saml | 易学教程

What's the difference between ADFS, WIF, WS Federation, SAML, and STS?

阅读更多关于 What's the difference between ADFS, WIF, WS Federation, SAML, and STS?

These are numerous technologies and buzzwords used for single sign-on with Microsoft services. Can someone explain ADFS, WIF, WS Federation, SAML, and STS (Security token service), including where and when each is being used. nzpcmad From a big picture viewpoint: Assume an ASP.NET browser-based application that requires authentication and authorization. The application can roll its own or it can outsource it. WIF is a .NET library that allows ASP.NET to implement this outsourcing. It talks to an STS ( ADFS is an instance of an STS) which authenticates against an identity repository and

SAML 2.0 SSO for Ruby on Rails? [closed]

阅读更多关于 SAML 2.0 SSO for Ruby on Rails? [closed]

问题 Where can I dig up a Ruby or Ruby on Rails library for SAML 2.0 SSO. I have a set of enterprise applications that are to be built but need to have federated login from a central authentication system. I have used SAML 1.1 and SAML 2.0 in a Microsoft .Net environment but have yet to see a library that handles both SAML Providers and Consumers for Ruby on Rails. Can someone point me in the right direction or tell me if I need to build the library myself? 回答1: The best places to look are Ruby

How do I talk to ADFS from Java? [closed]

阅读更多关于 How do I talk to ADFS from Java? [closed]

问题 Closed . This question needs to be more focused. It is not currently accepting answers. Want to improve this question? Update the question so it focuses on one problem only by editing this post. Closed 3 years ago . We have a website running on Caucho Resin. The great majority of the site is JSP/Java. We have our own custom authentication on the site, meaning we aren't using any third party authentication frameworks. We host the website, not our clients. Our large clients want to have their

转载 | 单点登录五大方案及最佳工具推荐（国际版）

阅读更多关于转载 | 单点登录五大方案及最佳工具推荐（国际版）

单点登录 (SSO) 可减少弱密码风险和账户访问管理开销。本文介绍顶级单点登录解决方案提供商。另外，推荐国内 IDaaS 新秀 Authing.cn 的SSO方案：用 Authing 10 分钟实现 SSO 单点登录 (SSO) 集中了会话和用户身份验证服务，仅需一组凭证即可登录多个应用。用户体验、IT 管理效率和安全程度都有所提升。密码丢失或弱密码风险也可藉由 SSO 加以缓解，与账户访问管理有关的开销更是能得到大幅降低。如果您尚未实现任何 SSO 或身份管理工具，亦或正在寻求升级，下面的 SSO 工具大盘点可带领您对 SSO 市场有个初步了解。今天的威胁环境中，密码管理的分量越来越重，有必要让用户抛弃重复使用老旧密码的恶劣习惯。 SSO 五大基本策略 1. 企业密码管理器如果开销和 IT 支持都成问题，1Password 或 Lastpass（如今归属 LogMeln）这样的企业密码管理器是个不错的开始。此类产品很适合集中保存所有密码，便于在需要时插入登录进程中。而且各种应用场景都适用，比如浏览器和智能手机登录。但除了访问密码库，这种产品一般不支持多因子身份验证 (MFA)。费率大约在每月每用户 8 美元左右。 2. 全方位 SSO 解决方案该方案比使用静态密码要好一些。如果员工数量超 100 人，IT 支持水平也过得去，上述密码管理工具的局限性就很明显了

How to implement or integrate single sign on with SAML and Shibboleth

阅读更多关于 How to implement or integrate single sign on with SAML and Shibboleth

问题 We have two separate products, both including web app and server. We want to implement Single Sign On for both of them, so when a user has logged into one product, he can automatically access resources in the other product belonging to him. I have explored a little bit and find SAML is a good approach that we can take, but we are not sure how we want to proceed. Is it a good idea to implement our own Service Provider? I have looked at Shib SP, but looks like if I want to integrate it into my

转载 | 身份管理入门

阅读更多关于转载 | 身份管理入门

身份管理工具为IT经理提供了控制用户对公司关键信息访问的工具和技术什么是身份管理？广义讲，身份管理系统（也称为身份及访问管理系统，或IAM系统）可在某个系统内管理个人身份，比如一家公司、一个网络，甚或一个国家。具体讲，企业IT中的ID管理，就是定义并管理单个网络用户的角色和访问权限，以及用户被赋予/拒绝这些权限的情况。 ID管理系统的核心目标，是每人一个身份。该数字ID一旦被建立，在每个用户的整个“访问生命周期”里都应受到维护、修改和监视。因此，用企业身份管理提供商 Okta 高级副总裁兼首席安全官亚希尔·阿布塞勒哈姆的话说**，ID管理的整体目标，是从用户系统登录到许可授权到按需登出，都能及时在正确的上下文中，为正确的用户，分配正确的企业资产访问权限。** ID管理系统为管理员提供各种工具和技术，可以修改用户角色，跟踪用户活动，创建活动报告，贯彻策略执行。这些系统的设计目标，是要提供在整个企业里管理用户访问的方法，以及确保符合企业策略和政府监管规定。 ID管理技术包括（但不限于）口令管理工具、配置软件、安全策略执行应用程序、报告和监视App，以及身份存储库。ID管理系统在内部部署系统（如微软SharePoint）和云系统（如微软 Office 365）都可用。 **ID管理系统必须足够灵活，足够健壮，才可以适应当今计算环境的复杂性。**原因之一

转载 | 身份互联网(IoI)来了，IAM将大放异彩

阅读更多关于转载 | 身份互联网(IoI)来了，IAM将大放异彩

IoT、移动性和紧迫的安全需求，意味着每个节点都必须有可信身份和连接网络服务的安全通道。现在每个人都在谈论IoT，理由充分：已有数十亿设备接入全球互联网，有些研究人员预测到2020年联网设备数量将达 500亿。仅此一项，就让CISO的工作更难开展了，但安全高管还要面临其它相关挑战，包括：员工移动办公，倾向于利用各种设备访问公司应用；应用、工作负载和容器存在于私有或公共云，甚至在二者之间转换；更多设备、云应用和移动用户的增加，大幅扩大了攻击界面； CISO被迫以人手不足兼技能不够的网络安全团队，保护这不断增长的IT资产。传统安全过程、控制措施和技术手段，无法扩展满足当今IoT移动世界的安全挑战。这正是身份（例如：设备身份、用户身份、资产身份等等）大展拳脚的地方。源和目的之间，必须通过2/3层协议和用户名及口令连接。更进一步，互联网上所有东西都必须有个可信身份，这些可信身份将用于引导并监视安全连接。这一趋势被称为“ 身份互联网(IoI) ”，符合我们目前跟踪的多个安全趋势。比如说，可信身份，就处于微分隔和软件定义边界(SDP)之类联网趋势的中心。只要知道设备或人的身份，以及该设备或人想连接的应用或服务的身份，就可以验证各实体，检查策略引擎以确保这是授权连接；分隔并加密源和目的之间的流量，并维护对连接甚至俩节点间所有数据包的审计日志。基本上

转载 | 企业和消费者身份的融合表明统一身份时代的到来

阅读更多关于转载 | 企业和消费者身份的融合表明统一身份时代的到来

企业和消费者身份的融合，为黑客创建了一个巨大的攻击界面。我们应探讨二者趋同的各种方式，以及安全社区应做出的响应。多因子同化现象一些双因子身份验证方法，是为消费者创建而随后被企业采用的；另外一些，则是为企业创建而被个人用户采纳的。 1. 生物特征识别包含嵌入原生App中的指纹扫描器和虹膜扫描器，供消费者和企业身份验证使用。用心率验证身份的Nymi腕带就是其中一个极好的例子。 2. 基于上下文的身份验证最为消费者熟知的，是“在此设备上记住我”勾选框，或者Visa验证和MasterCard安全码(McSc)。从陌生设备登录时，用户就会被要求用额外的因子(如一次性口令(OTP))验证自身身份。 3. 单击身份验证通过点击移动设备上的按钮进行用户身份验证，消费者服务和企业都有提供。工作场所和家中的单点登录相信都听说过口令疲劳吧？我们日常生活中总是需要记住很多口令，登录流行应用的时候难免焦虑。在任何可行的地方实现单点登录解决方案(SSO)，可以仅验证一次，后续就能在访问各种资源的时候自动验证，有效消除这种沮丧和焦虑。企业世界中，SSO体验通过使用口令存储库或联合身份验证协议(如Kerberos、SAML和Open ID Connect)创建。消费者世界中，尽管也有面向消费者的口令存储库，却是SSO的前身——联合身份验证协议，一统江湖。当你点击“用谷歌账户登录”按钮时，就是

Consume SAMLResponse Token

阅读更多关于 Consume SAMLResponse Token

SAML sp-based authentication has following short workflow. User wants to access application at sp. sp sends SAMLRequest token to idp. idp consume it and generate SAMLResponse token. idp sends this SAMLResponse token to AC-URL given by sp. My Question is how sp consume this SAMLResponse token. What is the logic? If I can get some JAVA code help it will be beneficial. Gaucho The next recipe is working for me: Get the SAMLResponse token and decode it and inflate: // Base64 decode Base64 base64Decoder = new Base64(); byte[] xmlBytes = encodedXmlString.getBytes("UTF-8"); byte[]

WIF 4.5 BootstrapContext security token null

阅读更多关于 WIF 4.5 BootstrapContext security token null

I am using the new 4.5 WIF stuff to authenticate users of the website and to secure the communication between my MVC website and WCF services. I have the website configured to save the bootstrap context so that I can re-use the same security token for all requests to the service layer. Under normal conditions all is working fine with each website request authenticated and the SecurityToken made available via the context to secure the WCF calls. If however the websites app domain is reset (e.g. building the app while developing) any requests to the website will still be authenticated but the

订阅 saml