Autenticazione Sicurezza token SSO - SAML, OpenID Connect

Naviga le tue risposte
0

Sto cercando di capire come funzionano varie tecnologie SSO come SAML 2.0, OpenID Connect 1.0.

In generale, funzionano in modo simile fornendo token (XML, JSON) tramite Identity Provider a Service Provider.

Ciò che non comprendo appieno è come vengono protetti questi token in modo che nessuno possa rubarli e usarli da dispositivi diversi per ottenere una sessione autenticata e impersonare.

Inoltre, come vengono memorizzati questi token? Sono memorizzati come cookie in un browser? In tal caso, sarebbe possibile rubare un token cookie e usarlo per impersonare qualcuno?

Come posso rilevare che il token è utilizzato in modo non autorizzato?

Sto cercando una vista pratica su come i token sono protetti e rappresentati quando viene stabilita l'autenticazione o quando si utilizza come SSO, quindi l'autenticazione non è richiesta dal provider di identità.

    
posta user1563721 27.09.2015 - 19:22
fonte

1 risposta

1

I token sono protetti a più livelli

  1. Trasporto - La maggior parte delle specifiche consiglia SSL (e alcune lo impongono)
  2. Usa una sola volta - Questi token hanno lo scopo di trasferire l'identità una sola volta e l'identità asserita può essere allegata alla sessione locale per un'ulteriore elaborazione. La maggior parte delle specifiche contiene misure di sicurezza per consentire IdP & SP per tracciare la generazione e l'uso del token una sola volta.
  3. IdP Trust - IdP & Il meccanismo di fiducia SP è integrato per garantire che solo il provider di identità attendibile possa impostare un'identità presso il fornitore di servizi tramite il protocollo.

I controlli per MIM e altri attacchi sono incorporati in ciascun protocollo e puoi leggere le specifiche RFC / Spec per ciascuno dei protocolli per vedere come interrompono tali attacchi.

    
risposta data 27.09.2015 - 19:59
fonte

Leggi altre domande sui tag

Lega la chiave al computer Tutto il traffico attraverso un router configurato per utilizzare il protocollo openvpn inviato attraverso una singola porta?