Termino esta serie, exponiendo un caso de uso, una web que consume un API y esta a su vez tiene varios servicios de dominio (que resuelven problemas del negocio). El dibujo es más o menos el siguiente. Tenemos una aplicación web, que podría ser un Single Page Application, código JavaScript que se ejecutará en el […]
En la entrada anterior, expuse los modelos más populares de control de acceso, ACL, RBAC, ABAC. Doy por hecho que las conoces, pero si no, puedes refrescar la memoria aquí. ? Toca hablar de estándares y librerías que nos simplifiquen la vida, pero es sencillo, o apuestas por Software bajo el estándar XACML o por […]
En el post anterior, hablamos de los elementos básicos con los que poder trabajar la autorizaciones digitales, sujetos, recursos, acciones y atributos, pues leerlo aquí. Ahora toca hablar de alguna de las estrategias de autorización, llamadas normalmente modelos de control de acceso, y que son patrones muy maduros que nos van a permitir construir soluciones […]
Voy a intentar aportar un poquito al mundo de las autorizaciones, especialmente enumerando los distintos modelos, los estándares relevantes, ¿Os suena XACML?, y hablaremos algo de las soluciones que existen en el mercado. En esta primera entrada toda revisar los conceptos, y poner ejemplos. Ya hable de ello anteriormente, pero de una forma general y […]
Y llegamos al último post, vamos a por un resumen de todo lo que hemos visto y le doy unas pinceladas a la seguridad. Antes visto en el contador… Resumiendo OAuth es un protocolo que estandariza la delegación del acceso a aplicaciones. Como resultado la aplicación (un spa, un mvc, o una app nativa) obtiene […]
Este 3 de 4 va a ser durillo, vamos a por la chicha, hay conceptos que me temo que no se pueden llegar a entender en profundidad hasta que te peleas con ellos y pierdes muchas veces. ? Voy a tratar de explicarlos lo más sencillamente posible y agregaré alguno de mis dibujillos. En capítulos […]
Continuamos la serie, en este post vamos a afianzar conceptos (por el sofisticado, vanguardista, disruptivo método… eh, noooo, por repetición), también ampliaremos conocimientos, hablaremos de la ventana de consentimiento, de los tokens y de los claims. En capítulos anteriores… Vimos cual es el sentido de emplear un proveedor de identidad externo y las ventajas de […]
¡No soy tú! Soy yo… lo que pasa es que te estoy delegado en él, ¿me lo permitirás? Si, ¡Bien! buffff…. pues sí él eres tú y él dice que yo soy yo… ¡tú palante, con el permiso de él ¡Claro! ¡Ohautthhhh, qué dolor! En este primer post sobre OAuth, voy a exponer un caso […]
¡Hola OAuth2, OIDC, WebAuthN, ABAC, Azure B2C, FIDO2, RBAC y otros! ¿Qué tal estáis? ¿Bien, o hechos un lío? No me extraña, el único que me va a agradecer este primer párrafo, ¡va a ser el robot de google! Todos los días tenemos diálogos como el siguiente… Usuario: Hola, quisiera acceder a mi servicio, ¿puedo […]
Gestión de identidad y acceso (IAM) Identity and access management (IAM) en inglés se refiere a las políticas, procedimientos y herramientas utilizadas en entornos digitales que garanticen el identificación y un nivel de acceso a los recursos tecnológicos de una organización. Proveedor de identidad (PdI) Es un servicio que proporciona la gestión de identidades de […]