Embed Size (px)
Citation preview
• mvp – enterprise security (od 2005 – usługi katalogowe)
• identity architect @
• blog – http://onyszko.com
• twitter: @tonyszko
• speaker – TechEd, MTS, The Experts Conference, community
Tomek Onyszko
tożsamość i kontekst
AtrybutyImię: TomaszNazwisko: OnyszkoStanowisko: ArchitektFirma: Predica
Architekt
Prelegent
Prywatnie - ojciec
aplikacje i tożsamość
Windows Azure Active Directory
Ustalić kontekst Autoryzacja
Uwierzytelnienie
• wymaga od aplikacji utrzymywania informacji o tożsamości• zarządzanie poświadczeniami• ryzyko wycieku danych i
konieczność nim zarządzania
problemy obecnego podejścia
• nie kontrolujemy infrastruktury – IaaS• nie kontrolujemy aplikacji – SaaS• nie kontrolujemy urządzeń – BYOD• urządzenie … to wszystko dookoła – IoT
(IoEE)
świat 20xx … raczej szybko
• API bedą (są?) głównym sposobem wymiany danych• ilość otwartych API gwałtownie rośnie• przewidywane 250k API w 2016• API potrzebują tożamości
API stupid … API economy
Identity is a new king!
Web \ Mobile
Enteprise APIs
• Identity Provider (IdP) – usługa uwierzytelenienia użytkowników• Informacja o tożamości• STS – Security Token Service
• Relaying party (RP) – aplikacja korzystająca z IdP• Deleguje uwierzytelnienie do IdP
• Zaufanie
• Informacja
A gdyby spróbować inaczej
podejście pierwsze - enterprise
• SAML = Security Assertation Markup Language• oparty na SOAP /XML• Standaryzowany przez OASIS
• wspierany przez rozwiązania SSO i aplikacje enterprise (ale nie tylko)
• główne zastosowanie• Web SSO• Act-AS – dostęp do web services
SAML – jak działa
Windows Azure Active Directory
Windows Azure Active Directory
Identity Provider Relaying party
Użytkownik
• relacja 1:1 pomiędzy IdP a RP• Skalowanie w sieci przy rosnącej ilości API \
aplikacji• zarządzanie relacjami
• skomplikowany dla developerów• protokoły• specyfikacja formatu tokenów• wiele profile• Act-As - delegacja
problemy z SAML
SAML is not dead
new kids on the block
• Protokół protokołów (framework)• Definiuje przepływ informacji • Pozostawia swobodę implementacji
• Adresuje• Delegację dostępu• Brak wymiany hasła• Odwołanie dostępu
• Nie jest to protokół uwierzytelnienia
OAuth 2.0
OAuth 2.0 – jak działa
Windows Azure Active Directory
Windows Azure Active Directory
Authorization Server (IdP)
Resource Owner
Resources Server (API)
Windows Azure Active Directory
Klient (web site)
{by ref}
API:• wie kim jest owner• kim jest klient• kim jest IdP
{scopes}
OAuth 2.0 – problemy
• OAuth nie jest protokołem uwierzytelnienia• dostęp do zasobu i delegacja• nie przekazuje informacji o uwierzytelnieniu i
tożsamości
• nie dostarcza informacji o tożsamości• wymiana tokenów dostępu • delegacja dostępu do API (zasobu)
• zbudowany na OAuth 2.0 (protocol of protocols)• protokół federacji
• Dodaje informację o tożsamości do wymiany wiadomości OAuth 2.0
• oparty o format JWT (JSON Web Token)• wprowadza userinfo endpoint
• pobranie informacji o tożsamości• pobranie kolejnych tokenów
• OpenID != OpenID Connect
OpenID Connect
OpenID Connect – jak działa
Windows Azure Active Directory
Windows Azure Active Directory
Authorization Server (IdP) Relaying party \ client
Użytkownik (przeglądarka)
{scopes}{openid}
• access token -> przeznaczony dla API• ID token -> przeznaczony dla klienta
• dla kogo wydany -> klient• informacje o tożsamości• metoda uwierzytelnienia• kto go wydał• data wygaśnięcia
ID token
• Definiuje przepływ ale nie metodę uwierzytelnienia• Pozwala na zastosowanie silnego
uwierzytelnienia \ MFA
OpenID Connect: uwierzytelnienie
• OpenID Connect zawiera specyfikację discovery dla usług
discovery
• Rejestracja klienta -> client_id• Automatyczna rejestracja z dostawcą OpenID
Connect
automatyczna rejestracja
DIFFERENT
• IdP• Uniezależnia nas od źródła i implementacji metody
uwierzytelnienia• Autoryzacja oparta o informacji o tożsamości
• SAML• Informacja o tożsamości \ delegacja
• OAuth 2.0• Framework dla innych protokołów• Delegacja dostępu -> API Economy
• OpenID Connect• “SAML na sterydach” na miarę czasów i wymagań
Model oparty o IdP \ AuthZ Server
get on-board
get on-board
36
Dziękuję! -> wypełnijcie ankiety ;)twitter: @tonyszko
