🥇SSO par mikropakalpojumu arhitektūru. Mēs izmantojam Keycloak. Daļa #1

Jebkurā lielā uzņēmumā, un X5 Retail Group nav izņēmums, jo attīstības gaitā palielinās projektu skaits, kuriem nepieciešama lietotāja autorizācija. Laika gaitā ir nepieciešama nemanāma lietotāju pāreja no vienas lietojumprogrammas uz citu, un tad ir jāizmanto viens vienreizējas ieslēgšanas (SSO) serveris. Bet ko darīt, ja dažādos projektos jau tiek izmantoti tādi identitātes nodrošinātāji kā AD vai citi, kuriem nav papildu atribūtu. Sistēmu klase, ko sauc par “identitātes brokeriem”, nāks palīgā. Visfunkcionālākie ir tā pārstāvji, piemēram, Keycloak, Gravitee Access pārvaldība u.c.. Visbiežāk lietošanas scenāriji var būt dažādi: mašīnu mijiedarbība, lietotāju līdzdalība u.c.. Risinājumam jāatbalsta elastīga un mērogojama funkcionalitāte, kas spēj apvienot visas prasības vienā, un tāds risinājums Mūsu uzņēmumam tagad ir indikāciju brokeris – Keycloak.

Keycloak ir atvērtā pirmkoda identitātes un piekļuves kontroles produkts, ko uztur RedHat. Tas ir pamats uzņēmuma produktiem, izmantojot SSO - RH-SSO.

Pamatjēdzieni

Pirms sākat izskatīt risinājumus un pieejas, jums jāizlemj par procesu noteikumiem un secību:

Identifikācija ir procedūra subjekta atpazīšanai pēc tā identifikatora (citiem vārdiem sakot, šī ir vārda, pieteikšanās vai numura definīcija).

Autentifikācija - šī ir autentifikācijas procedūra (lietotājs tiek pārbaudīts ar paroli, vēstule tiek pārbaudīta ar elektronisko parakstu utt.)

Atļauja - šī ir piekļuves nodrošināšana resursam (piemēram, e-pastam).

Keycloak Identity Broker

atslēgas apmetnis ir atvērtā pirmkoda identitātes un piekļuves pārvaldības risinājums, kas paredzēts lietošanai IS, kur var izmantot mikropakalpojumu arhitektūras modeļus.

Keycloak piedāvā tādas funkcijas kā vienotā pierakstīšanās (SSO), starpniecības identitāte un sociālā pieteikšanās, lietotāju federācija, klientu adapteri, administratora konsole un konta pārvaldības konsole.

Keycloak atbalstītā pamata funkcionalitāte:

Vienreizēja pierakstīšanās un vienreizēja izrakstīšanās pārlūkprogrammas lietojumprogrammām.
OpenID/OAuth 2.0/SAML atbalsts.
Identitātes starpniecība - autentifikācija, izmantojot ārējos OpenID Connect vai SAML identitātes nodrošinātājus.
Sociālā pieteikšanās — Google, GitHub, Facebook, Twitter atbalsts lietotāju identifikācijai.
Lietotāju federācija – lietotāju sinhronizācija no LDAP un Active Directory serveriem un citiem identitātes nodrošinātājiem.
Kerberos tilts — Kerberos servera izmantošana automātiskai lietotāja autentifikācijai.
Admin Console — vienotai iestatījumu un risinājumu opciju pārvaldībai, izmantojot Web.
Konta pārvaldības konsole – neatkarīgai lietotāja profilu pārvaldībai.
Risinājuma pielāgošana, pamatojoties uz uzņēmuma korporatīvo identitāti.
2FA autentifikācija — TOTP/HOTP atbalsts, izmantojot Google autentifikatoru vai FreeOTP.
Pieteikšanās plūsmas – ir iespējama lietotāja pašreģistrācija, paroles atkopšana un atiestatīšana un citi.
Sesiju pārvaldība — administratori var pārvaldīt lietotāju sesijas no viena punkta.
Token Mappers - lietotāja atribūtu, lomu un citu nepieciešamo atribūtu piesaistīšana marķieriem.
Elastīga politikas pārvaldība, izmantojot jomu, lietojumprogrammu un lietotājus.
CORS atbalsts — klientu adapteriem ir vietējais CORS atbalsts.
Pakalpojumu sniedzēja saskarnes (SPI) — liels skaits SPI, kas ļauj pielāgot dažādus servera aspektus: autentifikācijas plūsmas, identitātes nodrošinātājus, protokolu kartēšanu un daudz ko citu.
Klientu adapteri JavaScript lietojumprogrammām, WildFly, JBoss EAP, Fuse, Tomcat, Jetty, Spring.
Atbalsts darbam ar dažādām lietojumprogrammām, kas atbalsta OpenID Connect Relying Party bibliotēku vai SAML 2.0 pakalpojumu sniedzēja bibliotēku.
Paplašināms, izmantojot spraudņus.

CI / CD procesiem, kā arī vadības procesu automatizācijai Keycloak var izmantot REST API / JAVA API. Dokumentācija pieejama elektroniski:

REST API https://www.keycloak.org/docs-api/8.0/rest-api/index.html
JAVA API https://www.keycloak.org/docs-api/8.0/javadocs/index.html

Uzņēmuma identitātes nodrošinātāji (uz vietas)

Iespēja autentificēt lietotājus, izmantojot lietotāju federācijas pakalpojumus.

Var izmantot arī caurlaides autentifikāciju — ja lietotāji tiek autentificēti darbstacijās ar Kerberos (LDAP vai AD), tad tos var automātiski autentificēt Keycloak, atkārtoti nenorādot lietotājvārdu un paroli.

Lietotāju autentifikācijai un turpmākai autorizācijai ir iespējams izmantot relāciju DBVS, kas ir vispiemērotākā izstrādes vidēm, jo tā neietver ilgstošus iestatījumus un integrāciju projektu sākumposmā. Pēc noklusējuma Keycloak iestatījumu un lietotāja datu glabāšanai izmanto iebūvētu DBVS.

Atbalstīto DBVS saraksts ir plašs un ietver: MS SQL, Oracle, PostgreSQL, MariaDB, Oracle un citus. Līdz šim visvairāk pārbaudītie ir Oracle 12C Release1 RAC un Galera 3.12 klasteris MariaDB 10.1.19.

Identitātes nodrošinātāji – sociālā pieteikšanās

Ir iespējams izmantot pieteikšanos no sociālajiem tīkliem. Lai aktivizētu iespēju autentificēt lietotājus, izmantojiet Keycloack administratora konsoli. Izmaiņas lietojumprogrammas kodā nav nepieciešamas, un šī funkcionalitāte ir pieejama jau no kastes, un to var aktivizēt jebkurā projekta posmā.

Lai autentificētu lietotājus, ir iespējams izmantot OpenID/SAML identitātes nodrošinātājus.

Tipiski autorizācijas scenāriji, izmantojot OAuth2 programmā Keycloak

Autorizācijas koda plūsma — izmanto ar servera puses lietojumprogrammām. Viens no visizplatītākajiem autorizācijas atļauju veidiem, jo tas ir labi piemērots servera puses lietojumprogrammām, kurās lietojumprogrammas pirmkods un klienta dati nav pieejami citiem. Process šajā gadījumā ir balstīts uz novirzīšanu. Lietojumprogrammai ir jāspēj sazināties ar lietotāja aģentu (lietotāja aģentu), piemēram, tīmekļa pārlūkprogrammu, lai saņemtu API autorizācijas kodus, kas pārsūtīti caur lietotāja aģentu.

netiešā plūsma — izmanto mobilās vai tīmekļa lietojumprogrammas (lietotāja ierīcē darbojas lietojumprogrammas).

Netiešās autorizācijas atļaujas veids tiek izmantots mobilajās un tīmekļa lietojumprogrammās, kurās nevar garantēt klienta konfidencialitāti. Netiešajā atļaujas tipā tiek izmantota arī lietotāja aģenta novirzīšana, kur piekļuves pilnvara tiek nodota lietotāja aģentam vēlākai lietošanai lietojumprogrammā. Tādējādi marķieris ir pieejams lietotājam un citām lietojumprogrammām lietotāja ierīcē. Šāda veida autorizācijas atļauja neautentificē lietojumprogrammas identitāti, un pats process balstās uz novirzīšanas URL (iepriekš reģistrēts pakalpojumā).

Implicit Flow neatbalsta piekļuves pilnvaras atsvaidzināšanas pilnvaras.

Klienta akreditācijas datu piešķiršanas plūsma — izmanto, kad lietojumprogramma piekļūst API. Šāda veida autorizācijas atļauja parasti tiek izmantota mijiedarbībai starp serveriem, kam jānotiek fonā bez tūlītējas lietotāja mijiedarbības. Klienta akreditācijas datu piešķiršanas plūsma ļauj tīmekļa pakalpojumam (konfidenciālam klientam) izmantot savus akreditācijas datus, nevis uzdoties par lietotāju autentifikācijai, izsaucot citu tīmekļa pakalpojumu. Lai nodrošinātu augstāku drošības līmeni, zvanīšanas dienestam ir iespējams izmantot sertifikātu (nevis koplietojamo noslēpumu) kā akreditācijas datus.

OAuth2 specifikācija ir aprakstīta
RFC-6749
RFC-8252
RFC-6819

JWT marķieris un tā priekšrocības

JWT (JSON Web Token) ir atvērts standarts (https://tools.ietf.org/html/rfc7519), kas definē kompaktu un autonomu veidu, kā droši pārsūtīt informāciju starp pusēm kā JSON objektu.

Saskaņā ar standartu marķieris sastāv no trim daļām base-64 formātā, kas atdalītas ar punktiem. Pirmo daļu sauc par galveni, kurā ir marķiera tips un jaukšanas algoritma nosaukums ciparparaksta iegūšanai. Otrajā daļā tiek glabāta pamatinformācija (lietotājs, atribūti utt.). Trešā daļa ir digitālais paraksts.

. .
Nekad neuzglabājiet marķieri savā datu bāzē. Tā kā derīgs marķieris ir līdzvērtīgs parolei, marķiera glabāšana ir tāda pati kā paroles saglabāšana skaidrā tekstā.
Pieejas atslēga ir marķieris, kas piešķir tā īpašniekam piekļuvi drošiem servera resursiem. Parasti tam ir īss kalpošanas laiks, un tajā var būt papildu informācija, piemēram, tās puses IP adrese, kura pieprasa pilnvaru.

Atsvaidzināt pilnvaru ir marķieris, kas ļauj klientiem pieprasīt jaunus piekļuves marķierus pēc to kalpošanas laika beigām. Šie žetoni parasti tiek izsniegti uz ilgu laiku.

Galvenās izmantošanas priekšrocības mikropakalpojumu arhitektūrā:

Iespēja piekļūt dažādām lietojumprogrammām un pakalpojumiem, izmantojot vienreizēju autentifikāciju.
Ja lietotāja profilā nav vairāku nepieciešamo atribūtu, ir iespējams bagātināt ar datiem, ko var pievienot lietderīgajai slodzei, tostarp automatizētiem un lidojuma laikā.
Nav nepieciešams uzglabāt informāciju par aktīvajām sesijām, servera lietojumprogrammai ir tikai jāpārbauda paraksts.
Elastīgāka piekļuves kontrole, izmantojot papildu atribūtus kravnesībā.
Izmantojot marķiera parakstu galvenei un lietderīgajai slodzei, tiek palielināta kopējā risinājuma drošība.

JWT žetons - sastāvs

Virsraksts - pēc noklusējuma galvenē ir tikai marķiera veids un šifrēšanai izmantotais algoritms.

Marķiera veids tiek saglabāts taustiņā "Typ". Atslēga “tips” JWT tiek ignorēta. Ja ir atslēga "typ", tās vērtībai ir jābūt JWT, lai norādītu, ka šis objekts ir JSON tīmekļa marķieris.

Otrā atslēga "alg" nosaka algoritmu, ko izmanto marķiera šifrēšanai. Pēc noklusējuma tam jābūt iestatītam uz HS256. Galvene ir kodēta base64.

{ "alg": "HS256", "typ": "JWT"}
Krava (saturs) - krava glabā visu informāciju, kas ir jāpārbauda. Katra lietderīgās kravas atslēga ir pazīstama kā "prasība". Piemēram, jūs varat ievadīt pieteikumu tikai ar ielūgumu (slēgta akcija). Kad vēlamies kādu uzaicināt piedalīties, nosūtām viņam uzaicinājuma vēstuli. Ir svarīgi pārbaudīt, vai e-pasta adrese pieder personai, kura pieņem uzaicinājumu, tāpēc mēs iekļausim šo adresi kravnesī, šim nolūkam mēs to saglabājam atslēgā "e-pasts".

{ "e-pasts": "[e-pasts aizsargāts]"}

Kravas atslēgas var būt patvaļīgas. Tomēr ir daži rezervēti:

iss (izdevējs) — identificē lietojumprogrammu, no kuras tiek nosūtīts marķieris.
sub (Subject) - definē marķiera priekšmetu.
aud (Audience) — reģistrjutīgu virkņu vai URI masīvs, kas ir šīs pilnvaras saņēmēju saraksts. Kad saņēmēja puse saņem JWT ar doto atslēgu, tai pašai ir jāpārbauda saņēmēji — pretējā gadījumā marķieri tiek ignorēti.
exp (derīguma laiks) — norāda, kad beidzas marķiera derīguma termiņš. JWT standarts pieprasa, lai visas tā ieviešanas tiktu noraidītas marķierus, kuriem beidzies derīguma termiņš. Atslēgai exp ir jābūt unix formāta laikspiedolam.
nbf (Not Before) ir laiks unix formātā, kas nosaka brīdi, kad marķieris kļūst derīgs.
iat (Issued At) — šī atslēga norāda laiku, kad marķieris tika izdots, un to var izmantot, lai noteiktu JWT vecumu. Iat atslēgai ir jābūt unix formāta laikspiedogam.
Jti (JWT ID) — virkne, kas definē šī marķiera unikālo identifikatoru, reģistrjutīga.

Ir svarīgi saprast, ka lietderīgā slodze netiek pārsūtīta šifrēta (lai gan marķieri var būt ligzdoti un tad ir iespējams pārsūtīt šifrētus datus). Tāpēc tajā nevar glabāt nekādu slepenu informāciju. Tāpat kā galvene, lietderīgā slodze ir kodēta base64.
Paraksts - kad mums ir nosaukums un slodze, mēs varam aprēķināt parakstu.

Base64 kodēts: tiek ņemta galvene un lietderīgā slodze, tās tiek apvienotas virknē caur punktu. Pēc tam šī virkne un slepenā atslēga tiek ievadīta galvenē norādītajā šifrēšanas algoritmā ("alg" atslēga). Atslēga var būt jebkura virkne. Visvairāk priekšroka tiks dota garākām stīgām, jo to uzņemšana prasīs ilgāku laiku.

{"alg":"RSA1_5","payload":"A128CBC-HS256"}

Keycloak kļūmjpārlēces klastera arhitektūras izveide

Izmantojot vienu klasteru visiem projektiem, SSO risinājumam tiek izvirzītas paaugstinātas prasības. Kad projektu skaits ir neliels, šīs prasības nav tik būtiskas visiem projektiem, taču, pieaugot lietotāju un integrāciju skaitam, pieaug prasības pieejamībai un veiktspējai.

Palielinot vienas SSO kļūmes risku, palielinās prasības risinājuma arhitektūrai un liekajiem komponentiem izmantotajām metodēm, un tas noved pie ļoti saspringta SLA. Šajā sakarā biežāk risinājumu izstrādes vai ieviešanas sākumposmā projektiem ir sava nevainojama infrastruktūra. Attīstībai progresējot, ir jānosaka attīstības un mērogošanas iespējas. Viselastīgāk ir izveidot kļūmjpārlēces klasteri, izmantojot konteinera virtualizāciju vai hibrīda pieeju.

Lai strādātu klasteru režīmā Aktīvs/Aktīvs un Aktīvs/Pasīvs, ir jānodrošina datu konsekvence relāciju datu bāzē - abiem datu bāzes mezgliem jābūt sinhroni replicētiem starp dažādiem ģeogrāfiski sadalītiem datu centriem.

Vienkāršākais defektu izturīgas instalācijas piemērs.

Kādas ir viena klastera izmantošanas priekšrocības:

Augsta pieejamība un veiktspēja.
Atbalsta darbības režīmus: aktīvs/aktīvs, aktīvs/pasīvs.
Dinamiskās mērogošanas iespēja - izmantojot konteinera virtualizāciju.
Centralizētas vadības un uzraudzības iespēja.
Vienota pieeja lietotāju identificēšanai/autentifikācijai/autorizācijai projektos.
Caurskatāmāka mijiedarbība starp dažādiem projektiem bez lietotāja mijiedarbības.
Iespēja atkārtoti izmantot JWT marķieri dažādos projektos.
Viens uzticības punkts.
Ātrāka projektu palaišana, izmantojot mikropakalpojumus/konteineru virtualizāciju (nav nepieciešams pacelt un konfigurēt papildu komponentus).
Ir iespējams iegādāties komerciālu atbalstu no pārdevēja.

Kas jāņem vērā, plānojot kopu

DBVS

Keycloak izmanto datu bāzes pārvaldības sistēmu, lai saglabātu: sfēras, klientus, lietotājus utt.
Tiek atbalstīts plašs DBVS klāsts: MS SQL, Oracle, MySQL, PostgreSQL. Keycloak nāk ar savu iebūvēto relāciju datu bāzi. Ieteicams izmantot neielādētām vidēm - piemēram, izstrādes vidēm.

Lai strādātu aktīvo/aktīvo un aktīvo/pasīvo klasteru režīmos, ir nepieciešama datu konsekvence relāciju datu bāzē, un abi datu bāzes klasteru mezgli tiek sinhroni replicēti starp datu centriem.

Izkliedētā kešatmiņa (Infinspan)

Lai klasteris darbotos pareizi, ir nepieciešama tālāk norādīto veidu kešatmiņu papildu sinhronizācija, izmantojot JBoss Data Grid:

Autentifikācijas sesijas — izmanto datu saglabāšanai, autentificējot konkrētu lietotāju. Pieprasījumi no šīs kešatmiņas parasti attiecas tikai uz pārlūkprogrammu un Keycloak serveri, nevis uz lietojumprogrammu.

Darbības marķieri tiek izmantoti gadījumiem, kad lietotājam ir jāapstiprina darbība asinhroni (pa e-pastu). Piemēram, aizmirst paroles plūsmas laikā actionTokens Infinispan kešatmiņa tiek izmantota, lai sekotu metadatiem par saistītajiem darbības marķieriem, kas jau ir izmantoti, tāpēc tos nevar izmantot atkārtoti.

Pastāvīgo datu saglabāšana kešatmiņā un nederīguma atcelšana — izmanto, lai saglabātu kešatmiņu noturīgiem datiem, lai izvairītos no nevajadzīgiem vaicājumiem datu bāzē. Kad jebkurš Keycloak serveris atjaunina datus, par to ir jāzina visiem citiem Keycloak serveriem visos datu centros.

Darbs — tiek izmantots tikai nederīgu ziņojumu sūtīšanai starp klasteru mezgliem un datu centriem.

Lietotāju sesijas — izmanto, lai saglabātu datus par lietotāju sesijām, kas ir derīgas lietotāja pārlūkprogrammas sesijas laikā. Kešatmiņai ir jāapstrādā HTTP pieprasījumi no gala lietotāja un lietojumprogrammas.

Brutālā spēka aizsardzība — izmanto, lai izsekotu datus par neveiksmīgām pieteikšanās vietām.

Slodzes balansēšana

Slodzes līdzsvarotājs ir vienīgais ieejas punkts taustiņu apmetnī, un tam ir jāatbalsta lipīgās sesijas.

Lietojumprogrammu serveri

Tos izmanto, lai kontrolētu komponentu mijiedarbību savā starpā, un tos var virtualizēt vai konteinerizēt, izmantojot esošos automatizācijas rīkus un infrastruktūras automatizācijas rīku dinamisku mērogošanu. Visizplatītākie izvietošanas scenāriji OpenShift, Kubernates, Rancher.

Ar to noslēdzas pirmā daļa – teorētiskā. Nākamajā rakstu sērijā tiks analizēti piemēri integrācijai ar dažādiem identitātes nodrošinātājiem un iestatījumu piemēri.

Avots: www.habr.com

SSO par mikropakalpojumu arhitektūru. Mēs izmantojam Keycloak. Daļa Nr.1