Modern Authentication – Autorização e Autenticação: conceitos e aplicações na plataforma Entra ID

introduction

The Internet provides information about various agents, useful information, applications, services, and recursive information. To ensure mutual privacy, you must install an authentication device and verify your identity to access the agent. Os Protocolos modernos mais utilizados para esse fim são o OpenID Connect (OIDC), Open Authentication (OAuth), and Security Assertion Markup Language (SAML). The Esses protocol has admission limits for applications, and the user’s name is recursively protected and matched against applications to allow accurate comparisons.

O objetivo desta série de artigos é apresentar os conceitos e as aplicações dos protocolos SAML, OAuth E OIDCUsing IAM o Entra ID. Serão explains the protocol operation, quais são seus benefícios and desafios, e como podem serimplementados em different scenarios. A tese defendida neste artigo é que o SAML, OAuth uh OIDC Flexible protocols allow you to stay secure on the Internet automatically and efficiently, so you need to take security measures to avoid vulnerabilities and risks.

O artigo foi dividido em 6 seções:

1. season 1: Revisão teórica sobre os conceitos de autenticação e autorização e os Protocolos mais utilizados atualmente, separados em blocos Legado e moderno.
2. session 2: Descrição do funcionamento do SAMLDescription Components, flux sources and details.
3. world 3: Descrição do funcionamento do OAuthDescription Components, flux sources and details.
4. season 4: Descrição do funcionamento do Open ID Connections, components, flux sources and details are explained.
5. season 5: Apresentação of exemplos de aplicações usando SAML, OAuth E OIDC It depends on the situation, redes society, serviços de nuvem e dispositivos moveis.
6. season 6: Discussion of Profit and Despair SAML, OAuth E OIDCThe analysis has advantages and disadvantages, so consider its recommendations and limitations.

Seção 1 – Revisão teórica e conceitos de autenticação e autorização e sua evolução

Terminology:

• Authentication => AuthenticationN
• Authorization => AuthZ
• Identity Access Management => IAM
• Identity Provider => IdP
• Service Provider => SP
• Single sign-on (SSO) => SSO

Conceitos de Autenticação and Autorização

Autenticação (AuthN) answers the question “Who are you?” through a proxy identity verification process.

In the Autorização (AuthZ) process, when a delegate’s access permission is repeatedly requested, a validation check of “Can you do that?”

Autenticação Legada

Autenticações iremos definir como tradicionais de autenticação do usuário sendo que Normalmente esses métodos não possuem fatores adicionais de autenticações e é bem comum que as aplicações realm autenticações ativas and não passivas. Além desses métodos não terem sido desenhados para Permitir autenticações de usuários localizados em outros IdP.

Temos alguns connects the authentication protocol as follows:

* Basic Authentication 
* Digest Authentication
* NTLM
* Kerberos

Nesse is not a process to realize the application, nor an authentication process, nor a complex device to enhance security, it shows the normal security flow as implementing management, security and new security surveillance implementation.

basic authentication

O Basic Authentication is an authentication system defined by HTTP as the “basic/common” protocol. RFC 7617.

Current features:

The basic authentication flow requires HTTP code 401 to automatically request authentication against zone localhost for the client to access the page home or server response. O cliente com essa informação captura as informações para autenticação e envia novamente a requisição com o header Authorization preenchido com Basic seguido do usuário e senha em Base64

1. Quando um usuário tenta acessar um recurso protegido ele recebe um retorno do servidor com o código HTTP 401(Unauthorized) e um cabeçalho WWW-Authentication, que fornece informações sobre como se autenticar.

2. O cliente envia o pedido com o cabeçalho de autenticação no formato:

   • Approved: base {credenciais em base 64 no formato usuário:senha}.

   As I said, There is no password.

3. If you are unable to verify the server information, you will need to verify that your credentials are valid (authentication verification via LDAP or local).

   • Se as credenciais estiverem correta o client receberá uma resposta diferente de 403 (forbidden).

The important thing is to check MIME development in Base 64. Portanto, o utilizes basic authentication through development apenas com uma conexão HTTPS(RFC2818 – HTTP over TLS) Check what is covered. No Entanto, message about HTTPS, o Basic authentication is not 100% secure and requires a new authentication system to get authenticated.

Creating a resume makes basic authentication methods simple, quick to implement, and secure depending on the risk transferred.

In addition to authentication and auto-verification operations, information is also provided about SAML, OAuth, and OIDC.

Digest Authentication

Digest authentication, confirmed RFC 2617é um método pelo qual um servidor da web pode negociar credenciais, como nome de usuário ou senha, com o navegador da web de um usuário bem similar ao BASIC certification complies vimos anteriormente porém. Depending on your primary authentication method, the calculation method will be different, so you may need to use HASH and look around the site.

Digest Auth Flow, o navegador solicita o acesso a uma página, oo servidor retorna solicitando autenticação do usuário. Captures information about auto-authentication and delegates the ao web server to verify authentication for DC auto-verification.

Certification process:

1. O client Faz uma solicitação de accesso.

2. O servidor gera algumas informação dentre elas o nonce (código que será usado apenas uma vez) eo envia ao cliente.

3. Information can be obtained through client calculations or hash data. (como o método HTTP e o URI solicitado) usando o nonce.

4. The client wants a response without the response format: Authorization: Digest username=”usuário”, realm=”realm”, nonce=”nonce”, uri=”URI”, response=”hash”.

5. O servidor verifica a resposta e concede acesso se tudo estiver correto.

Resume is a basic authentication replacement digest and protects key security item hashes and ephemera based on trust while the user communicates with the service.

NTLM

O NT LAN Manager (NTLM) is a secure response-based protocol.

NTLM Flow onde o usuário solicita acesso a um recurso porém o servidor do recurso gera um Challenge e devolve para o cliente qual irá usar esse Challenge para calcular o hash eneviar para o servidor do recurso poder validar o usuário

1. Protocol NTLM:
   • O NTLM includes various versions, including LAN Manager versions 1 and 2 and NTLM versions 1 and 2.
   • Ele autentica usuários e computadores com base em um mecanismo de desafio/resposta.
   • O servidor ou controlador de domínio verifica se o usuário conhece a senha associada à conta.
2. Certification process:
   • Quando um usuário tenta acessar um recurso protegido, o servidor gera um desafio.
   • O client (usuário ou computador) reply ao desafio com um hash da senha.
   • O servidor verifica o hash acknowledges valid access rights.
3. Application:
   • NTLM is used to automatically configure systems for workgroups.
   • Check if a local service for logon authentication exists on the dominant control device.
   • We recommend using Keberos as your preferred method. The application will automatically tell you how to use NTLM.

Using NTLM on your resume allows you to set up a secure security protocol, so consider its limitations and security risks.

Cerberus

Kerberos established security protocols back in 1980 for the Massachusetts Institute of Technology (MIT). This method ensures automatic use and security of the service and ensures automatic access on a recurring basis.

Kerberos Flow, o client ao tentar acessar um recurso ele irá obter os ticket needários no TGS qual irá apresentar ao servidor da aplicação

Kerberos authentication involves the following components along with various processes:

• Client: O A client needs a request for a service from a user.
• Service provider: O servidor hospeda o serviço ao qual o usuário precisa acessar.
• Authentication Server (AS): O AS performs client authentication.
• Key Distribution Center (KDC) and its components:
• TGS (Ticket-Granting Server): Emissor de bilhetes de serviço.
• Banco de Dados Kerberos: Armazena informações de autenticação.

According to the resume, Kerberos provides a secure solution for authentication to distributions and ensures confidentiality protection for user information and authentication to services.

Modern Autenicação

Autenticação moderna é um termo Guarda-chuva que engloba uma Combinação de métodos de autenticação e autorização entre um cliente e um recurso, juntamente com medidas de segurança baseadas em politicas de acesso.

Iremos discontinued nas demais seções os Protocolos que estão dentro desse termo como.

1. SAML
2. OAUTH2
3. OpenID Connect – OIDC

References

1. Microsoft – Basic Authentication in ASP.NET Web API

2. Mozilla – HTTP Authentication

3. RFC2617 – HTTP Authentication

4. Microsoft – Digest Authentication

5. Microsoft – Protocols – Digest Verification Protocol

6. Microsoft – NTLM Overview

7. Microsoft – Identity NTLM

8. Microsoft – Kerberos Authentication Overview
9. MIT – Kerberos documentation