAML – Nền tảng cho Single Sign-On (SSO)


SAML là một trong những giao thức lâu đời nhưng vẫn rất phổ biến trong doanh nghiệp.

Về bản chất, SAML cho phép truyền thông tin xác thực giữa:

• Identity Provider (IdP) – ví dụ: Azure AD
• Service Provider (SP) – ví dụ: Salesforce, AWS Console

Khi user đăng nhập một lần (SSO), IdP sẽ gửi một “assertion” (chứng thực) đến SP để xác nhận danh tính.

Ứng dụng thực tế:

• Đăng nhập một lần vào nhiều ứng dụng SaaS
• Tích hợp Azure AD với các ứng dụng doanh nghiệp

---

2. OAuth – Chuẩn ủy quyền hiện đại


OAuth không dùng để xác thực user, mà dùng để ủy quyền truy cập tài nguyên.

Ví dụ:
Bạn đăng nhập vào một ứng dụng bằng Google, và ứng dụng đó xin quyền đọc email → đây là OAuth.

OAuth hoạt động dựa trên:

• Access Token
• Authorization Server
• Resource Server

Ứng dụng thực tế:

• API security
• Microservices
• Mobile App / Web App truy cập backend

---

3. OpenID Connect – Xác thực trên nền OAuth


OAuth chỉ xử lý “quyền truy cập”, nhưng không xác định rõ “user là ai”.

OpenID Connect (OIDC) giải quyết vấn đề đó bằng cách:

• Thêm ID Token (JWT)
• Cung cấp thông tin user (claims)

Hiểu đơn giản:

• OAuth = “Bạn được phép làm gì”
• OpenID Connect = “Bạn là ai”

Ứng dụng thực tế:

• Login bằng Google / Microsoft / Facebook
• Azure AD Authentication cho ứng dụng web

---

4. SCIM – Tự động hóa quản lý user


SCIM là giao thức ít được nhắc đến hơn, nhưng cực kỳ quan trọng trong doanh nghiệp.

SCIM giúp:

• Tự động tạo user (provisioning)
• Đồng bộ user giữa các hệ thống
• Xóa user khi nghỉ việc (deprovisioning)

Ví dụ:

• Khi tạo user trong Azure AD → tự động tạo tài khoản trong Salesforce
• Khi disable user → tự động revoke access

---

Góc nhìn thực tế cho Cloud Engineer


Trong Azure:

• SAML / OIDC dùng cho SSO
• OAuth / OIDC dùng cho API và App authentication
• SCIM dùng cho provisioning user vào SaaS

Trong AWS:

• SAML dùng để federate login vào AWS Console
• OIDC dùng cho workload identity (EKS, IAM roles)

---

Kết luận


Nếu bạn đang làm hệ thống, cloud, hoặc security, thì hiểu rõ 4 giao thức này là nền tảng bắt buộc:

• SAML → SSO truyền thống
• OAuth → Ủy quyền API
• OpenID Connect → Xác thực hiện đại
• SCIM → Tự động hóa quản lý danh tính

Đây chính là “xương sống” của các hệ thống Identity trong kỷ nguyên Cloud và Zero Trust.

---

Nếu bạn đang học Azure, AWS hoặc chuẩn bị thi các chứng chỉ như AZ-104, AZ-500, SC-300… thì đây là nhóm kiến thức cần nắm rất chắc.
​