IDM应该是私有的还是公开给应用程序登录的？

Question

在下面的关系图中，我有两个选项用于身份验证到受保护的资源。这两个选项都使用身份和访问管理 (IDM)工具(在本例中是keycloak)来存储凭据，并在正确验证后作为JWT呈现。这两种方法之间唯一真正的区别是IDM (keycloak)位于何处，从而暴露在何处。在选项1中，IDM是私有的，不向internet公开(但只暴露于执行身份验证的应用程序)，而在选项2中，IDM公开，以至于应用程序重定向到IDM以处理所有身份验证。

从表面上看，保护如此关键的软件基础设施( IDM)似乎是非常合乎逻辑的，但是为什么Keycloak (尤其是广告/支持 )会像这样健壮的登录页面呢？

哪个选项是安全的首选方案？

Answer 1

我不熟悉缩写"IDM"，但对于这个答案，我假设它的意思与SAML / OIDC意义上的身份提供者(IdP)相同。

我能看到的这些图表之间唯一的区别是您是使用登录页面，还是使用keycloak的登录页面。

我看到您担心选项1将IdP暴露在直接攻击之下，但是您的登录页面不只是密钥披风登录页面的浅表吗？你到底在隐瞒什么？您认为您的开发人员可以构建一个比密钥披风开发人员更好、更健壮的登录页面吗？

还应考虑以下几点：

• 使用选项2，您的应用程序永远不会处理密码，这可以为您节省大量的工程工作来加固和保护它们。另外，如果您在一个经过审计的环境中，能够说“我们不处理密码，下面是keycloak的安全证书”是一个更容易说的故事。
• 使用选项2，您可以配置您的应用程序接受第三方身份，您的应用程序永远不会看到密码--例如，如果您允许合作伙伴通过对合作伙伴的Active Directory进行身份验证而登录到您的平台。同样，如果你想让用户链接他们的谷歌或Facebook帐户，等等。
• 有时候，客户机(浏览器)可以到达IdP这一事实实际上是一项重要的信息；例如，如果IdP位于后端prod网络或企业网络(例如:在prod AD前面的ADFS )，则将其浏览器重定向到IdP证明客户端也已进入后端网络。

摘要:我没有看到用您自己的IdP供应商的登录页面替换安全性的好处；实际上，如果您构建的登录页面不像安全专业供应商构建的页面那样健壮，那么实际上会有很多安全方面的负面影响。另外，选项2提供了更多的部署灵活性，您可以利用这种灵活性来提高安全性。