誰かがアプリケーションを「近代化」したと言うのを聞いたとき、それは通常、SAMLやOIDCを有効にしたことを意味します。 ユーザは満足し、セキュリティは改善されなければなりません。 シングルサイン(SSO) シングルサイン(SSO) SSO アクセスを簡素化し、摩擦を減らす。しかし、ここで心配しているのは、あまりにも多くのチームがそこに止まっていることだ。 やる なぜ「我々は近代化した」は、常にあなたが思うことを意味しないのか 人々が私に彼らのアプリが近代化されていると言ったとき、私はそれが本当に何を意味するかを尋ねます。多くの場合、それは単にアプリがSSOをサポートしていることを意味します。それでも同じ内部セッション論理を使用しています。 ここで起きていることは、ほとんどの人が認める以上に一般的です:我々はフロントドアを近代化し、家の残りは変わらないままにします。 なぜなら、アイデンティティは単にログインすることではなく、その後何が起こるかということだからです。 現代の認証が実際に提供するもの SAML および OIDC のような近代的な Auth プロトコルは、主にログインと連邦の現実的な課題を解決するように設計されました. When they are in place, users no longer need to juggle passwords, and IT does not have to manage every credential manually. それは本当の進歩です. はい、これらのプロトコルを通じてSSOはセキュリティの姿勢を向上させます. しかし、快適性と完全性を混同しないでください。 プロトコルは進歩だが、それらは終点ではない。 OIDC または SAML のサポートを追加すると、パスワードが少なくなり、摩擦が少なくなり、より一貫したユーザー エクスペリエンスが得られます。それらが提供しないのは、Web Access Management (WAM) システムで頼りにした他の重要なコントロールです:中央セッション制御、権限執行、ディレクトリ統合、および一貫したポリシー管理。 WAM システムは完璧ではなかったが、アプリケーション全体で一貫したコントロール レイヤーを与えました。そのレイヤーを置き換えることなく削除したとき、私たちは重要な何かを失いました。 アプリは、アイデンティティがまだハードコードされている場合に近代的ではありません。 私は表面上は滑らかに見えるアプリを見たが、依然として脆弱で開発者特有のアイデンティティが舞台の後ろに浸透することに依存している。 いくつかのチームはまだ時代遅れのセッションライブラリを使用しています。他のチームは、監査を悪夢にする方法でアクセスルールをハードコードしています。プロトコルは現代的です。 Where things fall apart: セッション管理 現代化された環境における最大のアイデンティティ・ブレンド・スポットの1つはセッション・マネジメントであり、人々はSSOがそれに取り組んでいると仮定しますが、そうではありません。 WAM を使用すると、セッションの行動 - タイムアウト、更新、取り消し - は 1 つの場所で処理されました。 あなたはポリシーの変更を適用し、それが企業全体で有効になることを知ることができます。 Spring、Node.js、Rails を使用するチームと協力してきましたが、一つのフレームワーク内でさえ、一貫性の保証はありません。 一貫したセッションタイムアウトを強制できないことは、何か不審なことが起こったときにセッションをキャンセルできない場合の大きなリスクです。 セッション論理を分散化するコスト セッション ライブラリのパッチングに数週間または数ヶ月かかる場合、または無休のタイムアウトがどこに定義されているかは誰にもわからない場合、セキュリティは最善の方法で反応します。 これは理論的なものではありません。私は、企業がセッションの処理がどのように機能するかを追跡するために苦労しているのを見ました。 それは持続可能ではない - 特にコンプライアンスまたはゼロ信頼目標を扱う企業にとっては。 Identity Spread and Authorization Drift(アイデンティティの拡散とライセンスのドライブ) セッションの論理と同様に、認証も同様に起こります. Once it is pushed down into application code, it becomes impossible to manage centrally. ルールはビジネスロジックに埋め込まれており、ポリシーは動き出します。そして最終的には、誰が何にアクセスできるか、またはなぜアクセスできるかを正確に知る人はいません。現代の認証をサポートするアプリケーションでさえ、AuthZはプロトコルの一部ではないため、ここで失敗する可能性があります。 オーケストラが次に来る この時点で、私は明確だと思う:現代の認証はパズルの1つに過ぎません。 これは、WAMで持っていた中央コントロールを取り戻しますが、今日のクラウドファースト、アプリの多様な環境で動作します。 アイデンティティオーケストラ アイデンティティオーケストラ オーケストラを使用する利点には、以下が含まれます。 
 
 
 
 
 
 セッションを即座にキャンセルする能力を回復 セッションとauthZ ポリシーを一貫して適用する Federation キーと Certs を 1 か所から管理する ゼロ信頼をサポートするためにリスク信号(CAEP)との統合 そして、アプリを再書き換えたり、アイデンティティプロバイダーを切り替えることなく オーケストラは「近代的なプロトコルサポート」と真のアイデンティティの近代化との間のギャップを縮める。 集中化は、後ろ向きを意味しない。 時々、人々はアイデンティティコントロールを一つの場所に戻すことは、一歩後戻りであると仮定しますが、これはオーケストラが意味するものではありません。 これは、開発者を遅らせることなく、セキュリティチームに必要な可視性を提供することについてです サービスとしてのアイデンティティの管理について - アプリケーション特有のハックのシリーズではなく。 オーケストラがなければ、あらゆるアイデンティティの挑戦は一時的な解決になります。 セキュリティーチームと話している場合、私は通常、「ユーザーのセッションをどのくらい早くキャンセルできるか」という質問をします。 「今すぐ?」 あなたの会社のあらゆるアプリで 答えが「即座に」以外の何ものでもない場合は、解決する価値のある問題があります。 タイトル : Don't Stop at SSO 明確に言うと、近代的な認証は不可欠ですが、不完全です. SSO で停止すると、他のすべてのことを安全に、一貫して、スケーラブルに働かせるコントロール レイヤーが欠けます。 したがって、はい、SAMLを採用します。OIDCをリリースします。しかし、ログインボックスをターゲットラインにしないでください。 . 現代アプリケーション 現代アプリケーション 本当の安全を望むなら、オーケストラは旅の一部でなければなりません。 著者について Darren Platt は、Securant Technologies、Ping Identity、Simplified、RSA、Oracle でエンジニアリングチームを率い、現在は、Strata Identity で製品管理とエンジニアリングのVPを務め、分散環境向けの最初の分散型アイデンティティーオーケストレーションプラットフォームを構築し、新しいポリシーオーケストレーション標準、IDQL とその参照ソフトウェア Hexa に貢献しています。

The is an opinion piece based on the author’s POV and does not necessarily reflect the views of HackerNoon.

Sign up for Orchestration Kitchen workshops

このオーディオは、ストーリーの元の言語で制作されています。

Modern Authentication Is Not Enough on It's Own(現代の認証はそれだけで十分ではない)

About Author

コメント

ラベル

この記事は

Related Stories

クラウド移行を成功させるための完全ガイド: 戦略とベストプラクティス

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

HackerNoon Coded: HackerNoonが最も活発に活動している上位10カ国

クラウド移行を成功させるための完全ガイド: 戦略とベストプラクティス

デジタルノマドの皆さん、タイの新しい DTV ビザについて知っておくべきこと

海を航海する: データレイクを使用した本番環境レベルの RAG アプリケーションの開発

HackerNoon Coded: HackerNoonが最も活発に活動している上位10カ国

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps