Social Login mit Facebook, Google und Co. Stefan Bohm

www.ic-consult.com

IAM  EXCELLENCE  

OAuth 2.0 und OpenID Connect

OAuth 2.0 Zugriffsrechte auf geschützte Ressourcen an Dritte vergeben

Geschützte Ressourcen = Userattribute + Steuerung des Logins + Information über Login

HTTPS

Anwender Persönliche Ressource Service Provider

Web Application

Web Application

Service Consumer

User-ID Passwort

Uneingeschränkter

Zugriff!

Passwort = Schlüssel

Vertrauenswürdigkeit?

à Password-Antipattern!

Hallo Helpdesk, bitte Leserechte für

meine Fotos an pixprintr.com

erteilen.

Genau. Lesezugriff für eine Stunde.

Foto: Shutterstock.com | Everett Collection

Bild: Shutterstock.com | Amal Babu

Protokoll zwischen drei Parteien mit dem Ressource-Eigentümer eingeschränkte Zugriffsrechte

auf geschützte Ressourcen, die von einem Ressource-Provider gehostet

werden, an Ressource-Consumer „in-band“ erteilen können.

Authentication, Authentication Request, Authentication Context,

Authentication Context Class, Authentication Context Class Reference, Authorization Code

Flow, Authorization Request, Claim, Claim Type, Claims Provider,

Credential, End-User, Entity, Essential Claim, Hybrid Flow,

ID Token, Identifier, Identity, Implicit Flow, Issuer, Issuer Identifier,

Message, OpenID Provider, Request Object, Request URI,

Pairwise Pseudonymous Identifier, Personally Identifiable Information,

Relying Party (RP), Sector Identifier, Self-Issued OpenID Provider,

Subject Identifier, UserInfo Endpoint, Validation, Verification, Voluntary Claim

?

Foto: Shutterstock.com | fotosav

Valet

Valet Key

Einparken

Bitte mein Auto einparken.

Valet Key

{ "access_token":"2YotnFZFEjr1" }

≈

Resource Provider

Resource Request + access_token

Wie kommt der Client an das Access Token?

Client

Resource Provider

Web Application

API

https://

OAuth 2.0 Client

Authorization Code Flow: Client ist eine Web-Applikation

https https

Browser „OAuth-geschützt“

Resource Consumer

https://

Resource Provider

Resource Consumer (Client)

Redirection Endpoint

302 Redirect + Authorization Code

Authorization Endpoint

Login und

Consent

Resource Request + Access Token

Resource Endpoint

200 OK + Access Token

POST + Authorization Code

+ Client ID + Client Secret

Token Endpoint

+ ID Token

UserInfo Endpoint

30x Redirect + Scope

+ Client-ID + Login-Steuerung

+ standard. Scopes /irgendeineUrl

https://

Live Demo

Resource Consumer (Client)

Authorization Endpoint

Resource Endpoint

Token Endpoint

https://accounts.google.com/o/oauth2/auth

https://accounts.google.com

/o/oauth2/token

Redirection Endpoint

/initflow

/callback

Localhost

https://www.googleapis.com/oauth2/v3/userinfo

https://

Resource Provider

Resource Consumer (Client)

Authorization Endpoint

Resource Endpoint

Token Endpoint

Einfach

Schwer

Redirection Endpoint

Ja, aber...

Dann eben kein Social Login!

Ist doch Wurscht...

Informationssicherheit?

Risiken

Sicherheits-maßnahmen

Informationssicherheit!

Risiko 1 Anwender ist nicht der, der er vorgibt zu sein.

Risiko 2 Die Informationen, die wir

über den Anwender haben, entsprechen nicht der

Wahrheit.

Authentication Assurance

Identity Assurance Anonym

Selbst-registrierung

Social Login

Adresse verifiziert

geschäftl. Transaktion erfolgreich

vertrauenswürdiger Dritter,

z.B. Postident, SuisseID

Social Login

Passwort

Multifactor-Authentication

One-Time Passwort,

z.B. Google Authenticator

Fahrzeug lokalisieren

Fahrzeug konfigurieren, Konfiguration speichern Informationsmaterial

bestellen

Botschaft 1 Ein Social Login ist

einfach* zu verwenden.

Botschaft 2 Ein Social Login setzt die

Eintrittsschwelle für Neukunden herunter.

Botschaft 3 Der Einsatz von

Social Login hängt vom Anwendungsfall ab.

Welcome Everyone Trust No One

IAM EXCELLENCE

iC Consult GmbH Keltenring 14 82041 Oberhaching +49 89 660497-0 www.ic-consult.com