Domande con tag 'sso'

domande con tag
2
risposte

Dove sono memorizzate le password in SAML? Sull'IDP o sul lato SP?

Comprendo il flusso di base di SAML ma non mi è ancora chiaro dove sono archiviate le password. Questa immagine mostra "APP VERIFICA RISPOSTA SAML & REGISTRA UTENTE IN" da onelogin sembra che la password sia memorizzata su APP l'SP. Maques...
posta 24.08.2017 - 18:40
5
risposte

Quali sono i vantaggi e gli svantaggi di inviare via e-mail a un utente un token / collegamento di accesso?

La domanda Stavo leggendo un forum la scorsa notte discutendo l'idea di inviare via e-mail a un utente un link di accesso, proprio come un link di reimpostazione della password, quindi non richiedono una password. Il loro indirizzo e-mail è...
posta 17.08.2013 - 12:43
2
risposte

Modelli Single Sign-On per un ambiente misto

Non sono del tutto sicuro se questo è il sito giusto per questo, ma lo farò un tentativo. Fondamentalmente, sto esaminando diversi modi di creare un servizio Single Sign-On per un ambiente aziendale esistente. All'interno di questo ambiente,...
posta 08.01.2012 - 16:51
3
risposte

Serve aiuto per capire il meccanismo di autenticazione di Windows

Anche se imposto HTTPS e utilizzi token anti-contraffazione, sembra che l'autenticazione di Windows possa essere intrinsecamente insicura perché non richiede che l'utente trasmetta esplicitamente le credenziali dal client al server. In ambien...
posta 23.09.2015 - 13:41
2
risposte

MD5 è adatto per il single sign on?

Stiamo utilizzando un'applicazione che offre un unico segno ai loro sistemi che viene quindi incorporato come iframe (ovvero l'URL è visibile nell'origine della pagina) La sicurezza SSO deriva dall'utilizzo di MD5 per l'hash di un numero di c...
posta 07.10.2016 - 13:59
1
risposta

La convalida della firma è obbligatoria se le asserzioni crittografate vengono inviate su HTTP in SAML 2.0?

Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0) Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP. Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su e...
posta 08.10.2018 - 18:36
1
risposta

SSO: chi è l'idp (provider di identità) per Google Apps?

Se sono un utente per diverse Google Apps. Google Apps (gmail, calendario di Google, accesso ai giochi utilizzando l'account di posta elettronica di Google, ecc.) Sono diversi fornitori di servizi. Chi sarà il provider di identità (idp)? Anche G...
posta 27.02.2017 - 13:20
2
risposte

È sicuro consentire HTTP per l'URL dell'emittente SAML 2.0?

Ho implementato SAML 2.0 usando la gemma ruby-saml nella mia app Rails. In questa app, i clienti possono specificare il proprio ID SAML per il proprio account. Ho un cliente che insiste sul fatto che richiedere HTTPS per l'URL dell'emittente non...
posta 29.07.2016 - 21:05
1
risposta

Quali sono le potenziali vulnerabilità in un approccio SSO basato su SAML?

Quale livello di accesso richiederebbe un utente malintenzionato per compromettere un sistema SSO basato su SAML? Sarebbe sufficiente rubare la chiave privata utilizzata per firmare le richieste SAML? Cosa accadrebbe se un utente malintenzion...
posta 28.03.2012 - 18:02
1
risposta

Il token Web JSON è ulteriormente protetto in OpenID e in che modo?

Ho letto i dettagli del token web JSON puro (JWT) e ho scoperto che è firmato (ad esempio da SHA256) ma non crittografato. Quindi, l'attacco può leggere le informazioni sensibili decodificando l'intestazione e il carico utile. Non ho familiar...
posta 22.02.2017 - 13:38