Post on 06-Aug-2020
Social Login mit Facebook, Google und Co. Stefan Bohm
www.ic-consult.com
IAM EXCELLENCE
OAuth 2.0 und OpenID Connect
OAuth 2.0 Zugriffsrechte auf geschützte Ressourcen an Dritte vergeben
Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login
HTTPS
Anwender Persönliche Ressource Service Provider
Web Application
Web Application
Service Consumer
User-ID Passwort
Uneingeschränkter
Zugriff!
Passwort = Schlüssel
Vertrauenswürdigkeit?
à Password-Antipattern!
Hallo Helpdesk, bitte Leserechte für
meine Fotos an pixprintr.com
erteilen.
Genau. Lesezugriff für eine Stunde.
Foto: Shutterstock.com | Everett Collection
Bild: Shutterstock.com | Amal Babu
Protokoll zwischen drei Parteien mit dem Ressource-Eigentümer eingeschränkte Zugriffsrechte
auf geschützte Ressourcen, die von einem Ressource-Provider gehostet
werden, an Ressource-Consumer „in-band“ erteilen können.
Authentication, Authentication Request, Authentication Context,
Authentication Context Class, Authentication Context Class Reference, Authorization Code
Flow, Authorization Request, Claim, Claim Type, Claims Provider,
Credential, End-User, Entity, Essential Claim, Hybrid Flow,
ID Token, Identifier, Identity, Implicit Flow, Issuer, Issuer Identifier,
Message, OpenID Provider, Request Object, Request URI,
Pairwise Pseudonymous Identifier, Personally Identifiable Information,
Relying Party (RP), Sector Identifier, Self-Issued OpenID Provider,
Subject Identifier, UserInfo Endpoint, Validation, Verification, Voluntary Claim
?
Foto: Shutterstock.com | fotosav
Valet
Valet Key
Einparken
Bitte mein Auto einparken.
Valet Key
{ "access_token":"2YotnFZFEjr1" }
≈
Resource Provider
Resource Request + access_token
Wie kommt der Client an das Access Token?
Client
Resource Provider
Web Application
API
https://
OAuth 2.0 Client
Authorization Code Flow: Client ist eine Web-Applikation
https https
Browser „OAuth-geschützt“
Resource Consumer
https://
Resource Provider
Resource Consumer (Client)
Redirection Endpoint
302 Redirect + Authorization Code
Authorization Endpoint
Login und
Consent
Resource Request + Access Token
Resource Endpoint
200 OK + Access Token
POST + Authorization Code
+ Client ID + Client Secret
Token Endpoint
+ ID Token
UserInfo Endpoint
30x Redirect + Scope
+ Client-ID + Login-Steuerung
+ standard. Scopes /irgendeineUrl
https://
Live Demo
Resource Consumer (Client)
Authorization Endpoint
Resource Endpoint
Token Endpoint
https://accounts.google.com/o/oauth2/auth
https://accounts.google.com
/o/oauth2/token
Redirection Endpoint
/initflow
/callback
Localhost
https://www.googleapis.com/oauth2/v3/userinfo
https://
Resource Provider
Resource Consumer (Client)
Authorization Endpoint
Resource Endpoint
Token Endpoint
Einfach
Schwer
Redirection Endpoint
Ja, aber...
Dann eben kein Social Login!
Ist doch Wurscht...
Informationssicherheit?
Risiken
Sicherheits-maßnahmen
Informationssicherheit!
Risiko 1 Anwender ist nicht der, der er vorgibt zu sein.
Risiko 2 Die Informationen, die wir
über den Anwender haben, entsprechen nicht der
Wahrheit.
Authentication Assurance
Identity Assurance Anonym
Selbst-registrierung
Social Login
Adresse verifiziert
geschäftl. Transaktion erfolgreich
vertrauenswürdiger Dritter,
z.B. Postident, SuisseID
Social Login
Passwort
Multifactor-Authentication
One-Time Passwort,
z.B. Google Authenticator
Fahrzeug lokalisieren
Fahrzeug konfigurieren, Konfiguration speichern Informationsmaterial
bestellen
Botschaft 1 Ein Social Login ist
einfach* zu verwenden.
Botschaft 2 Ein Social Login setzt die
Eintrittsschwelle für Neukunden herunter.
Botschaft 3 Der Einsatz von
Social Login hängt vom Anwendungsfall ab.
Welcome Everyone Trust No One
IAM EXCELLENCE
iC Consult GmbH Keltenring 14 82041 Oberhaching +49 89 660497-0 www.ic-consult.com