1 / 36

Aplikacja od SaaS do IdaaS

Aplikacja od SaaS do IdaaS. Tomek Onyszko, tomasz.onyszko@predica.pl, @ tonyszko. Tomek Onyszko . mv p – enter p rise security (od 2005 – usługi katalogowe) identity architect @ blog – http://onyszko.com twitter: @ tonyszko

shea
Download Presentation

Aplikacja od SaaS do IdaaS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Aplikacja od SaaS do IdaaS Tomek Onyszko, tomasz.onyszko@predica.pl, @tonyszko

  2. Tomek Onyszko • mvp– enterprisesecurity (od 2005 – usługi katalogowe) • identityarchitect @ • blog – http://onyszko.com • twitter: @tonyszko • speaker – TechEd, MTS, The Experts Conference, community

  3. tożsamośćikontekst Architekt Prelegent Prywatnie - ojciec

  4. aplikacjeitożsamość Ustalićkontekst Autoryzacja Uwierzytelnienie

  5. problemyobecnegopodejścia • wymaga od aplikacjiutrzymywaniainformacji o tożsamości • zarządzaniepoświadczeniami • ryzykowyciekudanychikoniecznośćnimzarządzania

  6. świat 20xx … raczejszybko • niekontrolujemyinfrastruktury–IaaS • niekontrolujemyaplikacji – SaaS • niekontrolujemyurządzeń – BYOD • urządzenie … to wszystkodookoła – IoT (IoEE)

  7. API stupid … API economy • API bedą (są?) głównymsposobemwymianydanych • ilośćotwartych API gwałtownierośnie • przewidywane 250k API w 2016 • API potrzebujątożamości

  8. Identity is a new king! Web \ Mobile Enteprise APIs

  9. A gdybyspróbowaćinaczej • Identity Provider (IdP) – usługauwierzytelenieniaużytkowników • Informacja o tożamości • STS – Security Token Service • Relaying party (RP) – aplikacjakorzystająca z IdP • Delegujeuwierzytelnienie do IdP • Zaufanie • Informacja

  10. podejściepierwsze - enterprise • SAML = Security Assertation Markup Language • opartyna SOAP /XML • Standaryzowanyprzez OASIS • wspieranyprzezrozwiązania SSO iaplikacje enterprise (ale nietylko) • głównezastosowanie • Web SSO • Act-AS – dostęp do web services

  11. SAML – jakdziała Identity Provider Relaying party Użytkownik

  12. problemy z SAML • relacja 1:1 pomiędzyIdP a RP • Skalowanie w sieciprzyrosnącejilości API \ aplikacji • zarządzanierelacjami • skomplikowanydladeveloperów • protokoły • specyfikacjaformatutokenów • wiele profile • Act-As - delegacja

  13. SAML is not dead

  14. new kids on the block

  15. OAuth 2.0 • Protokółprotokołów (framework) • Definiujeprzepływinformacji • Pozostawiaswobodęimplementacji • Adresuje • Delegacjędostępu • Brakwymianyhasła • Odwołaniedostępu • Nie jest to protokółuwierzytelnienia

  16. OAuth 2.0 – jakdziała Authorization Server (IdP) Resources Server (API) {by ref} {scopes} • API: • wiekim jest owner • kim jest klient • kim jest IdP Resource Owner Klient (web site)

  17. OAuth 2.0 – problemy • OAuthnie jest protokołemuwierzytelnienia • dostęp do zasobuidelegacja • nieprzekazujeinformacji o uwierzytelnieniuitożsamości • niedostarczainformacji o tożsamości • wymianatokenówdostępu • delegacjadostępu do API (zasobu)

  18. OpenID Connect • zbudowanynaOAuth 2.0 (protocol of protocols) • protokółfederacji • Dodajeinformację o tożsamości do wymianywiadomościOAuth 2.0 • oparty o format JWT (JSON Web Token) • wprowadzauserinfoendpoint • pobranieinformacji o tożsamości • pobraniekolejnychtokenów • OpenID != OpenID Connect

  19. OpenID Connect – jakdziała Relaying party \ client Authorization Server (IdP) {scopes} {openid} Użytkownik (przeglądarka)

  20. ID token • access token -> przeznaczonydla API • ID token -> przeznaczonydlaklienta • dlakogowydany -> klient • informacje o tożsamości • metodauwierzytelnienia • kto go wydał • data wygaśnięcia

  21. OpenID Connect: uwierzytelnienie • Definiujeprzepływ ale niemetodęuwierzytelnienia • Pozwalanazastosowaniesilnegouwierzytelnienia \ MFA

  22. web finger • Web finger – usługadiscoverydla RP • E-mail jakoidentyfikator -> joe@example.com

  23. discovery • OpenID Connect zawieraspecyfikacjędiscovery dlausług

  24. automatycznarejestracja • Rejestracjaklienta -> client_id • Automatycznarejestracja z dostawcąOpenID Connect

  25. DIFFERENT

  26. Model oparty o IdP \ AuthZ Server • IdP • Uniezależnianas od źródłaiimplementacjimetodyuwierzytelnienia • Autoryzacjaoparta o informacji o tożsamości • SAML • Informacja o tożsamości \ delegacja • OAuth 2.0 • Framework dlainnychprotokołów • Delegacjadostępu -> API Economy • OpenID Connect • “SAML nasterydach” namiaręczasówiwymagań

  27. get on-board

  28. get on-board

  29. Dziękuję! -> wypełnijcieankiety ;) • twitter: @tonyszko

More Related