OpenAM - Fast SSO
Transferir como PPTX, PDF1 gostou1,155 visualizações
O documento discute a implementação de autenticação e autorização em aplicações web através do OpenAM. O OpenAM permite single sign-on (SSO), gerenciando quem pode acessar quais recursos através de autenticação e controle de acesso centralizados. Ele também suporta federação com serviços de terceiros através de protocolos padrão.
![Rest and Resource Autorization
Requisição
curl --header "iPlanetDirectoryPro: AQIC5wM2LY4SfcwyCO2rILBLpB93G7k4yHM-NN9OJL5zqEU.*
AAJTSQACMDEAAlNLABQtMjU0NTQwOTU4Mjg0MTA2MDYyOA..*"
http://openam.example.com:8080/openam/json/users/demo?_prettyPrint=true&_fields=realm,uid,sn,c
n,inetuserstatus
Response
{
"realm" : "/",
"uid" : [ "demo" ],
"sn" : [ "demo" ],
"cn" : [ "demo" ],
"inetuserstatus" : [ "Active" ]
}](https://image.slidesharecdn.com/fastsso-141207203235-conversion-gate01/85/OpenAM-Fast-SSO-38-320.jpg)
OpenAM - Fast SSO
- 1. OpenAM Fast Single Sign On
- 2. Boss
- 3. Desenvolva um aplicativo ! Qual tipo de aplicativo ? ● Um grande portal ● Um micro blog ● Uma Rede Social corporativa ● Uma Intranet/Extranet ● Todos estes citados
- 4. Qual abragência ? ● Cloud (SaaS) ● Onpremise (Local) ● Hibrida (Local e Cloud)
- 5. Quais as features da aplicação ? ● Colaborativo ● Multi tenancy ● Multi usuário ● Multi plataforma
- 6. Na boa véio, você precisa de uma aplicação WEB
- 8. As perguntas padrões ● Qual a linguagem vou utilizar ? ● Qual framework vai ser melhor para utilizar ? ● Qual banco de dados ?
- 9. Ops, esqueceu do Controle de Acesso ● Quem são os nossos usuários? ● O que eles podem fazer? ● Como podemos gerenciar isso?
- 10. Temos usuários para todos os lados
- 11. Dificuldades do modelo tradicional ● Eu tenho uma credencial, por que não posso sempre utilizá-la ? ● Preciso logar toda vez que mudo de aplicação ? ● Não aguento mais guardar tantas senhas ! ● Tenho que ligar novamente para o suporte ! ● Remova o acesso do colaborador X de todos os 48 sistemas, inclusive dos sistemas de terceiros !
- 13. Single Sign On ● Uma Credencial ● Múltiplas portas
- 14. SSO prover autenticação (AuthN) Porque o que importa é a identidade e não o seu método de implementação
- 15. Mas e o controle de Acesso ? ( AuthZ )
- 16. O controle de Acesso no modelo tradicional ● Muito complexo ● Especifico por domínio ● Dependente de muitas condições ● De difícil alteração/manutenção quando são várias aplicações
- 17. SSO prover Controle de Acesso (AuthZ) ● Define quem pode ou não acessar tal recurso ● Suporta Multi usuário / Grupos ● Permissões/privilégios desacoplados ou acoplados a aplicação
- 18. Resumindo
- 19. O que meu app precisa saber ? ● Quem é o utilizador? ● Ele é mesmo quem diz ser ? ● Pode este utilizador acessar este recurso com estas determinadas condições ?
- 20. Ou seja ... ● É usuário X ? ● É usuário X autorizado a acessar o recurso R? ● É usuário X autorizado a executar a operação P? ● É usuário X autorizado a executar a operação P no recurso R?
- 21. Agora que sei o que preciso para cuidar do Acesso/Autorização os apresento
- 22. OpenAM (O Segurança Chefe) Framework para Gerenciamento de Autenticação
- 27. O que ele suporta ?
- 29. Como funciona ?
- 32. Autenticando
- 33. Autenticando - Zoom Level 1
- 34. Exemplo de Rest e Openam Requisição curl –request POST –header “X-OpenAM-Username: demo” –header “X-OpenAM-Password: changeit” –header “Content-Type: application/json” –data “{}” https://openam.example.com:8443/openam/json/authenticate Response { “tokenId”: “AQIC5w…NTcy*”, “successUrl”: “/openam/console” }
- 35. Agora que eu já estou dentro do balada Vou dá um “migué” para entrar na àrea VIP e pegar geral
- 37. Autorização
- 38. Rest and Resource Autorization Requisição curl --header "iPlanetDirectoryPro: AQIC5wM2LY4SfcwyCO2rILBLpB93G7k4yHM-NN9OJL5zqEU.* AAJTSQACMDEAAlNLABQtMjU0NTQwOTU4Mjg0MTA2MDYyOA..*" http://openam.example.com:8080/openam/json/users/demo?_prettyPrint=true&_fields=realm,uid,sn,c n,inetuserstatus Response { "realm" : "/", "uid" : [ "demo" ], "sn" : [ "demo" ], "cn" : [ "demo" ], "inetuserstatus" : [ "Active" ] }
- 39. Rest and Logout Example Requisição curl --request POST --header "iPlanetDirectoryPro: AQIC5wM2LY4SfcwyCO2rILBLpB93G7k4yHM-NN9OJL5zqEU.* AAJTSQACMDEAAlNLABQtMjU0NTQwOTU4Mjg0MTA2MDYyOA..*" http://openam.example.com:8080/openam/json/sessions?_action=logout Response {"result":"Successfully logged out"}
- 40. Mas como gerencio as permissões de terceiros ?
- 41. Federation
- 42. IDP/SP Identity Provider Service Provider
- 43. Circulo de confiança (Circle of Trust)
- 45. Os beneficios da Federação ● Habilita o Single Sign On e o Single logout entre os parceiros que participam da relação de confiança ● Federation permite rápida integração entre Sistemas heterogêneos ● Federation permite um compartilhamento básico de identidades ● Ajuda a manter o controle centralizado ● Fedlet para legados ou aplicativos fechados
- 46. Outras Ferramentas da Suíte
- 49. Links OpemAM Docummentation http://openam.forgerock.org/docs.html