Мы планируем внедрить мобильные приложения и веб-приложения, взаимодействующие с экземпляром Orion, размещенным на виртуальном сервере, предоставленном коммерческим провайдером (например, Amazon). Считаете ли вы целесообразным совместное использование Orion Context Broker и KeyRock Identity Manager? Какие еще есть варианты управления идентификацией и безопасностью в системах на базе Orion?
Orion Context Broker и управление идентификацией
Ответы (2)
Взгляните на прокси-сервер PEP.
Его цель состоит в том, чтобы сделать связь с активаторами более безопасной, используя как Identity Manager, так и GE управления доступом.
Прокси-сервер PEP — это одна из частей управления авторизацией, аутентификацией и идентификацией, предложенная FIWARE.
Управление идентификацией в настоящее время основано на Keyrock. На данный момент ситуация такова, что некоторые части находятся в процессе изменения, поэтому вы можете использовать либо текущее решение, основанное на Keyrock, либо будущее, основанное на Keystone Openstack (с некоторыми расширениями, добавляющими поддержку SCIM и OAuth 2.0).
Авторизация FIWARE основана на модели XACML (https://www.oasis-open.org/committees/xacml/), который определяет два типа компонентов: сервер авторизации (PAP + PDP в документе XACML), соответствующий FIWARE GE контроля доступа (или аналогичный контроль доступа Keypass от Telefonica) и прокси-сервер PEP, целью которого является перехватывать каждый запрос, поступающий к компоненту, для оценки его разрешений, запрашивающих как IDM, так и контроль доступа (тот, который указан @LGM, основанный на будущей версии Keyston, или тот, который основан на KeyRock, https://github.com/ging/fi-ware-pep-proxy являются примерами PEP-прокси).
Подводя итог, Context Broker и решения для управления идентификацией и авторизации FIWARE предназначены для совместного использования, но вам придется выбирать между использованием старой версии на основе KeyRock сейчас и использованием более новой версии на основе Keystone, как только она будет доступна (информация об этом должно быть выпущено).