Quelle est la différence entre WS-Trust, OpenID et SAML Passive?

Semble que Microsoft ADFSv2 prend en charge WS-Trust, et SAML Passive, mais le WIF pile, elle est construite sur ne supporte pas de SAML.

Quelle est la différence entre WS-Trust et SAML-P? Partagent-ils les mêmes failles de sécurité, si oui, quelles sont-elles?

Remarque: Il y a un semblable, mais différente de la question ici:

SAML vs OAuth

OriginalL'auteur random65537 | 2010-08-24

  1. 7

    Je suppose que vous faites allusion à [la nouvellement libérés] ADFS v2?

    Oui, ADFS v2 prend en charge WS-Trust (et WS-Federation) et grâce à saml2! passive, et WIF prend uniquement en charge les WS-Trust (et WS-Federation) et non pas grâce à saml2! (ni passive ni active).

    WS-Federation utilise WS-Trust à effectuer [navigateur] passif de la fédération, et est à bien des égards similaires à grâce à saml2! passives, et dans beaucoup de façons de ne pas. Une différence significative entre les WS-Federation et grâce à saml2! passive, c'est que WS-Federation v1.1 (la nouvelle version prise en charge par ADFS v2) prend en charge automatique des métadonnées de découverte. Vous avez seulement besoin de fournir un point de terminaison de métadonnées (une URL) dans WS-Federation, alors que dans SAML vous avez à échanger des documents de métadonnées par quelques-uns ont choisi la méthode (clé usb, mail, etc.).

    Je ne sais pas de failles de sécurité dans le protocole, mais l'approche de l'échange de métadonnées peuvent être débattu à jamais. Le WS-Federation approche rend les choses beaucoup plus facile, tels que le certificat de roll-over, les mises à jour automatiques, la "gratuité" de la configuration automatique de nouveaux membres de la fédération, etc. Cependant, le "manuel" procédure d'échange dans grâce à saml2! peut au moins en théorie, être plus sécurisée.

    Pourquoi SAML support n'est pas inclus dans le WIF, je ne peux que spéculer. Un décent suppose peut-être que quelqu'un veut des sites à l'aide de WIF fédérer avec ADFS, et non pas directement avec une autre [troisième partie] IdP 🙂

    Est le sous-jacent de cryptage le même entre SAML/WS-Fed? C'est de les comparer grâce à saml2! à WS-Fed mieux que grâce à saml2! à WS-Trust? Ce qui est plus d'un "pommes avec des pommes comparaison?
    Étant donné que ADFS prend également en charge SAMLP, il est plus probable que l'INVESTISSEMENT de l'équipe n'a tout simplement pas le temps d'ajouter (et de tester) de la fonctionnalité. WIF ne sont les points d'extensibilité afin d'ajouter d'autres protocoles/formats de jetons. Même Microsoft ne dispose pas des ressources infinies 🙂
    Grâce à saml2! profil passif peut être comparé à WS-Fed wheras grâce à saml2! active peut être comparé à WS-Trust (au moins sur un niveau élevé). Aussi loin que le cryptage, ça dépend de la configuration du protocole. En général, ils prennent en charge les mêmes algorithmes, et dans la pratique, la plate-forme.Net, Java, etc.) normalement le facteur limitant, comme souvent, ils ne prennent pas en charge toutes les options autorisées par le cahier des charges. Cependant, les protocoles de la "demande" de chiffrement en tant que tel, même si le chiffrement est une bonne idée dans certains cas (par exemple, pour preuve, des jetons ou si la vie privée est un sujet de préoccupation).
    Rythme pourrait être bien que j'en doute 🙂 Toutefois, MS semble être l'ouverture vers l'idée d'ajouter grâce à saml2! soutien à l'INVESTISSEMENT, comme Vittorio a fait allusion à l'avenir possible de l'appuyer autant de fois (même dans sa Programmation WIF livre). Étant donné que la oiosaml.net OSS projet fournit un excellent grâce à saml2! soutien à .Net, la possibilité est déjà là (et il y a plusieurs options payantes).

    OriginalL'auteur Martin Strandbygaard

  2. 3

    Une mise à jour et corrigée réponse pour 2015

    • OpenID Connect (ou OIDC) - le nouveau single sign-on de protocole
      • Est OpenID version 3, pas en arrière compatible,
      • Construit sur le protocole OAuth technologie
      • Utilise JWT (pour les jetons, ainsi que les autres JSON technologies Web et définitions)
    • WS-Federation (ou WS-Fed) - l'ancien authentification unique sur le protocole
      • Utilise SAML pour ses jetons

    Définitions:

    • JWT - JSON définition pour les jetons de sécurité (dans OAuth et OIDC)
      • Prononcé comme le mot "noter".
    • SAML - XML schéma et définitions pour les jetons de sécurité (dans le WS-Fed )

    OAuth

    • OAuth - est le cahier des charges pour la délégation de autorisation de la demande (le client) à un service d'autorisation.
      • Autorisé l'utilisation est donné dans un "portée"
      • La portée se compose d'un ensemble de sécurité "revendications" nécessaire "ressources"
      • Autorisés étendues sont retournés dans un JWT Ressources Jeton
      • Les jetons peuvent être retournés dans plusieurs façons. Les plus courantes sont les suivantes:
        • Jeton retourné directement: Dans implicite débit - utilisé pour la base de navigateur (javascript) et des applications
        • Jeton retourné en deux étapes, après la réception d'un "code d'Accès" - utilisé pour le serveur de base de (REPOS ou de l'API web) appels.
      • Dans certains cas, l'utilisateur humain est montré d'une INTERFACE utilisateur d'accord pour autoriser tous ou certains de la demande de "ressources".
      • Les jetons peuvent contenir de l'information réelle, ou être un référence à un serveur contenant l'info.

    OIDC (Open ID de Connexion)

    • Est commencé en demandant Serment portée avec une revendication de type OpenID Connect
    • La OP - OIDC fournisseur est un serveur OAuth conforme à l'OIDC protocole
    • Un Jeton d'Identité est retourné par la OP - l'OIDC fournisseur.
      • Identité des jetons de contenir de l'information (demandes) au sujet de l'utilisateur
      • Dans certains cas, l'utilisateur sera montré une INTERFACE utilisateur à autoriser certaines ou la totalité des renseignements demandés et de ressources.

    Voir Travis Spenscer de l'OAuth et OIDC article - son facile à lire.

    Si il n'y a pas de corrections pour cela, s'il vous plaît marquer comme réponse. Merci.

    OriginalL'auteur pashute

  3. 3

    De Le SSO de l'Académie, très simple différence,

    Beaucoup de gens sont confus au sujet des différences entre SAML, OpenID
    et OAuth, mais c'est en fait très simple. Bien qu'il existe certaines
    chevaucher, voici une façon très simple de faire la distinction entre les
    trois.

    OpenID – single sign-on for consumers
SAML – single sign-on for enterprise users
OAuth – API authorization between applications

    OriginalL'auteur Rohan Kumar