consolidación de reclamaciones de ADFS de diferentes emisores

Navega tus respuestas
1

Espero entender el concepto de reclamaciones en general ahora, después de leer artículos relacionados con ADFS, certificados utilizados para la firma de tokens de reclamaciones, etc. Pero esto es lo que me resulta extraño:

Las reclamaciones son tan abstractas que en general las formas son básicamente inútiles para cualquier otra cosa que no sea la autenticación. No hay datos fijos que deban contener las reclamaciones y puedo confiar en . Todo depende de la voluntad del emisor para proporcionar esa información y no está bajo nuestro control [fuente: "Markus dice" en la sección "Lo que hace una buena reclamación" de artículo de descripción general de reclamaciones en MSDN].

Consideremos Ejemplo simple , usado en una de las muestras de autorización que encontré: si las reclamaciones contienen información sobre el usuario age > 65 , se le permite visitar la sección de retiros del sitio. Pero ¿y si no contiene esa información? Y es muy probable que en algún momento comencemos a respaldar al emisor de reclamaciones adicionales que no proporcionará dicha información. Lo mismo se puede decir sobre la membresía del grupo de administradores o cualquier otra reclamación.

También, puedo imaginar una situación en la que Facebook proporcione un 'grupo' de reclamos con la lista de miembros de los grupos de Facebook (que pueden editarse fácilmente y llamarse "Administradores"), mientras que Active Directory usa el mismo nombre de reclamo para proporcionar información sobre el dominio grupos Así que creo que debe haber algún punto en la consolidación de esos datos, algún puente para llenar los vacíos y la creación de una aplicación de reclamos que pueda utilizar . La ilustración del artículo de descripción general de reclamaciones indica algún proceso " Recopilar información ", que podría ser lo que estoy pensando, pero no lo cubre con explicación y no parece ser específico de la aplicación:

¿Me estoy perdiendo algo?

PS : actualmente en mi aplicación, uso Nombre de usuario, teléfono, departamento, membresía de grupos y otra información de Active Directory y me preocupa si puedo confiar en Eso después de implementar el soporte de autenticación ADFS. Probablemente no, pero al mismo tiempo tengo que obtener esa información de alguna manera.

    
pregunta Oleksandr Pshenychnyy 10.10.2016 - 17:55
fuente

1 respuesta

0

Después de leer un artículo adicional sobre ADFS architectures finalmente entendí que, de hecho, toda la consolidación está hecha en el nivel del emisor y que el emisor "cercano a su aplicación" no es tan difícil de definir, y en realidad debería ser responsable de proporcionar reclamos en el formato de aplicación requerido. Tiene el identificador de la aplicación y la funcionalidad de asignación de notificaciones para ese propósito (lea el artículo para obtener más detalles).

    
respondido por el Oleksandr Pshenychnyy 11.10.2016 - 19:51
fuente

Lea otras preguntas en las etiquetas

Atacar WPA / WPA2; Aclaración de paquetes de autenticación. ¿Es posible habilitar SSLv3 en Firefox 49.0.1?