Moscow Python Meetup №85. Максим Юрченко. Время перемен: OpenSource IaM в 2023

by Moscow Python Meetup

Slide 1

Slide 1 text

Время перемен OpenSource IAM в 2023 25.10.2023

Slide 2

Slide 2 text

IAM Системы

Slide 3

Slide 3 text

Время перемен OpenSource IAM в 2023 Identity and Access Management (IAM) 3 Регистрация Авторизация Аутентификация

Slide 4

Slide 4 text

Время перемен OpenSource IAM в 2023 Identity and Access Management (IAM) 3 Регистрация Авторизация Аутентификация Аудит доступов Управление пользователями

Slide 5

Slide 5 text

IAM + SSO 4 • Проверяет подлинность пользователя • Является единым местом по выдаче прав и ролей • Единая точка аудита действий пользователя • Берет на себя вопрос интеграции с внешними системами Время перемен OpenSource IAM в 2023

Slide 6

Slide 6 text

OAuth и OIDC 5 Время перемен OpenSource IAM в 2023

Slide 7

Slide 7 text

OAuth и OIDC OAuth (RFC-6749) • Говоря про OAuth, чаще всего имеется в виду OAuth 2.0 • Вводятся 2 токена: — Access token — Refresh token • Не отвечает за аутентификацию 5 Время перемен OpenSource IAM в 2023

Slide 8

Slide 8 text

OAuth и OIDC OAuth (RFC-6749) • Говоря про OAuth, чаще всего имеется в виду OAuth 2.0 • Вводятся 2 токена: — Access token — Refresh token • Не отвечает за аутентификацию OIDC • Прослойка аутентификации над OAuth 2 • Добавляет сведения о профиле пользователя • Появляется Identity Token (регламентировано JWT) 5 Время перемен OpenSource IAM в 2023

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Что если написать свою IAM систему? 6 Время перемен OpenSource IAM в 2023

Slide 11

Slide 11 text

Что если написать свою IAM систему? • Вам ее поддерживать • Отсутствие внешней экспертизы • Интеграция с другими сервисами 6 Время перемен OpenSource IAM в 2023

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Варианты IaM систем 7 • Authelia • Authentik • Zitadel • Casdoor Время перемен OpenSource IAM в 2023

Slide 14

Slide 14 text

8 • Написан на Go • Имеется возможность оплатить support • Имеются некритичные платные self-hosted features Немного фактов Время перемен OpenSource IAM в 2023

Slide 15

Slide 15 text

8 • Написан на Go • Имеется возможность оплатить support • Имеются некритичные платные self-hosted features • 5000+ звезд • 70+ контрибьюторов • Активно закрываются различные баги Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

9 • Написан на Python • Имеются платные self-hosted features Немного фактов Время перемен OpenSource IAM в 2023

Slide 19

Slide 19 text

9 • Написан на Python • Имеются платные self-hosted features • 4000+ звезд • 100+ контрибьюторов Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

Slide 20

Slide 20 text

9 • Написан на Python • Имеются платные self-hosted features • 4000+ звезд • 100+ контрибьюторов • На 1 человека приходится 98% залитого кода Немного фактов GitHub статистика Время перемен OpenSource IAM в 2023

Slide 21

Slide 21 text

9 • Написан на Python • Имеются платные self-hosted features • 4000+ звезд • 100+ контрибьюторов • На 1 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка подгрупп внутри групп • LTS релизы только в Enterprise версии • В планах продукта разделение на Enterprise и Community версии Время перемен OpenSource IAM в 2023

Slide 22

Slide 22 text

Slide 23

Slide 23 text

10 • Написан на Go • Простая установка • Имеется некоторое количество плагинов Немного фактов Время перемен OpenSource IAM в 2023

Slide 24

Slide 24 text

Slide 25

Slide 25 text

10 • Написан на Go • Простая установка • Имеется некоторое количество плагинов • 17000+ звезд • 100+ контрибьюторов • На 3 человека приходится 98% залитого кода Немного фактов GitHub статистика Что пошло не так? • Отсутствует поддержка SAML в качестве внешнего IdP • github.com/authelia/authelia/issues/189 – поддержка OIDC (все еще позиционируется как Beta) • github.com/authelia/authelia/issues/1275 – невозможность изменения конфига без перезапуска пода Время перемен OpenSource IAM в 2023

Slide 26

Slide 26 text

Slide 27

Slide 27 text

11 • Написан на Go • Неофициально принадлежит Tencent • Очень подробная документация по подключению внешних провайдеров Немного фактов Casdoor Время перемен OpenSource IAM в 2023

Slide 28

Slide 28 text

11 • Написан на Go • Неофициально принадлежит Tencent • Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Casdoor Время перемен OpenSource IAM в 2023

Slide 29

Slide 29 text

11 • Написан на Go • Неофициально принадлежит Tencent • Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Что пошло не так? • github.com/casdoor/casdoor/issues/1531 • Весьма сомнительные решения по MR в GitHub Casdoor Время перемен OpenSource IAM в 2023

Slide 30

Slide 30 text

11 • Написан на Go • Неофициально принадлежит Tencent • Очень подробная документация по подключению внешних провайдеров • 7000+ звезд • 140+ контрибьюторов • Активное community Немного фактов GitHub статистика Что пошло не так? • github.com/casdoor/casdoor/issues/1531 • Весьма сомнительные решения по MR в GitHub Casdoor Время перемен OpenSource IAM в 2023

Slide 31

Slide 31 text

12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает различные недостатки casdoor Немного фактов Casgate Время перемен OpenSource IAM в 2023

Slide 32

Slide 32 text

12 • Fork Casdoor • Разрабатывается группой энтузиастов • Закрывает различные недостатки casdoor Немного фактов В чем отличие от Casdoor? • github.com/casdoor/casdoor/issues/1531 • Возможность создавать ссылку-приглашение • Добавлена возможность запросить смену пароля для пользователя при первом входе • Автоназначение роли по атрибутам от LDAP, SAML или OAuth • Гибкий AuthZ mapping ролей, основанный на casbin Casgate Время перемен OpenSource IAM в 2023

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

13 • Написан на Java • Разработан RedHat • Лежит в основе RedHat SSO Немного фактов Keycloak Время перемен OpenSource IAM в 2023

Slide 36

Slide 36 text

13 • Написан на Java • Разработан RedHat • Лежит в основе RedHat SSO Немного фактов Keycloak GitHub статистика • 17000+ звезд • 950+ контрибьюторов • Очень большое community Время перемен OpenSource IAM в 2023

Slide 37

Slide 37 text

13 • Написан на Java • Разработан RedHat • Лежит в основе RedHat SSO Немного фактов Почему остановились на нем? Keycloak GitHub статистика • 17000+ звезд • 950+ контрибьюторов • Очень большое community • Быстрые фиксы найденных уязвимостей • RedHat, как maintainer продукта • Существует с 2014 года • Большое количество плагинов • Большое community • Чат в Telegram • Профильные конференции Время перемен OpenSource IAM в 2023

Slide 38

Slide 38 text

Минимальная конфигурация Keycloak 14 Время перемен OpenSource IAM в 2023

Slide 39

Slide 39 text

Минимальная конфигурация Keycloak 14 Время перемен OpenSource IAM в 2023

Slide 40

Slide 40 text

Как мы работаем с Keycloak

Slide 41

Slide 41 text

Немного истории 16 2021 год Сами написали сервис авторизации на основе Azure AD + auth_request на nginx Март 2022 Azure объявляет об уходе из РФ Апрель 2022 Первоначальное подключение Keycloak как SSO в наши приложения Июнь 2022 Переход на работу с Keycloak, через proxy Август 2022 Обновление 17 -> 19 Октябрь 2023 Обновление 19 -> 21 Время перемен OpenSource IAM в 2023

Slide 42