ユーザーを認証するためのSSOシステムがあります。
これらの 2 つのオプションの間で議論があります。
各アプリケーションの承認を 1 つのデータベース (または他の単一のソリューション) に集中させ、SSO 要求内の情報を取得する必要がありますか?
各 Web アプリケーション クライアントは、ローカル データベース/スキームで独自の承認ロジックを管理する必要があります。
ユーザーを認証するためのSSOシステムがあります。
これらの 2 つのオプションの間で議論があります。
各アプリケーションの承認を 1 つのデータベース (または他の単一のソリューション) に集中させ、SSO 要求内の情報を取得する必要がありますか?
各 Web アプリケーション クライアントは、ローカル データベース/スキームで独自の承認ロジックを管理する必要があります。
認証、ロギング、そしてもちろん承認などの非機能要件からビジネス ロジックを分離するように努める必要があります。
すでに SSO を実装しており、SSO がユーザー ID を格納するためのバックエンドとしてユーザー ディレクトリを使用していることは間違いありません。これは、保護するアプリケーションから認証を正常に外部化したことを示しています。アプリごとにユーザー名とパスワードのデータベースを用意することを検討したことがありますか? パスワードやハッシュなどを管理するロジックを書くことを考えたことはありますか? もちろん違います!同じことが認可にも当てはまります。
アナリスト企業である Gartner は、検討している領域をExternalized Authorization Managementと定義しています。Gartner の顧客である場合は、ここで詳細を確認できます。
外部化された承認を実現するには、主に 2 つのモデルがあります。役割ベースのアクセス制御モデル (RBAC) を使用するか、属性ベースのアクセス制御 (ABAC) を目指します。NIST は、両方の定義などを提供しています。
多くのアプリケーション フレームワークは、何らかの形式の外部化を提供します。Java Spring を例にとると、Spring Security と Access Decision Manager が付属しています (Spring アーキテクチャの詳細については、こちら)。PHP、Ruby、Python、および .NET の名前を挙げることができますが、いくつかはすべて独自の方法を持っています。
したがって、可能であれば、アプリ内に承認ロジックを実装するのではなく、提供されているフレームワークを活用してください。
さらに進んで、外部化された承認を標準化することを検討することもできます。SSO に標準 (SAML) があるように、外部化された承認には XACML ( eXtensible Access Control Markup Language ) があります。これは、SAML によく似た OASIS によって定義された標準であり、IBM、Oracle、Axiomatics などによってサポートされています。
XACML は、外部化されたきめの細かい承認に対するポリシーベースのアプローチを提供します。ポリシーを記述して、任意の数のアプリケーションに適用できます。もちろん、XACML を使用して SSO レイヤーを拡張することもできます。
外部化された認証を使用する利点 (特に XACML で標準化されている利点) は次のとおりです。
さらに詳しく知りたい場合は、JavaZone 2013 で Java と XACML に関するプレゼンテーションを行いました。スライドはこちらです。
どの SSO ソリューションを使用していますか? SiteMinder は、よりきめ細かい認証を実装するための認証 API (ActivePolicy) を提供します。それを見てください。
これが役立つことを願っています!
認証に必要なロジックとデータを区別します。
承認ロジックを見ている場合、それはアプリケーションに固有のものです。なぜロジックを集中化する必要があるのですか? おそらく、同じ承認ロジックが複数のアプリケーションで使用され、そのような承認ロジックが変更される可能性があります。ただし、多くのアプリケーションはこれを必要とせず、すべての承認ロジックを外部化するアプリケーションの開発は、必要な時間とコストのために、常に実行可能なオプションであるとは限りません。この目的のためには、いくつかのポリシー仕様言語が必要であり、各クライアント アプリでインタープリターを使用する必要があります。
認証に必要なデータを一元化することは、上記よりもはるかに単純なタスクであり、おそらくより頻繁に必要とされる機能です。ただし、必要なデータがサブジェクトではなくドメイン オブジェクトに依存する場合は、やはり上記のケースになります。同じユーザー ロールまたは属性が同様に適用される一連のアプリケーションがある場合、これを行う価値がさらにあると思います (また、必要になる可能性もあります)。別のケースとして、1 人のグループによる集中型の承認管理が必要になる場合があります。これは、アプリケーションに当てはまる場合と当てはまらない場合があります。
ある解決策を他の解決策よりも処方することは、私が好きなことではありません. この性質の質問に対してはい/いいえの答えを出す必要がある場合は、他の側面も評価します. 例えば、