【微服务架构】如何使用SSO保护企业微服务架构

视频号

微信公众号

知识星球

Chinese, Simplified

什么是安全?

这是一个重要方面,注意系统完整性的安全性。如果不考虑安全方面,它会传播风险,并可能容易受到其他网站、网络和其他It基础设施上的恶意软件攻击。

什么是SSO及其工作原理?

单点登录(SSO)是一种技术,它将多个不同的应用程序登录屏幕合并为一个。一旦您登录到特定系统,该声明登录令牌就可以在所有应用程序中共享,它们可以在其中定义信任。

身份验证和授权

身份验证:

是检查您是谁的过程。这是我们根据密码验证用户以识别此人的方式。

这方面有两种机制。

身份代理:

MSA

您可以通过社交登录实现登录。比如使用google/facebook/apple-like登录。

在这里,您单击任何社交链接,然后它将重定向到您的身份提供商,并提供用户名和密码,然后它会将令牌返回给Keyclock。现在,Keyclock可以使用特定的用户角色生成自己的令牌并将其返回。

身份联合:

在这里,Keyclok可以针对多个数据源验证用户。我们可以教Keyclok如何验证用户,以及在这个过程中应该涉及哪些数据源。它是可定制的。

授权:

它有两个方面。

  1. 说说你能做什么
  2. 告诉我你可以做什么
  • 当我们实施票证管理解决方案时,支持工程师可以读取用户的配置文件。他可能有配置文件读取权限,但不应该访问任何配置文件。必须有一些限制。只有当特定用户的支持票证分配给他时,他才能读取配置文件。这些是用户策略。
  • 因此,使用授权服务器实现和维护这些类型的策略有点困难。

让我们看看如何做到这些。

  • 所以通常我们创建用户,创建角色。让我们假设我们创建了一个用户管理服务。因此,我们必须确定用户管理可以做什么。
  • 它可以读取/写入/编辑/删除/列出用户。
  1. read表示您给出特定的用户id并获取该用户信息。
  2. 列表意味着您可以将所有用户作为列表获取。
  • 现在,假设我们创建了以上5个权限。现在,您将这些权限分配给特定角色,然后将该角色分配给特定用户。
  • 因此,如果用户属于特定角色,那么我们可以查看属于该角色的权限并应用该权限。
  • 所以用户登录到UI。当他们登录到UI时,它将重定向到身份验证服务器。
  • 假设我们在这里使用Keyclok(一种开源软件产品,允许使用身份和访问管理进行单点登录(SSO))。在实现Keyclok之后,用户将重定向到Keyclok。在这里,我将对用户进行身份验证。之后,该令牌将返回到UI,然后UI将提交其服务请求。
  • 当服务请求到来时,API网关将标识为用户正在尝试创建新用户。然后它将检查此令牌是否携带创建用户权限?如果是:它会让交通流进来

但问题是,该用户可以在哪个部门下创建新用户?

  • 因此,我们必须验证这一点。为此,我们可以使用策略管理解决方案。(我们可以使用OPA Open策略代理,这是一个流行的工具)

因此,当流量流动时,在创建新用户之前,我们联系OPA,要求该用户在部门d001上创建新用户。允许吗?这里OPA验证并返回true或false。

让我们看看另一个用例:

  • 假设支持工程师现在要读取用户的配置文件。因此,支持工程师属于具有读取用户配置文件权限的角色。当请求到达API网关时,它将允许请求流入服务,因为他具有用户读取权限。

那么现在,如果我们与OPA交谈,询问这位支持工程师是否有从这个特定用户分配的用于尝试读取配置文件的票证?如果是,OPA将返回true。否则为false。

Active directory:当用户已经登录到Active directory时,如果他们来到我们的应用程序,则UI转到Keyclock。然后,keyclock与active directory对话。active directory然后确保该用户已经登录。因此,keycloke将生成令牌。由于此过程,用户无需再次登录即可访问应用程序,我们称之为SSO(单点登录)。

当我们将这里讨论的所有这些东西放在一起并应用到系统中时,我们将能够为我们的应用程序构建更安全的身份验证和授权解决方案。

本文地址
https://architect.pub
SEO Title
1How to Secure Enterprise Microservice architecture with SSO