Oauth2 & OpenID Connect

1. – – – Oauth2 & OpenID Connect Olivier Rivat orivat@janua.fr 12 Juillet 2016

2. Agenda ● Oauth2 concepts ● OpenID connect Concepts ● Oauth2 & OpenID connect with OpenAM

3. Oauth2 ● Oauth2 defini dans la RFC 6749 ( https://tools.ietf.org/rfc/rfc6749.txt) ● Oauth2 est un protocole d'authorisation seulement (Il ne permet pas l'authentification, permise via OpenID connect) ● 4 Flux disponibles : – Authorization Code – Implicit grant – Resource Owner Password – Client Credentials Grant

4. Oauth2 Concepts ● OAuth2 définit 4 rôles bien distincts : – Le détenteur des données (Resource Owner) : généralement vous- même. – Le serveur de ressources (Resource Server) : serveur qui héberge les données dont l’accès est protégé (par exemple Google qui stocke les informations de votre profil). – Le client (Client Application) : une application demandant des données au serveur de ressources (cela peut être votre application PHP côté serveur, une application Javascript côté client ou une application mobile par exemple). – Le serveur d’autorisation (Authorization Server) : serveur qui délivre des tokens (ou jetons) au client.

5. Oauth2 Concepts ● Tokens – Le token d’accès (Access Token) : c’est le plus important car c’est lui qui permet au serveur de ressources d’autoriser la mise à disposition des données d’un utilisateur. – Le token de renouvellement (Refresh Token) : ce token est délivré au même moment que le token d’accès. (Le Refresh token est disponible qie avec les flux authorization code et ressource owner password grant) ● Scope – Le client envoie les scopes qu’ils souhaitent utiliser lors de la demande d’autorisation. – Il convient que les scopes demandes soit permis par le serveur d'autorisation.

6. Authorization Code Grant

7. Quelle cinematique utiliser (1) ? ● Authorization Code : – ll doit être utilisé dès que possible et tout particulièrement quand le client est un serveur web. Permet d’obtenir un token d’accès de longue durée qui pourra être renouvelé via un token de renouvellement (si le serveur d’autorisation le permet). – Exemple : ● Détenteur des données (Resource Owner) : vous ● Serveur de ressources (Resource Server) : un serveur Google ● Client (Client Application) : un site internet quelconque ● Serveur d’autorisation (Authorization Server) : un serveur Google

8. Implicit Grant

9. Quelle cinematique utiliser (2) ? ● Implicit Grant : – Il doit être utilisé quand l’application se trouve côté client (typiquement une application Javascript). Il ne permet pas d’obtenir de token de renouvellement (refresh token) – Exemple : ● Détenteur des données (Resource Owner) : vous ● Serveur de ressources (Resource Server) : un serveur Facebook ● Client (Client Application) : un site internet utilisant AngularJS par exemple ● Serveur d’autorisation (Authorization Server) : un serveur Facebook

10. Resource Owner Password Credential Grants

11. Quelle cinematique utiliser (3) ? ● Resouce Owner Password Credentials Grant : – Avec ce type d’autorisation, les identifiants (et donc le mot de passe) sont envoyés au client et ensuite au serveur d’autorisation. Il est donc impératif qu’il y ait une confiance absolue entre ces 2 entités. – Il est donc principalement utilisé lorsque le client a été développé par la même autorité que celle fournissant le serveur d’autorisation. – Exemple : ● Détenteur des données (Resource Owner) : vous ayant un compte sur le site acme.com de la société Acme ● Serveur de ressources (Resource Server) : la société Acme exposant son API à api.acme.com ● Client (Client Application) : le site internet acme.com de la société Acme ● Serveur d’autorisation (Authorization Server) : un serveur de la société Acme

12. OpenID connect ● OpenID connect est Oauth2 + Authentication : – OpenID Connect 1.0 est un simple layer d'identite construit au dessus de oauth2. – Il permet a des clients de verifier leur identite aupres d'un serveur d'authorization, et d'obtenir des informations sur l'utilisateur d'une facon REST-like.

13. OpenID connect ● Les roles definis dans OpenID connect sont : – End User (OAuth 2.0 resource owner), dont les informations sont accedees par l'application. – Relying Party (RP) (OAuth 2.0 client) qui accede aux donnees proteges de l'utilisateur. – OpenID Provider (OP) (OAuth 2.0 authorization server and also resource server) qui contient les donnees de l'utilisateur, et permet les acces. – Dans le cas d'un deploiement OpenID, OpenAM joue ce role d'access. ● De meme, OpenID Connect utilise les 4 flux presentes pour prcedemment pour Oauth2.

14. OpenID Connect Concepts (1) ● Une requete OpenID connect est specifie en utilisant : – Grant Types for OpenID Connect – Type of Flow response_type Tokens Returned – Authorization Code code Authorization code – Implicit id_token ID token – Implicit id_token token ID token and access token ● OpenID connect retourne 2 tokens : – Id_token – Acces token

15. OpenID Concepts (2) ● ID Token : – L'ID token se decompose en 3 parties : ● header ● payload ● Signature – Le header et la payload sont encodes en base 64, et peuvent etre faciment lus en decodeant leur format en base 64. – La signature est un hash des composants suivants: header, payload, secret. – Le secret est la signauture du serveur, qui permet de verifier des tokens et d'en signer des nouveaux.

16. OpenID Connect Concepts (3) ● Verification d'un ID Token : – La verification d'un ID token contient environ une dizaine de points dont certains optionels. – Est definit dans la spec openID Connect (3.1.3.7. ID Token Validation, http://openid.net/specs/openid-connect-core-1_0.html#CodeIDToken) – Certains points sont quasiment immediat a verifier (sujet, audience, validite, expiration …) – D'autre points sont complexes (verfication de la signature, necessitant l'usage de libraies JWT pour verifier le token) ● Verification d'un access Token – De meme, il est possible de valider un access token, en utilisant le champ at_hash de l'id_token et en calculant un hash a partir de l'access token.

17. OpenAM et OpenID Connect ● OpenAM permet de definir un OpenID/Oauth2 provider et de meme client Oauth2 ● Interfacage : – Provider ● Definir un Oauth2/OpenID Server provider (IDP openID) en utilisant OpenAM ● Definir les scopes necessaires – Client: ● Enregistrer un Oauth2 Client (mode implicite) aupres de l'IDP openID connect dans l'openAM (possibel de facon dynamique) ● Recuperer 2 jetons dans la reponse: id_token et access_token ● Validations de l'id_token

18. OpenID Connect Concepts (2) ● Dans le cas de mode implicite, les 2 tokens sont renvoyés dans la reponse. Exemple : ● curl -i --cookie "iplanetDirectoryPro=$1" http://openam.example.com:18080/openam/oauth2/authorize --data "realm=%2f&scope=openid%20profile& response_type=id_token%20token& client_id=myClientID& redirect_uri=http://openam.example.com:18080/openid/cb-implicit.html& decision=Allow" ● Location: http://openam.example.com:18080/openid/cb-implicit.html#access_token=295768a3-6303-47a0-b31a- 5ab82d4f27be&scope=openid %20profile&id_token=eyAidHlwIjogIkpXVCIsICJraWQiOiAiU3lsTEM2Tmp0MUtHUWt0RDlNdCswemNlUVNVPSIsICJj dHkiOiAiSldUIiwgImFsZyI6ICJSUzI1NiIgfQ.eyAiYXRfaGFzaCI6ICJMZUlZbkduR3pDMEx5eUZNWk51S2hBIiwgInN1Yi I6ICJkZW1vIiwgImlzcyI6ICJodHRwOi8vb3BlbmFtLmV4YW1wbGUuY29tOjE4MDgwL29wZW5hbS9vYXV0aDIiLCAidG 9rZW5OYW1lIjogImlkX3Rva2VuIiwgImF1ZCI6IFsgIm15Q2xpZW50SUQiIF0sICJvcHMiOiAiZDBiNWJiNTItYWM2YS00 NjRlLWJlMDItYTY3MjNmNGViZWQ2IiwgImF6cCI6ICJteUNsaWVudElEIiwgImF1dGhfdGltZSI6IDE0Njc4NDI4MTAsIC JyZWFsbSI6ICIvIiwgImV4cCI6IDE0Njc4NDM0MTAsICJ0b2tlblR5cGUiOiAiSldUVG9rZW4iLCAiaWF0IjogMTQ2Nzg0M jgxMCB9.asSMNjQ29gqrXtLCkTigswFOhtAN-e8lfeU-nESmK0P09hA7OLhfpR10L1ta- f646i0i5728OVAqC7du0EP5Bmm9w1xL__JqMzCFXnHI-jYVGKGKVrGIVtIy9kS2Zj86E4zLTVsiy7egX- ZKXGZSTpNjD8E6yS51mL28Knwvt44&token_type=Bearer&expires_in=8399

19. Lecture Access token ● curl http://openam.example.com:18080/openam/oauth2/tokeninfo? access_token=295768a3-6303-47a0-b31a-5ab82d4f27be | json_pp { "openid" : "", "expires_in" : 8312, "access_token" : "295768a3-6303-47a0-b31a-5ab82d4f27be", "token_type" : "Bearer", "grant_type" : "token", "profile" : "", "scope" : [ "openid", "profile" ], "realm" : "/" }

20. Lecture des champs de l'id_token (partie 1, header) ● echo -n"eyAidHlwIjogIkpXVCIsICE6yS51mL28Knwvt44....." > id_token_file.txt cat id_token_file.txt | cut -d "." -f 1 | base64 -d { "typ": "JWT", "kid": "SylLC6Njt1KGQktD9Mt+0zceQSU=", "cty": "JWT", "alg": "RS256" }

21. Lecture des champs de l'id_token (partie 2, payload) ● cat id_token_file.txt | cut -d "." -f 2 | base64 -d { "at_hash": "LeIYnGnGzC0LyyFMZNuKhA", "sub": "demo", "iss": "http://openam.example.com:18080/openam/oauth2", "tokenName": "id_token", "aud": [ "myClientID" ], "ops": "d0b5bb52-ac6a-464e-be02-a6723f4ebed6", "azp": "myClientID", "auth_time": 1467842810, "realm": "/", "exp": 1467843410, "tokenType": "JWTToken", "iat": 1467842810 }

Oauth2 & OpenID Connect

Oauth2 & OpenID Connect

Recommandé

Contenu connexe

Tendances

Tendances(20)

Similaire à Oauth2 & OpenID Connect

Similaire à Oauth2 & OpenID Connect(20)

Plus de Pascal Flamand

Plus de Pascal Flamand(20)

Oauth2 & OpenID Connect