OAuth, SAML y OpenID: Comparación

Questions and Answers

¿Cuál es el propósito principal de SAML?

Permitir autenticación y autorización (correct)

Facilitar la autenticación descentralizada

Utilizar identificadores como medio de autenticación

Proveer autorización únicamente

¿Qué modelo utiliza OpenID para la autenticación?

Modelo cliente-servidor

Modelo OAuth

Modelo federado

Modelo descentralizado (correct)

¿Qué tipo de datos utiliza OAuth para solicitar acceso a recursos?

Certificados digitales

Aserciones en formato XML

Identificadores URI

Tokens codificados en JSON o URL (correct)

¿Cuál de las siguientes afirmaciones sobre SAML es incorrecta?

SAML utiliza tokens en formato JSON.

¿Qué característica de OpenID lo distingue de OAuth y SAML?

No especifica qué acciones puede realizar el usuario

¿Cuál es una desventaja del sistema OAuth?

Puede generar confusión por múltiples versiones

¿Qué estándar se utiliza generalmente para la autenticación a través de identidades en línea existentes?

OpenID

¿Qué mecanismo de seguridad es común entre SAML, OpenID y OAuth?

Uso de HTTPS y TLS

¿Cuál es la función principal de OAuth en el contexto de la autorización?

Permitir acceso a recursos sin compartir credenciales.

¿Qué permite hacer SAML en relación al inicio de sesión?

Habilitar el inicio de sesión único en múltiples servicios.

¿Cuál de las siguientes afirmaciones sobre OAuth 2 es correcta?

Define diferentes roles, incluidos el propietario del recurso y el servidor de autorización.

¿Qué implica el uso conjunto de OAuth y OpenID Connect?

Autenticación y autorización combinadas.

¿Cuál de los siguientes roles NO forma parte del modelo de OAuth?

Proveedor de identidad.

¿Qué estándar permite la autenticación y autorización a través de un formato XML?

SAML

¿Cuál de los siguientes es un desafío común relacionado con la implementación de OAuth?

Gestión de distintos métodos de autenticación.

¿Cómo se diferencia OAuth de OpenID Connect?

Mientras OAuth se centra en la autorización, OpenID Connect se centra en la autenticación.

¿Cuál es el rol del 'Resource Owner' en el modelo de OAuth?

Proporcionar acceso a los recursos autorizados

¿Qué principal funcionalidad proporciona SAML a los usuarios?

Permitir la autenticación a través de múltiples proveedores de servicios

¿Cuál es la diferencia clave entre OAuth y OpenID Connect?

OAuth se utiliza para la autorización, OpenID Connect se utiliza para la autenticación

¿Qué aspecto de OAuth lo diferencia como un estándar de autorización?

Emplea tokens para gestionar el acceso temporal a recursos

¿Cuáles son los roles que se definen en OAuth 2?

Propietario de Recursos, Cliente, Servidor de Recursos, Servidor de Autorización

¿Cómo se compara la interoperabilidad entre OAuth, SAML y OpenID?

Los tres protocolos pueden usarse juntos para mejorar la seguridad

¿Cuál es un desafío común relacionado con la implementación de SAML?

La complejidad en la configuración del proveedor de identidad

¿Cuál de los siguientes enunciados describe mejor a OpenID?

Un estándar de autenticación que permite acceso a múltiples servicios

¿Qué característica fundamental distingue a OpenID de SAML?

Permite usar identidades en línea existentes.

¿Cuál de los siguientes no es un modelo utilizado por SAML?

Modelo de cliente-servidor.

En términos de seguridad, ¿qué mecanismo utiliza SAML para garantizar la seguridad de las aserciones?

Cifrado XML y firmas digitales.

¿Cuál de las siguientes afirmaciones sobre OAuth es correcta?

Utiliza tokens codificados en JSON o URL.

¿Cuál es una limitación de OpenID en comparación con SAML y OAuth?

No proporciona autorización por sí mismo.

¿Qué tipo de información intercambia SAML principalmente entre el IdP y los SP?

Información sobre identidad, atributos y permisos.

¿Qué característica compartida tienen OAuth, SAML y OpenID?

Facilitan la autenticación de usuarios.

¿Cuál es la principal función de un proveedor de identidad (IdP) en SAML?

Autenticar la identidad del usuario.

¿Cuál de las siguientes afirmaciones describe mejor la diferencia entre autenticación y autorización?

La autenticación es el proceso de verificar una identidad, y la autorización es verificar qué puede hacer un usuario.

Antes de la implementación de OAuth, ¿cuál era uno de los métodos más comunes para gestionar la autorización en APIs?

Compartir directamente el usuario y la contraseña.

¿Qué problema surge al compartir directamente el usuario y la contraseña con un servicio?

Se crea un escenario de suplantación de identidad.

¿Qué acción puede llevar a cabo un usuario en una lista compartida de Spotify según el proceso de autorización?

Añadir canciones a la lista compartida.

¿Cuál es una característica notable de OAuth 2.0 en comparación con los métodos de autenticación tradicionales?

Facilita la delegación de permisos sin el intercambio de credenciales.

¿Qué aspecto es crucial en el proceso de autorización tras la autenticación?

Las acciones permitidas son determinadas por permisos específicos.

Al considerar la implementación de OAuth, ¿cuál es una ventaja significativa en el contexto de la seguridad?

Ofrece un mayor control sobre el acceso a las APIs al evitar el intercambio de credenciales.

En el contexto de OAuth, ¿qué caracteriza la 'suplantación de identidad'?

El uso de aplicaciones que actúan en nombre del usuario sin su conocimiento.

¿Cuál es la principal vulnerabilidad asociada a la utilización de cookies en aplicaciones web?

Cross-Site Request Forgery (CSRF)

¿Qué limitación tienen las API Keys en comparación con OAuth?

Identificación de usuarios

En el contexto de OAuth 2.0, ¿qué representa el parámetro 'state' en la autorización?

Consentimiento del usuario

¿Cuál es el flujo recomendado para aplicaciones que pueden guardar un secreto en OAuth 2.0?

Authorization Code Flow

¿Cuál de las siguientes afirmaciones es cierta sobre 'client_secret' en OAuth?

Debe ser protegido en el cliente

¿Qué tipo de cliente se considera menos seguro al utilizar OAuth?

Public clients

¿Cuál es el propósito principal de OAuth?

Autorizar aplicaciones a realizar acciones en nombre del usuario

En OAuth 2.0, ¿qué son los 'scopes'?

Permisos para acceder a recursos protegidos

¿Qué debe hacer un usuario para permitir el acceso a una aplicación mediante OAuth?

Consentir y aceptar las solicitudes de permisos

¿Qué ocurre con el token de acceso en el flujo que no requiere un código intermedio?

Se expone directamente al usuario final

¿Por qué es problemático el uso de una aplicación JavaScript en el contexto de OAuth?

El client_secret podría ser visible para el usuario

¿Qué problema presenta un flujo de autorización sin un secreto protegido?

Mayor posibilidad de ataque

¿Qué representa el parámetro 'code' en el flujo de autorización?

El consentimiento y autorización del usuario

¿Cuál es la razón por la que ya no se recomienda el uso del flujo mencionado para aplicaciones web?

Se ha desarrollado un flujo más seguro llamado PKCE.

¿Qué describe mejor el tipo de flujo donde la aplicación cliente es el propietario de los recursos?

Comunicación solo entre máquinas.

¿Qué es un refresh token en el contexto de OAuth 2.0?

Un token que permite renovar el access token cuando este expira.

¿Qué flujo de autorización se considera deprecado y no debería usarse en aplicaciones modernas?

Implicit Flow.

¿Cuál de las siguientes afirmaciones sobre los tipos de flujos en OAuth es correcta?

El flujo Implicit Flow no almacena secretos en el cliente.

¿Qué complementa a OAuth al facilitar la autenticación de usuarios?

OpenID Connect.

¿Qué es el ID token en el contexto de OpenID Connect?

Un token que proporciona información sobre el usuario autorizado.

¿Qué tipo de aplicaciones se beneficiarán de la implementación de PKCE?

Aplicaciones que requieren integración con el gestor de contraseñas.

¿Qué limita el uso de refresh tokens en OAuth 2.0?

Están limitados a Authorization Code y ROPC.

¿Cuál es la estructura básica de un JSON Web Token (JWT)?

Tres partes separadas por puntos.

¿Qué flujo nuevo se introdujo con OpenID Connect que combina dos flujos existentes?

Hybrid Flow.

¿Cuál de las siguientes afirmaciones sobre los navegadores embebidos en aplicaciones es correcta?

No son seguros y su uso debe evitarse.

¿Qué desventaja presenta el uso de access tokens con tiempo de expiración?

Provoca que el usuario deba autenticarse repetidamente.

¿Cuál es el principal propósito de OAuth 2.0?

Proteger APIs mediante autorización.

Study Notes

OAuth, SAML y OpenID: Comparación y Federacion

• OAuth: Estándar abierto de autorización que permite a las aplicaciones acceder a recursos de usuarios en plataformas como Facebook, GitHub o Google sin compartir sus credenciales.
• Usa tokens para definir el alcance y la duración del acceso.
• No es un protocolo de autenticación, se basa en otros métodos para verificar la identidad.
• Roles: Dueño de los recursos, Cliente, Servidor de recursos, Servidor de autorización.
• Flujos de autorización: Para aplicaciones web, de escritorio y dispositivos móviles.

SAML (Security Assertion Markup Language)

• Estándar basado en XML para autenticación y autorización.
• Permite inicio de sesión único (SSO) entre proveedores de identidad y servicios.
• Usa aserciones para intercambiar información de identidad, atributos y permisos entre el proveedor de identidad (IdP) y los proveedores de servicios (SP).
• Roles: Proveedor de identidad (IdP), Proveedor de servicios (SP).
• Arquitectura: Basada en un modelo federado.

OpenID

• Estándar abierto de autenticación que permite a los usuarios usar sus identidades en línea existentes para iniciar sesión en distintos servicios.
• Usa identificadores (URLs o URIs) para representar la identidad del usuario.
• No proporciona autorización.
• Se puede combinar con otros protocolos, como OAuth, para agregar autorización.

Comparación de OAuth, SAML y OpenID

• Propósito: OAuth para autorización, SAML para autenticación/autorización, OpenID para autenticación.
• Arquitectura: OAuth: cliente-servidor; SAML: federada; OpenID: descentralizada.
• Formato de datos: OAuth: tokens (JSON/URL); SAML: aserciones (XML); OpenID: identificadores (URLs/URIs).
• Seguridad: Todos utilizan HTTPS y TLS; SAML y OAuth pueden usar cifrado y firmas digitales.
• Complejidad: OAuth es más simple y flexible, pero con versiones y extensiones múltiples; SAML es más complejo pero con especificaciones claras; OpenID es simple pero con menor funcionalidad.

Uso conjunto de OAuth, SAML y OpenID

• Pueden usarse conjuntamente para lograr una solución integral de autenticación y autorización.
• OAuth puede proporcionar la autorización basada en el acceso a los recursos después de la autenticación de OpenID o SAML.

Description

Descubre las diferencias y similitudes entre OAuth, SAML y OpenID en este cuestionario. Aprenderás sobre sus roles, métodos de autenticación y flujos de autorización. Perfecto para quienes quieren profundizar en la seguridad y la federación de identidades en aplicaciones.