In che modo le caratteristiche di sicurezza di Azure ACS 2.0 sono paragonabili a ADFS 2.0?

Naviga le tue risposte
5

Sto configurando la mia parte relying (un sito Web) per utilizzare ADFS o Azure ACS 2.0.

ADFS 2.0 ha alcune caratteristiche interessanti come la prevenzione di Token Replay (nella versione SQL) e potrebbe avere altre caratteristiche di sicurezza SAML pure (che forse non capisco)

Qualcuno può distillare le differenze tra i rischi di sicurezza di ADFS e ACS?

Ad esempio:

  • La riproduzione di token è gestita in modo diverso in ognuno?
  • La differenza nel supporto del protocollo aumenta o diminuisce la sicurezza?
  • Cosa è più sicuro OpenID, OAuth, SAML1 o SAML2, ecc.
  • La crittografia e l'hashing sono eseguiti in modo simile?
  • Come vengono effettuati i rinnovi chiave? (Ad esempio, ADFS si aggiornerà su un intervallo)
  • È possibile disattivare la pagina di rilevamento dell'home reality, personalizzata in modo da non perdere IDP?
  • ...
posta random65537 11.04.2011 - 04:20
fonte

2 risposte

6

Questa è una grande domanda. Tuttavia, ci sono alcune differenze tra ACS v2 e ADFS v2 dal punto di vista del rischio.

  1. ACS non ha un IdP, quindi non esegue alcuna autenticazione, mentre ADFS lo fa.
  2. Per quanto ho capito, ACS non tenta di impedire i replay dei token. Rimane fino all'IdP fornendo il token originale e l'RP. Non posso dire con certezza che questo è vero al 100% anche se non riesco a trovare alcuna documentazione su di esso, ma sto lavorando a un progetto per testarlo ... verrà aggiornato con i risultati.
  3. ACS supporta 3 tipi di token e protocolli (WS-Fed, SAML 1.1 / 2.0 e SWT), mentre ADFS supporta solo 2 tipi (WSL Fed. SAML 1.1 / 2.0).
  4. ADFS supporta gli archivi di attributi personalizzati. ACS utilizzerà le rivendicazioni solo all'interno dei token ricevuti.

Con tutto ciò detto, direi che ACS e ADFS sono più gratuiti di qualsiasi altra cosa. ACS funziona bene come endpoint per le applicazioni ospitate su Azure / Cloud, in quanto può essere modificato relativamente facilmente per accettare altri IdP. ADFS funziona bene internamente, ma è un po 'difficile aggiungere fondi IdP. Ciò fornisce un limite di sicurezza tra l'applicazione, l'ambiente (cloud et al) e l'organizzazione internamente.

MODIFICA: domande successive:

  • In teoria, SAML 2 è il più sicuro, ma è anche il più complesso
  • Più supporto del protocollo porta a una superficie di attacco più grande
  • Home discovery discovery leak (ADFS) - > vedere qui: link
  • Home discovery discovery leak (ACS) - > Non ancora.
risposta data 11.04.2011 - 18:41
fonte
1

Per impostazione predefinita, i token possono essere riprodotti nell'ACS a meno che lo sviluppatore non adotti misure per proteggere contro di esso.

Consulta questo elenco dei problemi di sicurezza pubblicato da Microsoft che cosa deve essere tenuto a mente quando viene eseguita una distribuzione sicura usando ACS

    
risposta data 07.10.2011 - 16:04
fonte

Leggi altre domande sui tag

Richiesta GET insolita Thunderbird: cosa succede se il certificato SSL di Gmail viene falsificato?