Get best of the week

Tinjauan Mengamankan Perimeter: Menyebarkan Identitas dan Manajemen Akses dengan Perangkat Lunak Open Source Gratis


Hari ini kami ingin berbagi penemuan sastra yang terkait langsung dengan bidang studi kami. Identitas dan

Tema Manajemen Aksessaat ini cukup tertutup, yang menciptakan masalah bagi kami, pertama-tama, dengan pemilihan spesialis berkualifikasi tinggi dari pengembang terkemuka ke RP dan arsitek. Pelatihan spesialis seperti itu yang telah pindah dari bidang studi lain membutuhkan banyak waktu. Yang tidak kalah masalah adalah sikap berhati-hati terhadap area ini dari banyak pelanggan yang tidak mengerti "mengapa kita membutuhkan semua ini," jika ada infrastruktur domain yang normal. Terlepas dari kenyataan bahwa penulis buku mengarahkan pembaca ke pembuatan infrastruktur-IAM berbasis OSS dan memberikan contoh solusi spesifik, nilai utama buku ini, menurut pendapat kami, adalah untuk mensistematisasikan bidang dan kelas produk yang dirancang untuk menyelesaikan masalah di bidang identifikasi, otentikasi, dan manajemen akses, serta dalam deskripsi yang dapat diakses tentang standar terbuka dan teknologi,berkumpul di satu tempat dan diletakkan di rak.

:

  • IAM OSS- .
  • Enterprise- .
  • Software- Solution- , , .
  • IAM .
  • - — , SAML OpenID Connect, , , .

Di bawah ini kami mempertimbangkan bab-bab buku dan isinya.

Bab 1. Domain: IDM, IAM, IAG, DS. IAM dan DS sebagai titik awal. Open Source dan sedikit Gluu

Bab ini membahas fungsi dan tugas Layanan Identifikasi dan Kontrol Akses tingkat perusahaan (Layanan Identitas) dan membandingkan solusi / komponen yang mengimplementasikan fungsi sistem seperti itu - IDM (Manajemen Identitas), IAM (Manajemen Identitas dan Akses), IAG ( Identity and Access Governance), DS (Layanan Direktori). Tinjauan singkat tentang standar dan teknologi yang tersedia di bidang ini diberikan. Bab ini adalah fondasi untuk pembentukan gambaran holistik.

Secara terperinci
(Identity Service), enterprise- . « ». , . :

  • (Identity Management, IDM).
  • (Identity & Access Management, IAM)/
  • (Identity & Access Governance, IAG).
  • (Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

Bab 2. Kursus pejuang muda tentang LDAP. LDAP untuk membantu IAM. Data Showcase

Bab 2 menyediakan buku non-LDAP yang sangat panjang untuk pengarahan, yang dapat dipotong dan dibaca secara terpisah dari keseluruhan buku. Ini berisi "kursus tempur muda" di LDAP bagi mereka yang tidak tertarik dengan LDAP itu sendiri, tetapi perlu memahami struktur dan mekanisme untuk menyelesaikan tugas terkait. Dalam teori dan praktik, dengan menggunakan pengembangan aplikasi Python sebagai contoh, kami menggambarkan konsep Data Mart untuk mengumpulkan data yang berbeda tentang ultrasound di satu tempat. Sedikit yang telah dikatakan tentang menghubungkan Gluu Server ke server LDAP sebagai sumber data KM.

Secara terperinci
, , LDAP, LDAP .

-10 LDAP :

  1. LDAP .
    : , — . — MS AD, LDAP-. MS AD .
  2. LDAP - .
    : , — .
  3. LDAP . / .
  4. LDAP- . .
  5. LDAP- (, ).
  6. .
  7. UNIX CLI-.
  8. .
  9. .
  10. LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

  • UNIX-way: ldapserach, ldapmodify, ldapdelete.
  • , : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

Bab 3. SAML: kunjungan, pernyataan, protokol. Snibboleth IDP dan Snibboleth SP. Python-SAML

Bab 3 sepenuhnya dikhususkan untuk menyelidiki SAML secara komprehensif. Deskripsi yang jelas tentang struktur elemen SAML disediakan: pernyataan, protokol, profil, dan banyak lagi. Dan untuk tujuan praktis, deskripsi berbagai cara berinteraksi dengan Penyedia Identitas SAML disediakan, mulai dari penerapan Penyedia Identitas Snibboleth hingga menggunakan pustaka Python-SAML untuk tugas ini.

Secara terperinci
SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

Bab 4. OAuth: bukan protokol, tapi kerangka kerja. Tamasya. Contoh dengan Google API. Contoh Gluu Server

tempat OAuth di "dunia" protokol otentikasi dan otorisasi dijelaskan. Struktur OAuth sebagai kerangka kerja otorisasi dijelaskan: peran peserta dalam interaksi OAuth (Server Otorisasi, Server Sumber Daya, Klien), token (Pembawa dan JWT), skenario interaksi (disebut "hibah"). Contoh praktis otorisasi di Google API dengan OAuth. Dan contoh praktis pengaturan OAuth di Gluu Server.

Secara terperinci
, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

Bab 5. OpenID Connect. Teori: struktur, terminologi. Menyebarkan Penyedia OIDC Gluu Server

Menjelaskan riwayat dan lokasi OpenID Connect. Perbandingan dengan SAML. Struktur, aktor, skenario interaksi di OpenID Connect. Menyebarkan server OpenID Connect berdasarkan Gluu Server. Menyebarkan aplikasi klien dalam JavaScript untuk mengimplementasikan klien OpenID Connect.

Secara terperinci
OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

Bab 6. Proxy: Proxy web untuk IAM. Apache httpd, Nginx, Kong,

proxy web Istio Destination. Solusi open source: Apache httpd, Nginx, Kong, Istio.

Secara terperinci
-. IAM — -.

( IAM ):

  • - , .
  • .
  • .
  • .
  • .
  • Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

Bab 7. Otentikasi Kuat. TOTP / HOTP. SSL / TLS. FIDO UAF / U2F. Otentikasi Web,

Masalah Otentikasi Kata Sandi CTAP . Teknologi otentikasi sandi satu kali TOTP / HOTP. Otentikasi Sertifikat dalam Saling SSL / TLS. FIDO Technologies UAF dan U2F, W3C Web Authentication, CTAP. Dukungan FIDO di Gluu Server.

Secara terperinci
«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

Bab 8. Profil Akses yang Dikelola Pengguna (UMA). Hibah UMA / Otorisasi Federasi. Gluu Server,

protokol otorisasi Gluu Gateway UMA 2.0 yang memperpanjang OAuth 2.0 dianggap. Kasus praktis. Ulasan teoritis tentang UMA Grant. Tinjauan Umum Otorisasi Federasi UMA. Implementasi Server Otorisasi UMA berdasarkan Gluu Server. Gunakan Gluu Gateway untuk menghubungkan aplikasi klien ke UMA.

Secara terperinci
, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

Bab 9. IDM: tinjauan fungsional. MidPoint, Syncope, Wren: IDM, Gluu Casa

Dalam mengembangkan ide-ide Bab 1, kami mempertimbangkan alasan mengapa IDM penting bagi organisasi. Tinjauan fungsional sistem IDM open-source Evolveum MidPoint, Apache Syncope, Gelatik: IDM, Gluu Casa.

Secara terperinci
, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

Bab 10. Federasi Multi-Pihak. Topologi. Peran Federasi Feredasi / OpenID SAML. Standar Federasi OTTO, Kepercayaan. Jaagger Federation Mgmt Tool / Fides

Association of peserta yang menyediakan akses ke jaringan trust (Multiparty Federation). Segitiga kepercayaan (Trust Triangle). Karakteristik LOA, LOP, LOC. Topologi: Federasi Berikat, Federasi Proksi, Kepercayaan Interfederasi. Aktor Federasi: Otoritas Registrasi, Operator Federasi, Entitas. Teknologi SAML Federation, OpenID Federation. Standar Federasi OTTO, Kepercayaan. Alat Manajemen Federasi Jagger, OTTO-Node / Fides.

Secara terperinci
, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

  • (Person) (control) (, ).
  • (OpenID provider) , (protection) .
  • (Relying Party) (assurance), , , , .

:

  • (Level of assurance, LOA).
  • (Level of protection, LOP).
  • (Level of control, LOC).

. Identity Provider Service Provider « »:

  • (Meshed Federation), InCommon. eduGAIN.
  • (Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
  • (Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

Ringkasan dari membaca buku

. Buku ini memberikan gambaran yang sangat luas dari semua yang mungkin menarik minat spesialis yang perlu membangun otorisasi yang aman dan infrastruktur kontrol akses dalam realitas modern. Berkat liputan ringkas topik-topik rumit yang dikumpulkan di bawah satu sampul, pembaca dapat menerima makanan untuk dipikirkan dalam dosis yang diperlukan untuk itu. Buku ini akan berguna baik bagi mereka yang pertama kali perlu memahami ide dan teknologi bidang ini, dan mereka yang perlu memperbarui dan menyegarkan pengetahuan mereka dalam topik ini.

More articles:


All Articles