¿Cómo se comparan las características de seguridad de Azure ACS 2.0 con ADFS 2.0?

5

Estoy configurando mi parte de confianza (un sitio web) para usar ADFS o Azure ACS 2.0.

ADFS 2.0 tiene algunas características interesantes, como la prevención de reproducción de token (en la versión SQL) y puede tener otras SAML características de seguridad también (lo que no entiendo)

¿Puede alguien extraer las diferencias entre los riesgos de seguridad de ADFS y ACS?

Por ejemplo:

  • ¿La reproducción de tokens se maneja de manera diferente en cada uno?
  • ¿La diferencia en el soporte de protocolo aumenta o disminuye la seguridad?
  • ¿Qué es OpenID, OAuth, SAML1 o SAML2, etc. más seguro?
  • ¿El cifrado y el hashing se realizan de manera similar?
  • ¿Cómo se realizan las renovaciones clave? (por ejemplo, ADFS se actualizará en un intervalo)
  • ¿Se puede deshabilitar la página de descubrimiento del reino de casa, personalizarla para que no se filtren los IDP?
  • ...?
pregunta random65537 11.04.2011 - 04:20
fuente

2 respuestas

6

Esta es una gran pregunta. Sin embargo, hay algunas diferencias entre ACS v2 y ADFS v2 desde una perspectiva de riesgo.

  1. ACS no tiene un IdP, por lo que no realiza ninguna autenticación, mientras que ADFS sí.
  2. Por lo que yo entiendo, ACS no intenta evitar las repeticiones de token. Eso deja al IdP que proporciona el token original y al RP. Definitivamente no puedo decir que esto sea 100% cierto, ya que no puedo encontrar ninguna documentación al respecto, pero estoy trabajando en un proyecto para probar esto ... se actualizará con los resultados.
  3. ACS admite 3 tipos de token y protocolos (WS-Fed, SAML 1.1 / 2.0 y SWT), mientras que ADFS solo admite 2 tipos (WS-Fed. SAML 1.1 / 2.0).
  4. ADFS admite almacenes de atributos personalizados. ACS solo utilizará las reclamaciones dentro de los tokens recibidos.

Habiendo dicho todo eso, diría que ACS y ADFS son más complementarios que cualquier otra cosa. ACS funciona bien como un punto final para las aplicaciones hospedadas de Azure / Cloud, ya que puede modificarse con relativa facilidad para aceptar otros IdP. ADFS funciona bien internamente, pero es un poco molesto agregar confianzas IdP. Esto proporciona un límite de seguridad entre la aplicación, el entorno (cloud et al) y la organización internamente.

EDITAR: Preguntas de seguimiento:

  • En teoría, SAML 2 es el más seguro, pero también es el más complejo
  • Más soporte de protocolo conduce a una mayor superficie de ataque
  • fuga de descubrimiento del reino doméstico (ADFS) - > vea aquí: enlace
  • fuga de descubrimiento del reino de la casa (ACS) - > Todavía no.
respondido por el Steve 11.04.2011 - 18:41
fuente
1

De forma predeterminada, tokens se pueden reproducir en el ACS a menos que el desarrollador tome medidas para proteger En contra.

Vea esta lista de problemas de seguridad publicada por Microsoft que debe tener en cuenta una implementación segura cuando utilizando ACS

    
respondido por el random65537 07.10.2011 - 16:04
fuente

Lea otras preguntas en las etiquetas