1. Inicio
  2. Pregunta y respuesta
  3. ¿Cuál es la diferencia entre WS-Trust, OpenID y SAML pasiva?

¿Cuál es la diferencia entre WS-Trust, OpenID y SAML pasiva?

2010-08-24 17 views

Respuesta

7

supongo que te refieres a [la recién estrenada] v2 AD FS?

Sí, ADFS v2 admite WS-Trust (y WS-Federation) y SAML2 pasivo, y WIF solo es compatible con WS-Trust (y WS-Federation) y no con SAML2 (ni pasivo ni activo).

WS-Federation utiliza WS-Trust para realizar una federación pasiva [basada en navegador], y es en muchos aspectos similar a la pasiva SAML2, y en muchos sentidos no. Una diferencia significativa entre WS-Federation y SAML2 pasivo es que WS-Federation v1.1 (la nueva versión admitida por ADFS v2) admite la detección automática de metadatos. Solo necesita proporcionar un punto final de metadatos (una URL) en WS-Federation, mientras que en SAML debe intercambiar documentos de metadatos por algún método de elección (dispositivo USB, correo, etc.).

No conozco ninguna vulnerabilidad de seguridad real en ninguno de los protocolos, pero el enfoque del intercambio de metadatos puede debatirse para siempre. El enfoque de WS-Federation facilita mucho las cosas, como la renovación de certificados, las actualizaciones automáticas, el aprovisionamiento automático "sin cargo" de nuevos miembros en una federación, etc. Sin embargo, el procedimiento de intercambio "manual" en SAML2 puede al menos en teoría estar más seguro.

En cuanto a por qué el soporte SAML no está incluido en WIF, solo puedo especular. Una conjetura decente podría ser que alguien quiere sitios que utilizan WIF federar con un AD FS, y no directamente con algún otro [tercero] IdP :-)

Fuente

2010-09-01 11:50:43

+0

¿El cifrado subyacente es el mismo entre SAML/WS-Fed? ¿Está comparando SAML2 con WS-Fed mejor que SAML2 con WS-Trust? ¿Qué es más una comparación de "manzanas a manzanas"? – LamonteCristo

+0

Dado que ADFS también es compatible con SAMLP, es más probable que el equipo de WIF simplemente no haya tenido tiempo de agregar (y probar) esa característica. WIF tiene los puntos de extensibilidad para agregar otros protocolos/formatos de token. Incluso Microsoft no tiene recursos infinitos :-) –

+0

@ makerofthings7 El perfil pasivo de SAML2 se puede comparar con WS-Fed cuando SAML2 activo se puede comparar con WS-Trust (al menos en un nivel alto). En cuanto al cifrado, depende de la configuración del protocolo. En términos generales, admiten los mismos algoritmos, y en términos prácticos, la plataforma (.Net, Java, etc.) normalmente será el factor limitante, ya que a menudo no admiten todas las opciones permitidas por las especificaciones. Sin embargo, del cifrado de "demanda" de protocolos como tal, aunque el cifrado es una buena idea en algunas situaciones (por ejemplo, para los tokens de prueba o si la privacidad es una preocupación). –

3

De The SSO Academy, diferencia muy simple,

Muchas personas están confundidos acerca de las diferencias entre SAML, OpenID y OAuth, pero en realidad es muy simple. Aunque hay una superposición de , aquí hay una manera muy simple de distinguir entre el tres.

OpenID – single sign-on for consumers 
SAML – single sign-on for enterprise users 
OAuth – API authorization between applications

Fuente

2014-09-19 09:18:50

3

Una respuesta actualizada y corregida de 2015

  • OpenID-Connect (o PeDIP) - el nuevo inicio de sesión único protocolo
    • es la versión de OpenID 3, no hacia atrás compatibles ,
    • Basado en la tecnología OAuth
    • Usos JWT (por fichas, así como las otras tecnologías web JSON y definiciones)
  • WS-Federation (o WS-Fed) - el antiguo inicio de sesión único protocolo
    • Usos SAML para su tokens

Definiciones:

  • JWT - definición JSON para los tokens de seguridad (en OAuth y PeDIP)
    • pronuncia como la palabra " jota".
  • SAML - esquema XML y definiciones para los tokens de seguridad (en la WS-Fed)

OAuth

  • OAuth - es el conjunto de especificaciones para delegar autorización desde la aplicación solicitante (el cliente) a un servicio de autorización.
    • El uso autorizado se da en una "alcance"
    • El alcance consiste en un conjunto de seguridad "reivindicaciones" y necesitaba "recursos"
    • se devuelven Los alcances autorizados en un JWT Token de recursos
    • Los tokens pueden devolverse de varias formas.Los más comunes son:
      • token devuelto directamente: En flujo implícita - aplicaciones utilizadas para el navegador basado (JavaScript)
      • token devuelto en dos etapas, después de recibir una "Código de acceso" - se utiliza para el servidor llamadas basadas (REST o API web).
    • En algunos casos, el usuario humano muestra una interfaz de usuario para autorizar todos o algunos de los "recursos" solicitados.
    • Los tokens pueden contener la información real, o ser referencia a un servidor que contiene la información.

PeDIP (Open ID Conectar)

  • se inicia mediante la solicitud de alcance OAth con una demanda de tipo OpenID-Connect
  • El OP - proveedor de PeDIP es un servidor OAuth que cumple con el protocolo OIDC
  • Un El token de identidad es devuelto por el OP - el proveedor OIDC.
    • fichas contienen información de identidad (reclamaciones) sobre el usuario
    • En ciertos casos, el usuario humano se mostrará una interfaz de usuario para autorizar una parte o toda la información y los recursos solicitados.

Ver Travis Spenscer's OAuth and OIDC article - su una lectura fácil.

Si no hay correcciones a esto, por favor márquelo como la respuesta. Gracias.

Fuente

2015-11-10 07:26:09 pashute

Cuestiones relacionadas

 Cuestiones relacionadas