Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Moscow Python Meetup №85. Максим Юрченко. Время...

Moscow Python Meetup
PRO
October 25, 2023
Programming
0
170

Moscow Python Meetup №85. Максим Юрченко. Время перемен: OpenSource IaM в 2023

Поговорим о том что такое SSO, какие IaM есть. Почему мы выбрали Keycloak и какие проблемы он нам решил.

Видео: https://youtu.be/dFUs6927f18

Moscow Python: http://moscowpython.ru
Курсы Learn Python: http://learn.python.ru
Moscow Python Podcast: http://podcast.python.ru
Заявки на доклады: https://bit.ly/mp-speaker

Moscow Python Meetup
PRO

October 25, 2023
Tweet

More Decks by Moscow Python Meetup

See All by Moscow Python Meetup
Moscow Python Meetup №95. Макс Столпасов (X5 Tech, TeamLead). D в DDD — где D это доменная логика
moscowdjango
PRO
0
30
Moscow Python Meetup №95. Юлия Сухинина (АО «ГОЛЬФСТРИМ охранные системы» (МТС), Руководитель по развитию). Разработка ТГ Бота с ИИ модулем для автоматизации процесса контроля качества оформления документов
moscowdjango
PRO
0
45
Moscow Python Meetup №95 Арсен Гумин (Сбер, Руководитель направления по исследованию данных) Model-as-a-service: с нуля до enterprise ready
moscowdjango
PRO
0
8
Moscow Python Meetup №94. Алексей Жиряков (KION — руководитель направления, техлид бекенд команды витрины). Geo по IP без усилителей вкуса и консервантов
moscowdjango
PRO
0
24
Moscow Python Meetup №94. Дмитрий Легчиков (CTO Harmonix). Датасторителлинг на Streamlit
moscowdjango
PRO
0
36
Moscow Python Meetup №94. Александр Гончаров (SlashHash LLC). Это вообще не просто!
moscowdjango
PRO
0
48
Moscow Python Meetup №93. Сурен Хоренян (ВК Реклама, Руководитель команды в команде интерфейсов). Python нельзя Go: почему меня не зацепил новый тренд.
moscowdjango
PRO
0
130
Moscow Python Meetup №92. Евгений Блинов (Яндекс, Руководитель команды интеграции робототехнических решений). Расширяем возможности стандартной библиотеки.
moscowdjango
PRO
0
71
Moscow Python Meetup №92. Иван Елфимов (Ostrovok.ru, Devrel). Пишем свой фреймворк поверх Django
moscowdjango
PRO
0
99

Other Decks in Programming

See All in Programming
役立つログに取り組もう
irof
28
9.6k
Snowflake x dbtで作るセキュアでアジャイルなデータ基盤
tsoshiro
2
520
광고 소재 심사 과정에 AI를 도입하여 광고 서비스 생산성 향상시키기
kakao
PRO
0
170
Contemporary Test Cases
maaretp
0
130
LLM生成文章の精度評価自動化とプロンプトチューニングの効率化について
layerx
PRO
2
190
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
0
100
レガシーシステムにどう立ち向かうか 複雑さと理想と現実/vs-legacy
suzukihoge
14
2.2k
AWS Lambdaから始まった
Serverlessの「熱」とキャリアパス / It started with AWS Lambda Serverless “fever” and career path
seike460
PRO
1
260
『ドメイン駆動設計をはじめよう』のモデリングアプローチ
masuda220
PRO
8
540
みんなでプロポーザルを書いてみた
yuriko1211
0
260
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
190
アジャイルを支えるテストアーキテクチャ設計/Test Architecting for Agile
goyoki
9
3.3k

Featured

See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
How GitHub (no longer) Works
holman
310
140k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Designing for Performance
lara
604
68k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
RailsConf 2023
tenderlove
29
900
Agile that works and the tools we love
rasmusluckow
327
21k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Docker and Python
trallard
40
3.1k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k

Transcript

  1. Время перемен OpenSource IAM в 2023 25.10.2023

  2. IAM Системы

  3. Время перемен OpenSource IAM в 2023 Identity and Access Management

    (IAM) 3 Регистрация Авторизация Аутентификация

  4. Время перемен OpenSource IAM в 2023 Identity and Access Management

    (IAM) 3 Регистрация Авторизация Аутентификация Аудит доступов Управление пользователями

  5. IAM + SSO 4 • Проверяет подлинность пользователя • Является

    единым местом по выдаче прав и ролей • Единая точка аудита действий пользователя • Берет на себя вопрос интеграции с внешними системами Время перемен OpenSource IAM в 2023

  6. OAuth и OIDC 5 Время перемен OpenSource IAM в 2023

  7. OAuth и OIDC OAuth (RFC-6749) • Говоря про OAuth, чаще

    всего имеется в виду OAuth 2.0 • Вводятся 2 токена: — Access token — Refresh token • Не отвечает за аутентификацию 5 Время перемен OpenSource IAM в 2023

  8. OAuth и OIDC OAuth (RFC-6749) • Говоря про OAuth, чаще

    всего имеется в виду OAuth 2.0 • Вводятся 2 токена: — Access token — Refresh token • Не отвечает за аутентификацию OIDC • Прослойка аутентификации над OAuth 2 • Добавляет сведения о профиле пользователя • Появляется Identity Token (регламентировано JWT) 5 Время перемен OpenSource IAM в 2023

  9. OAuth и OIDC OAuth (RFC-6749) • Говоря про OAuth, чаще

    всего имеется в виду OAuth 2.0 • Вводятся 2 токена: — Access token — Refresh token • Не отвечает за аутентификацию OIDC • Прослойка аутентификации над OAuth 2 • Добавляет сведения о профиле пользователя • Появляется Identity Token (регламентировано JWT) 5 Время перемен OpenSource IAM в 2023

  10. Что если написать свою IAM систему? 6 Время перемен OpenSource

    IAM в 2023

  11. Что если написать свою IAM систему? • Вам ее поддерживать

    • Отсутствие внешней экспертизы • Интеграция с другими сервисами 6 Время перемен OpenSource IAM в 2023

  12. Что если написать свою IAM систему? • Вам ее поддерживать

    • Отсутствие внешней экспертизы • Интеграция с другими сервисами 6 Время перемен OpenSource IAM в 2023

  13. Варианты IaM систем 7 • Authelia • Authentik • Zitadel

    • Casdoor Время перемен OpenSource IAM в 2023

  14. 8 • Написан на Go • Имеется возможность оплатить support

    • Имеются некритичные платные self-hosted features Немного фактов Время перемен OpenSource IAM в 2023

  15. 8 • Написан на Go • Имеется возможность оплатить support

    • Имеются некритичные платные self-hosted features • 5000+ звезд • 70+ контрибьюторов • Активно закрываются различные баги Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

  16. 8 • Написан на Go • Имеется возможность оплатить support

    • Имеются некритичные платные self-hosted features • 5000+ звезд • 70+ контрибьюторов • Активно закрываются различные баги Немного фактов GitHub статистика Что пошло не так? • На момент выбора решение было сырым • Поддержка LDAP частично в разработке Время перемен OpenSource IAM в 2023

  17. 8 • Написан на Go • Имеется возможность оплатить support

    • Имеются некритичные платные self-hosted features • 5000+ звезд • 70+ контрибьюторов • Активно закрываются различные баги Немного фактов GitHub статистика Что пошло не так? • На момент выбора решение было сырым • Поддержка LDAP частично в разработке Время перемен OpenSource IAM в 2023

  18. 9 • Написан на Python • Имеются платные self-hosted features

    Немного фактов Время перемен OpenSource IAM в 2023

  19. 9 • Написан на Python • Имеются платные self-hosted features

    • 4000+ звезд • 100+ контрибьюторов Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

  20. 9 • Написан на Python • Имеются платные self-hosted features

    • 4000+ звезд • 100+ контрибьюторов • На 1 человека приходится 98% залитого кода Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

  21. 9 • Написан на Python • Имеются платные self-hosted features

    • 4000+ звезд • 100+ контрибьюторов • На 1 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка подгрупп внутри групп • LTS релизы только в Enterprise версии • В планах продукта разделение на Enterprise и Community версии Время перемен OpenSource IAM в 2023

  22. 9 • Написан на Python • Имеются платные self-hosted features

    • 4000+ звезд • 100+ контрибьюторов • На 1 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка подгрупп внутри групп • LTS релизы только в Enterprise версии • В планах продукта разделение на Enterprise и Community версии Время перемен OpenSource IAM в 2023

  23. 10 • Написан на Go • Простая установка • Имеется

    некоторое количество плагинов Немного фактов Время перемен OpenSource IAM в 2023

  24. 10 • Написан на Go • Простая установка • Имеется

    некоторое количество плагинов • 17000+ звезд • 100+ контрибьюторов • На 3 человека приходится 98% залитого кода Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

  25. 10 • Написан на Go • Простая установка • Имеется

    некоторое количество плагинов • 17000+ звезд • 100+ контрибьюторов • На 3 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка SAML в качестве внешнего IdP • github.com/authelia/authelia/issues/189 – поддержка OIDC (все еще позиционируется как Beta) • github.com/authelia/authelia/issues/1275 – невозможность изменения конфига без перезапуска пода Время перемен OpenSource IAM в 2023

  26. 10 • Написан на Go • Простая установка • Имеется

    некоторое количество плагинов • 17000+ звезд • 100+ контрибьюторов • На 3 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка SAML в качестве внешнего IdP • github.com/authelia/authelia/issues/189 – поддержка OIDC (все еще позиционируется как Beta) • github.com/authelia/authelia/issues/1275 – невозможность изменения конфига без перезапуска пода Время перемен OpenSource IAM в 2023

  27. 11 • Написан на Go • Неофициально принадлежит Tencent •

    Очень подробная документация по подключению внешних провайдеров Немного фактов Casdoor Время перемен OpenSource IAM в 2023

  28. 11 • Написан на Go • Неофициально принадлежит Tencent •

    Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Casdoor Время перемен OpenSource IAM в 2023

  29. 11 • Написан на Go • Неофициально принадлежит Tencent •

    Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Что пошло не так? • github.com/casdoor/casdoor/issues/1531 • Весьма сомнительные решения по MR в GitHub Casdoor Время перемен OpenSource IAM в 2023

  30. 11 • Написан на Go • Неофициально принадлежит Tencent •

    Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Что пошло не так? • github.com/casdoor/casdoor/issues/1531 • Весьма сомнительные решения по MR в GitHub Casdoor Время перемен OpenSource IAM в 2023

  31. 12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает

    различные недостатки casdoor Немного фактов Casgate Время перемен OpenSource IAM в 2023

  32. 12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает

    различные недостатки casdoor Немного фактов В чем отличие от Casdoor? • github.com/casdoor/casdoor/issues/1531 • Возможность создавать ссылку-приглашение • Добавлена возможность запросить смену пароля для пользователя при первом входе • Автоназначение роли по атрибутам от LDAP, SAML или OAuth • Гибкий AuthZ mapping ролей, основанный на casbin Casgate Время перемен OpenSource IAM в 2023

  33. 12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает

    различные недостатки casdoor Немного фактов В чем отличие от Casdoor? • github.com/casdoor/casdoor/issues/1531 • Возможность создавать ссылку-приглашение • Добавлена возможность запросить смену пароля для пользователя при первом входе • Автоназначение роли по атрибутам от LDAP, SAML или OAuth • Гибкий AuthZ mapping ролей, основанный на casbin Casgate GitHub статистика Время перемен OpenSource IAM в 2023

  34. 12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает

    различные недостатки casdoor Немного фактов В чем отличие от Casdoor? • github.com/casdoor/casdoor/issues/1531 • Возможность создавать ссылку-приглашение • Добавлена возможность запросить смену пароля для пользователя при первом входе • Автоназначение роли по атрибутам от LDAP, SAML или OAuth • Гибкий AuthZ mapping ролей, основанный на casbin Casgate GitHub статистика Время перемен OpenSource IAM в 2023

  35. 13 • Написан на Java • Разработан RedHat • Лежит

    в основе RedHat SSO Немного фактов Keycloak Время перемен OpenSource IAM в 2023

  36. 13 • Написан на Java • Разработан RedHat • Лежит

    в основе RedHat SSO Немного фактов Keycloak GitHub статистика • 17000+ звезд • 950+ контрибьюторов • Очень большое community Время перемен OpenSource IAM в 2023

  37. 13 • Написан на Java • Разработан RedHat • Лежит

    в основе RedHat SSO Немного фактов Почему остановились на нем? Keycloak GitHub статистика • 17000+ звезд • 950+ контрибьюторов • Очень большое community • Быстрые фиксы найденных уязвимостей • RedHat, как maintainer продукта • Существует с 2014 года • Большое количество плагинов • Большое community • Чат в Telegram • Профильные конференции Время перемен OpenSource IAM в 2023

  38. Минимальная конфигурация Keycloak 14 Время перемен OpenSource IAM в 2023

  39. Минимальная конфигурация Keycloak 14 Время перемен OpenSource IAM в 2023

  40. Как мы работаем с Keycloak

  41. Немного истории 16 2021 год Сами написали сервис авторизации на

    основе Azure AD + auth_request на nginx Март 2022 Azure объявляет об уходе из РФ Апрель 2022 Первоначальное подключение Keycloak как SSO в наши приложения Июнь 2022 Переход на работу с Keycloak, через proxy Август 2022 Обновление 17 -> 19 Октябрь 2023 Обновление 19 -> 21 Время перемен OpenSource IAM в 2023

  42. Инсталляция Keycloak 17 Время перемен OpenSource IAM в 2023

  43. Keycloak cache 18 Время перемен OpenSource IAM в 2023

  44. Keycloak cache 18 Время перемен OpenSource IAM в 2023

  45. Keycloak cache 18 Время перемен OpenSource IAM в 2023

  46. Keycloak cache 18 Время перемен OpenSource IAM в 2023

  47. Keycloak cache 18 Время перемен OpenSource IAM в 2023

  48. Управление Keycloak 19 • Используем terraform провайдер для IaC: Время

    перемен OpenSource IAM в 2023

  49. Базовые настройки безопасности Keycloak 20 • Закрыть master realm •

    Следовать рекомендациям по настройке reverse proxy • Закрыть endpoint с метриками Время перемен OpenSource IAM в 2023

  50. Интеграция приложений с Keycloak

  51. OIDC (OpenID connect) 22 Время перемен OpenSource IAM в 2023

  52. OIDC через proxy 23 Время перемен OpenSource IAM в 2023

  53. OIDC через proxy Посмотрим со стороны приложения 24 Время перемен

    OpenSource IAM в 2023

  54. Как это видит приложение? 25 Время перемен OpenSource IAM в

    2023

  55. OIDC через proxy Конфигурация 26 Время перемен OpenSource IAM в

    2023

  56. Время перемен OpenSource IAM в 2023 Почему остановились на proxy?

    27 • Для обновления Keycloak не подключаем разработчиков • Для обновления proxy разработчики также не нужны • Позволяет легко сменить SSO провайдера • Разграничение зон ответственности • Прозрачные логи перехода пользователей по URL

  57. Права в Postgres через Keycloak

  58. Проблематика • Создание пользователя через UI отнимает много времени •

    Небезопасная передача паролей • Пользователи забывают пароли • Привязка пользователя в БД к доменной УЗ 29 Время перемен OpenSource IAM в 2023

  59. Решение 30 • Для выдачи прав достаточно выдать роль в

    Keycloak • Пароли генерируются автоматически и присылаются на почту • При блокировке УЗ – права пропадают автоматически • Общее время на выдачу прав сократилось в разы Время перемен OpenSource IAM в 2023

  60. Спасибо за внимание! Maxim Yurchenko mv-yurchenko mv_yurchenko [email protected] Спасибо за

    внимание! Фамилия Имя Контакты