Get best of the week

نظرة عامة على تأمين المحيط: نشر الهوية وإدارة الوصول باستخدام برنامج مجاني مفتوح المصدر


نريد اليوم مشاركة الاكتشاف الأدبي المرتبط مباشرة بمجال موضوعنا.

موضوع إدارة الهوية والوصولفي الوقت الحالي مغلق تمامًا ، مما يخلق مشاكل بالنسبة لنا ، أولاً وقبل كل شيء ، باختيار المتخصصين المؤهلين تأهيلاً عالياً من المطور الرائد إلى RP والمهندس المعماري. يستغرق تدريب مثل هؤلاء المتخصصين الذين انتقلوا من مجال موضوع آخر الكثير من الوقت. لا تقل المشكلة هو الموقف الحذر من هذه المنطقة للعديد من العملاء الذين لا يفهمون "لماذا نحتاج إلى كل هذا" إذا كانت هناك بنية تحتية عادية للنطاق. على الرغم من حقيقة أن مؤلف الكتاب يوجه القارئ إلى إنشاء البنية التحتية IAM على أساس OSS ويعطي أمثلة على حلول محددة ، فإن القيمة الرئيسية للكتاب ، في رأينا ، هي تنظيم المجال وفئات المنتجات المصممة لحل المشكلات في مجال التعريف والمصادقة والإدارة الوصول ، وكذلك في وصف يمكن الوصول إليه للمعايير والتقنيات المفتوحة ،تجميعها في مكان واحد ووضعها على الرفوف.

:

  • IAM OSS- .
  • Enterprise- .
  • Software- Solution- , , .
  • IAM .
  • - — , SAML OpenID Connect, , , .

أدناه نعتبر فصول الكتاب ومحتوياته.

الفصل 1. المجال: IDM ، IAM ، IAG ، DS. IAM و DS كنقطة انطلاق. OpenSource و القليل من Gluu

يناقش هذا الفصل وظائف ومهام الهوية والتحكم في الوصول على مستوى المؤسسة (خدمة الهوية) ويقارن الحلول / المكونات التي تنفذ وظائف مثل هذا النظام - IDM (إدارة الهوية) ، IAM (إدارة الهوية والوصول) ، IAG ( إدارة الهوية والوصول) ، DS (خدمات الدليل). لمحة موجزة عن المعايير والتقنيات المتاحة في هذا المجال. الفصل هو الأساس لتشكيل صورة شاملة.

بالتفصيل
(Identity Service), enterprise- . « ». , . :

  • (Identity Management, IDM).
  • (Identity & Access Management, IAM)/
  • (Identity & Access Governance, IAG).
  • (Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

الفصل 2. دورة المقاتلين الشباب على LDAP. LDAP لمساعدة IAM. يوفر Data Showcase

Chapter 2 ملخصًا ضخمًا للغاية لكتاب غير LDAP يمكن قصه وقراءته بشكل منفصل عن الكتاب بأكمله. يحتوي على "دورة مقاتلة شابة" في LDAP لأولئك الذين لا يهتمون بـ LDAP نفسه ، لكنهم بحاجة إلى فهم هيكلها وآلياتها لحل المهام ذات الصلة. نظريًا وممارسة ، باستخدام تطوير تطبيق Python كمثال ، نصف مفهوم Data Mart لجمع بيانات متباينة حول الموجات فوق الصوتية في مكان واحد. لقد قيل القليل عن توصيل خادم Gluu بخادم LDAP كمصدر لبيانات KM.

بالتفصيل
, , LDAP, LDAP .

-10 LDAP :

  1. LDAP .
    : , — . — MS AD, LDAP-. MS AD .
  2. LDAP - .
    : , — .
  3. LDAP . / .
  4. LDAP- . .
  5. LDAP- (, ).
  6. .
  7. UNIX CLI-.
  8. .
  9. .
  10. LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

  • UNIX-way: ldapserach, ldapmodify, ldapdelete.
  • , : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

الفصل 3. SAML: الرحلات والبيانات والبروتوكولات. Snibboleth ID و Snibboleth SP. تم تخصيص Python-SAML

Chapter 3 بالكامل للبحث الشامل لـ SAML. يتم تقديم وصف واضح لهيكل عناصر SAML: العبارات والبروتوكولات والملفات الشخصية والمزيد. ولأغراض عملية ، يتم تقديم وصف للطرق المختلفة للتفاعل مع موفر هوية SAML ، بدءًا من نشر موفر هوية Snibboleth إلى استخدام مكتبة Python-SAML لهذه المهمة.

بالتفصيل
SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

الفصل 4. OAuth: ليس بروتوكولًا ، بل إطار عمل. انحراف. مثال مع Google API. مثال على Gluu Server شرح

مكان OAuth في "عالم" بروتوكولات المصادقة والتفويض. تم شرح بنية OAuth كإطار عمل للتفويض: أدوار المشاركين في تفاعلات OAuth (خادم التخويل ، خادم الموارد ، العميل) ، الرموز المميزة (Bearer و JWT) ، سيناريوهات التفاعل (ما يسمى "المنح"). مثال عملي على التفويض في واجهة برمجة تطبيقات Google باستخدام OAuth. ومثال عملي لإعداد OAuth في خادم Gluu.

بالتفصيل
, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

الفصل 5. اتصال OpenID. النظرية: الهيكل والمصطلحات. نشر موفر Gluu Server OIDC

يوضح تاريخ وموقع اتصال OpenID. مقارنة مع SAML. الهيكل والممثلين وسيناريوهات التفاعل في OpenID Connect. نشر خادم OpenID Connect استنادًا إلى خادم Gluu. نشر تطبيق عميل في JavaScript لتطبيق عميل OpenID Connect.

بالتفصيل
OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

الفصل 6. الوكيل: وكيل ويب لـ IAM. Apache httpd ، Nginx ، Kong ،

وكيل ويب Istio Destination. حلول المصادر المفتوحة: Apache httpd، Nginx، Kong، Istio.

بالتفصيل
-. IAM — -.

( IAM ):

  • - , .
  • .
  • .
  • .
  • .
  • Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

الفصل 7. المصادقة القوية. TOTP / HOTP. SSL / TLS. FIDO UAF / U2F. مصادقة الويب ،

مشكلات مصادقة كلمة مرور CTAP . TOTP / HOTP تقنية مصادقة كلمة المرور لمرة واحدة. مصادقة الشهادة في SSL / TLS المتبادل. تقنيات FIDO UAF و U2F ، W3C Web Authentication ، CTAP. دعم FIDO في خادم Gluu.

بالتفصيل
«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

الفصل 8. ملف تعريف الوصول (UMA) التي يديرها المستخدم. منح UMA / تفويض موحّد. يعتبر Gluu Server ،

بروتوكول تفويض Gluu Gateway UMA 2.0 الذي يمدد OAuth 2.0. حالات عملية. مراجعة نظرية لـ UMA Grant. نظرة عامة على تفويض UMA الموحد. تنفيذ خادم ترخيص UMA استنادًا إلى خادم Gluu. استخدم Gluu Gateway لتوصيل تطبيقات العميل بـ UMA.

بالتفصيل
, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

الفصل 9. IDM: نظرة عامة وظيفية. MidPoint ، Syncope ، Wren: IDM ، Gluu Casa

عند تطوير أفكار الفصل 1 ، فإننا نأخذ في الاعتبار أسباب أهمية IDM للمؤسسة . نظرة عامة وظيفية على أنظمة IDM مفتوحة المصدر Evolveum MidPoint ، Apache Syncope ، Wren: IDM ، Gluu Casa.

بالتفصيل
, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

الفصل 10. الاتحاد متعدد الأحزاب. علوم الهندسة اللاكمية. الأدوار اتحاد SAML / OpenID. معايير اتحاد OTTO ، العلامات المرجعية. Jaagger Federation Mgmt Tool / Fides

Association للمشاركين الذين يوفرون الوصول إلى شبكة الثقة (الاتحاد متعدد الأحزاب). مثلث الثقة (Trust Triangle). الخصائص LOA، LOP، LOC. طبولوجيا: اتحاد متحد ، اتحاد وكيل ، الثقة Interfederation. ممثلو الاتحاد: هيئة التسجيل ، مشغل الاتحاد ، الكيان. تقنيات اتحاد SAML ، اتحاد OpenID. معايير اتحاد OTTO ، العلامات المرجعية. أداة إدارة اتحاد جاغر ، عقدة OTTO / فيدس.

بالتفصيل
, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

  • (Person) (control) (, ).
  • (OpenID provider) , (protection) .
  • (Relying Party) (assurance), , , , .

:

  • (Level of assurance, LOA).
  • (Level of protection, LOP).
  • (Level of control, LOC).

. Identity Provider Service Provider « »:

  • (Meshed Federation), InCommon. eduGAIN.
  • (Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
  • (Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

ملخص من قراءة الكتاب

يقدم الكتاب لمحة شاملة للغاية عن جميع أولئك الذين قد تهم أخصائيًا يحتاج إلى بناء إذن آمن والبنية التحتية للتحكم في الوصول في الحقائق الحديثة. بفضل التغطية المدمجة لمثل هذه المواضيع المعقدة التي تم جمعها تحت غطاء واحد ، يتلقى القارئ الطعام للتفكير في الجرعة اللازمة لذلك. سيكون الكتاب مفيدًا لأولئك الذين يحتاجون لأول مرة إلى فهم أفكار وتقنيات هذا المجال ، وأولئك الذين يحتاجون إلى تحديث وتحديث معرفتهم في هذا الموضوع.

More articles:


All Articles