Authelia, bir web portalı aracılığıyla uygulamalar için 2FA ve SSO sunan açık kaynaklı bir kimlik doğrulama ve yetkilendirme sunucusudur. İsteklere izin vermek, reddetmek veya yönlendirmek için ters proxy’lerle birlikte çalışır.
Authelia doğrudan ters proxy’ye bağlanır ancak hiçbir zaman uygulama arka uçlarına bağlanır. Bu nedenle, korumalı API’nin istemcileri tarafından gönderilen veriler hiçbir zaman Authelia’ya ulaşmaz; yalnızca Yetkilendirme başlığı gibi kimlik doğrulama bileşenleri ulaşır. Sonuç olarak, korunan API’ler REST, GraphQL veya HTTP üzerinden başka herhangi bir API türü olabilir.
Authelia’nın özellikleri
Authelia’nın geliştiricilerinden biri olan James Elliott, bu alandaki diğer çözümlerin çoğundan tamamen farklı olan çeşitli özelliklerin ana hatlarını çizdi:
Bildirimsel yapılandırma. Bu özellik muhtemelen çoğu kullanıcının farklılaştırıcı olarak bulduğu özelliktir. Yapılandırma tamamen kullanıcı arayüzü olmadan yapıldığından ve bir yapılandırma dosyası olduğundan, Ansible (ve diğer yapılandırma yöneticileri), Helm; ve ardından GitOps İş Akışları.
Çok düşük ayak izi. Authelia’nın kendisi normal çalışma sırasında 20-25MB arasında RAM kullanır ve genellikle şifre karma işlemleri hariç görülemeyen bir CPU kullanımına sahiptir.
Authelia’nın geliştirme süreci, güvenlik sonuçlarının sorgulanabilir olduğu durumlarda uygulamalardan vazgeçmeyi amaçlamaktadır. Yanlış anlaşılmanın kullanıcıların olumsuz bir güvenlik sonucuna yol açmasını kolaylaştıran bir özelliği tanıtmak yerine, bir özelliğe hayır demeyi tercih ederiz. Bu, OpenSSF Güvenlik En İyi Uygulamalarının daha fazlasını karşılamak amacıyla uygulamalarımızı iyileştirme çabalarımıza da yansıyor. Şu anda geçme skorundan memnunuz ancak Altın, en azından Gümüş almayı hedefliyoruz.
Ters proxy tarafından sunulan uygulamaların güvenliğini artıracak şekilde popüler ters proxy’lerle doğrudan entegrasyonla başladık. Bu, kullanıcıya şeffaf ve çoğunlukla uygulamadan bağımsız bir kimlik doğrulama akışına olanak tanır. Uygulamaların SSO uygulaması için sıfır desteği olsa bile bu akış muhtemelen bir şekilde çalışacaktır.
Authelia, nginx, Traefik, Caddy, Skipper, Envoy veya HAProxy ile çalışır.
Araç, YubiKeys gibi FIDO2 WebAuthn uyumlu güvenlik anahtarlarını kullanarak ek güvenlik sağlamak için donanım tabanlı ikinci faktörleri destekler.
Gelecek planları ve indirme
Elliott bize odaklarının OpenID Connect 1.0 ve WebAuthn olduğunu söyledi.
OpenID Bağlantısı 1.0
Authelia’nın bir sonraki versiyonu:
- Dinamik Müşteri Kaydı haricinde standart uyumluluk profillerinin %100’ünü geçecektir.
- Cihaz Kodu Akışını içerecektir.
- İtimat Eden Tarafların yalnızca kendileriyle ilgili talepleri talep etmelerine olanak tanıyan talep yetkilendirme parametresi desteğini içerecektir.
“Ayrıca, hâlihazırda uygulanmakta olan RFC9126 İtilen Yetkilendirme İstekleri gibi Mali düzeydeki API özelliklerini yavaş yavaş Authelia’ya ekleyerek, uygulamamızın güvenliği ve gizliliği konusunda geleceğe bakıyoruz. Mali sınıf API, çoğu durumda, güvenliği ve gizliliği artıran ve Authelia’nın hedeflerine iyi uyum sağlayan mantıklı bir dizi güvenlik varsayılanı ve yararlı özellikler olarak görünüyor” dedi Elliott.
WebKimlik Doğrulaması
Authelia’nın bir sonraki sürümü WebAuthn desteğini aşağıdakileri ekleyerek genişletecek:
- Geçiş anahtarı kaydı ve giriş.
- AAGUID filtreleme.
- MDS3 girişleri aracılığıyla tasdiklerin daha sıkı doğrulanması.
Authelia, GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: