Tổng quan về đá gà casino thực hiện đại sử dụng OAuth 2.0 và OIDC

đá gà casino thực hiện đại thường không phải là một giải pháp duy nhất mà là một tập hợp các tiêu chuẩn và giao thức hiện đại, được chấp nhận rộng rãi nhằm đá gà casino định các phương pháp hay nhất trong ngành.

Các tiêu chuẩn này bao gồm các giao thức như Ngôn ngữ đánh dấu đá gà casino nhận bảo mật (SAML), Liên kết dịch vụ web (WS-Federation hoặc WS-Fed), OAuth 2.0 hoặc Open ID Connect (OIDC). Các giao thức và tiêu chuẩn này đã thay thế các mô hình đá gà casino thực cũ được coi là kém an toàn hơn. Vì mục đích của blog này, trọng tâm chính sẽ là OAuth 2.0 và OIDC – mỗi trong số đó sẽ được thảo luận chi tiết bên dưới.

Ngoài việc chuyển từ mô hình đá gà casino thực cũ sang mô hình đá gà casino thực hiện đại, còn có việc áp dụng mô hình “Không tin cậy”. Mô hình này đã được phát triển để quản lý mô hình lực lượng lao động phân tán – kết hợp việc áp dụng đám mây ngày càng tăng và số lượng nhân viên làm việc từ xa ngày càng tăng. Mô hình này sẽ được thảo luận chi tiết trong phần bên dưới.

Điều này cung cấp góc nhìn về “trạng thái lý tưởng” của các mô hình đá gà casino thực – chỉ đơn giản là đặt khuôn khổ mà (các) trạng thái hiện tại có thể được so sánh với. Giống như bất kỳ trạng thái lý tưởng nào, không thể kỳ vọng rằng mọi thành phần hoặc phần tử đều được tuân thủ chính đá gà casino hoặc được triển khai đầy đủ.

Trong tài liệu về đá gà casino thực hiện đại này, có thể có tài liệu tham khảo về các công nghệ cụ thể (ví dụ: Microsoft, Okta) sử dụng các thông số kỹ thuật này. Mục đích của tài liệu này không phải là ủng hộ hay ưa thích công nghệ này hơn công nghệ khác – thay vào đó nó cung cấp một ví dụ cụ thể về một tiêu chuẩn mở. Vì đá gà casino thực hiện đại được định nghĩa là một bộ tiêu chuẩn mở nên khả năng chuyển đổi IdP của một thực thể triển khai sẽ gần như không gặp trở ngại.

Cuối cùng, đây không phải là hướng dẫn toàn diện về tất cả chi tiết về đá gà casino thực hiện đại. Thay vào đó, nó nên đặt nền tảng cơ bản về đá gà casino thực hiện đại và các thành phần cốt lõi của nó.

OAuth 2.0

Đặc tả OAuth 2.0 sử dụng một loạt quy trình để triển khai tính tin cậy và đá gà casino thực danh tính. Mỗi luồng này có một mục đích khác nhau và được thiết kế để tạo ra một cách tiếp cận chuẩn hóa để quản lý hệ thống. Luồng mặc định – Luồng mã ủy quyền – được thiết kế theo cách mà một ứng dụng đáng tin cậy có thể đá gà casino thực cả thông tin đá gà casino thực của người dùng và thông tin đá gà casino thực của chính ứng dụng đó để hành động thay mặt cho người dùng. Quá trình này bắt đầu bằng yêu cầu nhận dạng từ IdP, yêu cầu người dùng tự đá gà casino thực. Quá trình này có thể sử dụng một hoặc nhiều thông tin từ người dùng, chẳng hạn như thông tin họ biết (mật khẩu, câu hỏi bảo mật), thông tin họ có (SMS, email) hoặc thông tin gì đó về họ (sinh trắc học). Khi danh tính này đã được đáp ứng, IdP sẽ trả lại mã ủy quyền cho ứng dụng web. Sau đó, ứng dụng web sẽ gửi mã này và thông tin đăng nhập của nó trở lại IdP để nhận mã thông báo – dưới dạng JWT – có thể được sử dụng cho các yêu cầu tiếp theo. Trong trường hợp sơ đồ bên dưới, Okta đóng vai trò là IdP – nhưng quy trình đều giống nhau đối với bất kỳ nhà cung cấp nào triển khai đặc tả Luồng mã ủy quyền.

Hình 1: Luồng mã ủy quyền Okta ()

Luồng mã ủy quyền được thiết kế để sử dụng với các ứng dụng web đáng tin cậy trong đó các yêu cầu giữa ứng dụng web và máy chủ ủy quyền (IdP) được bảo mật. Tuy nhiên, đây không phải là trường hợp của tất cả các ứng dụng vì Ứng dụng một trang JavaScript hoặc ứng dụng di động sẽ yêu cầu yêu cầu này được gửi qua mạng có thể không đáng tin cậy - trong cả hai trường hợp, mạng đang được người dùng sử dụng. Khi sử dụng các tình huống này, bạn nên sử dụng Luồng mã ủy quyền với PKCE.

Khóa chứng minh cho trao đổi mã (PKCE) là một quy trình bao gồm việc tạo một khóa duy nhất cho mọi yêu cầu ủy quyền. Điều này giúp đảm bảo rằng mã ủy quyền được cung cấp khớp với yêu cầu ứng dụng web ban đầu. Bằng cách tạo mã sau đó băm mã, giá trị băm có thể được gửi đến Máy chủ ủy quyền cùng với Yêu cầu mã ủy quyền ban đầu. Khi Máy khách (trái ngược với Ứng dụng web) hiện yêu cầu mã với mã ủy quyền được cung cấp, nó có thể gửi giá trị rõ ràng (không được băm) của khóa đó, sau đó Máy chủ ủy quyền có thể băm và đá gà casino minh yêu cầu.

Hình 2: Luồng mã ủy quyền Okta với PKCE ()

Trong trường hợp giao tiếp Máy với Máy (M2M), khi không có người dùng cuối nào cần được xem xét, OAuth đã thiết kế Luồng thông tin đá gà casino thực ứng dụng khách.  Luồng này đưa ra yêu cầu trực tiếp tới/mã thông báođiểm cuối có thông tin đá gà casino thực ứng dụng khách. Điều này chỉ nên được thực hiện trong trường hợp cả hai hệ thống đều được tự động hóa và trên các mạng đáng tin cậy hoặc đã biết.

Hình 3: Luồng thông tin đá gà casino thực ứng dụng khách của Microsoft ()

Luồng ngầm – nên tránh trừ khi cần thiết vì tính bảo mật của bí mật khách hàngkhông thểđược đảm bảo. Luồng này thường không hỗ trợ bất kỳ dạng mã thông báo làm mới nào và được thiết kế cho các trình duyệt cũ không hỗ trợ mật mã hiện đại.

Mặc dù các IdP khác nhau có thể triển khai các luồng bổ sung cho các giải pháp dành cho mục đích đặc biệt, nhưng các luồng được ghi lại ở đây sẽ cung cấp cơ sở tốt để hiểu về cấu trúc OAuth 2.0. Là một phần của một số quy trình, mã thông báo làm mới tùy chọn có thể được yêu cầu và cung cấp. Mã thông báo làm mới có thể được gửi đến/mã thông báođiểm cuối trực tiếp, cùng với thông tin khách hàng để nhận mã thông báo mới. Điều này cho phép người dùng tạo lại hoặc duy trì phiên mà không bị nhắc đá gà casino thực lại. Mã thông báo làm mới phải được xử lý giống như mật khẩu vì chúng cho phép ứng dụng hành động thay mặt cho người dùng đã được đá gà casino thực.

Vì quyết định chọn một luồng có thể phức tạp nên sơ đồ bên dưới hiển thị cây quyết định đơn giản hóa có thể được sử dụng để chọn luồng thích hợp. Điều này đã được cung cấp bởi Okta, mặc dù khái niệm này sẽ được áp dụng khi xem xét các IdP khác nhau (ví dụ: Microsoft).

Hình 4: Cây quyết định luồng OAuth ()

Một IdP sẽ triển khai hai điểm cuối chính:/ủy quyềnvà/mã thông báo. The/ủy quyềnđiểm cuối sẽ chịu trách nhiệm đá gà casino thực danh tính người dùng và tạo mã ủy quyền. Điểm cuối /token sẽ lấy mã ủy quyền và thông tin đá gà casino thực ứng dụng khách (thông tin đá gà casino thực được IdP cung cấp cho ứng dụng web hoặc ứng dụng khách) để đá gà casino thực. Nếu thông tin đá gà casino thực hợp lệ được cung cấp thì/mã thông báođiểm cuối sẽ tạo ra JWT có thể được cung cấp lại cho web hoặc ứng dụng khách để sử dụng trong tiêu đề Ủy quyền. Mã thông báo này là mã thông báo “Người mang”, như được đá gà casino định trong đặc tả Ủy quyền.

Khi yêu cầu mã ủy quyền từ/ủy quyềnđiểm cuối, thông số OAuth bao gồm một phần yêu cầu là danh sách các phạm vi mà người dùng phải đồng ý. Các phạm vi này về cơ bản là các thành phần ủy quyền của ứng dụng web hoặc ứng dụng khách. Tùy thuộc vào cấu hình IdP, người dùng có thể phải tương tác với hộp thoại để đồng ý với một hoặc nhiều phạm vi này để có thể cung cấp mã ủy quyền.

Kết nối OpenID (OIDC)

OIDC được xây dựng dựa trên OAuth 2.0 và được thiết kế để mở rộng chức năng của OAuth bằng mã thông báo thứ hai gọi là “mã thông báo id”. Một số mô hình phạm vi được chuẩn hóa trong đặc tả OIDC, nhưng mục đích chính của OIDC là cho phép nhận dạng liên kết chứa thông tin cốt lõi về người dùng. Cách tốt nhất để nghĩ về OIDC là nút “Đăng nhập bằng Facebook” hoặc “Đăng nhập bằng Google” có thể được hiển thị trên một trang web. Khi nút này được chọn, ứng dụng web hoặc ứng dụng khách sẽ gửi yêu cầu đến IdP tương ứng và khi người dùng thiết lập phiên với IdP đó (nếu chưa có), họ sẽ được nhắc cho phép ứng dụng khách hoặc ứng dụng web truy cập thông tin, chẳng hạn như địa chỉ email, tên, địa chỉ, v.v. Khi những yêu cầu này được chấp thuận, IdP (Facebook hoặc Google) sẽ gửi mã ủy quyền trở lại ứng dụng, giống như các quy trình thông thường. Khi ứng dụng gửi yêu cầu đến _/token_endpoint, chúng sẽ được cung cấp cả mã thông báo truy cập và mã thông báo id. Mã thông báo truy cập được sử dụng với tiêu đề Ủy quyền làm mã thông báo Bearer, trong khi mã thông báo id chứa các đá gà casino nhận rằng IdP đá gà casino thực là đúng về người dùng, chẳng hạn như tên, email hoặc thông tin khác.

Điều quan trọng là phải hiểu rằng hỗ trợ dành cho OIDC là bổ sung cho OAuth2.0 chứ không phải loại trừ nó. Bất cứ khi nào tài liệu này đề cập đến đá gà casino thực hiện đại, nó sẽ đề cập đến sự hỗ trợ kết hợp của các mô hình OAuth 2.0 và OIDC.

Kiến trúc Zero Trust

Kiến trúc Zero Trust hoặc Zero Trust là một mô hình hiện đại để xử lý an ninh mạng trong bối cảnh kỹ thuật hiện đại. Thay vì đá gà casino định các phạm vi tĩnh hơn, gắn kết với mạng (dựa trên mạng), nó tập trung vào một tập hợp tài sản và người dùng chi tiết hơn. Mô hình này chỉ đơn giản nêu rõ rằng không có sự tin tưởng ngầm nào được cấp chỉ dựa trên vị trí hoặc quyền sở hữu thực tế hoặc mạng.

Cấu trúc tin cậy kế thừa có thể được so sánh với một lâu đài. Lâu đài có những bức tường cao, một con hào và các điểm vào hạn chế - tuy nhiên, khi đã có quyền truy cập vào lâu đài, sẽ không có đá gà casino nhận, đá gà casino minh hoặc kiểm tra nào để cấp quyền truy cập. Điều này thể hiện mạng nội bộ của công ty, nơi các tài nguyên có thể có mức độ bảo mật tối thiểu hoặc không có bảo mật – thay vào đó hãy dựa vào phạm vi mạng để đá gà casino thực quyền truy cập. Kiến trúc Zero Trust hiện đại giống các cộng đồng được kiểm soát hơn nhiều. Cộng đồng, cũng như mạng công ty, có các điểm vào và kiểm tra được kiểm soát, tuy nhiên, việc truy cập vào từng ngôi nhà trong cộng đồng cũng yêu cầu quyền truy cập, kiểm soát và kiểm tra thích hợp. Trong Kiến trúc Zero Trust, mỗi ứng dụng – đóng vai trò là Nhà cung cấp dịch vụ – yêu cầu phải xuất trình thông tin đá gà casino thực chính đá gà casino (mã thông báo truy cập) trước khi cấp quyền truy cập.

Mô hình này được thiết kế cho thế giới ứng dụng và công việc hiện đại – một thế giới mà Phần mềm dưới dạng dịch vụ là phổ biến và tích hợp đám mây là phổ biến. Điều này đặc biệt quan trọng trong lực lượng lao động hiện đại, nơi những người làm việc từ xa là điều bình thường và VPN cũng như kết nối của công ty không đủ để ngăn chặn các hành vi vi phạm. Một trong những kiểu vi phạm phổ biến nhất – được gọi là Nâng cao đặc quyền – mà tin tặc sử dụng là lấy thông tin đá gà casino thực từ người dùng, sau đó song song bên trong mạng nội bộ, cho đến khi chúng có thể nhận được nhiều thông tin đá gà casino thực đặc quyền hơn. Quá trình này được lặp lại cho đến khi chúng đi vào bên trong chu vi mạng và có thể truy cập các tài nguyên mạng và công ty. Kiến trúc Zero Trust, cùng với các mô hình có ít đặc quyền nhất – nhằm giúp giảm hoặc hạn chế bề mặt tấn công. 

Mô hình tương tự

Để hiểu rõ hơn điều này, chúng tôi đã đưa ra phép so sánh sau. Nó không hoàn toàn hoàn hảo nhưng nó sẽ giúp xây dựng các mô hình tư duy cho quá trình đá gà casino thực hiện đại.

Hãy tưởng tượng trường hợp Giấy phép Lái xe ở Hoa Kỳ. Giấy phép này do nhà nước kiểm soát và do cơ quan kiểm soát cấp. Trong trường hợp có giấy phép hoặc thậm chí là thẻ căn cước, tiểu bang đóng vai trò là IdP – thiết lập danh tính của người mang. Sau đó, khi giấy phép được xuất trình cho Nhà cung cấp dịch vụ khác - chẳng hạn như một nhà hàng - có sự tin tưởng ngầm giữa nhà nước và nhà hàng rằng chứng minh thư hoặc giấy phép được xuất trình có chứa các tuyên bố (thông tin) hợp lệ về người xuất trình. Thông tin như tên, tuổi và địa chỉ là những đá gà casino nhận vốn có trên thẻ, trong khi hình ảnh và con dấu trạng thái cung cấp đá gà casino thực rằng người dùng xuất trình khớp với đá gà casino nhận của người dùng và trạng thái đã đá gà casino thực thông tin. Nhà nước không chịu trách nhiệm vềlàm thế nàoNhà cung cấp dịch vụ (nhà hàng, quán bar, đại lý ô tô, v.v.) sử dụng thông tin, chỉ cần thông tin đó là đúng sự thật và chính đá gà casino. Đây là mô hình vật lý cho khái niệm kỹ thuật số về mối quan hệ IdP/SP trong đá gà casino thực hiện đại.

Kết luận

Đây chỉ là phần nổi của tảng băng thông tin; và bất kể bạn đang ở đâu trong hành trình đá gà casino thực hiện đại, chúng tôi luôn sẵn sàng trợ giúp – từ việc bắt đầu dự án đầu tiên cho đến khắc phục sự cố hoặc mở rộng hệ thống hiện có của bạn.