🐳 👨‍🏭 🔩 परिधि को सुरक्षित रखने का अवलोकन: नि: शुल्क मुक्त स्रोत सॉफ्टवेयर के साथ पहचान और पहुंच प्रबंधन की तैनाती 🛵 🔐 ☃️

आज हम सीधे अपने विषय क्षेत्र से संबंधित एक साहित्यिक खोज साझा करना चाहते हैं। पहचान और पहुंच प्रबंधन

थीमफिलहाल यह काफी बंद है, जो हमारे लिए समस्याएं पैदा करता है, सबसे पहले, अग्रणी डेवलपर से आरपी और वास्तुकार तक उच्च योग्य विशेषज्ञों के चयन के साथ। ऐसे विशेषज्ञों का प्रशिक्षण जो किसी अन्य विषय क्षेत्र से चले गए हैं, उन्हें बहुत समय लगता है। कोई कम समस्या कई ग्राहकों के इस क्षेत्र के लिए सतर्क रवैया है, जो यह नहीं समझते हैं कि "हमें यह सब क्यों चाहिए," अगर एक सामान्य डोमेन इंफ्रास्ट्रक्चर है। इस तथ्य के बावजूद कि पुस्तक के लेखक पाठक को OSS पर आधारित IAM- अवसंरचना के निर्माण के लिए निर्देशित करते हैं और विशिष्ट समाधान के उदाहरण देते हैं, पुस्तक का मुख्य मूल्य, हमारी राय में, पहचान, प्रमाणीकरण और प्रबंधन के क्षेत्र में समस्याओं को हल करने के लिए डिज़ाइन किए गए उत्पादों के क्षेत्र और वर्गों को व्यवस्थित करना है। पहुंच, साथ ही खुले मानकों और प्रौद्योगिकियों के सुलभ विवरण में,एक जगह इकट्ठे हुए और अलमारियों पर रखे गए।

:

IAM OSS- .
Enterprise- .
Software- Solution- , , .
IAM .
- — , SAML OpenID Connect, , , .

नीचे हम पुस्तक के अध्याय और उनकी सामग्री पर विचार करते हैं।

अध्याय 1. डोमेन: आईडीएम, आईएएम, आईएजी, डीएस। IAM और DS एक शुरुआती बिंदु के रूप में। ओपन सोर्स और थोड़ा ग्लू

यह अध्याय एक उद्यम-स्तर की पहचान और एक्सेस कंट्रोल सर्विस (पहचान सेवा) के कार्यों और कार्यों पर चर्चा करता है और इस तरह के सिस्टम के कार्यों को लागू करने वाले समाधान / घटकों की तुलना करता है - IDM (पहचान प्रबंधन), IAM (पहचान और एक्सेस प्रबंधन), IAG ( पहचान और अभिगम शासन), डीएस (निर्देशिका सेवाएं)। इस क्षेत्र में उपलब्ध मानकों और प्रौद्योगिकियों का एक संक्षिप्त अवलोकन दिया गया है। अध्याय एक समग्र चित्र के निर्माण की नींव है।

विस्तार से

(Identity Service), enterprise- . « ». , . :

(Identity Management, IDM).
(Identity & Access Management, IAM)/
(Identity & Access Governance, IAG).
(Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

अध्याय 2. LDAP पर युवा लड़ाकू पाठ्यक्रम। IAM की सहायता के लिए LDAP। डेटा शोकेस

अध्याय 2 एक गैर-एलडीएपी पुस्तक के लिए एक बहुत ही संक्षिप्त ब्रीफिंग प्रदान करता है जिसे पूरी किताब से अलग से काटा और पढ़ा जा सकता है। इसमें उन लोगों के लिए LDAP में "युवा लड़ाकू पाठ्यक्रम" शामिल है जो खुद LDAP में रुचि नहीं रखते हैं, लेकिन संबंधित कार्यों को हल करने के लिए इसकी संरचना और तंत्र को समझने की आवश्यकता है। सिद्धांत और व्यवहार में, पायथन एप्लिकेशन के विकास को एक उदाहरण के रूप में उपयोग करते हुए, हम एक स्थान पर अल्ट्रासाउंड के बारे में विषम डेटा एकत्र करने के लिए एक डेटा मार्ट की अवधारणा का वर्णन करते हैं। Gluu Server को KM डेटा के स्रोत के रूप में LDAP सर्वर से जोड़ने के बारे में बहुत कम कहा गया है।

विस्तार से

, , LDAP, LDAP .

-10 LDAP :

LDAP .
: , — . — MS AD, LDAP-. MS AD .
LDAP - .
: , — .
LDAP . / .
LDAP- . .
LDAP- (, ).
.
UNIX CLI-.
.
.
LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

UNIX-way: ldapserach, ldapmodify, ldapdelete.
, : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

अध्याय 3. SAML: भ्रमण, कथन, प्रोटोकॉल। Snibboleth IDP और Snibboleth SP। पायथन-एसएएमएल

अध्याय 3 पूरी तरह से एसएएमएल जांच करने के लिए पूरी तरह से समर्पित है। एसएएमएल तत्वों की संरचना का एक बोधगम्य विवरण प्रदान किया गया है: कथन, प्रोटोकॉल, प्रोफाइल और बहुत कुछ। और व्यावहारिक उद्देश्यों के लिए, एसएएमएल आइडेंटिटी प्रोवाइडर के साथ बातचीत करने के विभिन्न तरीकों का विवरण प्रदान किया जाता है, जिसमें स्निबोल्थ आइडेंटिटी प्रोवाइडर को तैनात करने से लेकर इस कार्य के लिए पायथन-एसएएमएल लाइब्रेरी का उपयोग करना शामिल है।

विस्तार से

SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

अध्याय 4. OAuth: एक प्रोटोकॉल नहीं है, लेकिन एक रूपरेखा है। भ्रमण। Google API के साथ उदाहरण।

प्रमाणीकरण और प्राधिकरण प्रोटोकॉल के "दुनिया" में ग्लू सर्वर का उदाहरण OAuth का स्थान बताया गया है। एक प्राधिकरण ढांचे के रूप में OAuth की संरचना को समझाया गया है: OAuth इंटरैक्शन (प्राधिकरण सर्वर, संसाधन सर्वर, क्लाइंट), टोकन (बियर और JWT), सहभागिता परिदृश्य (तथाकथित "अनुदान") में प्रतिभागियों की भूमिका। OAuth के साथ Google API में प्राधिकरण का एक व्यावहारिक उदाहरण। और ग्लू सर्वर में OAuth की स्थापना का एक व्यावहारिक उदाहरण है।

विस्तार से

, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

अध्याय 5. ओपनआईडी कनेक्ट। सिद्धांत: संरचना, शब्दावली। Gluu सर्वर OIDC प्रदाता को तैनात करना

OpenID कनेक्ट के इतिहास और स्थान की व्याख्या करता है। SAML के साथ तुलना। OpenID कनेक्ट में संरचना, अभिनेता, इंटरैक्शन परिदृश्य। Gluu सर्वर पर आधारित एक OpenID कनेक्ट सर्वर तैनात करना। OpenID कनेक्ट क्लाइंट को लागू करने के लिए जावास्क्रिप्ट में एक क्लाइंट एप्लिकेशन को तैनात करना।

विस्तार से

OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

अध्याय 6. प्रॉक्सी: IAM के लिए वेब प्रॉक्सी। Apache httpd, Nginx, Kong, Istio

Destination वेब प्रॉक्सी। मुक्त स्रोत समाधान: अपाचे httpd, Nginx, Kong, Istio।

विस्तार से

-. IAM — -.

( IAM ):

- , .
.
.
.
.
Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

अध्याय 7. मजबूत प्रमाणीकरण। TOTP / HOTP। एसएसएल / टीएलएस। FIDO UAF / U2F वेब प्रमाणीकरण, CTAP

पासवर्ड प्रमाणीकरण मुद्दे। TOTP / HOTP वन-टाइम पासवर्ड ऑथेंटिकेशन तकनीक। सर्टिफिकेट ऑथेंटिकेशन इन म्युचुअल एसएसएल / टीएलएस। FIDO Technologies UAF और U2F, W3C वेब ऑथेंटिकेशन, CTAP। Gluu सर्वर में FIDO समर्थन।

विस्तार से

«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

अध्याय 8. उपयोगकर्ता-प्रबंधित पहुँच (UMA) प्रोफ़ाइल। यूएमए ग्रांट / फेडरेटेड प्राधिकरण। ग्लू सर्वर, ग्लू गेटवे

UMA 2.0 प्राधिकरण प्रोटोकॉल OAuth 2.0 का विस्तार माना जाता है। व्यावहारिक मामलों। यूएमए अनुदान की सैद्धांतिक समीक्षा। यूएमए फेडरेटेड प्राधिकरण का अवलोकन। ग्लू सर्वर के आधार पर यूएमए प्राधिकरण सर्वर का कार्यान्वयन। ग्राहक अनुप्रयोगों को UMA से जोड़ने के लिए ग्लू गेटवे का उपयोग करें।

विस्तार से

, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

अध्याय 9. आईडीएम: कार्यात्मक अवलोकन। मिडपॉइंट, सिंकपॉप, व्रेन: आईडीएम, ग्लू कासा

अध्याय 1 के विचारों को विकसित करने में, हम उन कारणों पर विचार करते हैं जो आईडीएम संगठन के लिए महत्वपूर्ण हैं। ओपन-सोर्स IDM सिस्टम का एक कार्यात्मक अवलोकन Evolveum MidPoint, Apache Syncope, Wren: IDM, Gluu Casa।

विस्तार से

, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

अध्याय 10. मल्टीपार्टी फेडरेशन। टोपोलोजी। भूमिकाएँ एसएएमएल फेडरेशन / ओपनआईडी फेडरेशन। मानक ओटीओ फेडरेशन, ट्रस्टमार्क। जैगर फेडरेशन Mgmt टूल /

एक ट्रस्ट नेटवर्क (मल्टीपार्टी फेडरेशन) तक पहुंच प्रदान करने वाले प्रतिभागियों का एसोसिएशन। विश्वास का त्रिकोण (ट्रस्ट त्रिकोण)। एलओए, एलओपी, एलओसी। टोपोलॉजी: मेश्ड फेडरेशन, प्रॉक्सी फेडरेशन, इंटरफेडरेशन ट्रस्ट। फेडरेशन एक्टर्स: पंजीकरण प्राधिकरण, फेडरेशन ऑपरेटर, इकाई। टेक्नोलॉजीज एसएएमएल फेडरेशन, ओपनआईडी फेडरेशन। मानक ओटीओ फेडरेशन, ट्रस्टमार्क। जैगर फेडरेशन मैनेजमेंट टूल, ओटीटीओ-नोड / फ़ाइड्स।

विस्तार से

, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

(Person) (control) (, ).
(OpenID provider) , (protection) .
(Relying Party) (assurance), , , , .

(Level of assurance, LOA).
(Level of protection, LOP).
(Level of control, LOC).

. Identity Provider Service Provider « »:

(Meshed Federation), InCommon. eduGAIN.
(Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
(Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

पुस्तक को पढ़ने से सारांश

यह पुस्तक उन सभी का बहुत व्यापक अवलोकन करती है जो एक विशेषज्ञ को रुचि दे सकते हैं जिन्हें आधुनिक वास्तविकताओं में एक सुरक्षित प्राधिकरण और पहुंच नियंत्रण बुनियादी ढांचे का निर्माण करने की आवश्यकता होती है। यह एक आवरण के तहत एकत्र किए गए ऐसे जटिल विषयों की कॉम्पैक्ट कवरेज के लिए धन्यवाद है जो पाठक को उस के लिए आवश्यक खुराक में विचार के लिए भोजन प्राप्त होता है। पुस्तक उन दोनों के लिए उपयोगी होगी, जिन्हें पहली बार इस क्षेत्र के विचारों और प्रौद्योगिकियों को समझने की आवश्यकता है, और जिन्हें इस विषय में अपने ज्ञान को अद्यतन और ताज़ा करने की आवश्यकता है।

परिधि को सुरक्षित रखने का अवलोकन: नि: शुल्क मुक्त स्रोत सॉफ्टवेयर के साथ पहचान और पहुंच प्रबंधन की तैनाती

More articles: