Seguridad del token SSO de autenticación - SAML, OpenID Connect

Question

Seguridad del token SSO de autenticación - SAML, OpenID Connect

#1 de jhash (1 votos)

0

Estoy tratando de entender cómo funcionan varias tecnologías SSO como SAML 2.0, OpenID Connect 1.0.

En general, funcionan de manera similar al proporcionar tokens (XML, JSON) a través del Proveedor de Identidad al Proveedor de Servicio.

Lo que no entiendo completamente es cómo se aseguran estos tokens para que nadie pueda robarlos y usarlos desde diferentes dispositivos para obtener una sesión autenticada y suplantar.

Además, ¿cómo se almacenan estos tokens? ¿Se almacenan como una cookie en un navegador? Si es así, ¿sería posible robar una cookie de token y usarla para hacerse pasar por otra persona?

¿Cómo puedo detectar que el token se utiliza de manera no autorizada?

Estoy buscando una vista práctica de cómo se aseguran y se representan los tokens cuando se establece la autenticación o cuando se usa como SSO, por lo que el proveedor de identidad no la requiere.

authentication openid-connect token sso saml

pregunta user1563721 27.09.2015 - 19:22

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication openid-connect token sso saml

¿Por qué healthcare.gov excluye algunos caracteres especiales de las contraseñas? Cambiando remitentes, mismos mensajes de spam

score 1 · Accepted Answer

Los tokens están protegidos en varios niveles

Transporte: la mayoría de las especificaciones recomiendan SSL (y algunas lo exigen)
Usar una vez: estos tokens solo tienen la intención de transferir la identidad una vez y luego la identidad confirmada se puede adjuntar con una sesión local para su posterior procesamiento. La mayoría de las especificaciones contienen salvaguardas para permitir IdP & SP para rastrear la generación y uso de token solo una vez.
IdP Trust - El IdP & El mecanismo de confianza de SP está integrado para garantizar que solo el proveedor de identidad de confianza pueda establecer una identidad en el proveedor de servicios a través del protocolo.

Las comprobaciones de MIM y otros ataques están integradas en cada protocolo y puedes leer las RFC / Especificaciones de cada protocolo para ver cómo detienen esos ataques.