Come posso garantire la privacy quando esternalizzo l'autenticazione a un IdP (provider di identità)

0

Ho bisogno di esternalizzare l'autenticazione a un IdP (provider di identità) ma non voglio che IdP sappia del sito di chiamata. I due problemi principali sono l'URL di callback e l'intestazione referer .

C'è un modo per "nascondere" o mascherare l'URL di callback, l'intestazione referer e qualsiasi altro dato che può esistere?

Alcune idee potrebbero includere

  • Uso di javascript su HTTP POST
  • Utilizzo di un oggetto come ActiveX o componente aggiuntivo
  • Adattamento di Mozilla Persona all'idea (a meno che non lo faccia già)
  • Richiamata a un proxy che semplicemente salta e anonima il traffico

Qualcuno è a conoscenza di un modo per autenticare un sito utilizzando una terza parte, nascondere l'identità del sito di origine?

    
posta random65537 11.03.2013 - 00:21
fonte

1 risposta

2

Non penso che sia una buona idea nascondere l'identità del Service Provider (SP) dal provider di identità (IdP - una terza parte fidata).

  1. L'IdP fornisce l'autenticazione come servizio agli SP che si integrano con esso.
  2. Ciò rientra in gestione delle identità federate che dipende interamente dalla creazione di relazioni di fiducia tra diversi domini.
  3. Ciò consente agli utenti finali di autenticarsi con un dominio (IdP) e servizi di accesso che appartengono a domini diversi (Single sign-on)
  4. Poiché IdP fornisce un servizio a SP, dovrebbe disporre di un meccanismo per identificare l'SP da cui proviene la richiesta di autenticazione. e per verificare l' autenticità della richiesta. (generalmente implementato verificando la firma digitale della SP e qualche tipo di accordo preliminare tra le due parti)

Supponiamo che tu (SP) non voglia condividere le informazioni sulla tua identità con IdP.

  1. Dopo aver verificato le credenziali dell'utente, in che modo l'IdP notifica all'SP che l'utente è autenticato o meno (è necessario l'URL di callback)
  2. Se non esiste un metodo efficace per identificare la parte richiedente, alcune applicazioni Web dannose potrebbero fingere di essere te e comunicare con l'IdP. Ciò potrebbe compromettere alcune informazioni importanti.
  3. Consideriamo un caso estremo in cui ti stai affidando a una terza parte per comunicare con IdP per tuo conto. Anche in questo caso è necessario disporre di un meccanismo per verificare l'autenticità della richiesta di autenticazione (ancora una volta è necessario condividere la chiave pubblica)
risposta data 20.03.2013 - 12:58
fonte

Leggi altre domande sui tag