OAuth, SAML y OpenID: Comparación

Questions and Answers

¿Cuál es el propósito principal de SAML?

• Permitir autenticación y autorización (correct)
• Facilitar la autenticación descentralizada
• Utilizar identificadores como medio de autenticación
• Proveer autorización únicamente

¿Qué modelo utiliza OpenID para la autenticación?

• Modelo cliente-servidor
• Modelo OAuth
• Modelo federado
• Modelo descentralizado (correct)

¿Qué tipo de datos utiliza OAuth para solicitar acceso a recursos?

• Certificados digitales
• Aserciones en formato XML
• Identificadores URI
• Tokens codificados en JSON o URL (correct)

¿Cuál de las siguientes afirmaciones sobre SAML es incorrecta?

SAML utiliza tokens en formato JSON. (B)

¿Qué característica de OpenID lo distingue de OAuth y SAML?

No especifica qué acciones puede realizar el usuario (B)

¿Cuál es una desventaja del sistema OAuth?

Puede generar confusión por múltiples versiones (B)

¿Qué estándar se utiliza generalmente para la autenticación a través de identidades en línea existentes?

OpenID (A)

¿Qué mecanismo de seguridad es común entre SAML, OpenID y OAuth?

Uso de HTTPS y TLS (B)

¿Cuál es la función principal de OAuth en el contexto de la autorización?

Permitir acceso a recursos sin compartir credenciales. (A)

¿Qué permite hacer SAML en relación al inicio de sesión?

Habilitar el inicio de sesión único en múltiples servicios. (A)

¿Cuál de las siguientes afirmaciones sobre OAuth 2 es correcta?

Define diferentes roles, incluidos el propietario del recurso y el servidor de autorización. (D)

¿Qué implica el uso conjunto de OAuth y OpenID Connect?

Autenticación y autorización combinadas. (C)

¿Cuál de los siguientes roles NO forma parte del modelo de OAuth?

Proveedor de identidad. (A)

¿Qué estándar permite la autenticación y autorización a través de un formato XML?

SAML (B)

¿Cuál de los siguientes es un desafío común relacionado con la implementación de OAuth?

Gestión de distintos métodos de autenticación. (B)

¿Cómo se diferencia OAuth de OpenID Connect?

Mientras OAuth se centra en la autorización, OpenID Connect se centra en la autenticación. (A)

¿Cuál es el rol del 'Resource Owner' en el modelo de OAuth?

Proporcionar acceso a los recursos autorizados (D)

¿Qué principal funcionalidad proporciona SAML a los usuarios?

Permitir la autenticación a través de múltiples proveedores de servicios (A)

¿Cuál es la diferencia clave entre OAuth y OpenID Connect?

OAuth se utiliza para la autorización, OpenID Connect se utiliza para la autenticación (B)

¿Qué aspecto de OAuth lo diferencia como un estándar de autorización?

Emplea tokens para gestionar el acceso temporal a recursos (B)

¿Cuáles son los roles que se definen en OAuth 2?

Propietario de Recursos, Cliente, Servidor de Recursos, Servidor de Autorización (B)

¿Cómo se compara la interoperabilidad entre OAuth, SAML y OpenID?

Los tres protocolos pueden usarse juntos para mejorar la seguridad (A)

¿Cuál es un desafío común relacionado con la implementación de SAML?

La complejidad en la configuración del proveedor de identidad (A)

¿Cuál de los siguientes enunciados describe mejor a OpenID?

Un estándar de autenticación que permite acceso a múltiples servicios (D)

¿Qué característica fundamental distingue a OpenID de SAML?

Permite usar identidades en línea existentes. (D)

¿Cuál de los siguientes no es un modelo utilizado por SAML?

Modelo de cliente-servidor. (C)

En términos de seguridad, ¿qué mecanismo utiliza SAML para garantizar la seguridad de las aserciones?

Cifrado XML y firmas digitales. (A)

¿Cuál de las siguientes afirmaciones sobre OAuth es correcta?

Utiliza tokens codificados en JSON o URL. (C)

¿Cuál es una limitación de OpenID en comparación con SAML y OAuth?

No proporciona autorización por sí mismo. (C)

¿Qué tipo de información intercambia SAML principalmente entre el IdP y los SP?

Información sobre identidad, atributos y permisos. (C)

¿Qué característica compartida tienen OAuth, SAML y OpenID?

Facilitan la autenticación de usuarios. (A)

¿Cuál es la principal función de un proveedor de identidad (IdP) en SAML?

Autenticar la identidad del usuario. (C)

¿Cuál de las siguientes afirmaciones describe mejor la diferencia entre autenticación y autorización?

La autenticación es el proceso de verificar una identidad, y la autorización es verificar qué puede hacer un usuario. (A)

Antes de la implementación de OAuth, ¿cuál era uno de los métodos más comunes para gestionar la autorización en APIs?

Compartir directamente el usuario y la contraseña. (B)

¿Qué problema surge al compartir directamente el usuario y la contraseña con un servicio?

Se crea un escenario de suplantación de identidad. (B)

¿Qué acción puede llevar a cabo un usuario en una lista compartida de Spotify según el proceso de autorización?

Añadir canciones a la lista compartida. (C)

¿Cuál es una característica notable de OAuth 2.0 en comparación con los métodos de autenticación tradicionales?

Facilita la delegación de permisos sin el intercambio de credenciales. (B)

¿Qué aspecto es crucial en el proceso de autorización tras la autenticación?

Las acciones permitidas son determinadas por permisos específicos. (A)

Al considerar la implementación de OAuth, ¿cuál es una ventaja significativa en el contexto de la seguridad?

Ofrece un mayor control sobre el acceso a las APIs al evitar el intercambio de credenciales. (A)

En el contexto de OAuth, ¿qué caracteriza la 'suplantación de identidad'?

El uso de aplicaciones que actúan en nombre del usuario sin su conocimiento. (C)

¿Cuál es la principal vulnerabilidad asociada a la utilización de cookies en aplicaciones web?

Cross-Site Request Forgery (CSRF) (A)

¿Qué limitación tienen las API Keys en comparación con OAuth?

Identificación de usuarios (B)

En el contexto de OAuth 2.0, ¿qué representa el parámetro 'state' en la autorización?

Consentimiento del usuario (C)

¿Cuál es el flujo recomendado para aplicaciones que pueden guardar un secreto en OAuth 2.0?

Authorization Code Flow (A)

¿Cuál de las siguientes afirmaciones es cierta sobre 'client_secret' en OAuth?

Debe ser protegido en el cliente (C)

¿Qué tipo de cliente se considera menos seguro al utilizar OAuth?

Public clients (D)

¿Cuál es el propósito principal de OAuth?

Autorizar aplicaciones a realizar acciones en nombre del usuario (B)

En OAuth 2.0, ¿qué son los 'scopes'?

Permisos para acceder a recursos protegidos (A)

¿Qué debe hacer un usuario para permitir el acceso a una aplicación mediante OAuth?

Consentir y aceptar las solicitudes de permisos (C)

¿Qué ocurre con el token de acceso en el flujo que no requiere un código intermedio?

Se expone directamente al usuario final (D)

¿Por qué es problemático el uso de una aplicación JavaScript en el contexto de OAuth?

El client_secret podría ser visible para el usuario (D)

¿Qué problema presenta un flujo de autorización sin un secreto protegido?

Mayor posibilidad de ataque (A)

¿Qué representa el parámetro 'code' en el flujo de autorización?

El consentimiento y autorización del usuario (C)

¿Cuál es la razón por la que ya no se recomienda el uso del flujo mencionado para aplicaciones web?

Se ha desarrollado un flujo más seguro llamado PKCE. (B)

¿Qué describe mejor el tipo de flujo donde la aplicación cliente es el propietario de los recursos?

Comunicación solo entre máquinas. (D)

¿Qué es un refresh token en el contexto de OAuth 2.0?

Un token que permite renovar el access token cuando este expira. (A)

¿Qué flujo de autorización se considera deprecado y no debería usarse en aplicaciones modernas?

Implicit Flow. (A)

¿Cuál de las siguientes afirmaciones sobre los tipos de flujos en OAuth es correcta?

El flujo Implicit Flow no almacena secretos en el cliente. (A)

¿Qué complementa a OAuth al facilitar la autenticación de usuarios?

OpenID Connect. (B)

¿Qué es el ID token en el contexto de OpenID Connect?

Un token que proporciona información sobre el usuario autorizado. (C)

¿Qué tipo de aplicaciones se beneficiarán de la implementación de PKCE?

Aplicaciones que requieren integración con el gestor de contraseñas. (A)

¿Qué limita el uso de refresh tokens en OAuth 2.0?

Están limitados a Authorization Code y ROPC. (D)

¿Cuál es la estructura básica de un JSON Web Token (JWT)?

Tres partes separadas por puntos. (D)

¿Qué flujo nuevo se introdujo con OpenID Connect que combina dos flujos existentes?

Hybrid Flow. (A)

¿Cuál de las siguientes afirmaciones sobre los navegadores embebidos en aplicaciones es correcta?

No son seguros y su uso debe evitarse. (C)

¿Qué desventaja presenta el uso de access tokens con tiempo de expiración?

Provoca que el usuario deba autenticarse repetidamente. (A)

¿Cuál es el principal propósito de OAuth 2.0?

Proteger APIs mediante autorización. (D)

Flashcards

¿Qué es OAuth?

Estándar abierto para la autorización que permite a los usuarios conceder acceso a sus recursos (ej: archivos de Google Drive) a otra plataforma sin compartir sus credenciales.

¿Qué es SAML?

Estándar basado en XML para autenticación y autorización, permitiendo inicio de sesión único (SSO) en múltiples plataformas sin volver a ingresar credenciales.

¿Qué es OpenID?

(No especificado en el texto proporcionado).

¿Cómo se comparan OAuth, SAML y OpenID?

OAuth se enfoca en la autorización de acceso, SAML en la autenticación y inicio de sesión único, y OpenID (no especificado) posiblemente en la verificación de identidad. Sus usos y enfoques son diferentes.

¿Cómo se usan OAuth, SAML y OpenID juntos?

Aunque el texto no explica cómo se combinan, OAuth puede trabajar con OpenID Connect para la verificación de identidad, y SAML establece el inicio/cierre de sesión.

¿Cuáles son los beneficios y desafíos de usar OAuth, SAML y OpenID?

Beneficios: Acceso seguro a recursos, inicio de sesión único. Desafíos: Complejidad de la implementación, mantenimiento, seguridad de las credenciales (que no se comparten).

OAuth Roles

OAuth define cuatro roles: Dueño del recurso, Cliente, Servidor de recursos y Servidor de autorización.

SAML

Un protocolo de autenticación basado en XML que permite el intercambio de información de autenticación y autorización entre dominios federados.

IDP

Proveedor de identidad en SAML, responsable de verificar la identidad de los usuarios.

SP

Proveedor de servicio en SAML, que solicita la información de los usuarios al IDP.

OpenID

Estándar abierto para autenticación que permite a los usuarios utilizar sus identidades online existentes para iniciar sesión en otros sitios.

OAuth

Protocolo principalmente utilizado para autorización, permitiendo a los clientes solicitar acceso a recursos de usuario en un servidor.

Autenticación

Proceso de verificar la identidad de un usuario.

Autorización

Proceso de determinar los permisos de un usuario para acceder a recursos.

Modelo Cliente-Servidor

Arquitectura en la que un cliente solicita un servicio a un servidor.

Modelo Federado

Arquitectura en la que entidades confían entre sí para el intercambio de información de seguridad.

Modelo Descentralizado

Arquitectura donde no hay un centro de control, sino que cada entidad tiene autonomía.

¿Qué es OAuth?

Estándar para autorizar el acceso a recursos de usuario. Permite a las apps pedir permiso para acceder a datos del usuario en otras plataformas sin compartir las credenciales.

SAML

Protocolo de autenticación y autorización basado en XML para el inicio de sesión único en múltiples plataformas.

IDP (Proveedores de Identidad)

Entidad que verifica la identidad de un usuario en SAML.

¿Qué es SAML?

Estándar basado en XML para autenticación y autorización, permitiendo inicio de sesión único en múltiples plataformas.

SP (Proveedores de Servicio)

Entidad que solicita la información de usuario al IDP en SAML.

¿Qué es OpenID?

Estándar de autenticación. Permite a los usuarios iniciar sesión en otras plataformas con sus credenciales existentes.

¿Cómo se comparan OAuth, SAML y OpenID?

OAuth se centra en la autorización, SAML en la autenticación y sesión única, y OpenID en la validación de identidad. Tienen enfoques distintos.

OpenID

Estándar abierto de autenticación que permite usar identidades online existentes en otros sitios web.

OAuth

Protocolo principalmente para autorización, permitiendo a clientes acceder a recursos de usuario sin compartir credenciales.

¿Cómo se usan OAuth, SAML y OpenID juntos?

Pueden trabajar juntos. OAuth gestiona el permiso de acceso, SAML la sesión única y OpenID la verificación de identidad. OpenID Connect es un derivado de OpenID que se usa mucho con OAuth.

Roles en OAuth

OAuth define cuatro roles: Dueño del Recurso, Cliente, Servidor de Recursos y Servidor de Autorización.

Autenticación

Proceso de verificar la identidad de un usuario.

IDP (SAML)

Proveedor de Identidad en SAML, responsable de verificar la identidad del usuario.

Autorización

Proceso de determinar los permisos de un usuario para acceder a recursos.

Modelo Cliente-Servidor

Arquitectura donde un cliente solicita servicios a un servidor.

SP (SAML)

Proveedor de Servicios en SAML, que solicita información de usuarios al IDP.

Modelo Federado

Arquitectura donde entidades confían entre sí para intercambio de información de seguridad.

Modelo Descentralizado

Arquitectura sin un centro de control, cada entidad con autonomía.

OAuth 2.0

Estándar para autorización de acceso a recursos. Permite a las aplicaciones pedir permiso para acceder a datos del usuario en otras plataformas.

OpenID Connect

Estándar de autenticación que permite a los usuarios iniciar sesión en otras plataformas con sus credenciales existentes.

JSON Web Tokens

Tokens que representan las autorizaciones y la información de seguridad del usuario.

Autenticación

Proceso de verificar la identidad de un usuario.

Autorización

Proceso de determinar los permisos de un usuario para acceder a recursos.

Credential Sharing

Método anterior de compartir credenciales de usuario directamente con el servicio.

Impersonation

Acceder a un recurso actuando como el usuario final.

API Keys

Claves únicas que identifican a una aplicación y otorgan acceso a la API.

Flujo implícito (OAuth 2.0)

Método de obtención de tokens de acceso sin intercambiar un código de autorización, lo que reduce el número de pasos, aunque es arriesgado.

Flujo de código de autorización (OAuth 2.0)

Método estándar de obtención de tokens donde un código se intercambia por un token de acceso.

Flujo de secretos de cliente (OAuth 2.0)

Método para aplicaciones con una relación de confianza establecida.

Refresh Tokens

Permite renovar tokens de acceso expirados sin interactuar nuevamente con el usuario.

PKCE (Proof Key for Code Exchange)

Método alternativo al flujo embebido para aplicaciones móviles que usa el navegador del sistema para autenticación, evitando un navegador dentro de la app.

OpenID Connect

Añade autenticación a OAuth 2.0, proporcionando información adicional del usuario (id_token).

JSON Web Token (JWT)

Estándar para la transmisión segura de información entre dos partes en formato JSON, usada por OpenID Connect.

Flujo híbrido (OAuth 2.0)

Combinación de flujos de autorización y secreto de cliente que permite acceso inmediato al id_token y llamadas adicionales al backend.

Cross-Site Request Forgery (CSRF)

Un ataque donde un sitio web malicioso engaña al navegador para que realice una acción en un sitio web al que el usuario está autenticado.

Cookies

Un pequeño archivo de texto que un servidor web guarda en el navegador de un usuario.

API Keys (Claves de API)

Claves que identifican a un proyecto y dan acceso completo a todas las operaciones de una API.

OAuth

Un framework para la autorización, no la autenticación, permitiendo a las aplicaciones pedir permiso al usuario para acceder a recursos en otras plataformas.

OAuth 2.0

Versión mejorada de OAuth, que utiliza scopes y diferentes flujos para gestionar permisos más específicos.

Scopes (OAuth)

Permisos específicos que define una aplicación para acceder a recursos.

Flujos (Flows) OAuth 2.0

Diferentes métodos para obtener tokens de acceso dependiendo del tipo de aplicación.

Confidential Clients

Aplicaciones que pueden guardar una contraseña (secreto) para mayor seguridad.

Public Clients (Clientes públicos)

Aplicaciones que no pueden guardar secretos y requieren un flujo específico para la autorización.

Authorization Code Flow

Flujo recomendado, seguro, para obtener access_token usando un código intermedio que solo la application sabe.

PKCE

Procedimiento dentro del Authorization Code Flow para mejorar la seguridad.

Study Notes

OAuth, SAML y OpenID: Comparación y Federacion

• OAuth: Estándar abierto de autorización que permite a las aplicaciones acceder a recursos de usuarios en plataformas como Facebook, GitHub o Google sin compartir sus credenciales.
• Usa tokens para definir el alcance y la duración del acceso.
• No es un protocolo de autenticación, se basa en otros métodos para verificar la identidad.
• Roles: Dueño de los recursos, Cliente, Servidor de recursos, Servidor de autorización.
• Flujos de autorización: Para aplicaciones web, de escritorio y dispositivos móviles.

SAML (Security Assertion Markup Language)

• Estándar basado en XML para autenticación y autorización.
• Permite inicio de sesión único (SSO) entre proveedores de identidad y servicios.
• Usa aserciones para intercambiar información de identidad, atributos y permisos entre el proveedor de identidad (IdP) y los proveedores de servicios (SP).
• Roles: Proveedor de identidad (IdP), Proveedor de servicios (SP).
• Arquitectura: Basada en un modelo federado.

OpenID

• Estándar abierto de autenticación que permite a los usuarios usar sus identidades en línea existentes para iniciar sesión en distintos servicios.
• Usa identificadores (URLs o URIs) para representar la identidad del usuario.
• No proporciona autorización.
• Se puede combinar con otros protocolos, como OAuth, para agregar autorización.

Comparación de OAuth, SAML y OpenID

• Propósito: OAuth para autorización, SAML para autenticación/autorización, OpenID para autenticación.
• Arquitectura: OAuth: cliente-servidor; SAML: federada; OpenID: descentralizada.
• Formato de datos: OAuth: tokens (JSON/URL); SAML: aserciones (XML); OpenID: identificadores (URLs/URIs).
• Seguridad: Todos utilizan HTTPS y TLS; SAML y OAuth pueden usar cifrado y firmas digitales.
• Complejidad: OAuth es más simple y flexible, pero con versiones y extensiones múltiples; SAML es más complejo pero con especificaciones claras; OpenID es simple pero con menor funcionalidad.

Uso conjunto de OAuth, SAML y OpenID

• Pueden usarse conjuntamente para lograr una solución integral de autenticación y autorización.
• OAuth puede proporcionar la autorización basada en el acceso a los recursos después de la autenticación de OpenID o SAML.