私はサービスの世界で開発者として、基本認証 (トランスポートを保護するために SSL と組み合わせて使用) またはクレーム ベース認証 (WIF を使用する .NET) を使用しています。
この質問には、さまざまな認証メカニズムを構成する全体的な強度要因に基づく決定的な答えがあると思います。これは、基本認証の単純さと、SSO および集中認証ストアを持つ CBA の機能との比較ではありません。
基本認証に対して私が聞いた議論は、ユーザーが誰であるかを真に識別できないというものです。資格情報が侵害された場合、なりすましの可能性があります。どうやら CBA では、発行と ID を保証するために SAML トークンに署名すると、これがより完全な認証方法になりますか? ただし、ユーザーの資格情報を持っている場合でも、CBA を介してサービスにアクセスすることはできませんか?
これは本当で、CBA はユーザーの認証を実行するためのより完全で安全な方法ですか? ありがとう!
CBA の方が安全ですが、IDP 側の設定に依存します。IDPがトークンを発行するためにユーザー名とパスワードのみを必要とする場合、あなたが説明した理由により、それはより安全ではないようです.
ここでは、IDP として AD FS を使用して、単純な基本認証を行うよりも安全なオプションになる方法を説明します。セキュリティで保護されていないエンドポイントを無効にするように ADFS を構成できます。クレームを発行する前に、2FA または MFA ベースの認証を行うように AD FS を構成することもできます。これらのシナリオでは、クレームを取得するのが難しく、アプリが CBA によってのみアクセス可能である場合、実際にはより安全になります。
CBA の利点は、より安全な認証方法を実施できることだけではありません。ユーザー属性をIDPにオフロードすることで、ユーザー属性の取得を簡素化するという開発者にとっての利点です。すでにご存じだと思いますが、このスレッドの今後の読者は、「 クレーム ベースの ID とアクセス制御ガイド」をお読みになることをお勧めします。