7

Microsoft ADFSv2 は WS-Trust と SAML パッシブをサポートしているようですが、それが構築されている WIF スタックは SAML をサポートしていません。

WS-Trust と SAML-P の違いは何ですか? それらは同じセキュリティ脆弱性を共有していますか? もしそうなら、それらは何ですか?

注: ここには似ていますが別の質問があります。

SAML と OAuth

4

3 に答える 3

7

[新しくリリースされた] ADFS v2 について言及していると思いますか?

はい、ADFS v2 は WS-Trust (および WS-Federation) と SAML2 パッシブをサポートします。WIF は WS-Trust (および WS-Federation) のみをサポートし、SAML2 (パッシブでもアクティブでもない) はサポートしません。

WS-Federation は WS-Trust を使用して [ブラウザ ベースの] パッシブ フェデレーションを実行し、多くの点で SAML2 パッシブと似ていますが、多くの点で似ていません。WS-Federation と SAML2 パッシブの大きな違いは、WS-Federation v1.1 (ADFS v2 でサポートされる新しいバージョン) が自動メタデータ検出をサポートすることです。WS-Federation ではメタデータ エンドポイント (URL) を提供するだけで済みますが、SAML では選択した方法 (USB スティック、メールなど) でメタデータ ドキュメントを交換する必要があります。

どちらのプロトコルにも実際のセキュリティ上の脆弱性があるかどうかはわかりませんが、メタデータ交換へのアプローチは永遠に議論される可能性があります. WS-Federation アプローチにより、証明書のロールオーバー、自動更新、フェデレーション内の新しいメンバーの「無料」自動プロビジョニングなど、多くのことがはるかに簡単になります。ただし、SAML2 の「手動」交換手順では、少なくとも理論的にはより安全になります。

SAML サポートが WIF に含まれていない理由については、推測するしかありません。まともな推測としては、誰かが WIF を使用するサイトを他の [サードパーティ] IdP と直接ではなく、ADFS とフェデレーションすることを望んでいる可能性があります :-)

于 2010-09-01T11:50:43.190 に答える
3

2015年の更新および修正された回答

  • OpenID-Connect (またはOIDC ) - 新しいシングル サインオン プロトコル
    • OpenID バージョン 3 であり、後方互換性はありません。
    • OAuth テクノロジーに基づいて構築
    • JWT を使用します (トークン、およびその他の JSON Web テクノロジと定義用)
  • WS-Federation (またはWS-Fed ) - 古いシングル サインオン プロトコル
    • トークンに SAML を使用

定義:

  • JWT - セキュリティ トークンの JSON 定義 (OAuth および OIDC)
    • 「ジョット」という言葉のように発音します。
  • SAML - セキュリティ トークンの XML スキーマと定義 (WS-Fed 内)

OAuth

  • OAuth -要求側アプリケーション (クライアント) から認可サービスに 認可を委譲するための一連の仕様です。
    • 許可された使用法は「スコープ」で与えられます
    • スコープは、一連のセキュリティ「クレーム」と必要な「リソース」で構成されます
    • 承認されたスコープは JWTリソース トークンで返されます
    • トークンはいくつかの方法で返されます。最も一般的なものは次のとおりです。
      • 直接返されるトークン:暗黙的なフロー- ブラウザー ベース (javascript) アプリケーションに使用
      • 「アクセス コード」を受け取った後、2 段階で返されるトークン- サーバー ベース (REST または Web API) の呼び出しに使用されます。
    • 場合によっては、要求された「リソース」のすべてまたは一部を承認することに同意する UI が人間のユーザーに表示されます。
    • トークンには、実際の情報が含まれているか、情報を含むサーバーへの参照である可能性があります。

OIDC (オープン ID コネクト)

  • タイプ OpenID-Connect のクレームで OAth スコープを要求することによって開始されます
  • OP - OIDC プロバイダーは、OIDC プロトコルに準拠した OAuth サーバーです。
  • ID トークンは、OP ( OIDC プロバイダー) によって返されます。
    • ID トークンには、ユーザーに関する情報 (クレーム) が含まれています
    • 場合によっては、要求された情報とリソースの一部またはすべてを承認するための UI が人間のユーザーに表示されます。

Travis Spenscer の OAuth と OIDC の記事を参照してください。読みやすいです。

これに訂正がない場合は、回答としてマークしてください。ありがとう。

于 2015-11-10T07:26:09.183 に答える