Desarrollo de un SSO en una arquitectura basada en microservicios

Abstract

Los mecanismos de autorización y autenticación son clave en cualquier sistema que deba ser expuesto a Internet. El protocolo OpenID Connect ofrece autenticación encima del protocolo de autorización OAuth. Con el desarrollo de este proyecto se pretende dar una solución de Single Sign-On que se adapte al conjunto de microservicios de la empresa Mitiga Solutions, añadiendo soporte al protocolo OpenID Connect. Para el desarrollo se ha seguido una metodología en cascada, dividiendo el proyecto en fases específicas que permiten una mejor estimación del tiempo. Con la realización de este trabajo se ha instalado y configurado el servidor de Single Sing-On Kyecloak el cual utiliza el servidor LDAP de la empresa para dar servicio a los usuarios internos. En la segunda parte del proyecto se ha modificado la librería de microservicios de Mitiga Solutions, así como dos de sus microservicios, para añadir compatibilidad con el protocolo OpenID Connect. El sistema implantado permite proteger endpoints específicos de los microservicios y autorización mediante roles, así como la comunicación autenticada entre microservicios. El desarrollo ha permitido sentar las bases para extender el sistema al resto de microservicios disponibles. El servidor de Single Sign On no sirve únicamente para los microservicios, sino que además pude ser utilizado para ofrecer un sistema de acceso centralizado para dar soporte a otros servicios disponibles en la empresa que sean compatibles con el protocolo utilizado.

Authorization and authentication mechanisms are a key component on any system exposed to Internet. The protocol OpenID Connect provides authentication on top of the authorization protocol OAuth. With the development of this project, it is intended to provide a Single Sign-On solution for the set of microservices of the company Mitiga Solutions, adding support to the OpenID Connect protocol. The development of this project has followed a cascade methodology, dividing the project into specific phases to allow a better time schedule. With the completion of this project, the Sign Sing-On Kyecloak server has been installed and configured to work along with company¿s LDAP server in order to provide access to the internal users. As for the second part of the project, support to OpenID Connect protocol has been added to Mitiga¿s microservices library, as well as two of its microservices. The implemented system allows to protect specific endpoints with authorization through roles, as well as authenticated communication between microservices. The Single Sign On server is not only used for microservices but also can be used to provide a centralized access system to support other

Els mecanismes d'autorització i autenticació són clau en qualsevol sistema que hagi de ser exposat a Internet. El protocol OpenID Connect ofereix autenticació damunt del protocol d'autorització OAuth. Amb el desenvolupament d'aquest projecte es pretén donar una solució de Single Sign-*On que s'adapti al conjunt de microservicios de l'empresa Mitiga Solutions, afegint suport al protocol OpenID Connect. Per al desenvolupament s'ha seguit una metodologia en cascada, dividint el projecte en fases específiques que permeten una millor estimació del temps. Amb la realització d'aquest treball s'ha instal·lat i configurat el servidor de Single Sing-On Kyecloak el qual utilitza el servidor LDAP de l'empresa per a donar servei als usuaris interns. En la segona part del projecte s'ha modificat la llibreria de microservicios de Mitiga Solutions, així com dues de les seves microservicios, per a afegir compatibilitat amb el protocol OpenID Connect. El sistema implantat permet protegir endpoints específics dels microservicios i autorització mitjançant rols, així com la comunicació autenticada entre microservicios. El desenvolupament ha permès establir les bases per a estendre el sistema a la resta de microserveis disponibles. El servidor de Single Sign On no serveix únicament per als microserveis, sinó que a més vaig poder ser utilitzat per a oferir un sistema d'accés centralitzat per a donar suport a altres serveis disponibles en l'empresa que siguin compatibles amb el protocol utilitzat.