Social Login mit Facebook, Google und Co.

Transkript

1 IAM EXCELLENCE OAuth 2.0 und OpenID Connect Social Login mit Facebook, Google und Co. Stefan Bohm

2

3 Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login OAuth 2.0 Zugriffsrechte auf geschützte Ressourcen an Dritte vergeben HTTPS

4 Web Application Web Application User-ID Passwort Anwender Service Consumer Service Provider Persönliche Ressource

5 Uneingeschränkter Zugriff!

6 Passwort = Schlüssel

7 Vertrauenswürdigkeit?

8 à Password-Antipattern!

9

10 Hallo Helpdesk, bitte Leserechte für meine Fotos an pixprintr.com erteilen. Genau. Lesezugriff für eine Stunde. Foto: Shutterstock.com Everett Collection

11 Bild: Shutterstock.com Amal Babu

12 Protokoll zwischen drei Parteien mit dem Ressource-Eigentümer eingeschränkte Zugriffsrechte auf geschützte Ressourcen, die von einem Ressource-Provider gehostet werden, an Ressource-Consumer in-band erteilen können.

13

14 Authentication, Authentication Request, Authentication Context, Authentication Context Class,? Authentication Context Class Reference, Authorization Code Flow, Authorization Request, Claim, Claim Type, Claims Provider, Credential, End-User, Entity, Essential Claim, Hybrid Flow, ID Token, Identifier, Identity, Implicit Flow, Issuer, Issuer Identifier, Message, OpenID Provider, Request Object, Request URI, Pairwise Pseudonymous Identifier, Personally Identifiable Information, Relying Party (RP), Sector Identifier, Self-Issued OpenID Provider, Subject Identifier, UserInfo Endpoint, Validation, Verification, Voluntary Claim

15 Foto: Shutterstock.com fotosav

16 Bitte mein Auto einparken. Valet Einparken Valet Key

17 Valet Key { } "access_token":"2yotnfzfejr1"

18 Client Resource Provider Wie kommt der Client an das Access Token? Resource Request + access_token

19 Authorization Code Flow: Client ist eine Web-Applikation https Web Application OAuth 2.0 Client https API Resource Provider Browser Resource Consumer OAuthgeschützt

20 Resource Provider Login und Consent Authorization Endpoint Token Endpoint Resource UserInfo Endpoint Redirect + Authorization Code POST + Authorization Code + Client ID + Client Secret 200 OK + Access Token + ID Token Request + Access Token Resource Redirection Endpoint 30x Redirect + standard. + Scopes + Client-ID + Login-Steuerung /irgendeineurl Resource Consumer (Client)

21 Live Demo Authorization Endpoint accounts.google.com /o/oauth2/token Token Endpoint /oauth2/v3/userinfo Resource Endpoint accounts.google.com /o/oauth2/auth /callback Redirection Endpoint /initflow Localhost Resource Consumer (Client)

22

23 Schwer Resource Provider Authorization Endpoint Token Endpoint Resource Endpoint Redirection Endpoint Einfach Resource Consumer (Client)

24 Ja, aber...

25 Dann eben kein Social Login!

26 Ist doch Wurscht...

27 Informationssicherheit?

28 Informationssicherheit! Sicherheitsmaßnahmen Risiken

29 Risiko 1 Anwender ist nicht der, der er vorgibt zu sein.

30 Risiko 2 Die Informationen, die wir über den Anwender haben, entsprechen nicht der Wahrheit.

31 Authentication Assurance Multifactor- Authentication One-Time Passwort, z.b. Google Authenticator Fahrzeug lokalisieren Passwort Social Login Fahrzeug konfigurieren, Konfiguration speichern Informationsmaterial bestellen Anonym Selbstregistrierung Social Login Adresse verifiziert geschäftl. vertrauenswürdiger Transaktion Dritter, erfolgreich z.b. Postident, SuisseID Identity Assurance

32 Botschaft 1 Ein Social Login ist einfach* zu verwenden.

33 Botschaft 2 Ein Social Login setzt die Eintrittsschwelle für Neukunden herunter.

34 Botschaft 3 Der Einsatz von Social Login hängt vom Anwendungsfall ab.

35 Welcome Everyone Trust No One

36 IAM EXCELLENCE ic Consult GmbH Keltenring Oberhaching