Oauth2 og OIDC i ID-porten. Jørgen Binningsbø Løsningsarkitekt ID-porten

Transkript

1 Oauth2 og OIDC i ID-porten Jørgen Binningsbø Løsningsarkitekt ID-porten

2 Foto: Colourbox

3 «Legg bort tryllestavene! I år skal vi nemlig følge et grundig strukturert, teoribasert, departementsgodkjent opplegg for defensiv magi»

4 Pensum Oauth2 Kva gjer IDporten/ Maskinporten? Døme på bruk Foto: Colourbox

5 Litt om Oauth2

6 OAuth2 er ein generisk protokoll for autorisasjon Den kan brukast til å realisere fleire ulike scenario

7 som for eksempel: Gi Instagram tilgang til å poste på Facebook-veggen din Autorisere blodtrykksmålarar til opplasting av helsedata Logge inn på nettsider «Maskin-til-maskin» tilgangstyring til APIer og masse meir

8 Oauth2 ser typisk slik ut:

9 Ressurs = scope Scopes definerer ressursene som er gjort tilgjengleg på ein gitt ressursserver, «vennelista i Facebook» Trygdeopplysinger fra NAV patient/medicationorder.write nav:arbeid/v1/aap bits:kontoinformasjon Ein autorisasjonsforespørsel må forespørre eitt eller fleire scopes ks:fiks Kan kreve samtykke fra brukeren før autorisasjon blir utstedt global/kontaktinformasjon.read

10 Kva er ein autorisasjon? access token gir tilgang til: ressurs ein gitt bruker for ein spesifikk klient til ein bestemt tid i ei bestemt

11 access token = datadeling

12 Klassisk Oauth2 grunnflyt og aktører Autorisasjonserver Samtykker.. access_token GET /noe Bruker (resource owner) Tjeneste/ konsument (client) API (resource server)

13 Klassisk Oauth2 grunnflyt og aktører RFC 6749: Oauth2 framework Samtykker.. Autorisasjonserver RFC 6819: Threat Model and Security Considerations draft-ietf-oauth-security-topics-12 access_token GET /noe Bruker (resource owner) Tjeneste/ konsument (client) API (resource server)

14 Ulike typer klienter Bruker (resource owner) Tjeneste/ konsument (client) API (resource server)

15 Ulike typer klienter Web application HTML Browser-based og Nativ er «public» klienter, kan ikkje holde på ein hemmelighet Pass på tokens som havnar i browser Browserbased Native Bruker (resource owner) draft-ietf-oauth-browser-based-apps-01 RFC8252: Oauth2 for Native Apps RFC7636: Tjeneste/ PKCE konsument (client) Uansett klient-type, pass på så du ikkje får injisert javascript i browser Godt API-design, lmao: lever ut minst mulig data API (resource server)

16 Klienten veksler grants mot token RFC 6749: Oauth2 framework Brukeren gir «grant» til klienten grant RFC 6819: Threat Model and Security Considerations Aktiv bruker: 1. code draft-ietf-oauth-security-topics implicit 3. Password Bruker (resource owner) grant Tjeneste/ konsument (client) Passiv (dvs. Maskin-til-maskin) 4. Client credentials 5. SAML-bearer (RFC 7522) 6. JWT-bearer (RFC 7523) API (resource server)

17 Enhver kan bruke et bearer token Bruker (resource owner) RFC 6750: Tjeneste/ Bearer token API konsumentdraft-ietf-oauth-access-token-jwt (resource server) (client)

18 gir risiko for token på avveie Konsument (client) API Token på avveie

19 hindre replay ved token-begrensing Konsument (client) Klient: - Mutual TLS: (draft-ietfoauth-mtls-14) - Token binding (draft-ietfoauth-token-binding-08) Token på - DPOP (draft-fett-oauthdpop-01) avveie Ressursserver API Audience restrictions (draft-ietf-oauthresource-indicators-02)

20 Sterkere integritets- og konfidensialitetsbeskyttelse Kallene via browser er i original spec åpne for URL/header-manipulasjon JAR: JWT Secured Authorization Request draft-ietf-oauth-jwsreq-18 JARM: JWT-based Response Mode

21 Kva gjer ID-porten?

22 Gårsdagen Full kontroll på egen verdikjede Manuell håndtering av virksomhetssertifikat per tjeneste

23 Konsument av informasjon Tilbyder av informasjon Morgendagen Verdikjeder bygd opp av tjenester fra flere aktører Felles tillit infrastruktur som skalerer

24 Maskinporten effektiviserer data-deling Virksomhetsautentisering Grovkornet tilgangstyring Sjølvbetjening og automatisering Foto: Colourbox

25 Høg sikkerheit gjennom internasjonale standarder 4th OAuth Security Workshop 2019 Stuttgart/Germany

26 Høg tillit gjennom vel-etablert marked for tillitstjenester Personsertifikat Leverandør av tillitstjenester Virksomhetsertifikat Krav til leverandør av tillitstjenester: Søknad og registrering Identitetskontroll Utstedelse, utlevering og aktivering Tilbakekalling, og eventuelt suspensjon og reaktivering Sertifikatfremstillingssystemet Ledelse og organisering av e-idtjenesten Revisjon og kontroll Autorative register

27 Dør-til-dør tilgangkontroll Aktørene må aktivt provisjonere til riktig «maskin» via selvbetjening/automatisering

28 Kva gjer ID-porten? Kjerneområde er identitet videreformidling av autentisering Person Virksomhet Bygg på med: API-sikring / grovkornet tilgangskontroll Berikelse mot autorative kilder Effektivisering gjennom automatisering og selvbetjening Tilrettelegger for effektiv tilgjengeligjøring og sikring av data

29 Døme på bruk

30 Id-porten: Autentisering av brukere OpenID Connect provider Standardisert av OpenID Foundation ein profil av Oauth2 Scopet «openid» trigger OIDCoppførsel Autentiserer seg id_token id_token er ei punktautentisering, gyldig på eitt bestemt tidspunkt seier INGENTING om tilganger Bruker Relaying party

31 HelseID føderering og berikelse via Token Exchange Helsepersonell-register Helsepersonell Fagsystem Sentrale helse-api

32 Single logout via framkanal notification to frontchannel_logout_uri Tjeneste B notification to frontchannel_logout_uri redirect til /endsession redirect til post_logout redir_uri notification to frontchannel_logout_uri Tjeneste C Logg ut Bruker Tjeneste A Tjeneste D Logout clearly isn t one size fits all!

33 Basert på samtykke Basert på heimel Samtykkeløysinga Maskinporten

34 Samtykkebasert lånesøknad Valider gyldighet av token access_token med scope= [skattemelding] GET /skattemelding API for Skattemelding (resource server) Lånetaker Bank (client)

35 Innrapportering av periodisk kjøretøykontroll Pseudonymisert access_token Hent fødselsnummer ved validering av token POST /regnr Mekaniker Verkstedsystem (client) API for PKK (resource server)

36 eoppslag: nasjonal referansearkitektur: Standardtilfelle med konsument og tilbyder Gir tilgang Access_token Konsument Avtalepart m/ API-tilbyder Modernisert folkeregister

37 eoppslag: nasjonal referansearkitektur: Videredelegering av API-tilgang i Altinn Altinn (delegerings -kilde) Kontrollerer Gir tilgang til konsument Delegerer sin tilgang til leverandør access_token = { consumer = nav, supplier = visma } bruker Konsument Avtalepart m/ API-tilbyder Leverandør Typisk skytjeneste Modernisert folkeregister

38 DSOP kontroll: Skatt pålegger bankene å tilby kontoopplysninger access_token = { scope=kontoopplysninger, audience = DnB} Hindre token replay bank3 bank2 bank1 Skatteetaten (client) Konto API, Ett hos hver bank

39 «Og hva hjelper teori i den virkelige verden?» sa Harry høyt. «Dette en skole, herr Potter, ikke den virkelige verden,» sa hun bløtt.

40

41