Domande con tag 'federation'

1
risposta

Quali sono stati i difetti di sicurezza specifici con OAuth 1.0? Come vengono affrontati nella 2.0?

Ho letto un articolo che documenta Twitter ritirando bruscamente il suo supporto OAuth nell'aprile del 2009. Il l'articolo dice che non specificherà il buco per ragioni di sicurezza, ma menziona "l'ingegneria sociale". Immagino che il buco...
posta 16.12.2010 - 16:21
2
risposte

Verifica che la risposta SAML provenga da un'origine attendibile

Sono in procinto di apportare modifiche al mio sito in modo da poter essere un fornitore di servizi SAML 2.0. Effettueremo SAML avviato da IdP con la federazione di account fuori banda. La mia domanda è questa: data una risposta SAML che vien...
posta 17.05.2011 - 20:24
2
risposte

Come funziona l'autenticazione esterna?

Ad esempio, posso accedere ai siti Web di stackexchange accedendo a siti Web esterni come OpenID, Yahoo, ecc. Come funziona? Come comunicano i siti web (SE e Yahoo !, ad esempio)? Come fa Yahoo! sai che è davvero stackexchange? In che modo Stack...
posta 17.06.2011 - 17:24
2
risposte

Qual è la differenza esatta tra SAMLp e WS-Trust?

Sembrano simili in superficie, ma non sono sicuro di quanto siano profonde le differenze. Qualcuno può spiegarmi la differenza tra SAMLp e WS-Trust? ADFSv2 mi consente di scegliere tra queste opzioni e non sono sicuro di quale scegliere.    ...
posta 21.11.2010 - 17:55
1
risposta

Ci sono delle proposte per la verifica dell'e-mail senza un'email di conferma?

Essere in grado di confermare la tua e-mail senza attendere un'email di verifica sarebbe un notevole miglioramento per molti processi di registrazione. In teoria questo potrebbe essere fatto usando una tecnica basata su OAuth, OpenID o simili. N...
posta 29.01.2018 - 21:41
2
risposte

Combinando il controllo degli accessi basato su capacità con SAML

Ho esaminato varie ricerche su identità, PKI e controllo degli accessi cercando di ridurla a una metodologia semplificata per IAM (Identity & Access Management). Una cosa che si apre in molti punti è il controllo dell'accesso basato sulle fun...
posta 10.03.2012 - 15:22
2
risposte

In che modo le caratteristiche di sicurezza di Azure ACS 2.0 sono paragonabili a ADFS 2.0?

Sto configurando la mia parte relying (un sito Web) per utilizzare ADFS o Azure ACS 2.0. ADFS 2.0 ha alcune caratteristiche interessanti come la prevenzione di Token Replay (nella versione SQL) e potrebbe avere altre caratteristiche di sicur...
posta 11.04.2011 - 04:20
2
risposte

Come memorizzare in modo sicuro i token bearer sul server?

Immagina di avere un servizio che implementa un flusso di OAuth 2.0 per consentire agli utenti finali di accedere ad app di terze parti e autorizzare tali app a utilizzare i dati del tuo servizio tramite alcune API. Dopo aver autenticato con su...
posta 21.07.2015 - 23:10
2
risposte

Shibboleth crittografia dell'attributo utente

In che modo Shibboleth garantisce che le terze parti non abbiano accesso agli attributi utente contenuti nell'asserzione SAML 2.0 scambiata tra IdP e SP? È corretto che tutti gli attributi dell'utente siano crittografati quando vengono trasfe...
posta 21.08.2012 - 16:19
1
risposta

In che modo la funzione "Identità servizio" di Azure ACS confronta (e contrasta) con un IDP reale?

Sembra che l'ACS abbia caratteristiche in stile IDP all'interno della sezione "Identità servizio". In che modo l'ACS tratta questi dati rispetto a un IDP reale? Cosa manca? Alcuni esempi che sto pensando includono: Blocco account, controllo,...
posta 12.04.2011 - 03:42