La specifica OpenID Connect Core definisce erroneamente OpenID Provider e Relying Party in termini di partecipanti umani?

1

Ci sono alcune definizioni importanti nelle specifiche OpenID Connect Core che si riferiscono a un umano partecipante, e a prima vista sembrerebbe che OpenID Connect si applica solo nei casi in cui vi è un partecipante umano, ma questo non è vero nella pratica. Questi termini sono erroneamente definiti in termini di partecipazione umana e dovrebbero essere definiti più in generale per comprendere l'utilizzo in assenza di partecipazione umana?

Ecco le definizioni, con altri termini definiti anche in grassetto (anche quelle definizioni sono elencate di seguito):

  • Utente finale : partecipante umano
  • Fornitore OpenID : OAuth 2.0 Server di autorizzazione che è in grado di Autenticare End-User e fornire Reclami a un Partito richiedente sull'evento Autenticazione e Utente finale
  • Parte richiedente : applicazione OAuth 2.0 client che richiede utente finale autenticazione e reclami da un provider OpenID

Nonostante l'esistenza delle definizioni di termini umani-centric sopra menzionate, ci sono molte altre definizioni pertinenti nelle specifiche che dichiarano esplicitamente o implicano che un partecipante umano non è necessario. Date queste definizioni aggiuntive (vedi sotto), è chiaro che l'uso di OAuth 2 / OpenID Connect in un contesto senza interazione umana è ragionevole - e infatti è ampiamente supportato. Ecco le definizioni:

  • Entità : qualcosa che ha un'esistenza separata e distinta e che può essere identificata in un contesto. Un utente finale è un esempio di un'entità (il che implica che ci sono altri esempi che non sono partecipanti umani .
  • Token ID : JSON Web Token (JWT) che contiene Crediti sull'evento Authentication . Può contenere altri reclami .
  • Autenticazione : processo utilizzato per ottenere una sufficiente confidenza nell'associazione tra Entity e l' Identity presentata
  • .
  • Identità : set di attributi correlati a Entity .
  • Rivendicazione : parte di informazioni asserita su un'entità .

Le specifiche OpenID Connect Core utilizzano diversi termini definiti dalla specifica OAuth 2 che supportano la nozione di interazione senza coinvolgimento umano :

  • Proprietario risorse : Entità in grado di garantire l'accesso a una risorsa protetta. Quando Proprietario di risorse è una persona, viene definito Utente finale (il che implica che esistono altri esempi che non sono persone) .
  • Server di risorse : server che ospita risorse protette, in grado di accettare e rispondere a richieste di risorse protette utilizzando token di accesso .
  • Cliente : applicazione che fa richieste di risorse protette per conto del proprietario di risorse e con la sua autorizzazione.
  • Server di autorizzazione : server che emette token di accesso al client dopo aver autenticato correttamente il proprietario di risorse e ottenuto l'autorizzazione
  • Token di accesso : credenziali utilizzate per accedere a risorse protette; è una stringa che rappresenta un'autorizzazione rilasciata al Cliente .

Considerato tutto ciò, non posso fare a meno di pensare che le definizioni di OpenID Provider e Relying Party avrebbero dovuto fare riferimento a Entity invece di Utente finale . Sono corretto?

    
posta rndgstn 04.03.2018 - 17:09
fonte

2 risposte

1

No, le definizioni sono corrette.

Ricorda che una parte relying non autentica ma viene autorizzata attraverso il processo in cui l'utente finale ha autenticato per la prima volta e quindi ha fornito un'autorizzazione (sotto forma di token) alla parte relying.

Ulteriori chiarimenti sul tuo commento finale:

  • Il provider OpenID non autentica alcuna entità, è specificamente un server di autorizzazione in grado di autenticare un utente finale END.
  • The Relying Party è un'applicazione, in esecuzione su un server o sul dispositivo dell'utente. Un utente umano deve essere autenticato prima che un token venga fornito alla parte Relying, quindi l'utente finale del lavoro nella definizione.
risposta data 05.03.2018 - 10:05
fonte
-1

Provider OpenID è un server.

Relying Party è un'applicazione.

Certo, i server e le applicazioni non appaiono da soli. Gli umani sviluppano applicazioni, gli umani li distribuiscono e li configurano, gli umani definiscono le politiche di sicurezza. Ma non consideriamo come è stato configurato . Consideriamo come agisce .

    
risposta data 03.06.2018 - 12:59
fonte

Leggi altre domande sui tag