Dev-Insights

Authn vs Authz

• Authentifizierung (Authentication)

  • sag mir wer du bist

• Autorisierung (Authorization)

  • und ich sage dir was du darfst

Authentifizierung

• HTTP-BasicAuth

curl --user s.behrens "https://aida-blu.scanplus.de/v2/core/companies/1234"

response = requests.get(
  "https://aida-blu.scanplus.de/v2/core/companies/1234",
  auth=("s.behrens",secret_password)
)

• 401 Unauthorized im Fehlerfall

Authentifizierung

• Persönliche User verwenden ihre regulären AD-Credentials
• Maschinen User
  • Alle nicht persönlichen Zugriffe auf die BLU
  • SU-AidaBLU-<SystemName>
  • im AD anlegen lassen unterhalb von

OU=AidaBLU,OU=ServiceUsers,OU=ScanPlus,DC=ad,DC=scanplus,DC=de

Authentifizierung

Endpunkte die ohne Authentifizierung erreichbar sind

• /version
• /swagger-ui
• /status, /status/<component>

Autorisierung

• Autorisierung erfolgt anhand der Gruppenzugehörigkeit im AD

  OU=AidaBLU,OU=Groups,OU=ScanPlus,DC=ad,DC=scanplus,DC=de
  

• Kein Rollen-Konzept

• AD-Gruppe ➡️ BLU-Resource
• 403 Forbidden im Fehlerfall

Autorisierung

Ist der Gruppenname ein substring vom fully qualified class name der Resource wird der Zugriff authorisiert.

Mitgliedschaft in der Gruppe

aida_blu.resources.automation

berechtigt zum Zugriff auf alle Resourcen im Modul

Autorisierung

Ist der Gruppenname ein substring vom fully qualified class name der Resource wird der Zugriff authorisiert.

Mitgliedschaft in der Gruppe

aida_blu.resources.automation.available_features.AvailableFeatures

berechtigt zum Zugriff auf alle (HTTP) Methoden in der Klasse

Autorisierung

Ist der Gruppenname ein substring vom fully qualified class name der Resource wird der Zugriff authorisiert.

Mitgliedschaft in der Gruppe

aida_blu.resources.automation.available_features.AvailableFeatures_get

berechtigt zum Zugriff auf collection_get und get methoden in der Klasse

Autorisierung

Ist der Gruppenname ein substring vom fully qualified class name der Resource wird der Zugriff authorisiert.

Mitgliedschaft in der Gruppe

blu_admin

berechtigt zum Zugriff auf alle Resourcen

Gotchas

• Die URI eines Endpunktes hängt nicht direkt mit dem Gruppennamen zusammen
• Microsoft Active-Directory erlaubt für einen CommonName (CN) maximal 64 character
• Durch den Aufbau ist aktuell kein read-only (_get) Zugriff auf alle Resourcen in einem Modul machbar
• Wird die Authentifizierung duch BLU nicht erzwungen (z.B. in dev-Systemen), aber trotzdem credentials beim request mitgegeben, so werden diese auch geprüft und ggf ein 401 und 403 geworfen.

Q&A

Wie bekomme ich eine System-User für System-Y für die Produktive BLU?

Omnitracker - Ticket für [OSS-Interne IT] Freundlich um die Anlage im AD bitten

Q&A

Wo finde ich die Doku?

https://confluence.spdev.net/display/BLU

➡️ AIDA-blu ➡️ Authentifizierung und Autorisierung

Q&A

Gibt's die Slides zum nachlesen?

Ja: https://dev.gitlab-pages.scanplus.de/workshops/devops-insights/blu-auth.html

Q&A

Weitere Fragen?