Translate

onsdag 26 september 2012

Intel har missat poängen med Oauth2

Nu till ett mer tekniskt blogginlägg

Det pågår en tyst revolution i webblandskapet. Det som började med enklare små spel som var kopplade till din Facebook eller Googleanvändare håller på att ändra ditt sätt att agera med företag och myndigheter. Så även i Sverige. Myndigheter i Sverige håller på att utvärdera tekniken och vilka användningsområden som kan vara aktuella för mönstret.
Det finns en otrolig kraft bakom Oauth2, tekniken som möjliggör att du som privatperson delar ut en rättighet för en tredjepart att komma åt information eller utföra en funktion mot din leverantör eller myndighet. Det är här styrkan sitter med Oauth2. Inte att den i sig kan bära identitetsinformation mellan två parter. Diamanten är att det är du som bestämmer vilka B2B eller B2A kopplingar som skall tillåtas med information från/om dig. Det rör sig alltså inte om överföring av identiteten av Client A till server B. Oauth2 löser överföring av din identitet som användare av Client A när denne skall skicka information i en maskinell integration till en annan part, Server B.

Bevisligen är inte alla med på tåget. Inte heller världens största bolag i branschen. Intel ifrågasätter tekniken i en blogg: http://blogs.intel.com/security-gateways/2011/09/01/oauth_for_the_enterprise_not_s/

Det går ju likabra, minst, att överföra identitetsinformation och behörighetstoken med SAML för att säkra RESTkommunikation. Men hey, det är inte den delen som är Oauth2s särskilda styrka och inte heller dess mål. Det bevisas inte minst med att det ju finns en specifikation inom Oauth2 för användning av SAML2 för använda Assertion requests för att begära Authorization Grants och att få Authorization tokens. Finns ingen motsättning Oauth2 och SAML2 emellan. Givetvis har ju Intel en lösning som innebär att företagen skall ta in en produkt som manglar SAML2. Hur skulle det vara om Intel satte sig in i problemen och lösningarna i detalj? Innan de levererar lösningar till problem borde de först fatta vilka problemen de är. Annars blir det lätt väldigt fel!


Åter till draft-specarna ......
Upplagd av kl.

Inga kommentarer:

Skicka en kommentar

Prenumerera på: Kommentarer till inlägget (Atom)