Middleware di autenticazione

6

Gestiamo un ampio sistema distribuito costituito da un numero (> 10) di servizi web basati su Django e applicazioni web con una base di consumatori di circa 10000 studenti universitari. Attualmente, utilizziamo un sistema single-sign-on (Shibboleth) fornito dalla nostra università per gestire l'autenticazione. Autorizzazione / ruoli sono configurati manualmente per utente in ciascun servizio Web. La nostra attuale architettura è la seguente:

VogliamoestendereilnostrosistemaperconsentireaccessitramiteGoogle,Facebook,LinkedInealtreuniversità.Sembracheabbiamobisognodiunmiddlewarechesioccupidiautenticazioneegestionedeiruoli.Iruolivengonospessocreatienonpossonoesseredefinitistaticamente.Ilmiddlewaredovrebbeancheeseguirelagestionedellesessioni(comelagestionedeitimeout,ladisconnessionesingola).Immaginiamoqualcosadisimilealseguente:

Diqualicomponentiavremmobisognoinquestomiddleware?Ilnostrosysadminstavalutando Gluu o Keycloak lungo con un servizio AD. Una di queste soluzioni avrebbe soddisfatto i nostri requisiti? Esistono best practice o elenchi di controllo di vulnerabilità / configurazione per tali sistemi?

    
posta Jedi 02.06.2016 - 15:35
fonte

4 risposte

1

Ciò che sembra ti stia chiedendo è una soluzione IDAM (Identity and Access Management) che offre l'autenticazione federata da fonti non universitarie.

Mi sono occupato solo di soluzioni proprietarie (Oracle, CA ecc.) ma generalmente le soluzioni IDAM sono composte dai seguenti elementi: - Autenticazione - Controllo di accesso - Gestione utenti - Repository utente

Non posso rispondere alla tua domanda se Gluu o Keycloak plus AD soddisfano le tue esigenze e io non ne so nulla. La definizione e la mappatura dei requisiti per ogni soluzione dovrebbero indicare se sono adatti. Assumerei anche che qualsiasi soluzione open source con una comunità ricca e matura avrebbe molte linee guida per quanto riguarda l'hardening, le configurazioni ecc ...

    
risposta data 06.06.2016 - 12:14
fonte
1

Come accennato in altre risposte, in pratica hai bisogno di un sistema di gestione delle identità unificato.

Disclaimer: The company that I work for has a product which provides identity services.

Non mi fiderei della risposta StackOverflow di una persona per decidere quale sistema è più adatto alle mie esigenze. Questi sistemi sono piuttosto costosi e le persone in genere richiedono proposte di diversi fornitori prima di decidere il sistema. Per quanto riguarda gli elenchi di controllo, ciascun fornitore avrà requisiti di memoria e configurazione diversi. Quindi la risposta dipende dal venditore che scegli.

Tieni a mente i seguenti punti di alto livello quando scegli il tuo middleware:

  1. I requisiti hardware . Considerando il numero di richieste che riceverai, avrai bisogno di diversi server dedicati per gestire il traffico. Ciò comporterà un costo hardware aggiuntivo. Alcuni gestori di identità sono dotati di OEM e possono aiutarti a ottenere un accordo migliore.
  2. La documentazione API dei servizi di identità. Cambiare un servizio di identità è un vero dolore. Quindi vorresti quello che è più facile da integrare. Scegli uno che abbia una buona documentazione API in modo che i tuoi servizi web e i tuoi clienti possano integrarsi in modo relativamente semplice.
  3. Avere un accesso limitato fonti. Non tutti gli account saranno compatibili con tutti i servizi di gestione delle identità. Inoltre, spesso una piccola selezione di account è abbastanza buona. Andare di più può diventare un eccesso. Ad es. La maggior parte degli studenti universitari ha le credenziali di Google / Facebook e del college. Avere più login è buono ma non obbligatorio.
risposta data 06.06.2016 - 14:00
fonte
0

Stai cercando un "gateway API".

Sono disponibili molti prodotti e servizi gateway API. Questa risposta StackOverflow elenca alcune delle opzioni: link

Inoltre, Amazon offre il proprio gateway API, che sembra avere opzioni di implementazione abbastanza flessibili: link

Ho anche incontrato la suite API Axway, che sembra promettente: link

Spiacente, non posso dirti quale opzione potrebbe soddisfare al meglio le tue esigenze, poiché sto cercando di ottenere il massimo da questo spazio. Buona fortuna!

    
risposta data 05.06.2016 - 23:47
fonte
0

Riteniamo che l'approccio migliore sia seguire lo slancio open source. Keycloak e Gluu avranno entrambi i modi per risolverlo, così come una serie di altre soluzioni disponibili. Hai davvero bisogno di trovare una soluzione che corrisponda al tuo attuale set di abilità / risorse interne.

Ma se si sceglie un fornitore di chiavi basato su una discussione StackOverflow, è probabile che si abbiano problemi molto più grandi da affrontare:)

    
risposta data 14.09.2017 - 03:31
fonte

Leggi altre domande sui tag