Versions Compared

Old Version 2

changes.mady.by.user Pavel Novák

Saved on

compared with

New Version 3

changes.mady.by.user Pavel Novák

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Dnes velmi populární směr, kterým se vypadá (a je to rozumné) bude autentizace ubírat v budoucnosti. Cílem je odbourat hesla, která se ukazují jako největší slabina, neboť je lze snadno zneužít. Při passwordless přihlášení je heslo (a často i jméno) nahrazeno privátním klíčem, kterým se uživatel jednoznačně prokáže. Tento klíč je uložen buď na HW klíčence, nebo v moderních operačních systémech a uživatel jen potvrdí jeho použití (otiskem, obličejem, PINem).

SSO

(Single Sign On)

Jednotné přihlášení. Uživatel se přihlásí jen jednou, do jednoho systému/portálu a ten je toto přihlášení schopen předávat dál dalším systémům. V Internetu je dnes typickým příkladem Google, Apple nebo Facebook. Všichni nabízejí SSO pomocí kterého je možné se přihlásit do mnoha dalších aplikací. Je dobré si být vědom, že poskytovatel SSO ví o všech těchto přihlášeních, neboť jsou přes něj. Tj. pokud se všude přihlašuji pomocí Google účtu, pak Google o všech těchto přihlášeních ví.

SAML2 / OpenID Connect (OIDC)

Jedná se o poměrně komplexní standardy pro autentizaci (a další). SAML2 je starší, složitější, komplexnější, využívá XML. OpenID Connect je novější a jednodušší (ale doplněn dalším ekosystémem OAuth, apod.), využívá JSON. Oba umožní docílit totéž, tj. SSO (viz výše) mezi aplikacemi/systémy.

Protokoly mají dvě strany/role: IdP (Identity Provider = poskytovatel identity) a SP (Service Provider = poskytovatel služby). Poskytovatel identity ověří uživatele (tam se uživatel přihlásí) a předá tuto informaci poskytovateli služby (to je aplikace, co uživatel používá). Tyto role se mohou kombinovat či řetězit. Google může být jak IdP tak SP zároveň. Nebo lze využít ADFS k přihlášení do Google a ten k přihlášení do aplikace, atd.

ADFS

(Active Directory Federation Services)

Microsoft specifická implementace založená na protokolu OpenID Connect, ale i dalších. Obvykle využíváno jako nadstavba nad AD (Active Directory) pro SSO uživatelů z AD do moderních webových systémů buď přímo s podporou ADFS, nebo SAML2 či OIDC.

Různé další faktory

OTP / TOTP / HOTP

...