Hallo allerseits!
Am nächsten Dienstag trifft sich mal wieder die FRAOSUG. Auch diesmal gibt es einen Vortrag weit jenseits der Grenzen von Solaris. :-) Christopher Ruwe erzählt uns etwas zu "Single Sign-On und User Self Service". Er schreibt dazu: Wenn wir über Netzwerke Dienste bereitsstellen, so ist eine Untermenge dieser Dienste nicht-öffentlich und soll nur einer bestimmten Nutzergruppe oder einem einzelnen Nutzer zur Verfügung stehen. Diese müssen einen Nachweis über die Authorisierung (authz) erbringen können, bevor sie Zugriff erhalten. Aus der anderen Richtung gedacht gibt es Dienste, bei denen die Kenntnis des Nutzers für den Diensteanbieter zwingend ist (“Know Your Customer”, GWG, TKG, Terrorismus-Finanzierung, you name it). Hier muß ein Nachweis über die Intentität erbracht werden oder eine Autentifizierung (authn) erfolgen. Zudem ist oft Authorisierung an Authentifizierung gekoppelt. Für einzelne Systeme kann man das hinreichend gut mit der klassischen username/password-Nummer lösen. Für größere und verteilte Systeme funktioniert das allerdings nicht mehr gut. Delegierung kann man damit praktisch gar nicht mehr abbilden. Hier will man Single Sign On (SSO) anbieten, das heisst ein Nutzer soll sich einmal in einer Session bei einer zentralen und vertrauenswürdigen Instanz identifizieren und von dort sollen Diensteanbieter Identität und ggf. Authorisierungen konsumieren können. Verbreitete Verfahren kennen wir von den Seelen als Zahlungsmittel akzeptierenden Diensteanbietern wie Google, Facebook oder Github. Der Vortrag ist mehr praktisch als theoretisch: Nach einem kurzen Überblick über die interessanten Protokolle und Probleme eines real existierenden SSO-Systems will ich zeigen, wie ein solches System mit der Software Keycloak, einem Identity Provider (IDP) praktisch realsiert werden kann. Dabei möchte ich auch zeigen, wie Funktionen – die aus Sicht der authn/authz Protokolle Hilfsfunktionen sind – ohne die aber sichere authn/authz nicht abbildbar ist (cert-manager, Provisoinierung von Zertifikaten) oder die für einen user self-service benötigt werden (mail anyone?) zu erfüllen sind. Dies ist oft genauso viel oder mehr Arbeit wie die Konfiguration des IDP." Das Treffen ist ein "Heimspiel", denn wir treffen uns wie so oft wieder bei der Frankfurter Uni-Bibliothek im Juridicum (danke Uwe!). Details unter: https://fraosug.de/ Anmeldung über unser Umfrage-Tool: https://nc2.qutic.com/index.php/apps/polls/poll/PuIorZvz2bjZuDIn Die Veranstaltung ist kostenlos, und wie immer gilt: Das Verwenden von Solaris ist keine Vorbedingung für die Teilnahme... Viele Grüße -- Volker A. Brandt -- ------------------------------------------------------------------------ Volker A. Brandt Consulting and Support for Solaris-based Systems Brandt & Brandt Computer GmbH WWW: http://www.bb-c.de/ Am Wiesenpfad 6, 53340 Meckenheim, GERMANY Email: [email protected] Handelsregister: Amtsgericht Bonn, HRB 10513 Schuhgröße: 46 Geschäftsführer: Rainer J.H. Brandt und Volker A. Brandt "When logic and proportion have fallen sloppy dead"
