SAML2 und OAuth in der Cloud

Transkript

1 SAML2 und OAuth in der Cloud Ulf Lämmerhirt, Matthias Fuchs V

2 Agenda SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth 2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

3 Agenda SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

4 Einleitung: SAML 2.0 /OAuth 2.0/(OpenID Connect) Beide Verfahren ermöglichen SSO für Web-Anwendungen decken aber unterschiedliche Anforderungen ab. - Security Assertation Markup Language - Open Authorization Beide Verfahren haben eine ähnliche Inrastruktur (aber unterschiedliche Namensgebungen) SAML Historie : SAML 1.0 wird OASIS Standard : SAML : SAML 2.0 OAuth Historie - ca. 2008: OAuth 1.0 durch IETF Arbeitsgruppe : OAuth ca OpenID Connect (Erweiterung auf Basis von OAuth 2.0) 5

5 Unterschiede SAML 2.0 / OAuth 2.0 SAML 2.0 OAuth 2.0 XML-Basiertes Austauschprotokoll Protokoll zur Autorisierung von Zugriffen auf Ressourcen Nutzt HTTP POST Messages - Eher Ungeeignet für Mobile Apps Nicht direkt für SSO geeignet da keine Credentials des Benutzers im Token - Sicherheitsgewinn - Gut für Browser-Basiertes SSO Token enthält UserID und ggf. weitere Informationen - Kann auch zur Autorisierung verwendet werden - Erweiterung durch OpenID Connect für SSO Kann Nachrichten auch über URL-Parameter versenden - Für Mobile Apps geeignet Standardmäßig keine Signierung des Token - Zusätzlicher Round-Trip notwendig 6

6 SAML 2.0 Rollen und Architektur Identity Provider Identity Provider (IdP) - Hält die Benutzeridentitäten - Authentisiert Anwender Service Provider (SP) - IdR. Anwendung o.ä. Trust Relationship - Akzeptiert Token von IdP IdP und SP vertrauen einander User Client Service Provider 7

7 OAuth 2.0 Rollen und Architektur Authorization Server Resource Owner vergibt Rechte an Resourcen (Anwendungen, APIs) auf dem Resource Server an Client Authorization Server - Authorisiert Anwender - Stellt Token aus Resourcen Server - Hält Resourcen des User (Resourcen Owner) Resource Owner User OAuth 2 Client - Anwendungen, APIs, Userdaten - Authorization und Resourceserver vertrauen sich nicht 8 Resource Server

8 Session-based Authentication vs Token-based Authentication Session-based Token Session_id Token Server merkt sich alles anhand der Session_ID Stateless Stateful Geringerer Speicherverbrauch am Server Skalierbarkeit Wird im Memory oder einer Datenbank gespeichert (coherence) Total Flexibilität Die Skalierung hängt vom Server ab Überprüfung nach dem Request des Clients zum Server

9 SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

10 User Integration / Federation OAM Unterstützung einer Vielzahl von LDAPVerzeichnissen. - Bestehende Benutzerverzeichnisse können direkt genutzt werden Kann als Federation-Serviceprovider zu einem externen IdP-Partner auftreten Nutzung von Social-IdPs (OAuth) Benutzerdaten bleiben lokal! 11

11 User Integration / Federation Cloud Anbindung von ADs über eine Directory Bridge Konfiguration von externen Identityprovidern (SAML) oder Social IdPs (OAuth/OIDC) z.z. nur eingeschränkte Möglichkeiten Nutzung bestehender Benutzerverzeichnisse nicht ohne Aufwand möglich! 12

12 Unterscheidung SAML und OAuth: Einsatzgebiete Bevorzugte Einsatzgebiete SAML OAuth Applications Architektur Applikations Server Mobile- und Browser Applikationen Beispiele ADF, JSP, JSF, PHP,.. Angular, Mobile Apps, React, Jet Webservices SOAP REST Etablierung Ausgereift Neuer

13 User Integration Hybrid Cloud Server Application SAML Identity Provider Cloud Oracle, AWS,... SAML Service Provider 1. User Requests Protected Website (z. B. ADF) 2. Authentifizierung erforderlich 3. Anmeldung über SAML Identity Provider 4. User Daten werden aus lokalem Active Directory geholt 5. Zugriff mit SAML Token

14 User Integration Hybrid Cloud Browser Application 4 3 OAuth Cloud Oracle, AWS,... Protected Resource 1. User fordern den Zugriff auf eine Resource an (z.b. Angular auf REST) 2. Resource verlangt Authorisierung über Token 3. Applikation erfragt Token über OAuth 4. User wird über Unternehmensverzeichnis mit SAML verifiziert 5. Zugriff mit OAuthToken 6. Verifizierung Token am OAuth Server

15 SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

16 SAML2 Konfiguration Lokal 1/5 IdP Konfiguration OAM Identity Federation Identityprovider anlegen 18

17 SAML2 Konfiguration Lokal 2a/5 IdP Konfiguration Konfiguration durch XML-Datei Name: beliebig aber eindeutig Protokolle: SAML1.1, SAML2.0, OpenID2.0 NameID: UserID im Token 19

18 SAML2 Konfiguration Lokal 2b/5 IdP Konfiguration Manuelle Konfiguration Provider-ID: Kennung des SP Assertation Consumer-URL: Adresse des Assertation Consumer Service Angaben vom jeweiligen Service Provider 20

19 SAML2 Konfiguration Lokal 3/5 SP Konfiguration Export der IdPMetadaten 21

20 SAML2 Konfiguration Lokal 4/5 SP Konfiguration Auszug aus den IdP Metadaten 22

21 SAML2 Konfiguration Lokal 5/5 Einlog Vorgang Zugriff auf SP Einlog-Maske vom IdP - SAML-Token mit konfigurierten Attributen wird erstellt 23

22 Identity Management Cloud 24

23 Konfiguration SAML2 in der Cloud - Schritt 1 25

24 Konfiguration SAML2 in der Cloud - Schritt 2a Manuelle Konfiguration Entity-ID=Provider-ID - Kennung des SP 26

25 Konfiguration SAML2 in der Cloud - Schritt 2b Manuelle Konfiguration z.z. Keine Konfiguration über XML-Upload möglich! 27

26 Konfiguration SAML2 in der Cloud - Schritt 2c Metadaten Manuelle Konfiguration Metadaten werden auf SP Seite u.u. in unterschiedlichen Formaten bereitgestellt z..b. SimpleSAML PHP Download SP Daten Download IDP Daten 28

27 Konfiguration SAML2 in der Cloud - Schritt 3a Anmelden Zugriff auf SP Einlog-Maske vom IdP - SAML-Token mit konfigurierten Attributen wird erstellt 30

28 Konfiguration SAML2 in der Cloud - Schritt 3b Anmelden 31

29 Agenda SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

30 OAuth Workflow Abstract Workflow Übersicht zwei Komponenten Resource Server Authorization Server Ergebnis: Token

31 OAuth 2.0 Tokens and Extensions Tokens The Authorization Grants Bearer Token Usage RFC 6750 Authorization Code Grant (Auth Code, Native Apps) Assertions Implicit Grant (for Browsers) JSON Web Token RFC 7519 Resource Owner Password Credentials Grant (Trusted) JWTs represent a set of claims as a JSON object that is encoded in a JWS and/or JWE structure. Standard Fields: Issuer (iss), Subject (sub), Audience (aud), Expiration time (exp), Not before (nbf), Issued at (iat), JWT ID (jti) OPEN ID Connect obtain basic profile information about the end-user in an interoperable and REST-like manner sub, iss, aud, Zweck- nonce:, auth_time, Additional Request Details acr, iat, exp Client Credentials Grant

32 Lokale Konfiguration - OAM Vorraussetzung OAM Installation Funktionsfähige Anmeldung User sind integriert Webgate Konfiguration für OAM OAM über Webgate erreichbar R2

33 OAuth OAM

34 OAuth Konfiguration Beispiel Spring Client: Spring Boot APP Properties Local OAuth 39 Fußzeile: Präsentationstitel, Autor, Ort

35 Konfiguration OAuth2 in der Cloud 1 40

36 Trusted Application Konfiguration Cloud Client Types Resources and Scopes 41

37 Mobile Application Konfiguration Cloud Authorization Code Implicit Device Code Configuration Resource Access

38 Beispiel Konfiguration Spring App Cloud - Installation Änderungen an Endpoints

39 Beispiel - Client Credentials Grant Einfachste Weise Token zu holen Nur für sehr vertraute Appliaktionen

40 Beispiel - Postman Examples 45 Fußzeile: Präsentationstitel, Autor, Ort

41 Agenda SAML2 und OAuth in der Cloud 1. Übersicht SAML2 vs. OAuth2 2. User Integration / Federation 3. SAML2 Konfiguration a. In-House Installation b. Cloud 4. OAuth2 Konfiguration a. In-House Installation b. Cloud 5. Zusammenfassung und Fazit

42 Zusammenfassung / Fazit SAML Etablierte Verfahren für Browser-basierte Anwendungen - ID-Token/Assertation in XML - Gut geeignet für browserbasierte Anwendungen - Ermöglicht Authentisierung und Autorisierung in einem Schritt OAuth 2.0 (mit OpenID Connect) - Keine Informationen über Authentisierung daher nicht direkt für SSO geeignet Benötigt Erweiterung durch OpenID Connect. - Etabliert in Sozialen Netzwerken - Gut geeignet für mobile Anwendungen - JSON Web Token (JWT) für Token/Assertation Cloud Angebot ist übersichtlicher und einfacher - Weniger Möglichkeiten z.b. Anbindung Benutzerverzeichnisse, Optionen - Lücken in der Konfiguration (z.b. kein XML- Metadaten Upload) 47

43 Q&A 48 Fußzeile: Präsentationstitel, Autor, Ort