Estoy agregando soporte para SAML / ADFS / Azure ACS y que los metadatos en los que no se confía representan un riesgo .
Teniendo en cuenta que ADFS realiza actualizaciones de fondo de los metadatos, al igual que algunos RP, ¿alguien puede explicar el riesgo y cómo se relaciona esto con la función de actualización automática?
Mi idea es que debo deshabilitar la actualización automática para evitar ser afectado por las vulnerabilidades de otro servidor.
Bueno, más exactamente dice que las partes confiables no confiables suponen un riesgo.
Si acepta solicitudes de token de cualquier RP, entonces un atacante podría recopilar fácilmente un poco de información acerca de un usuario. Ese es el riesgo. Si solo responde a las solicitudes de RP que conoce y confía, es menos probable que un atacante pueda recopilar la misma información.
Los metadatos no confiables por sí solos no son realmente tan riesgosos. Solo se vuelve riesgoso si empiezas a consumirlo.
Si alguien compromete los metadatos de un RP de confianza, puede hacer algunas cosas. Pueden modificar el conjunto predeterminado de reclamaciones solicitadas (pero aún depende del STS para cumplir con esa solicitud), pueden modificar la clave de firma o la clave de encriptación, lo que permite que los ataques de personas en el medio o relacionados, puedan modificar los detalles de contacto del administrador, o pueden modificar los puntos finales a los que se envían los tokens.
La mayor amenaza de la OMI es cambiar las claves. Sin embargo, esto no necesariamente afecta la seguridad del STS directamente, solo el RP. Por supuesto, podría ser considerado responsable porque aceptó el cambio de claves, bla bla bla.
La única vez que permito que los metadatos se actualicen automáticamente es durante el desarrollo. Para las implementaciones de producción, copio los metadatos localmente y verifico antes de agregarlos.
Lea otras preguntas en las etiquetas authentication federation azure saml adfs