1. Angular-User Group Meetup, Nürnberg. Authentifizierung mit Angular JS und Microservices

Transkript

1 1. Angular-User Group Meetup, Nürnberg Authentifizierung mit Angular JS und Microservices Wie man durch Verwendung eines Identity & Access Management (IAM) Systems Zeit spart und dazu noch amtliche Sicherheit in seine Angular 2 Anwendung integriert. Unser Beziehungsstatus zu Angular 2 Welche Aufgaben nimmt mir ein IAM-System ab? Produkte & Standards Login Routen Erweiterte Security

2 Microservices in Java, Javascript und Python Für beliebige Cloud- Infrastrukturen Training-on-the-Job in der Consort Academy

3 Umfeld Sicherheit im Web: OAuth Mit der Cloud hat sich das Thema Sicherheit zur Priorität 1 entwickelt. Dabei kommen immer mehr Szenarien (WebRTC, IoT-Devices, ) und aktive Tätigkeiten (Audits, ständige Überwachung auf Auffälligkeiten, ) hinzu, die die Entwickler unterstützen müssen. Beispiel OAuth-Flows (rechts)

4 OAuth Infrastruktur Kann man selber betreiben muss man aber nicht Identity Store Policy Decision Point

5 Beispiel heute: Welche Komponenten sind beteiligt? Angular 2 JWT / OAuth Microservice Webpack 2 nodejs Authorization Server Admin-UI & API Identity Store Identity & Access Management

6 Warum ist Identity Management für uns ein Thema? Unsere Projekte verlangen immer eine Benutzerverwaltung die üblicherweise in die xxx-directory-infrastruktur des Kunden eingebunden werden muss. Das ganze haben wir gefühlt schon x getan: - Registrierungs- und Login-Formulare programmieren - Datenbank für Benutzer aufsetzen (User-DB, SSO-Provisionierung) - Admin-UI auf Datenbank schreiben - Login in xxx-framework des Projekts einbinden - -Templates für Registrierungs-Bestätigung schreiben - Login-Vergessen und Password-Ändern-Formulare und Logik schreiben - Sich mit Session- und Url-Management der Kunden-Infrastruktur auseinandersetzen - Mit Sicherheitsbeauftragten des Kunden rumkämpfen

7 Auth0 als Beispiel für eine IAM-Lösung Es gibt viele verschiedene Lösung für Identity und Access-Management, die meisten sind richtig teuer:

8 Warum Auth0? Extrem Entwicklerfreundlich (viele Tutorials für alle bekannten Programmiersprachen, Community, alles über API etc.) Extrem Entwicklerfreundlich (is Absicht ) Kostenlos für den kommerziellen Einsatz bis Anmeldungen pro Tag Cloud-basiert Hält sich als Startup an Standards (JWT, Oauth, ) Bietet in der Bezahlversion viele Konzern-Integrationsmöglichkeiten: - SSO - Anomaly Detection - Active Directory Integration - 2 Faktor-Authentifizierung -

9 In welchen Projekten macht Auth0 uns das Leben leichter?

10 JWT (JSON Web Token) Ersetzt das gute alte Session-Cookie und Basic-Auth im authorization- Header Verschlüsselt (optional) & Signiert Zeitlich limitiert Arbeitet über https/oauth Transportiert bestimmte (öffentliche) Informationen zur angemeldeten Identity Zum Verarbeiten benötigt man Libs für das Handling der Algorithmen HS256 (symm.) und RS256 (assym.) Token wird z. B. bei einem Angular-Client im Local-Storage gespeichert

11 JWT (JSON Web Token) Client Libs für alle Sprachen jwt.io

12 Was ist HS256 und RS256 beim JWT? Ein JWT wird vom Aussteller (Auth0) signiert und vom Consumer (API) geprüft, so dass Veränderungen der im JWT enthaltenen Infos ausgeschlossen werden können. Für den Anfang ist es einfacher überall HS256 einzustellen. HS256 = symmetr. RS256 = asymmetr. Kein manueller Aufwand beim Austauschen der Schlüssel, dafür muss aber Zugriff auf den Metadata-Endpoint- Server innerhalb der Infrastruktur (Firewalls) evtl. freigeschaltet werden Shared Secret Shared Secret Private Key Public Key (jwks.json) abholbar über URL beim Producer (Metadata-Endpoint) Producer Consumer Producer Consumer

13 Claims und Scopes Claims (JWT payload) Das JWT wird für ein Subject (User, Identity) ausgestellt und die Claims bezeichnen dessen Eigenschaften, z. B. Name, , UUID. Welche Eigenschaften enthalten sind, legt man selbst fest. Scopes (JWT payload) Das JWT kann diverse Scope-Felder enthalten, die Zugriffsrechte darstellen. Viele Tools können sich an die Scopes anhängen (z. B. editor.swagger.io). Rules (Auth0) Bei jedem Anmeldevorgang laufen in Auth0- Stored Procedures in Javascript ab. Diese kann man beliebig erweitern und z. B. über die Analyse der IP-Adresse oder der eines Users dynamisch Scopes in das JWT einfügen.

14 In Angular mit Tokens umgehen können

15 Der ewige Streit um die wahre Heimat der Benutzer: mymql! Active Directory!

16 User Store einrichten ( Connections : Database)

17 API Design Rechte/Rollen definieren ( OAuth : Scopes) Optional, wenn es mehr als nur angemeldet / nicht angemeldet geben soll. Hier ein Ausschnitt aus dem swagger.yaml:

18 API Design Wo sieht man Scopes im Swagger-Editor?

19 Scopes in Auth0 einrichten ( APIs : Scopes)

20 Login: Die Anmeldemaske integrieren

21 Admin-UI in Auth0

22 Identity + Profil über Lock-Lib verwalten

23 Wenn euere API nicht vom gleichen Server kommt! Damit sich die OAuth-Flows kombinieren lassen, muss in der Lock-Konfiguration (auth.service.ts) der als Audience-Parameter das Feld API Audience aus der Auth0-UI angegeben werden:

24 Eine Route mit angular2-jwt absichern

25 Eine Route mit angular2-jwt absichern

26 Steuerelemente mit angular2-jwt ein- /ausblenden

27 Aus einem Service einen abgesicherten Microservice aufrufen authhttp anstatt http (fügt Token aus local storage in authorization header ein)

28 Backend: REST-API absichern Funktioniert im Detail natürlich pro verwendeter Programmiersprache anders wir haben s für NodeJS, Spring Boot (Java) und Python durchprobiert:

29 Backend: REST-API absichern Funktioniert im Detail natürlich pro verwendeter Programmiersprache anders wir haben s für NodeJS, Spring Boot (Java) und Python durchprobiert:

30 Advanced: Zwei-Faktor Authentifzierung Empfehlenswert für öffentlich zugängliche Admin-SPAs.

31 Advanced: Management-API als Backend für eigene Admin-UI Eine gute Basis für die Integration in bestehende Admin-Portale eines Kunden. ihr erinnert euch?

32 Advanced: Auth0 als externen Service überwachen Nützlich, falls z. B. Firewall-Regeln ins Intranet verschwinden :

33 Thanks! May the Scrum be with you!