Как я делал IAM на готовых решениях

[Paskin]

А собственный IAM от AWS - рассматривался в качестве кандидата?

[Gen1us2k]

Рассматривался. Но у нас не было опыта в использовании его. Ну и мы шли путем, что "Возьмем то, начем умеем программировать и если что починим сами". Делать лок и отдавать данные не имея возможности выгрузить и не зная кода было для нас как-то не очень хорошим решением.

[amarkevich]

Amazon Cognito

не было опыта в использовании

всегда найдется что-то новое. одно дело - когда оно уже под рукой и практически бесплатно, а другое - когда внешний сервис прикручивается - есть шанс граблей во время интеграции

были готовы к вендор локу

АПИ есть - в любой момент можно выгрузить данные

[Gen1us2k]

Keycloak хорош, но он на жаве и их сторадж infinispan может доставить кучу проблем. По протоколам нам нужна была обычная аутентификация для пользователей и управление пермишнами, тему с Oauth2, saml, openID connect я не рассматривал. Нужно было что-то простое и легковесное и в моем случае выбор пал на Ory Kratos/Ory Keto. Так было проще для моего проекта.

[webdevium]

Решили остановиться на AWS (ведь все сейчас сидят на нём, верно?)

Отнюдь. Множество команд выбирают другие варианты.
Тем более, AWS самый дорогой среди конкурентов.

[Color]

Извините, но не увидел в статье ничего, кроме перечисления возможных решений.

А что с конфигом ory? Как осуществляется контроль доступов, админский доступ, версионирование? Как реализована интеграция, через интернет? Если да, как ory обезопашивается от несанкционированного доступа, от доса?

Ну и в целом ожидал того, что в заголовке, то есть "Как я делал IAM на готовых решениях", а не про то, как прикрутить настроенный ory stack к петоновскому приложению, без негатива.

[Gen1us2k]

Звучит как отдельный запрос на еще одну статью) Спасибо за комментарий.

[VanKrock]

В dotnet повсеместно используется Identity Server 4, не рассматривали его?

[z0mb1ek]

почему не посмотрели в сторону FusionAuth?

[Gen1us2k]

Мы как-то не рассмотрели его и он выпал из нашего поля взора

[xenon]

Некропост, но я постоянно натыкаюсь на эту статью при поисках подобных решений, отпишу свой опыт здесь - вдруг кто-то будет тоже интересоваться. Тестил FusionAuth полминуты. Прекратил после того как вот:

CONTAINER ID   NAME                 CPU %     MEM USAGE / LIMIT     MEM %     NET I/O          BLOCK I/O         PIDS
748654be8a7d   xplay-fusionauth-1   0.15%     480MiB / 15.53GiB     3.02%     1.59MB / 554kB   602kB / 303kB     52
8982493bfc6c   xplay-search-1       2.95%     859.1MiB / 15.53GiB   5.40%     42.9MB / 869kB   17.8MB / 196MB    74
2bf2742079d1   xplay-db-1           0.02%     54.12MiB / 15.53GiB   0.34%     394kB / 1.5MB    7.08MB / 61.3MB   17

почти полтора гига, и это я еще работать с ним не начал! -). Нет, для больших мальчиков вроде сбера может и подходит, но мне нужно что-то крошечное, чтобы на VPSке запустить и чтобы оно жрало памяти меньше, чем основное приложение :-)

Идеологически мне нравится ory, за счет golang он мало памяти жрет, но, не смотря на то, что есть примеры для всего (включая flask), даже его собственные примеры, даже из докера - не работают. И саппорт на тикеты по этой проблеме не отвечает по полгода. Моё мнение - в этой сфере большинство OpenSource решений делается как реклама для своего централизованного сервиса аутентификации. И вот Ory, похоже таким образом вынуждает пользоваться их платным сервисом аутентификации. Свободная лицензия есть, но продукт сложный, документация мутная и устаревшая.

Мне пока что нравится Fief - заводится и в докере и из консоли, разраб отвечает на тикеты в тот же день обычно, но я бы хотел что-нибудь на golang, чтобы сэкономить ресурсы.

[z0mb1ek]

Сейчас еще вышел Casdoor. Но я все равно убеждаюсь что keycloak лучше))

[xenon]

Пока что нравится. Вроде хорошая документация, мало жрет, внешне красивый. А в чем для вас он проигрывает keycloak?

[z0mb1ek]

Нельзя сделать свою морду для страницы логина, у keycloak с этим проблем нет. Плюс его переписали на quarkus, стало пошустрее и появился форк для CockroachDB. Но конечно детские проблемы никуда не ушли и на gh никто отвечать не спешит на них.

[xenon]

(про морду) Он же вроде в исходиках идет? Там даже говорилось, что чтоб откомпилять фронтенд нужно 2G памяти. А если компиляется - то можно подправить код. Нельзя? Или у кейклоак это проще как-то? (свою морду, конечно, тоже хочется).

[z0mb1ek]

Править исходники, а потом долго их мерджить из свежих версий? Ну такое)) Для этого есть шаблонизация, у casdoor есть немного параметров, но не полностью, у keycloak есть темы которые можно править как угодно, в том числе есть https://www.keycloakify.dev/

[Apokalepsis]

Одно из преимуществ Casdoor от keycloak - полностью отдельней от фронтона Бекенд. Вы можете сделать морду у себя, можете сделать отдельную страницу логина которая будет где-нибудь на SSO. При этом вы спокойно обновляете Бекенд, а фронт поддерживаете сами, потому-что это индивидуальная история.

[barolina]

А не рассматривали django-rest-sso (https://github.com/namespace-ee/django-rest-framework-sso) + cо страндартной django-admin ( к примеру )?

[Gen1us2k]

К сожалению, мы отмели всё джанговское, потому что выбрали алхимию в качестве ОРМ. Это привязало нас к фласку. Делать свой сервис для идентификации мы не хотели.

[zo0Mx]

Ожидал большего от статьи.
1) Аргументы +/- тех или иных решений приведены неоднозначные, без конкретной аргументации (Что за проблемы с inifinispan, например? Кто, как, когда и как часто их испытывает?).
2) Требования к IAM вы вообще решили не указывать - действительно, а, зачем?
3) Обзор/сравнение (хотя бы поверхностный) перечисленных решений вы вообще не удосужились привести.
4) Более мнее подробный обзор выбранного решения отсутствует
Итог - информативной ценности 0, статья ради статьи.
Краткое содержание и без того краткой заметки (статьёй это не назвать): "мы натянули сову на глобус (читай подогнали решение, под продукт который хотели) - мы молодцы"

[mokaton]

Привет!
Как успехи с Ory после почти года жизни с ним? Если вообще продолжили с ним )