Please enable JavaScript.

Coggle requires JavaScript to display documents.

Способы и протоколы аутентификации (ПО ПАРОЛЮ Пользователь должен…

- - - - Basic
        простая схема, при которой username/password передаются в заголовке Authorization в не зашифрованном виде (base64-encoded). Однако при использовании HTTPS (HTTP over SSL) протокола, является относительно безопасной.
      - Digest - challenge-response-schema
        сервер посылает уникальное значение nonce, а браузер передает MD5 хэш пароля пользователя, вычисленный с использованием nonce. Более безопасная чем Basic схема при незащищенных соединениях, но подвержена man-in-the-middle attacks. Не позволяет применить современные хэш ф-ции для хранения паролей пользователей на сервере.
      - NLM (Windows Authentication)
        основана на chalange-response входе, при котором пароль не передается в чистом виде.
        Преимущественно используется для аутентификации пользователей Windows Active Directory. Уязвима к pass-the-hash-атакам
        
        Active Directory (AD - активный каталог)
        служба каталогов для ОС Windows Server. LDAP совместимая реализация, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.
        Групповые политики для обеспечения единообразия настройки пользователей рабочей среды, разворачивать ПО на множестве ПК через групповые политики, устанавливать обновления ОС и ПО. Хранит данные и настройки среды в центральной БД.
        Имеет иерархическую структуру состоящую из объектов:
        
        ресурсы (принтеры и т.д)
        
        службы (email и т.д.)
        
        уч. записи пользователей и ПК
        
        LDAP (Lightweight Directory Access Protocol - легкорасширяемый протокол доступа к каталогам) - протокол прикладного уровня для доступа к службе каталогов X.500
        Протокол использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также добавления, изменения и удаления записей.
      - Negotiate
        схема семейства Windows authintication, которая позволяет клиенту выбрать между NTLM и Kerberos аутентификацией. Kerberos - более безопасный протокол основанный на принципе Single Sign-On. Может ф-ть только если и клиент и сервер находятся в зоне Intranet и являются частью домена Windows
- - - - Стандарт SAML
        описывает способы взаимодействия и протоколы между identity provider и service provider для обмена данными аутентификации и авторизацией посредством токенов.
        Основные строительные блоки стандарта:
        
        Assertions - собственный формат SAML токенов в XML формате
        
        Protocols - набор поддерживаемых сообщений между участриками, среди которых - запрос на создание нового токена, получение существующих токенов, выход их системы (logout), управление идентификаторами пользователей
        
        Bindings - механизмы передачи сообщений через различные транспортные протоколы. Поддерживаются такие способы как HTTP Redirect, HTTP Post, HTTP Artifact (ссылка на сообщения), SAML SOAP, SAML URI (адрес получения сообщения)
        
        Profiles - типичные сценарии использования стандарта, определяющие набор assertions, protocols и bindins необходимые для реализации, что позволяет достичь лучшей совместимости. Wen Browser SSO - один из примеров таких профилей.
        
        Кроме того стандарт определяет формат обмена метаинформацией между участниками, которая включает список поддерживаемых ролей, протоколов, атрибутов, ключи шифрования.
        
        URI соответствующего сервиса identity provider'а берется из его метаданных
        
        SAMLRequest - XML-запрос на создание нового токена (кодирование deflate + base64)
        
        RelayState - произвольная строка, описывающая состояние SP (будет возвращена в ответе)
        
        SigAlg - алгоритм подписи сообщения
        
        Signature - подпись сообщения (кодирование base64)
      - WS-Trust / WS-Federation
        Входят в группу WS-, описывающих SOAP/XML-веб сервисы. Наряду с SAML эти стандарты достаточно сложные, используются преимущественно в корпоративных сценариях.
        
        WS-Trust
        описывает интерфейс сервиса авторизации, именуемого Secure Token Service (STS). Этот сервис работает по протоколу SOAP и поддерживает создание, обновление и аннулирование токенов. При этом стандарт допускает использование токенов разного формата, однако на практике в основном используются SAML-токены.
        
        WS-Federation
        касается механизма взаимодействия сервисов между компаниями, в частности, протокол обмена токенов. Расширяет ф-ции и интерфейс сервиса STS.
        Определяет:
        
        формат и способы обмена метаданными о сервисах
        
        ф-ю единого выхода из всех систем (single sign-out)
        
        сервис атрибутов, предоставляющий дополнительную информацию о пользователе
        
        сервис псевдонимов, позволяющий создавать альтернативные имена пользователей
        
        поддержку пассивных клиентов (браузеров) посредством перенаправления