Quelle est la différence entre WS-Trust, OpenID et SAML Passive?
Semble que Microsoft ADFSv2 prend en charge WS-Trust, et SAML Passive, mais le WIF pile, elle est construite sur ne supporte pas de SAML.
Quelle est la différence entre WS-Trust et SAML-P? Partagent-ils les mêmes failles de sécurité, si oui, quelles sont-elles?
Remarque: Il y a un semblable, mais différente de la question ici:
OriginalL'auteur random65537 | 2010-08-24
Vous devez vous connecter pour publier un commentaire.
Je suppose que vous faites allusion à [la nouvellement libérés] ADFS v2?
Oui, ADFS v2 prend en charge WS-Trust (et WS-Federation) et grâce à saml2! passive, et WIF prend uniquement en charge les WS-Trust (et WS-Federation) et non pas grâce à saml2! (ni passive ni active).
WS-Federation utilise WS-Trust à effectuer [navigateur] passif de la fédération, et est à bien des égards similaires à grâce à saml2! passives, et dans beaucoup de façons de ne pas. Une différence significative entre les WS-Federation et grâce à saml2! passive, c'est que WS-Federation v1.1 (la nouvelle version prise en charge par ADFS v2) prend en charge automatique des métadonnées de découverte. Vous avez seulement besoin de fournir un point de terminaison de métadonnées (une URL) dans WS-Federation, alors que dans SAML vous avez à échanger des documents de métadonnées par quelques-uns ont choisi la méthode (clé usb, mail, etc.).
Je ne sais pas de failles de sécurité dans le protocole, mais l'approche de l'échange de métadonnées peuvent être débattu à jamais. Le WS-Federation approche rend les choses beaucoup plus facile, tels que le certificat de roll-over, les mises à jour automatiques, la "gratuité" de la configuration automatique de nouveaux membres de la fédération, etc. Cependant, le "manuel" procédure d'échange dans grâce à saml2! peut au moins en théorie, être plus sécurisée.
Pourquoi SAML support n'est pas inclus dans le WIF, je ne peux que spéculer. Un décent suppose peut-être que quelqu'un veut des sites à l'aide de WIF fédérer avec ADFS, et non pas directement avec une autre [troisième partie] IdP 🙂
Étant donné que ADFS prend également en charge SAMLP, il est plus probable que l'INVESTISSEMENT de l'équipe n'a tout simplement pas le temps d'ajouter (et de tester) de la fonctionnalité. WIF ne sont les points d'extensibilité afin d'ajouter d'autres protocoles/formats de jetons. Même Microsoft ne dispose pas des ressources infinies 🙂
Grâce à saml2! profil passif peut être comparé à WS-Fed wheras grâce à saml2! active peut être comparé à WS-Trust (au moins sur un niveau élevé). Aussi loin que le cryptage, ça dépend de la configuration du protocole. En général, ils prennent en charge les mêmes algorithmes, et dans la pratique, la plate-forme.Net, Java, etc.) normalement le facteur limitant, comme souvent, ils ne prennent pas en charge toutes les options autorisées par le cahier des charges. Cependant, les protocoles de la "demande" de chiffrement en tant que tel, même si le chiffrement est une bonne idée dans certains cas (par exemple, pour preuve, des jetons ou si la vie privée est un sujet de préoccupation).
Rythme pourrait être bien que j'en doute 🙂 Toutefois, MS semble être l'ouverture vers l'idée d'ajouter grâce à saml2! soutien à l'INVESTISSEMENT, comme Vittorio a fait allusion à l'avenir possible de l'appuyer autant de fois (même dans sa Programmation WIF livre). Étant donné que la oiosaml.net OSS projet fournit un excellent grâce à saml2! soutien à .Net, la possibilité est déjà là (et il y a plusieurs options payantes).
OriginalL'auteur Martin Strandbygaard
Une mise à jour et corrigée réponse pour 2015
Définitions:
OAuth
OIDC (Open ID de Connexion)
Voir Travis Spenscer de l'OAuth et OIDC article - son facile à lire.
Si il n'y a pas de corrections pour cela, s'il vous plaît marquer comme réponse. Merci.
OriginalL'auteur pashute
De Le SSO de l'Académie, très simple différence,
OriginalL'auteur Rohan Kumar