似乎 Microsoft ADFSv2 支持 WS-Trust 和 SAML Passive,但其构建的 WIF 堆栈不支持 SAML。
WS-Trust 和 SAML-P 有什么区别?它们是否共享相同的安全漏洞,如果是,它们是什么?
注意:这里有一个类似但不同的问题:
SAML vs OAuth
最佳答案
我假设您指的是 [新发布的] ADFS v2?
是的,ADFS v2 支持 WS-Trust(和 WS-Federation)和 SAML2 被动,WIF 只支持 WS-Trust(和 WS-Federation)而不支持 SAML2(既不被动也不主动)。
WS-Federation 使用 WS-Trust 来执行 [基于浏览器的] 被动联合,并且在许多方面类似于 SAML2 被动 - 但在许多方面不是。 WS-Federation 和 SAML2 被动之间的显着区别在于 WS-Federation v1.1(ADFS v2 支持的新版本)支持自动元数据发现。您只需要在 WS-Federation 中提供一个元数据端点(一个 URL),而在 SAML 中,您必须通过某种选择的方法(USB 棒、邮件等)交换元数据文档。
我不知道这两种协议(protocol)中是否存在任何实际的安全漏洞,但是元数据交换的方法可以永远争论不休。 WS-Federation 方法使许多事情变得更容易,例如证书滚动、自动更新、“免费”自动提供联邦中的新成员等。 然而,SAML2 中的“手动”交换过程至少可以理论上会更安全。
至于为什么 WIF 中不包含 SAML 支持,我只能推测。一个不错的猜测可能是有人希望使用 WIF 的网站与 ADFS 联合,而不是直接与其他 [第三方] IdP 联合 :-)
关于saml - WS-Trust、OpenID 和 SAML Passive 之间有什么区别?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/3560787/