Autenticación de APIs con KeyCloak

Transcript

1. Autenticación de APIs con Keycloak NICOLAS GONZALEZ CTO INGENIA CA

2. ▪ Asegurar aplicaciones monolíticas era sencillo ▪ Formulario de Username

   and password ▪ Credenciales en la BBDD ▪ El contexto de seguridad se guarda en la HTTP Session EN EL COMIENZO...

3. ▪ Enterprise software cambia constantemente ▪ No hay solo una

   aplicación dentro del firewall ▪ Ahora tenemos más sistemas separados ▪ Se expone a usuarios mobile y partners YA NO ES UN FORMULARIO Y UNA TABLA

4. THE NEW WAY? ▪ Muchas apps ▪ Múltiples variantes de

   cada app ▪ Multiple services ▪ Multiple user dbs ▪ Multiple logins fuera del firewall

5. AUTHENTICATION ▪ Passwords no es suficiente ▪ Users create bad

   passwords (123456 and password) ▪ Passwords policies ayuda, pero no lo garantiza ▪ Users reuse passwords ▪ Passwords pueden ser perdidos ▪ Secure storage es requerido ▪ Necesidad de two-factor authentication

6. TIPOS DE APP ▪ Se tiene lidiar con muchas aplicaciones,

   distintos tipos de arquitectura y diferentes lenguajes de programación ▪ Client-side and server-side web ▪ Mobile (native and hybrid) ▪ APIs/Services ▪ ...

7. GESTIÓN ▪ Applications y Servicios ▪ Users Devices ▪ Permissions

   ▪ Sessions and logs ... Idealmente gestionar todo desde una consola o una API

8. ¿Y entonces? ¿Qué hacemos?

9. None
10. None

11. MODELO DE AA PARA WEBS

12. MODELO DE AA PARA MS

13. KEYCLOAK VALIDACIÓN DE TOKENS

14. INTEGRACIÓN CON APIM KONG ARQUITECTURA

15. GRACIAS

16. DEBATE