似乎Microsoft ADFSv2支持WS-Trust和SAML Passive,但它构建的WIF堆栈不支持SAML。
WS-Trust和SAML-P有什么区别?它们是否共享相同的安全漏洞,如果是这样,它们是什么?
注意:这里有一个类似但不同的问题:
答案 0 :(得分:7)
我假设您指的是[新发布的] ADFS v2?
是的,ADFS v2支持WS-Trust(和WS-Federation)和SAML2被动,WIF仅支持WS-Trust(和WS-Federation),而不支持SAML2(既不被动也不是主动)。
WS-Federation使用WS-Trust来执行[基于浏览器的]被动联合,并且在很多方面类似于SAML2被动 - 并且在许多方面都不是。 WS-Federation和SAML2被动之间的显着区别在于WS-Federation v1.1(ADFS v2支持的新版本)支持自动元数据发现。您只需要在WS-Federation中提供元数据端点(URL),而在SAML中,您必须通过某种选择的方法(usb stick,mail等)来交换元数据文档。
我不知道这两种协议中是否存在任何实际的安全漏洞,但可以永远讨论元数据交换的方法。 WS-Federation方法使许多事情变得更加容易,例如证书翻转,自动更新,联合中新成员的“免费”自动配置等。但是,SAML2中的“手动”交换过程至少可以从理论上讲会更加安全。
至于为什么SAML支持不包含在WIF中,我只能推测。一个不错的猜测可能是有人希望使用WIF的网站与ADFS联合,而不是直接与其他[第三方] IdP: - )
答案 1 :(得分:3)
来自The SSO Academy,非常简单的差异,
许多人对SAML,OpenID之间的差异感到困惑 和OAuth,但它实际上非常简单。虽然有一些 重叠,这里是一种非常简单的区分方法 3。
OpenID – single sign-on for consumers SAML – single sign-on for enterprise users OAuth – API authorization between applications
答案 2 :(得分:3)
2015年更新和更正的答案
定义:
<强>的OAuth 强>
OIDC (Open ID Connect)
请参阅Travis Spenscer's OAuth and OIDC article - 这是一本易读的内容。
如果没有更正,请将其标记为答案。感谢。