Get best of the week

Überblick über die Sicherung des Perimeters: Bereitstellung des Identitäts- und Zugriffsmanagements mit kostenloser Open Source-Software


Heute möchten wir einen literarischen Fund teilen, der in direktem Zusammenhang mit unserem Themenbereich steht. Identity und Access Management

ThemeIm Moment ist es ziemlich geschlossen, was uns vor allem bei der Auswahl hochqualifizierter Spezialisten vom führenden Entwickler bis zum RP und dem Architekten Probleme bereitet. Die Ausbildung solcher Fachkräfte, die aus einem anderen Fachgebiet gewechselt sind, nimmt viel Zeit in Anspruch. Nicht weniger problematisch ist die vorsichtige Haltung vieler Kunden gegenüber diesem Bereich, die nicht verstehen, "warum wir das alles brauchen", wenn es eine normale Domain-Infrastruktur gibt. Trotz der Tatsache, dass der Autor des Buches den Leser auf die Schaffung einer auf OSS basierenden IAM-Infrastruktur hinweist und Beispiele für spezifische Lösungen nennt, besteht der Hauptwert des Buches unserer Meinung nach darin, das Gebiet und die Produktklassen zu systematisieren, um Probleme im Bereich der Identifizierung, Authentifizierung und Verwaltung zu lösen Zugang sowie in einer zugänglichen Beschreibung offener Standards und Technologien,an einem Ort zusammengebaut und in Regalen ausgelegt.

:

  • IAM OSS- .
  • Enterprise- .
  • Software- Solution- , , .
  • IAM .
  • - — , SAML OpenID Connect, , , .

Nachfolgend betrachten wir die Kapitel des Buches und deren Inhalt.

Kapitel 1. Domäne: IDM, IAM, IAG, DS. IAM und DS als Ausgangspunkt. Open Source und ein wenig Gluu In

diesem Kapitel werden die Funktionen und Aufgaben eines Identifikations- und Zugriffskontrolldienstes (Identity Service) auf Unternehmensebene erläutert und Lösungen / Komponenten verglichen, die die Funktionen eines solchen Systems implementieren - IDM (Identity Management), IAM (Identity and Access Management), IAG ( Identity and Access Governance), DS (Verzeichnisdienste). Es wird ein kurzer Überblick über die in diesem Bereich verfügbaren Standards und Technologien gegeben. Das Kapitel ist die Grundlage für die Bildung eines ganzheitlichen Bildes.

Im Detail
(Identity Service), enterprise- . « ». , . :

  • (Identity Management, IDM).
  • (Identity & Access Management, IAM)/
  • (Identity & Access Governance, IAG).
  • (Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

Kapitel 2. Kurs für junge Kämpfer auf LDAP. LDAP zur Unterstützung von IAM. Das Data Showcase

Kapitel 2 bietet eine sehr umfangreiche Einweisung für ein Nicht-LDAP-Buch, das getrennt vom gesamten Buch geschnitten und gelesen werden kann. Es enthält einen „Young Fighter-Kurs“ in LDAP für diejenigen, die nicht an LDAP selbst interessiert sind, aber dessen Struktur und Mechanismen zur Lösung verwandter Aufgaben verstehen müssen. In Theorie und Praxis beschreiben wir am Beispiel der Entwicklung einer Python-Anwendung das Konzept eines Data Mart zum Sammeln unterschiedlicher Daten über Ultraschall an einem Ort. Über die Verbindung von Gluu Server mit einem LDAP-Server als Quelle für KM-Daten wurde wenig gesagt.

Im Detail
, , LDAP, LDAP .

-10 LDAP :

  1. LDAP .
    : , — . — MS AD, LDAP-. MS AD .
  2. LDAP - .
    : , — .
  3. LDAP . / .
  4. LDAP- . .
  5. LDAP- (, ).
  6. .
  7. UNIX CLI-.
  8. .
  9. .
  10. LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

  • UNIX-way: ldapserach, ldapmodify, ldapdelete.
  • , : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

Kapitel 3. SAML: Exkursionen, Anweisungen, Protokolle. Snibboleth IDP und Snibboleth SP. Python-SAML

Kapitel 3 widmet sich ausschließlich der umfassenden Prüfung von SAML. Eine wahrnehmbare Beschreibung der Struktur von SAML-Elementen wird bereitgestellt: Anweisungen, Protokolle, Profile und vieles mehr. Aus praktischen Gründen wird eine Beschreibung verschiedener Möglichkeiten zur Interaktion mit dem SAML-Identitätsanbieter bereitgestellt, von der Bereitstellung des Snibboleth-Identitätsanbieters bis zur Verwendung der Python-SAML-Bibliothek für diese Aufgabe.

Im Detail
SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

Kapitel 4. OAuth: kein Protokoll, sondern ein Framework. Ausflug. Beispiel mit Google API. Gluu Server-Beispiel OAuths

Platz in der "Welt" der Authentifizierungs- und Autorisierungsprotokolle wird erläutert. Die Struktur von OAuth als Autorisierungsframework wird erläutert: Rollen der Teilnehmer an OAuth-Interaktionen (Autorisierungsserver, Ressourcenserver, Client), Token (Inhaber und JWT), Interaktionsszenarien (sogenannte „Zuschüsse“). Ein praktisches Beispiel für die Autorisierung in der Google-API mit OAuth. Und ein praktisches Beispiel für die Einrichtung von OAuth in Gluu Server.

Im Detail
, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

Kapitel 5. OpenID Connect. Theorie: Struktur, Terminologie. Bereitstellen des Gluu Server OIDC-Anbieters

Erläutert den Verlauf und den Speicherort von OpenID Connect. Vergleich mit SAML. Struktur, Akteure, Interaktionsszenarien in OpenID Connect. Bereitstellen eines OpenID Connect-Servers basierend auf Gluu Server. Bereitstellen einer Clientanwendung in JavaScript zur Implementierung des OpenID Connect-Clients.

Im Detail
OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

Kapitel 6. Proxy: Webproxy für IAM. Apache httpd, Nginx, Kong, Istio

Ziel-Webproxy. Open Source-Lösungen: Apache httpd, Nginx, Kong, Istio.

Im Detail
-. IAM — -.

( IAM ):

  • - , .
  • .
  • .
  • .
  • .
  • Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

Kapitel 7. Starke Authentifizierung. TOTP / HOTP. SSL / TLS. FIDO UAF / U2F.

Probleme mit der Webauthentifizierung und der CTAP- Kennwortauthentifizierung. TOTP / HOTP-Technologie zur Einmalkennwortauthentifizierung. Zertifikatauthentifizierung in gegenseitigem SSL / TLS. FIDO Technologies UAF und U2F, W3C-Webauthentifizierung, CTAP. FIDO-Unterstützung in Gluu Server.

Im Detail
«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

Kapitel 8. UMA-Profil (User-Managed Access). UMA Grant / Federated Authorization. Gluu Server, Gluu Gateway

UMA 2.0-Autorisierungsprotokoll zur Erweiterung von OAuth 2.0 wird berücksichtigt. Praktische Fälle. Theoretische Überprüfung des UMA Grant. Übersicht über die UMA Federated Authorization. Implementierung von UMA Authorization Server basierend auf Gluu Server. Verwenden Sie Gluu Gateway, um Clientanwendungen mit UMA zu verbinden.

Im Detail
, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

Kapitel 9. IDM: Funktionsübersicht. MidPoint, Syncope, Wren: IDM, Gluu Casa

Bei der Entwicklung der Ideen von Kapitel 1 berücksichtigen wir die Gründe, warum IDM für das Unternehmen wichtig ist. Eine funktionale Übersicht über Open-Source-IDM-Systeme Evolveum MidPoint, Apache Syncope, Wren: IDM, Gluu Casa.

Im Detail
, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

Kapitel 10. Mehrparteien-Föderation. Topologien. Rollen SAML Feredation / OpenID Federation. Standards OTTO Federation, Vertrauenssiegel. Jaagger Federation Mgmt Tool / Fides

Vereinigung von Teilnehmern, die Zugang zu einem Vertrauensnetzwerk gewähren (Multiparty Federation). Das Dreieck des Vertrauens (Trust Triangle). Eigenschaften LOA, LOP, LOC. Topologien: Meshed Federation, Proxy Federation, Interfederation Trust. Akteure der Föderation: Registrierungsstelle, Betreiber der Föderation, Unternehmen. Technologien SAML Federation, OpenID Federation. Standards OTTO Federation, Vertrauenssiegel. Jagger Federation Management Tool, OTTO-Knoten / Fides.

Im Detail
, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

  • (Person) (control) (, ).
  • (OpenID provider) , (protection) .
  • (Relying Party) (assurance), , , , .

:

  • (Level of assurance, LOA).
  • (Level of protection, LOP).
  • (Level of control, LOC).

. Identity Provider Service Provider « »:

  • (Meshed Federation), InCommon. eduGAIN.
  • (Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
  • (Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

Zusammenfassung aus dem Lesen des Buches

Das Buch bietet einen sehr umfassenden Überblick über alle, die einen Spezialisten interessieren könnten, der eine sichere Autorisierungs- und Zugangskontrollinfrastruktur in modernen Realitäten aufbauen muss. Dank der kompakten Abdeckung derart komplexer Themen, die unter einem Titel zusammengefasst sind, erhält der Leser Denkanstöße in der dafür erforderlichen Dosierung. Das Buch ist sowohl für diejenigen nützlich, die zum ersten Mal die Ideen und Technologien dieses Bereichs verstehen müssen, als auch für diejenigen, die ihr Wissen in diesem Thema aktualisieren und auffrischen müssen.

More articles:


All Articles