Domande con tag 'saml'

1
risposta

È possibile SSO senza SSL e / o sicuro?

Immagina un sito in cui HTTPS non viene utilizzato, per ragioni buone o cattive. L'amministratore di questo sito ha ancora bisogno di un modo per proteggere le connessioni e pensa di utilizzare l'autenticazione univoca solo con i social network...
posta 22.09.2016 - 06:55
2
risposte

Dove sono memorizzate le password in SAML? Sull'IDP o sul lato SP?

Comprendo il flusso di base di SAML ma non mi è ancora chiaro dove sono archiviate le password. Questa immagine mostra "APP VERIFICA RISPOSTA SAML & REGISTRA UTENTE IN" da onelogin sembra che la password sia memorizzata su APP l'SP. Maques...
posta 24.08.2017 - 18:40
1
risposta

Sicurezza aziendale: da dove cominciare? [chiuso]

Sto cercando di iniziare a studiare da solo il contesto di Enterprise Security, ma mi sento sempre un po 'perso tra tutte le specifiche e gli standard ecc. A differenza dello sviluppo del software, questa è davvero una sfida per quanto mi sono s...
posta 09.04.2015 - 11:36
1
risposta

La necessità di creare timestamp in token

In diversi token, ad esempio SAML, ho riscontrato che ho visto che include il timestamp per quando è stato creato. Capisco il motivo per un timestamp di scadenza, ma prima che venga creato il token non esiste quindi non capisco il motivo per que...
posta 18.11.2013 - 16:05
1
risposta

Quale rischio possono porre i metadati WS-Federation non attendibili?

Sto aggiungendo il supporto per SAML / ADFS / Azure ACS e leggi che i metadati non attendibili rappresentano un rischio . Considerando che ADFS fa l'aggiornamento in background dei metadati, come fanno alcuni RP, qualcuno può spiegare il ris...
posta 05.10.2011 - 02:58
1
risposta

La convalida della firma è obbligatoria se le asserzioni crittografate vengono inviate su HTTP in SAML 2.0?

Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0) Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP. Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su e...
posta 08.10.2018 - 18:36
2
risposte

È sicuro consentire HTTP per l'URL dell'emittente SAML 2.0?

Ho implementato SAML 2.0 usando la gemma ruby-saml nella mia app Rails. In questa app, i clienti possono specificare il proprio ID SAML per il proprio account. Ho un cliente che insiste sul fatto che richiedere HTTPS per l'URL dell'emittente non...
posta 29.07.2016 - 21:05
3
risposte

Se WS-Fed, Mozilla's Persona o OpenID sono mai stati usati con un'applicazione Banking?

La maggior parte dei siti bancari che ho visto utilizzano un processo di accesso proprietario o altrimenti non si integreranno con un IDP esterno. Le banche dovrebbero offrire l'integrazione con servizi come i sistemi OpenID, WS-Fed o Perso...
posta 15.01.2013 - 16:58
1
risposta

Quali sono le potenziali vulnerabilità in un approccio SSO basato su SAML?

Quale livello di accesso richiederebbe un utente malintenzionato per compromettere un sistema SSO basato su SAML? Sarebbe sufficiente rubare la chiave privata utilizzata per firmare le richieste SAML? Cosa accadrebbe se un utente malintenzion...
posta 28.03.2012 - 18:02
1
risposta

Qualunque pratico protocollo Single Sign-On (SSO) / strumento di analisi del traffico / metodo / analizzatore? [chiuso]

Voglio analizzare il protocollo SSO / traffico che viene distribuito in un ambiente reale, come ad esempio un sito web commerciale. La sfida è che la maggior parte di loro sono black-box. Scenario 1 . Ho letto diversi articoli sull'analisi S...
posta 14.03.2017 - 06:23