380 likes | 523 Vues
Aplikacja od SaaS do IdaaS. Tomek Onyszko, tomasz.onyszko@predica.pl, @ tonyszko. Tomek Onyszko . mv p – enter p rise security (od 2005 – usługi katalogowe) identity architect @ blog – http://onyszko.com twitter: @ tonyszko
E N D
Aplikacja od SaaS do IdaaS Tomek Onyszko, tomasz.onyszko@predica.pl, @tonyszko
Tomek Onyszko • mvp– enterprisesecurity (od 2005 – usługi katalogowe) • identityarchitect @ • blog – http://onyszko.com • twitter: @tonyszko • speaker – TechEd, MTS, The Experts Conference, community
tożsamośćikontekst Architekt Prelegent Prywatnie - ojciec
aplikacjeitożsamość Ustalićkontekst Autoryzacja Uwierzytelnienie
problemyobecnegopodejścia • wymaga od aplikacjiutrzymywaniainformacji o tożsamości • zarządzaniepoświadczeniami • ryzykowyciekudanychikoniecznośćnimzarządzania
świat 20xx … raczejszybko • niekontrolujemyinfrastruktury–IaaS • niekontrolujemyaplikacji – SaaS • niekontrolujemyurządzeń – BYOD • urządzenie … to wszystkodookoła – IoT (IoEE)
API stupid … API economy • API bedą (są?) głównymsposobemwymianydanych • ilośćotwartych API gwałtownierośnie • przewidywane 250k API w 2016 • API potrzebujątożamości
Identity is a new king! Web \ Mobile Enteprise APIs
A gdybyspróbowaćinaczej • Identity Provider (IdP) – usługauwierzytelenieniaużytkowników • Informacja o tożamości • STS – Security Token Service • Relaying party (RP) – aplikacjakorzystająca z IdP • Delegujeuwierzytelnienie do IdP • Zaufanie • Informacja
podejściepierwsze - enterprise • SAML = Security Assertation Markup Language • opartyna SOAP /XML • Standaryzowanyprzez OASIS • wspieranyprzezrozwiązania SSO iaplikacje enterprise (ale nietylko) • głównezastosowanie • Web SSO • Act-AS – dostęp do web services
SAML – jakdziała Identity Provider Relaying party Użytkownik
problemy z SAML • relacja 1:1 pomiędzyIdP a RP • Skalowanie w sieciprzyrosnącejilości API \ aplikacji • zarządzanierelacjami • skomplikowanydladeveloperów • protokoły • specyfikacjaformatutokenów • wiele profile • Act-As - delegacja
OAuth 2.0 • Protokółprotokołów (framework) • Definiujeprzepływinformacji • Pozostawiaswobodęimplementacji • Adresuje • Delegacjędostępu • Brakwymianyhasła • Odwołaniedostępu • Nie jest to protokółuwierzytelnienia
OAuth 2.0 – jakdziała Authorization Server (IdP) Resources Server (API) {by ref} {scopes} • API: • wiekim jest owner • kim jest klient • kim jest IdP Resource Owner Klient (web site)
OAuth 2.0 – problemy • OAuthnie jest protokołemuwierzytelnienia • dostęp do zasobuidelegacja • nieprzekazujeinformacji o uwierzytelnieniuitożsamości • niedostarczainformacji o tożsamości • wymianatokenówdostępu • delegacjadostępu do API (zasobu)
OpenID Connect • zbudowanynaOAuth 2.0 (protocol of protocols) • protokółfederacji • Dodajeinformację o tożsamości do wymianywiadomościOAuth 2.0 • oparty o format JWT (JSON Web Token) • wprowadzauserinfoendpoint • pobranieinformacji o tożsamości • pobraniekolejnychtokenów • OpenID != OpenID Connect
OpenID Connect – jakdziała Relaying party \ client Authorization Server (IdP) {scopes} {openid} Użytkownik (przeglądarka)
ID token • access token -> przeznaczonydla API • ID token -> przeznaczonydlaklienta • dlakogowydany -> klient • informacje o tożsamości • metodauwierzytelnienia • kto go wydał • data wygaśnięcia
OpenID Connect: uwierzytelnienie • Definiujeprzepływ ale niemetodęuwierzytelnienia • Pozwalanazastosowaniesilnegouwierzytelnienia \ MFA
web finger • Web finger – usługadiscoverydla RP • E-mail jakoidentyfikator -> joe@example.com
discovery • OpenID Connect zawieraspecyfikacjędiscovery dlausług
automatycznarejestracja • Rejestracjaklienta -> client_id • Automatycznarejestracja z dostawcąOpenID Connect
Model oparty o IdP \ AuthZ Server • IdP • Uniezależnianas od źródłaiimplementacjimetodyuwierzytelnienia • Autoryzacjaoparta o informacji o tożsamości • SAML • Informacja o tożsamości \ delegacja • OAuth 2.0 • Framework dlainnychprotokołów • Delegacjadostępu -> API Economy • OpenID Connect • “SAML nasterydach” namiaręczasówiwymagań
Dziękuję! -> wypełnijcieankiety ;) • twitter: @tonyszko