Fatal编程技术网
  • saml/
  • 什么';WS-Trust、OpenID和SAML-Passive之间的区别是什么?

什么';WS-Trust、OpenID和SAML-Passive之间的区别是什么?

什么';WS-Trust、OpenID和SAML-Passive之间的区别是什么?,saml,wif,adfs,adfs2.0,federation,Saml,Wif,Adfs,Adfs2.0,Federation,看起来MicrosoftADFSv2支持WS-Trust和SAML-Passive,但它所构建的WIF堆栈不支持SAML WS-Trust和SAML-p之间的区别是什么?它们是否共享相同的安全漏洞,如果是,它们是什么 注意:这里有一个类似但不同的问题: 我猜您指的是[最新发布的]ADFS v2 是的,ADFSv2支持WS-Trust(和WS-Federation)和SAML2被动,而WIF只支持WS-Trust(和WS-Federation)而不支持SAML2(既不支持被动也不支持主动) WS-

看起来MicrosoftADFSv2支持WS-Trust和SAML-Passive,但它所构建的WIF堆栈不支持SAML

WS-Trust和SAML-p之间的区别是什么?它们是否共享相同的安全漏洞,如果是,它们是什么

注意:这里有一个类似但不同的问题:

我猜您指的是[最新发布的]ADFS v2

是的,ADFSv2支持WS-Trust(和WS-Federation)和SAML2被动,而WIF只支持WS-Trust(和WS-Federation)而不支持SAML2(既不支持被动也不支持主动)

WS-Federation使用WS-Trust执行[基于浏览器的]被动联合,在许多方面类似于SAML2被动联合,但在许多方面并非如此。WS-Federation和SAML2被动版本之间的一个显著区别是WS-Federation v1.1(ADFS v2支持的新版本)支持自动元数据发现。在WS-Federation中,您只需要提供元数据端点(URL),而在SAML中,您必须通过某些选择的方法(usb棒、邮件等)交换元数据文档

我不知道这两个协议中是否存在任何实际的安全漏洞,但元数据交换的方法可能会一直存在争议。WS-Federation方法使许多事情变得更容易,例如证书滚动、自动更新、“免费”自动提供联盟中的新成员等。然而,SAML2中的“手动”交换过程至少在理论上可以变得更安全

至于为什么WIF中不包括SAML支持,我只能推测。一个合理的猜测可能是,有人希望使用WIF的站点与ADF联合,而不是直接与其他[第三方]IdP:-)

来自,非常简单的区别

许多人对SAML和OpenID之间的区别感到困惑 还有OAuth,但实际上非常简单。虽然有一些 重叠,这里有一个非常简单的方法来区分 三个

2015年更新和更正的答案

  • (或OIDC)-新的单点登录协议
    • 是OpenID版本3,不向后兼容
    • 基于OAuth技术构建
    • 使用JWT(用于令牌以及其他JSON Web技术和定义)
  • (或WS-Fed)-旧的单点登录协议
    • 使用SAML作为其标记
定义:

  • JWT-安全令牌的JSON定义(在OAuth和OIDC中)
    • 发音像“jot”这个词
  • SAML-安全令牌的XML模式和定义(在WS-Fed中)
OAuth

  • OAuth-是一组规范,用于将请求应用程序(客户端)的授权委托给授权服务。
    • 授权使用在“范围中给出
    • 范围由一组安全“声明”和所需的“资源”组成
    • 授权作用域在JWT资源令牌中返回
    • 令牌可以通过多种方式返回。最常见的是:
      • 直接返回的令牌:隐式流-用于基于浏览器(javascript)的应用程序
      • 在收到用于基于服务器(REST或web API)调用的“访问代码”后,令牌分两个阶段返回
    • 在某些情况下,向人类用户显示一个UI,以同意授权所有或部分请求的“资源”
    • 令牌可能包含实际信息,或者是对包含该信息的服务器的引用
OIDC(开放式ID连接)

  • 通过请求具有OpenID Connect类型声明的范围来启动
  • OP-OIDC提供程序是符合OIDC协议的OAuth服务器
  • OP-OIDC提供程序返回一个标识令牌。
    • 标识令牌包含有关用户的信息(声明)
    • 在某些情况下,将向人类用户显示一个UI,以授权部分或所有请求的信息和资源
看,这本书很容易阅读

如果没有更正,请将其标记为答案。谢谢。

SAML/WS-Fed之间的底层加密是否相同?将SAML2与WS-Fed进行比较是否比将SAML2与WS-Trust进行比较更好?哪一个更像是“苹果对苹果”的比较?鉴于ADFS也支持SAMLP,WIF团队更有可能没有时间添加(和测试)该功能。WIF确实具有添加其他协议/令牌格式的扩展点。甚至微软也没有无限的资源:-)@makerofthings7 SAML2被动配置文件可以与WS-Fed进行比较,而SAML2主动配置文件可以与WS-Trust进行比较(至少在高级别上)。就加密而言,它取决于协议配置。一般来说,它们支持相同的算法,实际上,平台(.Net、Java等)通常是限制因素,因为它们通常不支持规范允许的所有选项。然而,在协议中“要求”加密本身,尽管在某些情况下加密是一个好主意(例如,对于验证令牌或隐私是一个问题)。@Eugenio Pace可能是,但我对此表示怀疑:-)然而,MS似乎对在WIF中添加SAML2支持的想法持开放态度,因为Vittorio多次暗示未来可能支持SAML2考虑到oiosaml.net OSS项目在.net中提供了出色的SAML2支持,这种可能性已经存在(而且还有几个付费选项)。 
OpenID – single sign-on for consumers
SAML – single sign-on for enterprise users
OAuth – API authorization between applications