Breakout-Session an der security-zone OAuth und OpenID Connect - auch im Unternehmen?

Federation-Protokolle wie OAuth und OpenID Connect sind in Zusammenhang mit Social-Media-Plattformen zunehmend verbreitet. Was steckt dahinter und wie relevant sind die Protokolle fürs Enterprise-Umfeld?

In den modernen Web-Architekturen im Zeitalter von Facebook & Co. wird es immer mehr zum Standardfall, dass eine Applikation REST-basierte Webservices einer anderen Organisation aufruft, um auf Inhalte und Daten zuzugreifen, die dem Benutzer der Applikation gehören. Das kann beispielsweise die Applikation eines professionellen Photo-Printing-Service sein, die direkt auf die Bilder des Benutzers in Cloud-Services wie Picasa und Instagram zugreifen können sollte. Dabei möchte der Benutzer seine Credentials des Cloud-Service nicht der Printing-Applikation anvertrauen müssen. Der Cloud-Service wiederum darf nur Zugriff auf die Bilder gewähren, wenn er sicher weiss, dass die Anfrage durch den Besitzer der Bilder veranlasst und bewusst genehmigt wurde.

OAuth 2.0: so funktioniert’s

Für dieses Problem bietet das Autorisierungsprotokoll OAuth 2.0 die Lösung: Der Cloud-Service betreibt einen OAuth Authorization Server, der Authorization Tokens ausstellt und für die damit verbundene Benutzer-Authentisierung sorgt. Um den Authorization Server des Cloud-Service nutzen zu können, muss eine Applikation vorgängig als OAuth Client bei ihm registriert werden. Dabei erhält sie eine ClientID und ein Client-Credential zugeordnet, die sie in der Kommunikation mit dem Authorization Server jeweils mitgeben muss.


Will der Benutzer nun auf seine Bilder in der Cloud zugreifen, leitet ihn die Printing-Applikation via HTTP Redirect an den Authorization Server des Cloud-Service weiter. Nach erfolgter Authentisierung erhält der Benutzer einen sogenannten User-Consent-Dialog angezeigt, der ihn über den Datenzugriff der Printing-Applikation informiert und seine Zustimmung einholt. Stimmt der Benutzer zu, stellt der Authorization Server einen Authorization Code aus, mit dem die Applikation ein Access Token für den Service-Zugriff anfordern kann.


Der Zwischenschritt über den Authorization Code hat den Vorteil, dass das Access Token nicht im Browser des Endbenutzers exponiert wird. Für mobile Applikationen oder Applikationen, die als JavaScript-Client im Browser ausgeführt werden, stellt das OAuth-Protokoll zusätzlich einen vereinfachten Protokoll-Flow zur Verfügung, bei dem der Zwischenschritt über den Access Code entfällt.


Mit dem Access Token kann die Applikation dann auf die Bilder und anderen Daten des Benutzers zuzugreifen. Die Validierung des Access Token erfolgt dabei durch den OAuth Resource Server. Diese Funktionalität kann entweder direkt im aufgerufenen Service oder in einer vorgelagerten Security-Komponente implementiert werden.

Und im Enterprise-Umfeld?

focus_oauth_oidc_img1
Zoom
Moderne Fertigungs- und Dienstleistungsprozesse integrieren Lieferanten und Kunden, Mobile und Smart Devices

In Zusammenhang mit Social-Media-Plattformen ist z.B. OAuth bereits weit verbreitet. Doch wie relevant sind Protokolle wie OAuth und OpenID Connect im Enterprise-Umfeld? Um diese Frage zu beantworten, muss man sich kurz vor Augen führen, wie Wertschöpfungsketten im Dienstleistungs- und Industriesektor heutzutage aufgebaut sind. Bei näherer Betrachtung erkennt man schnell, dass es kaum mehr Fertigungs- oder Dienstleistungsprozesse gibt, die vollständig isoliert innerhalb einer Firma abgewickelt werden. Um die firmenübergreifenden Prozesse effizient zu gestalten, stehen Unternehmen daher vor der Herausforderung, Service-Schnittstellen von Lieferanten und Kunden möglichst nahtlos in die eigene IT-Landschaft zu integrieren. Hinzu kommen mobile Applikationen und "Smart-Devices", die ebenfalls über webbasierte Schnittstellen auf Unternehmensdaten zugreifen müssen.

Die Protokolle OAuth und OpenID Connect wurden gezielt für diese Anwendungsfälle konzipiert. Mit einer Security-Infrastruktur, die diese Protokolle beherrscht, können Unternehmen somit rasch auf veränderte Rahmenbedingungen reagieren und die IT-Systeme neuer Kunden, Partner und Lieferanten unmittelbar in die eigenen Prozesse einbinden. Diese rasche und sichere Adaption IT-gestützter Prozesse ist heutzutage für die meisten Unternehmen ein wichtiger Wettbewerbsfaktor, der nicht zu unterschätzen ist.

 


Breakout-Session an der security-zone 2014

Dieser Focus-Beitrag ist eine leicht gekürzte Fassung des Artikels im Newsletter der security-zone 2014. In der Breakout-Session vom Mittwoch, 17. September, von 10:15 – 10:45 Uhr beleuchtet der Autor die Internas von OAuth und OpenID Connect. Dabei kommen auch die Hintergründe der schwelenden Security-Kontroverse rund um OAuth 2.0 zur Sprache, das als bewusst leichtgewichtig designtes Protokoll gewisse Security-Kompromisse beinhaltet Der Referent zeigt auf, welche Funktionsbausteine notwendig sind, um einen grossflächigen und sicheren Einsatz der Protokolle im Enterprise-Umfeld zu ermöglichen.