Protocolos Open Authorization y OpenID Connect: Alternativas y Comparación

Clase 4 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Resumen

¿Por qué es importante el protocolo Open Authorization y OpenID Connect?

Open Authorization y OpenID Connect son fundamentales para la gestión segura y eficiente de la autenticación y autorización en aplicaciones modernas. La autenticación, que implica verificar la identidad de un usuario a través de un usuario y contraseña, ya estaba resuelta en los sistemas. Sin embargo, permitir que terceros accedieran a los recursos del usuario requirió la evolución hacia mecanismos más avanzados.

Un vistazo a la historia y necesidad

A medida que la demanda de aplicaciones que integran con servicios populares, como Google Drive, aumentó, surgió la necesidad de un esquema seguro para otorgar acceso a terceros. Sin un procedimiento estándar y confiable, los terceros no pudieron acceder de manera segura a los recursos pertenecientes al usuario original, lo que obstaculiza la innovación y la conveniencia del usuario final.

Un ejemplo práctico de la vida real es el uso de pasaportes y visas en viajes internacionales. El pasaporte actúa como un método de identificación (autenticación), mientras que la visa permite la entrada (autorización) a un país. Similarmente, Open Authorization provee el mecanismo para conceder permisos específicos a terceros, sin comprometer la identidad del usuario.

¿Qué es Open Authorization y su relación con la seguridad?

Open Authorization, conocido como OAuth, fue diseñado para asegurar el acceso controlado a las aplicaciones de terceros. Proporciona un marco estándar que agiliza el desarrollo y la implementación al tiempo que mantiene altos niveles de seguridad y adaptación.

Seguridad, mantenimiento y adaptación

Seguridad: Al ser un protocolo estándar, OAuth facilita implementaciones consistentes, reduciendo la probabilidad de errores de seguridad. El uso de tokens en lugar de contraseñas minimiza el riesgo de comprometer credenciales.
Mantenimiento: Implementar un sistema unificado permite una gestión de seguridad más sencilla. Las actualizaciones o cambios se vulgarizan y mejoran continuamente.
Adaptación: Un protocolo estándar facilita a los desarrolladores la implementación y adaptación a diferentes sistemas, garantizando interoperabilidad y extiendo capacidades a nivel global.

La evolución a OpenID Connect

Aunque OpenID Connect se basa en Open Authorization, se distingue en que está diseñado específicamente para autenticar usuarios. A raíz del mal uso de OAuth en la autenticación (lo que causó problemas de seguridad), OpenID Connect propone un enfoque más seguro y específico para autenticar sin proporcionar acceso innecesario a recursos.

¿Qué alternativas existen a Open Authorization y OpenID Connect?

Al considerar alternativas a estos protocolos, es fundamental evaluar las ventajas y desventajas para mejores prácticas en diferentes contextos.

Ejemplo de alternativas y sus pros y contras

SAML (Security Assertion Markup Language)
- Ventaja: Ofrece un robusto mecanismo de autenticación y autorización que es independiente del lenguaje de programación y muy extensible.
- Desventaja: Puede ser complejo de implementar, especialmente en comparación con OAuth o OpenID Connect, causando mayores tiempos de desarrollo.
Kerberos
- Ventaja: Altamente segura para autenticación dentro de redes privadas y gestionada centralmente.
- Desventaja: Habitualmente no es ideal para aplicaciones distribuidas globalmente o para accesos a servicios web.

En conclusión, al elegir un protocolo para autenticación y autorización, es crucial tener en cuenta las necesidades específicas de seguridad, facilidad de implementación y la naturaleza distribuida de la aplicación o servicio.

Carlos Sanjuan

student•

Por ejemplo IBM tiene sus propios protocolos de autenticacion,son el estándar Java Authentication and Authorization Service (JAAS) y el estándar Web Services Security (WS-Security).

Una ventaja de JAAS: JAAS proporciona una infraestructura basada en políticas para determinar de forma segura quién invoca una aplicación. Utilizando esta infraestructura conectable, todo el ecosistema de IBM pueden permanecer independientes de las tecnologías de autenticación subyacentes.

Oscar Alvaro Terceros Beltran

student•

JWT (JSON Web Token) es un estándar abierto que se utiliza para la creación de tokens de acceso y autenticación en aplicaciones web y móviles. JWT se basa en JSON y proporciona una forma segura de transmitir información entre aplicaciones. Ventaja JWT es fácil de implementar y utilizar, ya que se basa en JSON y es compatible con muchos lenguajes de programación. Desventaja JWT puede ser vulnerable a ataques de fuerza bruta y ataques de diccionario si la clave de firma no se configura correctamente. Por lo tanto, es importante utilizar una clave de firma fuerte y mantenerla segura.

Benjamin Josué Correa

student•

Chicos, no copien y peguen de ChatGpt que se nota. Expliquenlo con sus palabras

Francisco Martin Nacimiento

student•

Tengo una pregunta, creo ya conocer la respuesta, vi todo el curso, y leí materiales externos, y ahora estoy repasando las clases.

OAuth 2.0 es un marco/framework de autorización estándar abierto que explica como permitir la delegación de acceso seguro entre aplicaciones o servicios. Ahora, entiendo que implementar el estándar tiene 2 partes:

- El lado del tercero, es decir, el cliente - y el lado del authorization server

Entiendo que en este curso nosotros aprendemos más la primera parte, ¿no es así?

Juan Carlos Silva Vargas

student•

hmm.

I hop so!

Jesús Ignacio García Fernández

student•

LDAP, Permite tener diferenciado por departamento a los usuarios y tener una relación de recursos a los que dar permisos.

PRO: está centralizado todo
CONTRA: complejidad de configuración

Pablo Torres Pérez

student•

SAML

Ventajas

Ampliamente adoptado en entornos empresariales.
Proveedor de identidad único (IdP) centralizado.
Marco sólido para la federación de identidades.

Desventajas

Configuración y mantenimiento más complejos.
Requiere infraestructura y intercambio de metadatos adicionales.
Mayor sobrecarga en las solicitudes y respuestas.

Diferencias con OAuth y OIDC:

SAML es un protocolo de autenticación de amplia aplicación, mientras que OAuth es un estándar de autorización para aplicaciones, dispositivos o API.
SAML otorga acceso, OAuth determina a que se puede y no acceder.

Kerberos

Ventajas

Protocolo robusto y seguro ampliamente utilizado en entornos empresariales. (Por ejemplo Microsoft)
Autenticación basada en tickets y cifrado de extremo a extremo.
Capacidad para autenticar una vez y obtener acceso a varios servicios.
Autenticación mutua.

Desventajas

Configuración y administración más complejas.
Requiere infraestructura de servidor de autenticación dedicada (KDC).
Menor flexibilidad en términos de autorización granular.

Diferencias con OAuth y OIDC:

Kerberos se centra en la autenticación y el cifrado de extremo a extremo ya que es un protocolo de autenticación de red, permitiendo la autenticación única (SSO) en diferentes servicios. OAuth/OIDC se centran tanto en la autenticación como en la autorización, y proporcionan un flujo más flexible y granular para el acceso a recursos protegidos.

Fuentes de consulta: [¿Qué es SAML?](https://www.entrust.com/es/resources/faq/what-is-saml#:~:text=SAML%20(Security%20Assertion%20Markup%20Language,%2C%20Webex%2C%20ADP%20y%20Zoom. ) SAML vs OAuth Kerberos Authentication Overview

Cristian Mauricio Cavanzo Arias

student•

Me encanta como esta construido visualmente este curso, las diapositivas son hermosas y ese resumen al final de la clase es super vital para ver si a uno se le llego a perder un concepto clave

Xavier Flores

student•

eso no lo hace sentir monótono ni aburrido.

José Fabián Beltrán Meza

student•

Encontre las siguientes:

SAML 2.0: un protocolo basado en XML que permite el inicio de sesión unificado entre distintas aplicaciones.
Kerberos: un protocolo de autenticación de red que utiliza criptografía para proveer seguridad para información sensible.
**Azure Active Directory: **servicio de directorio basado en la nube que puede utilizarse para administrar las identidades de usuarios y el control de accesos.
Autenticación basada en formularios: este es un método de autenticación heredada que aun es respaldado por EWS.
**JSON Web Token (JWT): **una alternativa popular a OAuth que te permite crear y validar tokens por ti mismo.
**NTLM: **este es también un protocolo de Microsoft. Es más seguro que la autenticación básica y ya es compatible con muchos productos de la compañía.

La información completa aquí https://blog.invgate.com/es/microsoft-degrada-la-autenticacion-basica

Francisco Martin Nacimiento

student•

Comparto otro punto de vista sobre la frase:

"La autenticación estaba resuelta, pero no había una manera confiable de dar autorización a terceros"

La autenticación estaba resuelta entre 2 partes, ahora al involucrar un tercero, la cosa se complica, y es ahí donde surge la necesidad de encontrar una forma de brindar acceso limitado a ciertos recursos de un usuario a un tercero sin revelar las credenciales del usuario.

Y esa forma se llama OAuth 2.0, que es un framework de autorización estándar abierto que explica como hacerlo, no lo implementa, podemos encontrar distintas implementaciones de la misma, librerías, servicios o hacer nuestra propia implementación.

Maria Luna

student•

Creo que una alternativa moderna podría ser AWS Cognito.

Ramiro José López Velásquez

student•

Buen ejemplo

David Prado

student•

En los cursos hemos utilizado Passportjs como metodo de Autenticacion y JWT (JSON Web Token) para Autorizar y definir los permisos que tiene accesos nuestros clientes. Pasportjs es una librería de Node que nos brinda distintas formas de hacerlo , como por ejemplo: Google, Facebook, Github, etc.

Leonardo Moreno

student•

Se me ocurre lo siguiente en el mundo Linux: OIDC -- user y Password / Con esto se identifica cada user OAuth -- Sistema de permisos UNIX UGO - Con esto puedo dar acceso y privilegios de escritura, lectura y ejecucion a los recursos del sistema, dependiendo de la identidad del User.

Juan Carlos Silva Vargas

student•

JWT basado en Json

Ventajas: Simplicidad, liviano, compatible con APIs y microservicios, desacoplamiento

Desventajas Sin revocacion nativa, gestion de seguridad delicada, menos adecuada para ecosistemas de terceros.

FELIX NADER NUÑEZ

student•

SAML, KERVEROS

Kenny Estiven Raúl Contreras Aguilar

student•

La identificación con formulario y cruzado contra una db y la autorización basada en la tabla de accesos configurados para cada vista o modelo de datos.

PRO: Muy simple de implementar
CONTRA: No respeta estándar y solo se conoce localmente.