79. Treffen - Single Sign-On und User Self Service für den Hausgebrauch

Wann

Dienstag, 19. November 2019 – 18:30 bis ca. 21 Uhr

Was

1. Begrüßung
2. Single Sign-On und User Self Service für den Hausgebrauch, Vortrag von Christopher J. Ruwe
   Wenn wir über Netzwerke Dienste bereitsstellen, so ist eine Untermenge dieser Dienste nicht-öffentlich und soll nur einer bestimmten Nutzergruppe oder einem einzelnen Nutzer zur Verfügung stehen. Diese müssen einen Nachweis über die Authorisierung (authz) erbringen können, bevor sie Zugriff erhalten.
   
   Aus der anderen Richtung gedacht gibt es Dienste, bei denen die Kenntnis des Nutzers für den Diensteanbieter zwingend ist (“Know Your Customer”, GWG, TKG, Terrorismus-Finanzierung, you name it). Hier muß ein Nachweis über die Intentität erbracht werden oder eine Autentifizierung (authn) erfolgen. Zudem ist oft Authorisierung an Authentifizierung gekoppelt.
   
   Für einzelne Systeme kann man das hinreichend gut mit der klassischen username/password-Nummer lösen. Für größere und verteilte Systeme funktioniert das allerdings nicht mehr gut. Delegierung kann man damit praktisch gar nicht mehr abbilden.
   
   Hier will man Single Sign On (SSO) anbieten, das heisst ein Nutzer soll sich einmal in einer Session bei einer zentralen und vertrauenswürdigen Instanz identifizieren und von dort sollen Diensteanbieter Identität und ggf. Authorisierungen konsumieren können. Verbreitete Verfahren kennen wir von den Seelen als Zahlungsmittel akzeptierenden Diensteanbietern wie Google, Facebook oder Github.
   
   Der Vortrag ist mehr praktisch als theoretisch: Nach einem kurzen Überblick über die interessanten Protokolle und Probleme eines real existierenden SSO-Systems will ich zeigen, wie ein solches System mit der Software Keycloak, einem Identity Provider (IDP) praktisch realsiert werden kann. Dabei möchte ich auch zeigen, wie Funktionen – die aus Sicht der authn/authz Protokolle Hilfsfunktionen sind – ohne die aber sichere authn/authz nicht abbildbar ist (cert-manager, Provisoinierung von Zertifikaten) oder die für einen user self-service benötigt werden (mail anyone?) zu erfüllen sind. Dies ist oft genauso viel oder mehr Arbeit wie die Konfiguration des IDP.
   
3. Diskussion

Wer über eigene Projekte oder aktuelle Fragestellungen in Solaris-oiden Betriebssystemen sprechen oder sein kniffliges Problem anderen vorlegen möchte, ist gern eingeladen, noch etwas zur Agenda beizutragen.

Wo

Goethe Universität Frankfurt
Campus Bockenheim
Juridicum/Mehrzweckgebäude
10. OG, Raum 1001 (ehem. Senatszimmer)
Senckenberganlage 31/33
60325 Frankfurt am Main

→ Wegbeschreibung, Google Maps Karte

Verpflegung

Getränke werden gestellt. Pizza für angemeldete Teilnehmer auf Umlage.

Anmeldung

Bitte anmelden

Wir freuen uns auf eine zahlreiche Teilnahme und in der Zukunft viele weitere spannende und kurzweilige Treffen.

‘Noch was:’ Teilnehmen darf natürlich jeder der mag ;-) !!!

• Die Teilnahme ist kostenfrei
• Mitgliedschaft bei dem FRAOSUG Alias ist nicht erforderlich
• Lediglich ist ggf. eine Beteiligung an der Verpflegung erwünscht (siehe jeweils die Einladung)
• Beiträge aus dem erweiterten Solaris Umfeld sind jederzeit willkommen

Protokoll

• Keycloak – Open Source Identity and Access Management
• Hydra – OpenID Certified® OAuth 2.0 and OpenID Connect access control and API security
• Running CA in clusters – Artikel von Christopher J. Ruwe