Header Ads Widget

Ticker

6/recent/ticker-posts

3 aplicaciones de autorización únicas de OpenID Connect


 OpenID Connect, una capa de identidad en la parte superior de OAuth, es una de las formas más importantes en que la autorización de acceso y la información se transfieren entre dos partes en línea. El protocolo OAuth2 decide cómo un cliente recibe un token de un usuario que da su consentimiento y luego usa ese token en una llamada a la API.

Paul Madsen de Ping Identity argumenta que aunque OAuth2 pasa la identidad a través de los permisos de ese token, el protocolo carece de información útil para el usuario. Al colocar OpenID Connect en la parte superior de OAuth2, la semántica de identidad entra en juego y OAuth2 se vuelve consciente de la identidad , lo que permite cosas como el inicio de sesión único y el intercambio de información de perfil personal. Vea la charla completa de Paul a continuación, o siga leyendo para conocer los puntos clave.

Extensiones de identidad de clave de OpenID Connect:

  • UserInfo Endpoint : El extremo protegido por OAuth que proporciona atributos de identidad de usuario, lo que limita la entrega de formularios de registro.
  • Tokens de identificación : un objeto de información estructurado, seguro y firmado que contiene información sobre el usuario en cuestión, como cuándo se autenticó y cómo .

Para obtener una descripción detallada de OpenID Connect y OAuth, consulte: API Security: Deep Dive in OAuth y OpenID Connect

Si se adopta ampliamente, OpenID Connect podría transformar el control de identidad al permitir el inicio de sesión único, aumentar la seguridad de la información y ayudar a administrar la identidad en todo el Internet de las cosas. En esta publicación, profundizaremos en estos tres casos de uso sobre el uso de OpenID Connect para administrar de forma segura la identidad del usuario.

1: Cómo OpenID Connect habilita el SSO nativo

OpenID Connect permite el inicio de sesión único nativo , generalmente denominado SSO nativo. A medida que las aplicaciones nativas continúan creciendo en popularidad debido a su facilidad de uso y distribución, surge una mayor demanda de OAuth predeterminado en entornos nativos. Pero la carga de administrar la autenticación en un mar de varias aplicaciones nativas recae en el usuario final, que debe saber qué inicio de sesión es para qué aplicación, cuál debe ser reautenticada, entre otras molestias.

Los pronósticos muestran un aumento en el uso de aplicaciones nativas en el futuro previsible. En 2014, el 86 por ciento del tiempo dedicado a los teléfonos inteligentes se dedicó a aplicaciones nativas, no a navegadores web. Una forma de obtener una ventaja en este mercado cada vez más concurrido es aumentar la usabilidad con un inicio de sesión único para varias aplicaciones publicadas por el mismo propietario. Esto se puede lograr usando OpenID Connect emparejado con OAuth.

El proceso implica la implementación de un Agente de autenticación (AZA) que es un agente instalado en el sistema operativo del dispositivo o es su propia aplicación móvil separada. El usuario del dispositivo móvil autoriza al agente de la AZA a recuperar tokens automáticamente de otras aplicaciones móviles nativas que está autorizado a usar.

Este caso tiene un atractivo obvio para que las empresas habiliten y controlen el acceso SSO a ciertas aplicaciones de nivel empresarial, tanto para aplicaciones web como nativas, así como para paquetes de aplicaciones B2C que fueron creados por la misma marca que quiere brindar a los usuarios un acceso fácil. al centro comercial.

Diapositiva 23_Componentes del marco_Ping Identidad

El siguiente paso es establecer y estandarizar los protocolos bajo los cuales se puede permitir este SSO nativo y se pueden compartir los tokens. La Fundación OpenID está colaborando actualmente en el desarrollo de especificaciones para SSO de aplicaciones nativas a través de OpenID Connect 1.0.

2: Cómo utilizar OpenID Connect para habilitar la gestión de información móvil y BYOD

Lamentablemente, las principales brechas de seguridad han sido omnipresentes en las noticias recientes. Se están empleando varias estrategias de gestión de la seguridad para evitar estas infracciones con un enfoque decidido en ofrecer a las empresas la confianza de que sus empleados pueden usar cualquier dispositivo móvil para acceder a aplicaciones comerciales confidenciales sin dejar de tener un estándar de seguridad, independientemente del dispositivo móvil en esta mundo de dispositivos propios (BYOD). Las estrategias incluyen:

  • La gestión de dispositivos móviles (MDM) tiene como objetivo proteger todo el dispositivo, independientemente de si se utiliza tanto para negocios como para placer. Cuando se aplica a BYOD, los derechos de privacidad y propiedad se cuestionan.
  • La gestión de aplicaciones móviles (MAM) se vuelve granular, y los departamentos de TI empresariales se centran solo en proteger las aplicaciones comerciales, compartimentar los datos y las aplicaciones.
  • La gestión de información móvil (MIM) actúa como el siguiente paso en esta granularidad. La empresa impone su política de gestión directamente sobre los datos en sí. Los datos comerciales están empaquetados con políticas y mecanismos de seguridad que limitan y determinan cómo se pueden usar esos datos.

MIM es gestión de claves. Con MIM, antes de que los datos se pasen al dispositivo, se cifran con una clave correspondiente y una política que abarca cómo se transmiten los datos y cómo se vincula la clave de cifrado a los datos. Las claves de descifrado se liberan solo bajo condiciones estrictas: el usuario correcto con la clave correcta utilizando la aplicación correcta.

Madsen argumenta que OpenID Connect es importante para ese modelo de distribución de claves, a través de un token de identificación y una API de información de usuario, ya que sigue un flujo de OpenID Connect con pasos de distribución de claves superpuestos. La aplicación en sí no tiene una clave de descifrado, pero puede usar su token de acceso para enviar su licencia al servidor de distribución de claves. A partir de ahí, ese servidor de distribución puede determinar quién es el usuario, en qué contexto y bajo qué circunstancias bajo licencia se debe liberar una clave. Cuando se aprueba, devuelve una clave junto con una licencia que limita lo que se puede hacer con los datos autorizados.

Diapositiva 27_Personajes en blanco ...._ Identidad de ping

No hay duda de que los operadores de redes móviles (MNO) son cada vez más conscientes de cómo OpenID Connect interactúa con los servicios de identidad que se utilizan actualmente en línea, incluidos los pagos y los inicios de sesión. La suposición generalizada es que OpenID Connect puede mitigar los puntos débiles dentro de los servicios existentes al ofrecer un marco de autenticación basado en cifrado de clave pública. Esto quita la carga de la verificación de identidad de las manos del usuario promedio y la pone en manos de proveedores de servicios expertos.

Por supuesto, la aplicación de MIM mediante OpenID Connect es teórica y aún no se ha probado. Sin embargo, si el doble golpe de OpenID Connect y la gestión de información móvil (MIM) se adopta ampliamente, se supone que podría aumentar la seguridad de Internet en su totalidad de forma espectacular.

Diapositiva 5_Gráfico de especulación_Ping Identidad

3: Cómo OpenID Connect habilita la Internet de las cosas

Así como la verificación de identidad y la autenticación son temas prioritarios para los MNO, estos temas de manera similar deben extenderse al mundo en rápida expansión de Internet de las cosas (IoT). A medida que aumente el número de servicios de IoT, también lo hará el número de contraseñas como mecanismos para compartir y confiar en las identidades. “La importancia de la interoperabilidad entre las soluciones de identidad es que permitirá a las personas elegir y administrar múltiples credenciales interoperables diferentes”, dijo el arquitecto jefe de dominio de BT Charles Gibbons.

Según Madsen, Internet de las cosas (IoT) realmente asume la identidad de las cosas porque todas estas cosas operarán en nuestro nombre, administrando nuestros datos. Existe una necesidad definida de distinguir entre las diferentes Cosas conectadas y sus identidades, así como una forma de autenticar cómo estas Cosas recopilarán datos.

A través de OpenID Connect, una cosa puede obtener un token para usar en una llamada a la API. El usuario participa activamente en la emisión de ese token y tiene el poder de imponer políticas sobre cuándo se puede usar ese token y cómo se comparten sus datos.

Dado que OpenID Connect estandariza los mecanismos mediante los cuales los usuarios pueden controlar el uso compartido de la identidad que utilizan, Madsen cree que OpenID Connect se convertirá en un activo fundamental en el desarrollo de aplicaciones de IoT seguras, personalizadas y utilizables.

Para más

Este tema fue presentado en una conferencia de APIs nórdicas por Paul Madsen de Ping Identity . Vea su presentación completa en YouTube y únase a nuestro boletín para recibir notificaciones de futuros eventos de las API nórdicas.

Publicar un comentario

0 Comentarios