Get best of the week

Présentation de la sécurisation du périmètre: déploiement de la gestion des identités et des accès avec un logiciel libre et gratuit


Aujourd'hui, nous voulons partager une découverte littéraire directement liée à notre domaine.

Thème de gestion des identités et des accèspour le moment, il est assez fermé, ce qui nous pose des problèmes, tout d'abord, avec la sélection de spécialistes hautement qualifiés du développeur principal au RP et à l'architecte. La formation de ces spécialistes qui ont quitté un autre domaine prend beaucoup de temps. Pas moins de problème est l'attitude prudente envers ce domaine de nombreux clients qui ne comprennent pas "pourquoi avons-nous besoin de tout cela", s'il existe une infrastructure de domaine normale. Malgré le fait que l'auteur du livre dirige le lecteur vers la création d'une infrastructure IAM basée sur OSS et donne des exemples de solutions spécifiques, la principale valeur du livre, à notre avis, est de systématiser le domaine et les classes de produits conçus pour résoudre les problèmes dans le domaine de l'identification, l'authentification et la gestion l'accès, ainsi que dans une description accessible des normes et technologies ouvertes,assemblé en un seul endroit et disposé sur des étagères.

:

  • IAM OSS- .
  • Enterprise- .
  • Software- Solution- , , .
  • IAM .
  • - — , SAML OpenID Connect, , , .

Ci-dessous, nous considérons les chapitres du livre et leur contenu.

Chapitre 1. Domaine: IDM, IAM, IAG, DS. IAM et DS comme point de départ. Open Source et un peu de Gluu

Ce chapitre traite des fonctions et des tâches d'un service d'identification et de contrôle d'accès au niveau de l'entreprise (Identity Service) et compare les solutions / composants qui implémentent les fonctions d'un tel système - IDM (Identity Management), IAM (Identity and Access Management), IAG ( Identity and Access Governance), DS (Directory Services). Un bref aperçu des normes et technologies disponibles dans ce domaine est donné. Le chapitre est le fondement de la formation d'une image holistique.

En détail
(Identity Service), enterprise- . « ». , . :

  • (Identity Management, IDM).
  • (Identity & Access Management, IAM)/
  • (Identity & Access Governance, IAG).
  • (Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

Chapitre 2. Cours de jeunes chasseurs sur LDAP. LDAP pour assister IAM. Le Data Showcase

Chapter 2 fournit un briefing très volumineux pour un livre non LDAP qui peut être coupé et lu séparément du livre entier. Il contient un «cours pour jeunes combattants» en LDAP pour ceux qui ne sont pas intéressés par LDAP lui-même, mais qui ont besoin de comprendre sa structure et ses mécanismes pour résoudre les tâches connexes. En théorie et en pratique, en utilisant le développement d'une application Python comme exemple, nous décrivons le concept d'un Data Mart pour collecter des données disparates sur l'échographie en un seul endroit. On a peu parlé de la connexion de Gluu Server à un serveur LDAP en tant que source de données KM.

En détail
, , LDAP, LDAP .

-10 LDAP :

  1. LDAP .
    : , — . — MS AD, LDAP-. MS AD .
  2. LDAP - .
    : , — .
  3. LDAP . / .
  4. LDAP- . .
  5. LDAP- (, ).
  6. .
  7. UNIX CLI-.
  8. .
  9. .
  10. LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

  • UNIX-way: ldapserach, ldapmodify, ldapdelete.
  • , : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

Chapitre 3. SAML: excursions, déclarations, protocoles. Snibboleth IDP et Snibboleth SP. Python-SAML Le

chapitre 3 est entièrement consacré à l'analyse complète de SAML. Une description perceptible de la structure des éléments SAML est fournie: instructions, protocoles, profils, et bien plus encore. Et à des fins pratiques, une description des différentes façons d'interagir avec le fournisseur d'identité SAML est fournie, du déploiement du fournisseur d'identité Snibboleth à l'utilisation de la bibliothèque Python-SAML pour cette tâche.

En détail
SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

Chapitre 4. OAuth: pas un protocole, mais un cadre. Excursion. Exemple avec Google API. L'exemple de Gluu Server

explique la place d'OAuth dans le «monde» des protocoles d'authentification et d'autorisation. La structure d'OAuth en tant que cadre d'autorisation est expliquée: rôles des participants dans les interactions OAuth (serveur d'autorisation, serveur de ressources, client), jetons (porteur et JWT), scénarios d'interaction (appelés «subventions»). Un exemple pratique d'autorisation dans l'API Google avec OAuth. Et un exemple pratique de configuration d'OAuth dans Gluu Server.

En détail
, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

Chapitre 5. OpenID Connect. Théorie: structure, terminologie. Déploiement du fournisseur OIDC de Gluu Server

Explique l'historique et l'emplacement d'OpenID Connect. Comparaison avec SAML. Structure, acteurs, scénarios d'interaction dans OpenID Connect. Déploiement d'un serveur OpenID Connect basé sur Gluu Server. Déploiement d'une application client en JavaScript pour implémenter le client OpenID Connect.

En détail
OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

Chapitre 6. Proxy: proxy Web pour IAM. Apache httpd, Nginx, Kong,

proxy web de destination Istio . Solutions open source: Apache httpd, Nginx, Kong, Istio.

En détail
-. IAM — -.

( IAM ):

  • - , .
  • .
  • .
  • .
  • .
  • Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

Chapitre 7. Authentification forte. TOTP / HOTP. SSL / TLS. FIDO UAF / U2F. Authentification Web,

problèmes d' authentification par mot de passe CTAP . Technologie d'authentification à mot de passe unique TOTP / HOTP. Authentification de certificat dans SSL / TLS mutuel. Technologies FIDO UAF et U2F, authentification Web W3C, CTAP. Prise en charge de FIDO dans Gluu Server.

En détail
«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

Chapitre 8. Profil d'accès géré par l'utilisateur (UMA). Subvention UMA / Autorisation fédérée. Gluu Server, le

protocole d'autorisation Gluu Gateway UMA 2.0 étendant OAuth 2.0 est envisagé. Cas pratiques. Examen théorique de la subvention UMA. Présentation de l'autorisation fédérée UMA. Implémentation du serveur d'autorisation UMA basé sur Gluu Server. Utilisez Gluu Gateway pour connecter les applications clientes à UMA.

En détail
, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

Chapitre 9. IDM: présentation fonctionnelle. MidPoint, Syncope, Wren: IDM, Gluu Casa

En développant les idées du chapitre 1, nous considérons les raisons pour lesquelles l'IDM est important pour l'organisation. Un aperçu fonctionnel des systèmes IDM open source Evolveum MidPoint, Apache Syncope, Wren: IDM, Gluu Casa.

En détail
, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

Chapitre 10. Fédération multipartite. Topologies. Les rôles Fédération SAML Feredation / OpenID. Fédération des normes OTTO, Trustmarks. Jaagger Federation Mgmt Tool / Fides

Association de participants donnant accès à un réseau de confiance (Fédération multipartite). Le triangle de confiance (Trust Triangle). Caractéristiques LOA, LOP, LOC. Topologies: Fédération maillée, Fédération proxy, Interfederation Trust. Acteurs de la Fédération: Autorité d'enregistrement, Opérateur de la Fédération, Entité. Technologies SAML Federation, OpenID Federation. Fédération des normes OTTO, Trustmarks. Outil de gestion de la fédération Jagger, OTTO-Node / Fides.

En détail
, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

  • (Person) (control) (, ).
  • (OpenID provider) , (protection) .
  • (Relying Party) (assurance), , , , .

:

  • (Level of assurance, LOA).
  • (Level of protection, LOP).
  • (Level of control, LOC).

. Identity Provider Service Provider « »:

  • (Meshed Federation), InCommon. eduGAIN.
  • (Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
  • (Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

Résumé de la lecture du livre

Le livre donne un aperçu très complet de tous ceux qui peuvent intéresser un spécialiste qui a besoin de construire une infrastructure sécurisée d'autorisation et de contrôle d'accès dans les réalités modernes. C'est grâce à la couverture compacte de sujets aussi complexes rassemblés sous une seule couverture que le lecteur reçoit matière à réflexion dans le dosage nécessaire pour cela. Le livre sera utile à la fois pour ceux qui, pour la première fois, ont besoin de comprendre les idées et les technologies de ce domaine, et pour ceux qui ont besoin de mettre à jour et de rafraîchir leurs connaissances dans ce sujet.

More articles:


All Articles