🍄 🌆 👋🏾 保护周边概述：使用免费开源软件部署身份和访问管理 🧛🏼 👼🏿 🙅🏻

今天，我们想分享与我们学科领域直接相关的文学发现。身份和访问管理

主题目前，它非常封闭，这给我们带来了问题，首先，从领先的开发商，RP和建筑师那里选择了高素质的专家。对从另一个学科领域迁出的此类专家的培训会花费大量时间。同样重要的是，如果有正常的域基础架构，许多不了解``我们为什么需要这一切的客户''对此领域持谨慎态度。尽管该书的作者指导读者进行基于OSS的IAM基础结构的创建并给出了特定解决方案的示例，但在我们看来，该书的主要价值是将旨在解决标识，认证和管理领域的产品的领域和产品类别进行系统化访问以及对开放标准和技术的无障碍描述，组装在一个地方并放在架子上。

:

IAM OSS- .
Enterprise- .
Software- Solution- , , .
IAM .
- — , SAML OpenID Connect, , , .

下面我们考虑本书的各章及其内容。

第1章域：IDM，IAM，IAG，DS。以IAM和DS为起点。开源和一点点Gluu

本章讨论企业级身份和访问控制服务（Identity Service）的功能和任务，并比较实现此类系统功能的解决方案/组件-IDM（身份管理），IAM（身份和访问管理），IAG（身份和访问管理），DS（目录服务）。简要概述了该领域可用的标准和技术。本章是形成整体图景的基础。

详细

(Identity Service), enterprise- . « ». , . :

(Identity Management, IDM).
(Identity & Access Management, IAM)/
(Identity & Access Governance, IAG).
(Directory Services, DS).

(IDM) () . , , . IDM « » (Identity Lifecycle), — , , , .. IDM , , .

(IAM) « » . , IDM. IAM , , IAM . IDM IAM . , , (, IDM), (, IAM). , ( , ) , IAM IDM.

, , IAM. 90- , RADIUS. 90- PDP-PEP Pattern, Netegrity SiteMinder. 2000- SAML XACML, XML/SOAP- . OAuth-, RESTful/JSON-.

(IAG) , (IDM) (IAM). IAG , , . IAG «» - (, ) . « » - , IAG , , , (Segregation of Duties) .

, (Directory Services). - . , , , .

, . , IAG, IAM . , — « » ( IAM Directory Service , IDM IAG), « » ( , ).

: LDAP, SAML, OAuth, OpenID Connect (OIDC) User Managed Protocol (UMA). - Gluu Server, OSS : pen source , , pen source , «».

第2章。有关LDAP的青年战士课程。LDAP协助IAM。Data Showcase

第2章为非LDAP书籍提供了非常详尽的简介，可以将其与整个书籍分开剪切和阅读。它为那些对LDAP本身不感兴趣但需要了解其结构和解决相关任务的机制的人提供了LDAP中的“青年战士课程”。在理论和实践上，以Python应用程序的开发为例，我们描述了一个数据集市的概念，该数据集市用于在一个地方收集有关超声的不同数据。关于将Gluu服务器作为KM数据源连接到LDAP服务器的说法很少。

详细

, , LDAP, LDAP .

-10 LDAP :

LDAP .
: , — . — MS AD, LDAP-. MS AD .
LDAP - .
: , — .
LDAP . / .
LDAP- . .
LDAP- (, ).
.
UNIX CLI-.
.
.
LDAP !

, LDIF- LDAP-. LDAP. LDAP. LDAP-: CLI-, GUI:

UNIX-way: ldapserach, ldapmodify, ldapdelete.
, : Apache Directory Studio, JXplorer, Web2LDAP, phpLDAPAdmin, FusionDirectory.

(Data Mart) , ( ) . , / Microsoft Active Directory, - LDAP- (, FreeIPA 389Server ), , , ERP- ( , SAP), -. IAM « », ( ). — Python, , LDAP- LDIF-. Python- .

, — , «» Gluu Server LDAP, Gluu , .

第3章。SAML：短途旅行，声明，协议。Snibboleth IDP和Snibboleth SP。Python-SAML

第3章完全致力于全面探测SAML。提供了对SAML元素结构的直观描述：语句，协议，配置文件等等。并且出于实际目的，提供了与SAML身份提供程序进行交互的各种方式的描述，从Snibboleth身份提供程序的部署到针对此任务使用Python-SAML库的使用。

详细

SAML. 90-, - , . LDAP , (Single Sign-On, SSO), - - . WebSSO, SAML - SAML WebSSO . , SAML, 2005 , XML. SAML 2.0 (SAML 1.1, Libery Alliance ID-FF 1.2 Snibboleth 1.3). , SAML 2.0 («assertion», «relying party», «identity provider» ..), SSO IAM . , SAML.

( , SAML) SAML: Assertions (), Bindings ( ), Protocols () Profiles (). SAML . «» SAML, Service Provider Identity Provider. : , (Identity Provider-initiated, IDP-initiated) , (Service Provider-initiated, SP-initiated). (HTTP Redirect (GET), HTTP Post, Simple Sign, SAML SOAP, Reverse SOAP, HTTP Artifact, SAML URI). SAML: Web Browser SSO Profile, Single Logout Profile Attribute Profile.

, Gluu Server ( ). Snibboleth Identity Provider, Gluu Server. Identity Provider Service Provider, Service Provider Snibboleth Service Provider.

Python: Python-SAML SAML , SAML .

第4章。OAuth：不是协议，而是框架。游览。Google API示例。解释了Gluu Server示例

OAuth在身份验证和授权协议的“世界”中的位置。解释了OAuth作为授权框架的结构：OAuth交互中的参与者角色（授权服务器，资源服务器，客户端），令牌（承载者和JWT），交互场景（所谓的“赠与”）。带有OAuth的Google API中授权的实际示例。以及在Gluu Server中设置OAuth的实际示例。

详细

, OAuth. : OAuth ( ), ( «» ). OAuth . SAML , OAuth ( OIDC) «» (consumer) .

OAuth-: (Authorization Server), (Resource Server), (Client). , , , : Bearer Token, JWT (JSON Web Token). OAuth, «grants» ( , OAuth - Resource Server): Authorization Code Grant, Implicit Grant, Resource Owner Password Credential Grant, Client Credential Grant, Token Introspection.

Google API OAuth-: API OAuth. - Client Grant Flow Gluu Server.

OAuth 5, 6 8. 5 OAuth — OIDC, -. 8 UMA, OAuth API (API access management). 6 - OAuth API.

第5章OpenID Connect。理论：结构，术语。部署Gluu服务器OIDC提供程序

介绍了OpenID Connect的历史记录和位置。与SAML的比较。OpenID Connect中的结构，参与者，交互方案。部署基于Gluu服务器的OpenID Connect服务器。在JavaScript中部署客户端应用程序以实现OpenID Connect客户端。

详细

OpenID Connect ( OIDC , , Connect; OIDC) , «Federated Identity» Consumer Identity Provider (Consumer IdP) Facebook, Google Microsoft. - OAuth- IdP, OpenID Connect.

OIDC SAML ( 3); SAML OIDC. OIDC SAML, XML SOAP, «» JSON RESTful -. — SAML ( - ), OIDC — «» , .

, OIDC. OIDC, 5 — .

Gluu Server OpenID Connect Provider. JavaScript Gluu Server OpenID Connect Provider.

第6章代理：IAM的Web代理。Apache httpd，Nginx，Kong，Istio

Destination Web代理。开源解决方案：Apache httpd，Nginx，Kong，Istio。

详细

-. IAM — -.

( IAM ):

- , .
.
.
.
.
Amazon Web Services.

- -: Apache httpd, Nginx, Kong Istio. .

第7章。强认证。TOTP / HOTP。SSL / TLS。FIDO UAF / U2F。Web身份验证，CTAP

密码身份验证问题。TOTP / HOTP一次性密码认证技术。相互SSL / TLS中的证书身份验证。FIDO Technologies UAF和U2F，W3C Web身份验证，CTAP。Gluu服务器中的FIDO支持。

详细

«» .

OTP (TOTP HOTP), . OTP — . OTP- OTP- (Google Authenticator ).

SSL TLS (Mutual SSL/TLS). SSL/TLS ( Certificate Authority, CA), . — ( CA) . , . Mutual SSL/TLS , , .

Fast Identity Online (FIDO) FIDO Alliance, : Universal Authentication Framework (UAF) Universal Second Factor (U2F). FIDO UAF (passwordless) . FIDO U2F (2FA), . , FIDO, — , . FIDO . FIDO , , , -, .

W3C Web Authentication API, FIDO Alliance, FIDO, . , (Signature, Key Attestation), , (W3C Web Authentication API), (Client to Authenticator Protocol, CTAP).

Gluu Server. FIDO Gluu Server. 2FA/MFA -.

第8章。用户管理的访问（UMA）配置文件。UMA拨款/联合授权。考虑了Gluu服务器，

扩展OAuth 2.0的Gluu网关 UMA 2.0授权协议。实际案例。UMA Grant的理论评论。UMA联合授权概述。基于Gluu Server的UMA授权服务器的实现。使用Gluu网关将客户端应用程序连接到UMA。

详细

, (User-Managed Access Protocol, UMA 2.0). , . , OIDC, OAuth 2.0, 4. «Alice to Bob Sharing». , UMA, , UMA. UMA «UMA 2.0 Grant for OAuth 2.0 Authorization». ( UMA Resource Server UMA Authorization Server) «Federated Authorization for UMA 2.0».

UMA , - -. , (federated document sharing), Google Docs. — . «» , .

UMA (narrow, medium, wide), «» (Resource Owner (RO), Requesting Party(RqP), Permission Ticket ..). UMA Grant (UMA RPT Requests with Interactive Claims Gathering, UMA RPT Requests with a Pushed Claim Token), RPT Request Options (Client Credentials). UMA Federated Authorization, (authorization servers) (resource servers).

Gluu Server UMA Authorization Server scopes, , (interactive claims gathering workflows). UMA- (authorization server) UMA- (resource server), Gluu Gateway Gluu Federation. UMA 2.0.

第9章IDM：功能概述。MidPoint，Syncope，Wren：IDM，Gluu Casa

在制定第1章的构想时，我们考虑了IDM对组织重要的原因。开源IDM系统Evolveum MidPoint的功能概述，Apache Syncope，Wren：IDM，Gluu Casa。

详细

, IAM, IDM IAM (. 1), , Identity Management. opensource-: Evolveum MidPoint, Apache Syncope, Wren:IDM Gluu Casa.

IDM , IDM «» , IAM IAG. IAM- , IDM-. «» .

MidPoint, Syncope Wren:IDM IDM: (approvals), (workflows), (synchronization connectors) (self-service password management). Gluu Casa (2FA; «» 7). , , IDM , .

第10章。多方联合。拓扑。的角色 SAML联合/ OpenID联合。标准OTTO联合会，信任标记。Jaagger Federation管理工具/ Fides

参与者协会，提供对信任网络的访问（多方联盟）。信任三角形（信任三角形）。特性LOA，LOP，LOC。拓扑：网状联合，代理联合，联合信任。联合会参与者：注册机构，联合会运营商，实体。技术SAML联盟，OpenID联盟。标准OTTO联合会，信任标记。Jagger联合管理工具，OTTO节点/ Fides。

详细

, (Multiparty Federation). , , , , , .

« » (Trust Triangle, OpenID Connect) , «»:

(Person) (control) (, ).
(OpenID provider) , (protection) .
(Relying Party) (assurance), , , , .

(Level of assurance, LOA).
(Level of protection, LOP).
(Level of control, LOC).

. Identity Provider Service Provider « »:

(Meshed Federation), InCommon. eduGAIN.
(Proxy Federation Service). . Identity Provider, Service Provider, Identity Provider Service Provider. , , .
(Interfederation Trust). . InCommon eduGAIN, .

« », (NIST Special Publication 800-63C, NIST 800-63-C). (Federation Actors) Registration Authority (RA), Federation Operator (FO), Participant Entity .

SAML Federations OpenID Federations. SAML Federation Jagger Federation Management Tool. Open Trust Taxonomy for OAuth (OTTO) Federation, Trustmarks.

- OTTO-Node/Fides. «» (federation): - .

阅读本书

的总结本书对可能需要在现代现实中构建安全授权和访问控制基础结构的专家所感兴趣的所有内容进行了非常广泛的概述。得益于在一个封面下收集了如此复杂的主题的紧凑报道，读者可以以所需的剂量接受思考。对于那些第一次需要了解该领域的思想和技术的人，以及那些需要更新和刷新其在该主题上的知识的人，这本书都是有用的。

保护周边概述：使用免费开源软件部署身份和访问管理

More articles: