Ochiq kalitlar infratuzilmasi

S/MIME, Hujjatni imzolash, kod yoki ilovalarni imzolash ham PKI dan foydalanadi

Download 1,8 Mb.

bet	3/3
Sana	16.05.2023
Hajmi	1,8 Mb.
	#939473

1 2 3

Bog'liq
Ochiq kalitlar infratuzilmasi

S/MIME, Hujjatni imzolash, kod yoki ilovalarni imzolash ham PKI dan foydalanadi.

PKI hal qiladigan muammolar:

PKI o'zining mashhurligini hal qiladigan turli muammolarga bog'laydi. PKI dan foydalanishning ba'zi holatlari:
• SSL/TLS sertifikatlari orqali veb-brauzerlar va aloqa tarmoqlarini himoya qilish.
• Intranet va VPN orqali kirish huquqlarini saqlash.
• Ma'lumotlarni shifrlash
• Raqamli imzolangan dasturiy ta'minot
• Parollarsiz Wi-Fi kirish
Bundan tashqari, PKI dan foydalanishning eng muhim holatlaridan biri IoT (Internet of Things) ga asoslangan. IoT qurilmalari uchun PKI dan foydalanadigan ikkita sanoat:
• Avto ishlab chiqaruvchilar: Hozirgi kunda avtomobillarda GPS, xizmatlarga qo'ng'iroq qilish, yordamchilar va boshqalar kabi funksiyalar mavjud. Bular ko'p ma'lumotlar uzatiladigan aloqa yo'llarini talab qiladi. Ushbu ulanishlarni xavfsiz qilish zararli tomonlarning mashinalarga kirishiga yo'l qo'ymaslik uchun juda muhimdir. Bu erda PKI kiradi.
• Tibbiy asboblar ishlab chiqaruvchilari: Jarrohlik robotlari kabi qurilmalar yuqori xavfsizlikni talab qiladi. Bundan tashqari, FDA har qanday keyingi avlod tibbiy qurilmasi xatolarni olib tashlash va xavfsizlik muammolarini hal qilish uchun yangilanishi kerakligini buyuradi. PKI bunday qurilmalarga sertifikatlar berish uchun ishlatiladi.
PKI ning kamchiliklari:
• Tezlik: PKI xavfsiz kalitlar juftligini yaratish uchun juda murakkab algoritmlardan foydalanadi. Shunday qilib, u oxir-oqibat jarayonni va ma'lumotlarni uzatishni sekinlashtiradi.
• Maxfiy kalitni buzish: PKI osonlikcha buzib bo'lmaydigan bo'lsa-da, lekin shaxsiy kalit professional xakerlar tomonidan buzib kirishi mumkin, chunki PKI ma'lumotlarni shifrlash va shifrini ochish uchun Umumiy va Shaxsiy kalitlardan foydalanadi, shuning uchun qo'lida foydalanuvchi shaxsiy kaliti va ochiq kalit. oson mavjud bo'lsa, ma'lumotlar osongina shifrlanishi mumkin.

SAML nima

Texnik jargonga o'tishdan oldin, keling, SAML nima ekanligini va nima uchun foydali ekanligini ko'rsatadigan misolni ko'rib chiqaylik.
Siz endigina yangi Wizova kompaniyasida ishlay boshladingiz. Ular sizga ish elektron pochta manzili va boshqaruv paneliga kirish huquqini berdi. Ushbu asboblar paneliga kirganingizdan so'ng sizga kompaniya foydalanadigan barcha tashqi xizmatlarning piktogrammalari taqdim etiladi: Salesforce, Expensify, Jira, AWS va boshqalar.
Salesforce belgisini bosasiz, qandaydir sehr fonda sodir bo'ladi va siz buni bilishingizdan oldin, hech qanday hisob ma'lumotlarini kiritmasdan Salesforce tizimiga kirasiz!
Siz taxmin qilganingizdek, "sehr" aslida SAML harakatda edi. Xo'sh, bu erda nima bo'lyapti?
SAML Xavfsizlik tasdiqini belgilash tilini anglatadi. Bu ikki tomon o'rtasida identifikatsiya ma'lumotlarini uzatish uchun XML-ga asoslangan ochiq standartdir: identifikatsiya provayderi (IdP) va xizmat ko'rsatuvchi provayder (SP).
Identifikatsiya provayderi — autentifikatsiyani amalga oshiradi va foydalanuvchi identifikatori va avtorizatsiya darajasini xizmat ko‘rsatuvchi provayderga uzatadi.
Xizmat ko'rsatuvchi provayder - identifikatsiya provayderiga ishonadi va berilgan foydalanuvchiga so'ralgan manbaga kirish huquqini beradi.
Yuqoridagi stsenariyda identifikatsiya provayderi Wizova foydalanadigan IdP, Auth0 bo'ladi. Xizmat ko'rsatuvchi provayder Salesforce bo'ladi. Wizova xodimi Wizova boshqaruv paneliga Auth0 bilan kiradi. Ular Salesforce belgisini bosadilar va Salesforce foydalanuvchi SAML orqali tizimga kirmoqchi ekanligini tan oladi. Salesforce xodimni Auth0 ga SAML so'rovi bilan qaytarib yuboradi, u Auth0 dan foydalanuvchini autentifikatsiya qilishni so'raydi. Xodim allaqachon Auth0 bilan autentifikatsiya qilinganligi sababli, Auth0 seansni tekshiradi va foydalanuvchini SAML javobi bilan Salesforce-ga yuboradi. Salesforce bu javobni tekshiradi va agar u yaxshi ko'rinsa, xodimga kirish huquqi beriladi!
SAML autentifikatsiyasining afzalliklari
• Yaxshilangan foydalanuvchi tajribasi — foydalanuvchilar bir nechta xizmat ko'rsatuvchi provayderlarga kirish uchun faqat bir marta tizimga kirishlari kerak. Bu autentifikatsiya jarayonini tezroq amalga oshirish va foydalanuvchining har bir ilova uchun bir nechta login hisob ma'lumotlarini eslab qolishini kamroq kutish imkonini beradi. Yuqoridagi misolda, foydalanuvchi asboblar panelidagi boshqa piktogrammalarni bosgan bo'lishi va hech qachon boshqa hisob ma'lumotlarini kiritmasdan darhol tizimga kirishi mumkin edi!
• Xavfsizlikni oshirish — SAML xavfsiz identifikatsiya provayderida amalga oshiriladigan autentifikatsiyaning yagona nuqtasini taqdim etadi. Keyin SAML identifikatsiya ma'lumotlarini xizmat ko'rsatuvchi provayderlarga uzatadi. Autentifikatsiyaning ushbu shakli hisob ma'lumotlari faqat IdP ga bevosita yuborilishini ta'minlaydi.
• Kataloglarni bo'shashmasdan ulash — SAML foydalanuvchi ma'lumotlarini saqlash va kataloglar o'rtasida sinxronlashtirishni talab qilmaydi.
• Xizmat ko'rsatuvchi provayderlar uchun arzonlashtirilgan xarajatlar — SAML yordamida siz bir nechta xizmatlarda hisob ma'lumotlarini saqlashingiz shart emas. Shaxsni tasdiqlovchi provayder bu yukni o'z zimmasiga oladi.

SAML autentifikatsiyasi qanday ishlaydi?

Endi siz SAML autentifikatsiyasi qanday ishlashi haqida yuqori darajadagi umumiy ma'lumotni ko'rganingizdan so'ng, keling, hamma narsa qanday amalga oshirilganini ko'rish uchun ba'zi texnik tafsilotlarni ko'rib chiqaylik.
SAML yagona kirish autentifikatsiyasi odatda xizmat ko‘rsatuvchi provayder va identifikatsiya provayderini o‘z ichiga oladi. Jarayon oqimi odatda ishonchni o'rnatish va autentifikatsiya oqimi bosqichlarini o'z ichiga oladi.
Ushbu misolni ko'rib chiqing:
• Bizning identifikatsiya provayderimiz Auth0
• Bizning xizmat ko'rsatuvchi provayderimiz xayoliy xizmatdir, Zagadat
Eslatma: Identifikatsiya provayderi har qanday identifikatsiyani boshqarish platformasi bo'lishi mumkin.
Endi foydalanuvchi SAML autentifikatsiyasidan foydalangan holda Zagadat-ga kirishga harakat qilmoqda.
Bu jarayonning borishi:
• Foydalanuvchi Zagadatga brauzer orqali kirishga harakat qiladi.
• Zagadat SAML so'rovini yaratish orqali javob beradi.

• Brauzer foydalanuvchini SSO URL manziliga yo‘naltiradi, Auth0
• Auth0 SAML so‘rovini tahlil qiladi va foydalanuvchini autentifikatsiya qiladi. Bu foydalanuvchi nomi va parol yoki hatto ijtimoiy login bilan bo'lishi mumkin. Agar foydalanuvchi allaqachon Auth0 da autentifikatsiya qilingan bo'lsa, bu qadam o'tkazib yuboriladi. Foydalanuvchi autentifikatsiya qilingandan so'ng, Auth0 SAML javobini yaratadi.

• Auth0 brauzerga kodlangan SAML javobini qaytaradi.

• Brauzer SAML javobini tekshirish uchun Zagadatga yuboradi.
• Agar tekshirish muvaffaqiyatli bo'lsa, foydalanuvchi Zagadat tizimiga kiradi va ko'rish/o'zgartirish huquqiga ega bo'lgan resurslarga kirish huquqini beradi.

SAML jarayonlar oqimi diagrammasi
SAML so'rovi va javobida ta'kidlangan atributlarga e'tibor bering. Mana ushbu parametrlarning lug'ati:
• ID: Identifikatsiya qilish uchun yangi yaratilgan raqam
• IssueInstant: Vaqt tamg'asi u yaratilgan vaqtni bildiradi
• AssertionConsumerServiceURL: Identifikatsiya provayderi autentifikatsiya tokenini yuboradigan xizmat ko'rsatuvchi provayderning SAML URL interfeysi.
• Emitent: Xizmat ko‘rsatuvchi provayderning EntityID (noyob identifikatori).
• InResponseTo: Bu javob tegishli bo‘lgan SAML so‘rovining identifikatori
• Qabul qiluvchi: xizmat ko'rsatuvchi provayderning EntityID (noyob identifikator).
Auth0 bilan SAML autentifikatsiyasi
SAMLni amalga oshirish haqida gap ketganda, Auth0 juda kengaygan va bir nechta stsenariylarni boshqarishga qodir:
• Auth0 identifikatsiya provayderi sifatida
• Auth0 xizmat ko'rsatuvchi provayder sifatida
• Auth0 identifikator va xizmat ko'rsatuvchi provayder sifatida
Ushbu misol uchun siz identifikator provayderi sifatida Auth0 yordamida SAML autentifikatsiyasini qanday amalga oshirishni o'rganasiz.
"SAMLni amalga oshirishda Auth0 identifikatsiya provayderi, xizmat ko'rsatuvchi provayder yoki ikkalasi sifatida xizmat qilishi mumkin!"
Buni tvit qiling
Old shartlar
• Auth0 hisob qaydnomasi — Agar sizda hali mavjud bo'lmasa, bu yerda bepul hisob qaydnomasi uchun ro'yxatdan o'tishingiz mumkin.
• SAMLni qo‘llab-quvvatlaydigan xizmat ko‘rsatuvchi provayder bilan hisob qaydnomasi — Odatda, ko‘pchilik xizmat ko‘rsatuvchi provayderlar SAMLni sozlash uchun sizdan biznes hisob qaydnomasi yoki pullik rejaga ega bo‘lishingizni talab qiladi. Sinov uchun hisob qaydnomangiz bo'lmasa, Auth0 IdP to'g'ri sozlanganligiga ishonch hosil qilish uchun SAMLTest-dan ham foydalanishingiz mumkin.
Eng kuchli autentifikatsiya platformasini bepul sinab ko'ring. Ishni boshlang →
Quyidagi rasmda Auth0 qo'llab-quvvatlaydigan xizmat ko'rsatuvchi provayderlar ro'yxati ko'rsatilgan, ammo sizda asboblar panelida maxsus xizmat ko'rsatuvchi provayderni sozlash imkoniyati ham mavjud.

Xizmat ko'rsatuvchi provayderni sozlang
Ushbu o'quv qo'llanma Zendesk-dan xizmat ko'rsatuvchi provayder sifatida foydalanadi, ammo siz tanlagan har qanday SP-ni kuzatib borishingiz mumkin.
Tanlangan xizmat ko‘rsatuvchi provayderingizni sozlash uchun Auth0 boshqaruv panelida quyidagi bosqichlarni bajaring:
1. Yon paneldagi SSO Integrations-ni bosing
2. Yuqori o'ng burchakdagi qizil tugmani bosing, SSO integratsiyasini yaratish
3. Sozlamoqchi bo'lgan xizmat ko'rsatuvchi provayderni tanlang
4. Ism va/yoki kerakli identifikatsiya ma'lumotlarini kiriting va Saqlash tugmasini bosing

5. Muayyan xizmat ko'rsatuvchi provayderingiz uchun Qo'llanma ostidagi ko'rsatmalarga amal qiling

Eslatma: Ushbu qadam xizmat ko'rsatuvchi provayder tomonida ba'zi qiymatlarni kiritishingizni talab qiladi.
Bu Zendesk uchun qanday ko'rinishga ega.
Birinchidan, Zendesk boshqaruv panelidagi boshqaruv markaziga o'ting va Xavfsizlik-ni bosing. Keyin SSO ni bosing va siz SAML konfiguratsiya sozlamalarini topasiz. Bu yerda siz Auth0 boshqaruv panelidagi qiymatlarni joylashtirasiz.

Ushbu qiymatlar nusxalangandan so'ng, oxirgi qadam SAML bilan tizimga kirishi kerak bo'lgan foydalanuvchilar uchun tashqi autentifikatsiyani yoqishdir. Zendesk buni oxirgi foydalanuvchilar, xodimlar foydalanuvchilari yoki ikkalasi uchun yoqish imkonini beradi.

Sinab ko'ring

Endi hamma narsa ikkala tomondan ham o'rnatilgan, uni sinab ko'rish vaqti keldi! Yakuniy oqim qanday bo'lishi kerakligini ko'rsatish uchun quyidagi videoga qarang.
Ko‘rib turganingizdek, Zendesk URL manziliga kirganingizdan so‘ng tizimga kirish uchun identifikator provayderi bo‘lgan Auth0 ga qayta yo‘naltirilasiz. Autentifikatsiya qilingandan so‘ng, Auth0 bu ma’lumotni Zendesk’ga qaytarib yuboradi. Zendesk javobni tekshiradi, uning haqiqiyligini aniqlaydi va sizga Zendesk boshqaruv paneliga kirish imkonini beradi.
Eslatma: Videoda foydalanuvchi Google SSO orqali tizimga kirganini payqadingiz. Buni Auth0 boshqaruv panelida yoqish mumkin. Buni qanday amalga oshirishni keyingi bo'limda ko'rasiz.
Agar siz Auth0 boshqaruv paneliga qaytsangiz, endigina tizimga kirgan foydalanuvchining yozuvini ko'rasiz!

Eslatma: Agar SAML javobini disk raskadrovka qilishni istasangiz, http://samltool.io saytiga tashrif buyuring. Ushbu vosita SAML javobini dekodlashi mumkin va foydali disk raskadrovka resursi sifatida xizmat qiladi.
SSO ni yoqish (ixtiyoriy)
Endi sizning xizmat ko'rsatuvchi provayderingiz Auth0 bilan sozlangan bo'lsa, foydalanuvchilaringiz sukut bo'yicha elektron pochta va parol yordamida tizimga kirishlari mumkin. Umumiy foydalanish holati, ayniqsa SAML autentifikatsiyasi bilan, foydalanuvchilarning ijtimoiy provayder bilan yagona tizimga kirish (SSO) yordamida tizimga kirishi hisoblanadi.
Auth0 bir tugmani bosish orqali yoqishingiz mumkin bo'lgan bir nechta ijtimoiy identifikatsiya provayderlarini qo'llab-quvvatlaydi.
Boshqaruv panelida yon paneldagi Ulanishlar > Ijtimoiy-ni bosing. Foydalanmoqchi bo'lgan provayderni tanlang va ushbu provayder uchun zarur bo'lgan ma'lumotlarni to'ldiring.
Eslatma: Tanlangan provayder uchun o'z kalitlaringizdan foydalanganingizga ishonch hosil qiling. Sinov uchun standart Auth0 dasturchi kalitlaridan foydalanishingiz mumkin, ammo ular ishlab chiqarishda ishlatilmasligi kerak.

Foydalanmoqchi bo'lgan ijtimoiy ulanishlarni tanlaganingizdan so'ng, SSO Integrations ostida sozlangan SP ga qayting. SP ni tanlang va Ulanishlar ostida siz yaratgan ijtimoiy aloqani ko'rishingiz kerak. Uni yoqish uchun kalitni bosing va endi sizning foydalanuvchilaringiz ro'yxatdagi istalgan ulanishlar bilan tizimga kirishga tayyor!

Yana Auth0 SAML konfiguratsiyalari
Auth0 SAML konfiguratsiyasiga kelganda moslashtiriladi. Auth0 ni sozlashning boshqa usullaridan ba'zilari:
• Auth0 ni SAML federatsiyasida xizmat ko‘rsatuvchi sifatida sozlang
• Google Apps, Hosted Graphite, Litmos, Cisco Webex, Sprout Video, FreshDesk, Tableau Server, Datadog va boshqalar kabi SSO integratsiyalari uchun SAML konfiguratsiyalari
• Auth0-ni Okta, OneLogin, PingFederate 7, SalesForce, SiteMinder va SSOCircle kabi boshqa identifikatsiya provayderlaridan foydalanish uchun sozlang
• Auth0 ni ham xizmat ko‘rsatuvchi, ham identifikatsiya provayderi sifatida sozlang

Xulosa
Siz SAML autentifikatsiyasi qanday ishlashini, SAML taqdim etadigan imtiyozlarni va identifikatsiya provayderi sifatida Auth0 bilan SAMLni qanday amalga oshirishni ko‘rib chiqdingiz. Agar sizda biron bir savol bo'lsa, quyidagi manzilga murojaat qilishingiz mumkin!

Download 1,8 Mb.

Do'stlaringiz bilan baham:

1 2 3