Nyheder og Jobs

Secure Identity Propagation Across Tiers and Security Domains

Jeg (Jesper) havde ikke gjort mit hjemmearbejde og valgt et indlæg af en Oracle Product Manager. Av!

Manden mente at det var en super idé at externalisere så meget sikkerhed som muligt fra applikationerne. Set ud fra enterprise-apps og konsolidering giver det vel meget god mening, men budskabet ligger skræmmende tæt op af at at tro man kan klistre sikkerhed på bagefter. Er det nu en god idé?

Han opdeler identity og federation i enterprise-centrisk:
  • SAML
  • XACML
og bruger-centrisk:
  • OpenID
  • OAuth

I praksis var hele hans tale ret enterpriseorienteret. Han benyttede straks lejligheden til at så tvivl om sikkerheden i OAuth og OpenID.

Højdepunkter: Han viste en SAML assertion i en SOAP header – i en PowerPoint.

Det var på det tidspunkt jeg var vis om at jeg IKKE var det rigtige publikum her? SAML i WebServices, STS, etc. er bare ikke nyt.

Lidt efter lidt blev det klart hvorfor han mente at man skulle klistre sikkerheden på: Det viser sig at Oracle har et produkt hvor man kan sætte sikkerthedsagenter op rundt omkring som kan klistre sikkerheden på bagefter! Sikke. En. Overraskelse.

Han viste nogle mere og mere komplicerede scenarier hvor man kan kalde på kryds og tværs, og have finkornet adgangs kontrol, ligesom der kan indlejres SAML assertions i BPEL flows og stads.  Og, surprise: Oracle har også sådan en fætter! Er. De. Ikke. Vildt?

Plus: Han talte OK engelsk. Sortof.

Minus: Salgsgas, salgsgas. Min fejl at tilføje sessionen ud fra titlen alene. Jeg vil dog mene at man (i et alternativt univers?) kunne have haft et spændende indlæg med den titel.