Настройка многосайтовой конфигурации в 1С-битрикс
| Вид материала | Документы |
СодержаниеНедостатки OpenID в системе университета Windows Live ID |
- Практическое задание: Настройка конфигурации Настройка параметров учёта Настройка параметров, 117.94kb.
- Бесплатный семинар «1с-битрикс», 51.57kb.
- Настройка протокола tcp/ip (настройка локальной сети), 31.27kb.
- Запуск программы pcb. Настройка конфигурации графического редактора печатных плат p-cad, 186.69kb.
- Программа "1С: Подрядчик строительства Управление финансами" разработана на базе типовой, 66.78kb.
- Курсовая работа по дисциплине информационные сети и телекоммуникации, 172.96kb.
- Настройка Windows xp для работы в сети Интернет, 29.97kb.
- Установка и настройка программы WinGate Установка и настройка программы WinRoute Настройка, 444.53kb.
- Настройка браузера Microsoft Internet Explorer 8 на работу с HandyCache, 15.96kb.
- Установка и запуск программы 6 Настройка соединения, авторизации и безопасности 6 Подключение, 1851.46kb.
Недостатки OpenID в системе университета
После тестированая технологии на первый взгляд показалась не совсем удобной с одной стороны, если говорить о плюсах единый логин и пароль для любого сайта который поддерживает эту технологию это находка для пользователя которому надоело вечная авторизация, тем более что в новой версии протокола на сайт клиента передаётся не только индификационные данные но и личная информация ФИО, дата рождения и т.д. А с другой если глядеть с точки безопасности провайдер OpenID может представиться своим пользователем. Это возможно или в случае недобропорядочности провайдера, или в случае его взлома.
Пользователь должен доверять провайдеру, так как тот может узнать, какие сайты посещал владелец OpenID. Хотя, с другой стороны, провайдер обычно даёт пользователю OpenID возможность проконтролировать, на каких сайтах был использован его логин, чтобы заметить кражу пароля.
Система OpenID для университета не идеальна, ещё одним минусом является то, что нет чёткого контроля за пользователями так как в системе где поддерживается OpenID авторизация может авторизироватся любой выбрав себе провайдера и пошел гулять по всем сайтом с поддержкой этой технологии. Зарегистрировавшись на одном из OpenID провайдеров он получает доступ ко всем ресурсам которые доступны обычному пользователю на других сайтах, но студенты у нас не являются простыми пользователями для них нужно открывать тесты, лабораторные и т.д.
Сейчас система в университете работает так при поступление новых студентов они вбиваются в базу с присвоение группы которая им назначается, либо можно вбить их в экселевсикий файлик и импортировать в базу, и в процессе учёбы для той или иной группы открывается блоки с заданиями, где предварительно старосте выдаётся список в котором напротив каждой фамилии написан логин и пароль для доступа на сайт.
В openid ситуация выглядит следующим образом после того как все авторизировались на портале к примеру imkn.kib.ru предварительно выбрав себе провайдера, преподаватель должен переписать все логины (ivanov.opnid.com, petrov.myopenid.com, sidirov.ya.ru (это openid яндекса)) и в процессе искать этого человека в базе и закреплять за ним определенную группу в которой он учится, а если кого то из студентов не было в университете, а тест открыли на неделю а преподаватель уехал в командировку возникает проблема. Ещё один минус даже больше не удобство то что если студент выбрал себе провайдера который не поддерживает передачу доп. данных (ФИО,дата рождения и т.д.) ( это возможно у тех провайдеров у которых старая версия протокола) преподавателю придётся самому мало того чтоб подтверждать пользователя в базе назначать ему группу так ещё и заполнять ФИО, дату рождения так как в базе клиента от openid провайдера останется только логин (ivanov.openid.com).
Вывод это технология для университета не особо удобная так как может возникнуть путаница с логинами и подтверждением пользователей что он студен, назначение правильной группы и т.д. плюсом в OpenID не встроена защита от фишинга (для ввода пароля пользователя могут не перенаправить на страницу провайдера, а показать поддельную страницу, похожую на страницу провайдера). Однако многие провайдеры и дополнительные программы (например, расширения для Firefox) предоставляют эту защиту.
Windows Live ID
Windows Live ID — сервис идентификации и аутентификации предоставляемый системой Windows Live. Используется для единого входа на всех сетевых сервисах Microsoft, не только Windows Live. Имеет программную документацию для встраивания в собственные приложения и веб-сайты. По сути очень похоже на OpenID, только у OpenID провайдеров мног, а Windows Live ID он один.
В июле 1999 года сайты MSN Network получили систему Microsoft Passport, единый аккаунт для ряда веб-сервисов.
С развитием система получила название .NET Passport. Появилась возможность встраивать веб-аутентификацию в собственные веб-сайты. Так же система получила интеграцию и с программами. Например во встроенном в Windows XP клиенте мгновенных сообщений Windows Messenger используется .NET Passport. С введением Windows Live закрепилось название Windows Live ID. Иногда систему называют Passport Network.
SAML
Язык SAML (Security Assertion Markup Language) сможет обеспечить стандартный способ обмена аутентификационными и авторизационными данными между приложениями разных производителей. Стандарт SAML версии 1.1 — это XML-структура, разработанная организацией OASIS (Organization for the Advancement of Structured Information Standards). В версии 1.1 спецификации Liberty Alliance этот стандарт используется для поддержки единой Web-регистрации, а также служб аутентификации в соответствии со спецификацией Web Services Security. Web-службы открывают перспективу для стандарта SAML, и в ближайшем будущем такие продукты, как Nsure компании Novell и eTrust Admin компании Computer Associates, будут поддерживать SAML. Между тем ведущие производители ПО, включая компании CrossLogix, Tivoli Systems (в составе IBM), Netegrity, Novell, Oblix, RSA Security и Sun Microsystems, уже предлагают поддержку SAML в своих решениях безопасности, как и новая платформа .Net Server компании Microsoft.
Стандарт SAML поддерживает пароли, мандаты Kerberos, защищенные удаленные пароли, жетоны, открытые ключи (сертификаты X.509, SPKI, XKMS, SSL/TLS) и цифровые подписи XML.
Протоколы SAML определяют формат запросов и ответов. Обмен данными SAML предполагает наличие доверительных отношений между инициатором запроса и отвечающей стороной. Обе стороны должны ссылаться на один и тот же объект, например, существует только один объект с именем “Bruce” в домене безопасности “nwcinc.com”.
В соответствии со стандартом SAML каждый запрос и каждый ответ имеют общие заголовки, определяемые в SAML-документах пространством имен samlp. Все утверждения SAML начинаются с префикса, задающего пространство имен saml, и каждый из трех видов утверждений имеет соответствующий протокол запроса.
Помимо базовых протоколов, стандарт SAML также определяет параметры (артефакты) перенаправления браузера и единой регистрации. Артефакт ссылается на утверждение SAML, позволяя приложению или Web-серверу получить его.