Middleware de autenticación

6

Ejecutamos un gran sistema distribuido que consiste en un número (> 10) de servicios web basados en Django y aplicaciones web con una base de consumidores de aproximadamente 10000 estudiantes universitarios. Actualmente, utilizamos un único sistema de inicio de sesión único (Shibboleth) proporcionado por nuestra universidad para manejar la autenticación. Las autorizaciones / roles se configuran manualmente por usuario en cada servicio web. Nuestra arquitectura actual se muestra a continuación:

NosgustaríaextendernuestrosistemaparapermitiriniciosdesesiónusandoGoogle,Facebook,LinkedInyotrasuniversidades.Parecequenecesitamosunmiddlewarequeestéacargodelaautenticaciónylaadministraciónderoles.Losrolessecreanconfrecuenciaynosepuedendefinirdeformaestática.Elmiddlewaretambiéndeberealizarlaadministracióndesesiones(comoelmanejodetiemposdeespera,elcierredesesiónúnico).Nosimaginamosalgocomolosiguiente:

¿Quécomponentesnecesitaríamosenestemiddleware?Nuestroadministradordesistemasestáconsiderando Gluu o Keycloak a lo largo con un servicio AD. ¿Alguna de estas soluciones cumpliría con nuestros requisitos? ¿Existen prácticas recomendadas o listas de comprobación de vulnerabilidad / configuración para tales sistemas?

    
pregunta Jedi 02.06.2016 - 15:35
fuente

4 respuestas

1

Lo que parece que estás preguntando es una solución de gestión de acceso e identidad (IDAM) que ofrece autenticación federada de fuentes no universitarias.

Solo he tratado con soluciones propietarias (Oracle, CA, etc.) pero, en general, las soluciones IDAM se componen de los siguientes elementos: - Autenticación - Control de acceso - Gestión de usuarios - Repositorio de usuarios

No puedo responder a tu pregunta si Gluu o Keycloak plus AD cubren tus requisitos y no sé nada sobre ellos. La definición y el mapeo de sus requisitos para cada solución debe indicar si son adecuados. También supondría que cualquier solución de código abierto con una comunidad rica y madura tendría muchas pautas con respecto al endurecimiento, configuraciones, etc. ...

    
respondido por el tranzophobia 06.06.2016 - 12:14
fuente
1

Como se mencionó en otras respuestas, básicamente necesita un sistema de gestión de identidad unificado.

  

Descargo de responsabilidad: la empresa para la que trabajo tiene un producto que proporciona   servicios de identidad.

No confiaría en la respuesta StackOverflow de una persona para decidir qué sistema se adapta mejor a mis necesidades. Estos sistemas son bastante caros y la gente generalmente solicita propuestas de varios proveedores antes de decidir el sistema. En cuanto a las listas de verificación, cada proveedor tendrá diferentes requisitos de configuración y memoria. Así que la respuesta depende del proveedor que elijas.

Tenga en cuenta los siguientes puntos de alto nivel cuando elija su middleware:

  1. Los requisitos de hardware . Teniendo en cuenta la cantidad de solicitudes que recibirá, necesitará varios servidores dedicados para manejar el tráfico. Esto incurrirá en un costo de hardware adicional. Algunos administradores de identidad vienen con OEM y pueden ayudarlo a obtener un mejor trato.
  2. La documentación de la API de los servicios de identidad. Cambiar un servicio de identidad es un verdadero dolor. Así que querrías uno que sea más fácil de integrar. Elija una que tenga una buena documentación de API para que sus servicios web y sus clientes puedan integrarse con relativa facilidad.
  3. Tener un acceso limitado fuentes. No todas las cuentas serán compatibles con todos los servicios de administración de identidades. Además, a menudo una pequeña selección de cuentas es suficiente. Ir por más puede convertirse en una exageración. Por ejemplo La mayoría de los estudiantes universitarios tienen credenciales de Google / Facebook y de la universidad. Es bueno tener más inicios de sesión pero no es obligatorio.
respondido por el Limit 06.06.2016 - 14:00
fuente
0

Está buscando una "API Gateway".

Hay muchos productos y servicios de puerta de enlace API disponibles. Esta respuesta de StackOverflow enumera algunas de las opciones: enlace

Además, Amazon ofrece su propia puerta de enlace API, que parece tener opciones de implementación bastante flexibles: enlace

También encontré el paquete de API Axway, que parece prometedor: enlace

Lo siento, no puedo decirte qué opción podría adaptarse mejor a tus necesidades, ya que yo mismo estoy tratando de ponerme al día en este espacio. ¡Mucha suerte!

    
respondido por el Joe Lapp 05.06.2016 - 23:47
fuente
0

Creemos que el mejor enfoque para esto es seguir el impulso del código abierto. Keycloak y Gluu tendrán formas de resolver esto, al igual que otras soluciones disponibles. Realmente necesita encontrar una solución que coincida con su conjunto de habilidades / base de recursos internos actuales.

Pero si elige un proveedor clave basado en una discusión de stackoverflow, es probable que tenga problemas mucho mayores con los que lidiar :)

    
respondido por el Chris Skura 14.09.2017 - 03:31
fuente

Lea otras preguntas en las etiquetas