B4sil Jul 1 at 06:16

Single Sign-On (SSO) для системных аналитиков: от основ до деталей OIDC, SAML и Kerberos

Medium

20 min

System Analysis and Design*Information Security*

From sandbox

Comments 10

m_shamhalov Jul 1 at 07:17

О Keycloak замолвите слово

B4sil Jul 1 at 18:20

Об этом следующая статья будет, с примерами из гита)

boldape Jul 2 at 01:17

Расскажите кому из участников процесса здесь требуется услуги кейклок юзеру или приложениям? Я так понимаю приложениям типа трело сторонний клауд провайдер не нужен для реализации входа через Гугл. Они просто подключают библиотеку оидс и реализуют редирект/коллбэк особенно если эти приложения не используют эксесс токен вообще или больше чем просто получить какой то расширенный юзер профайл при логине. Дальше приложение может выбросить все токены от Айдипи и пользоваться своими или просто куками.

B4sil Jul 2 at 05:47

Keycloak нужен приложениям, а не пользователям. Пользователь просто вводит логин на странице Keycloak, а приложение через OIDC получает токены для входа. Google - это свой собственный IdP с OIDC. Выбрасывать токены и держать вечные куки - плохая идея по инфобезу. Это дыра в безопасности. Лучше синхронизировать сессию с токенами или перепроверять у IdP, чтобы избежать проблем - несанкционированного доступа.

boldape Jul 3 at 00:54

Я наверное плохо описал что я имею ввиду. Смотрите я хочу запилить у себя на странице логина кнопень ЛогинЧерезГуголь. Мне от Айдипи нужен только имя и мэйл юзера, дальше я создаю у себя в базе своего юзера с этим именем и привязываю айдипи саб к нему (для релогина/обновления инфы). Дальше выпускаю свои токены и сам отвечаю за сессию. Зачем мне в таком раскладе нужен кейклок и/или айдипишные токены? Что он для меня может сделать лучше/быстрее чем я сам. Логин гуй все равно нужно настраивать, подключить другого провайдера == добавить ещё один оидп сорс. Я просто не вижу никакого валью от клаудного ссо провайдера в этом кейсе.

B4sil Jul 5 at 11:51

Правильно ли я понимаю, что после входа вы предлагаете сделать свои куки с неограниченным сроком действия? Или вы планируете ограничивать время жизни этих куки для безопасности?

boldape Jul 5 at 22:32

Токены вместо кукла и да ограниченные по времени. Когда они зпэкспайрятся юзер догинется через айдипи опять. Связать своих юзеров с внешними можно либо по сабджу либо по мейлу

B4sil 4 hours ago

Замолвил - https://habr.com/ru/articles/927286/ :)

sn1054 Jul 2 at 20:11

ADFS или keycloak суть одно и тоже - IdP с поддержкой протоколов SAML/OIDC.

И нет никакой проблемы использовать их внутри корп. сети. Особенно если SSO хочется (а его всегда хочется), а в керберос инф.система не умеет. LDAP просто фу.

Ещё под saml придётся каждый год серты менять. По сути он уже легаси, и стоит выбирать OIDC по возможности.

B4sil Jul 5 at 11:56

Как скажут инфобез и архитектор так и будет: они решают, что ставить, исходя из бюджета и инфраструктуры. Всё в SSO компромисс, идеала нет)