!"#$"%&'()*$+()',!-+.'/',

Größe: px

Ab Seite anzeigen:

Download "!"#$"%&'()*$+()',!-+.'/',"

Kilian Schuler
vor 10 Jahren
Abrufe

1 Soziotechnische Informationssysteme 7. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3,

2 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung! Nachweis einer behaupteten Eigenschaft! Person, Gerät, Dokument, Information ist authentisch Autorisation! Festlegung bestimmter Berechtigungen für eine authentifizierte Partei Authentifizierung Behauptung der Authentizität wird verifiziert Kenntnis eines Geheimnisses! Passwort Verwendung eines authenfizierenden Gegenstands! Schlüssel, SIM-Karte,... Physische Präsenz! Diverse biometrische Verfahren 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 1,

3 Autorisierung Zuweisung und Überprüfung von Zugriffsrechten auf Daten und Dienste Zugreifbare Objekte Art des Zugriffs! Lesen! Schreiben!... So weit so gut Immer mehr Services im Internet Immer sensible Daten betroffen Wünsche! Single Sign On! Delegation von Rechten 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, <,

4 (Zu)viele Passwörter Website 1 Website 2 Website 3 K1 K2 K3 OAuth 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, =,

5 Password Anti-Pattern Website 1 Website 2 K3 Website 3 Impersonation K1 K2 Keine Credentials an Dritte! K3 OAuth Website 1 Website 2 Website 3 Authentication Server 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, >,

6 Kernaspekte OAuth! Delegierendes Autorisationsprotokoll Teilnehmer! Resource Owner Eigentümer eines digitalen Guts! Resource Server Stellt digitales Gut bereit! Client Möchte auf Information zugreifen! Authorization Server Leitet Access Token an Client weiter Vorab Authentifizierung durch Owner Access Token Meist Zeichenkette ohne innere Struktur! Reine Capability! Kann Autorisierungsdetails enthalten Legt Zugriffsdetails fest! Art des Zugriffs! Zeitliche Begrenzung 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0,?,

7 Protokoll Client Owner AServer RServer Authorization Request Grant Grant & Client Credentials Variante Client Owner AServer RServer Authorization Request Grant Grant & Client Credentials

8 Implizites Grant Client Owner AServer RServer Authorization Request Weitere Elemente Refresh Token! Weitere Access Token ohne Owner Grant anfordern Client Authentifizierung! Client Password Authentication! HTTP Basic Authentication 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, A,

9 REST REST vs. WebServices Obj1 RESTful Site JSON URL1 URL3 URL2 Obj3 Obj2 URL4 Obj4 WSDL SOAP XSD Obj1 SOA Site IF Obj2 Obj4 Obj3 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, B,

10 REST REST = Representational State Transfer Verwendet der HTTP-Operation! GET (Anfrage)! POST (Create)! PUT (Update)! DELETE (Löschen) Jedes Objekt hat eigene URL Json als SOAP-Ersatz JSON 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 32,

11 Ein Beispiel Beispiel Twitter Ziel! Zugriff auf Account Asysob (neuer Tweet) Application ID bei Twitter beantragen Beispiel programmieren! 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 33,

12 Protokollstack Application Layer Protocol API (z.b. TweetSharp) REST API (z.b. RestSharp) Kommunikation API (UDP, TCP) Laufzeitplattform (Sprachspezifisch) Betriebssystem TWAC42 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 31,

13 Zum Anfassen OpenID 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3<,

14 OpenID Dezentrales Authentifizierungsprotokoll! Single Sign On Freie Wahl des Authentication Server Freie Wahl des eigentlichen Authentifizierungsvorgangs! Passwort! SSL Zertifikate! Out of Band (SMS u.ä.) OpenID Connect Client Owner AServer RServer Authorization Request Grant Authentifizierung über OpenID Grant & Client Credentials 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3=,

15 SAML SAML Immer mehr Informationen zu Identitäten und Sicherheitsaspekten müssen ausgetauscht werden Security Assertion Markup Language! XML-Dialekt OASIS ist involviert! Organization for the Advancement of Structured Information Standards! e-business und WebServices 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3>,

16 SAML Bestandteile aus SAML V2.0 Basics von Eve Maler SAML Spezifikation aus SAML V2.0 Basics von Eve Maler 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3?,

17 SAML Elemente Entity Principal! Authentifizierbares Entity Subject! Principal im Kontext einer Securiy Domain Identity! Im Kontext relevante Charakteristika eines Entity! Anonymity Federated Identity Identifier! Geht auch als Pseudonym Asserting Party (SAML Authority) Relying Party SAML Assertion aus SAML V2.0 Basics von Eve Maler 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0,

18 SAML Subject aus SAML V2.0 Basics von Eve Maler Authentication Statement aus SAML V2.0 Basics von Eve Maler 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3A,

19 Authentication Context Diverse Passwort-Szenarien Kerberos Public Key / PKI Smartcard Telephonie SSL-Zertifikate... Attribute Element 4(5,12316,7'.'0,!.80/6,9*$:'0+$.;.,&0$'0, 3B,

Ähnliche Dokumente

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten