-
Notifications
You must be signed in to change notification settings - Fork 4
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Authenticatie, signing en authorisatie #7
Comments
|
Voorzien van richtlijnen voor integratie met ACM/IDM |
ACM/IDM ben ikzelf niet vertrouwd mee. Meer informatie op: https://overheid.vlaanderen.be/gebruikersbeheer |
|
+1 to OIDC. OIDC can encompass many other methods. |
@pietercolpaert ACM/IDM is of SAML of OIDC sinds enige tijd. |
Als we het puur hebben over APIs, ben ik er niet van overtuigd dat zij authenticatie rechtstreeks moeten afhandelen, in wezen moeten zij authoriseren. OpenID Connect in dat opzicht doet enkel iets voor de client die de API aanspreekt, en de identiteit (identity token) wordt ook aan die client gegeven, die dit verifieert. Dat identity token wordt echter niet doorgegeven (of dat is toch een foute implementatie), maar een OAuth 2.0 accesstoken wordt doorgegeven aan de API, die een scope heeft waarmee de API de persoonsinformatie kan opvragen, en kan verifieren als de persoon consent heeft gegeven voor het gebruik van de client naar de API. In dat opzicht moet de API enkel OAuth 2.0 implementeren ter verificatie van accesstokens. De vraag is als je al die gaten wel wil invullen als aanbeveling. Mijn minimale aanbeveling zou zijn:
|
Wat betreft WebID vind ik dit een heel mooi protocol, echter is er al lang een draft, en is er geen ondersteuning. Het brengt ook wat praktische problemen met zich mee voor de doorsnee gebruiker (certificaten veilig bewaren, aanmaken, transporteren, backup, ... ) Echter moeten de facebooks, googles, microsofts hierin eerst overtuigd worden, alsmede overheden e.d. anders zal dit er nooit van komen. |
Opgepast, er is een verschil tussen:
Niet echt.
OIDC (OpenID Connect) is hier een goede kandidaat voor, omdat het als wrapper-protocol kan gebruikt worden rond andere zaken (gebruikersnaam/wachtwoord, vingerafdruk, client-certificaten, …) |
Het is idd wat kort door de bocht, maar het gedistribueerde aspect ervan lijkt me een kandidaat. Stel dat het leggen van die FOAF relaties transactioneel laten verlopen en die laten valideren door de community kom je ergens in de buurt.
Ik bedoel eigenlijk een digitale identiteit die gedistribueerd geverifieerd is, OpenID Connect ongeacht de credential heeft één autoriteit. Ik denk dat die WebID dat beter doet omdat je zelf je identiteit creëert, en er met die FOAF relaties worden gelegd tussen andere identiteiten. Ik ken persoonlijk geen protocol die identiteit semantisch benadert (WebID en FOAF), en tegelijkertijd gedistribueerd geverifieerd (namecoin) kan worden. Dat lijkt me nuttig, maar meer iets voor de toekomst. Ik denk ook wel dat OIDC momenteel het geschikte protocol is voor authenticatie van eindgebruikers aan de client kant van de APIs. Mijn bemerking is echter dat je onderscheid moet maken met wat de APIs moeten implementeren, en dat is niet het OIDC protocol, maar het achterliggende OAuth 2.0 protocol. Ik denk op niveau van de Vlaamse Overheid dat we daar momenteel geen geschikte oplossing hebben. We hebben een OAuth 2.0 server, en een OIDC server maar die zijn niet gelinkt en liggen bij verschillende entiteiten. Dat is dus een To-Be verhaal dat we momenteel vanuit GeoSecure (OAuth 2.0), samen met ACM/IDM (OIDC) moeten oplossen. Informatie voor clients voor de OAuth 2.0 server van GeoSecure kan je hier vinden. Om dus een perfecte werkbare bouwsteen te kunnen aanbieden voor de API is er nog wat werk aan de winkel. |
Niet noodzakelijk. Met WebID+OIDC kan je in je WebID een lijst aangeven van identity providers die je toestemming geeft om je als die WebID te authenticeren. |
Ah, dat is inderdaad een mooie manier van werken. @RubenVerborgh Heb je het over deze github? https://github.com/solid/webid-oidc-spec |
Inderdaad, en specifiek dit mechanisme: https://github.com/solid/webid-oidc-spec#issuer-discovery-from-webid-profile |
Er is blijkbaar recent een nieuwe spec verschenen voor public services, igov en openid-connect en oauth 2.0. Bij een eerste diagonale lezing doen ze wat zaken strenger.
en de onderliggende Misschien is dit wel een om naar toe te werken in ons geval. |
Ik kwam net deze working draft tegen: Waarschijnlijk nog te experimenteel om meteen iets mee te doen.
|
Dit werk lijkt ook relevant: https://www.w3.org/wiki/WebAccessControl Besluit op vorige werkgroepsessie (22/06/2018) was om de boublok rond authenticatie voorlopig out of scope te laten en te bekijken of hier een afzonderlijk traject rond kan worden opgestart. |
Authorisatie met WebACL wordt onder andere gebruikt in Solid. |
Mogelijke te ondersteunen standaarden:
The text was updated successfully, but these errors were encountered: