HTTP header integratie
De toepassing wordt afgeschermd door een gateway (reverse proxy) en bezorgt de identiteit van de gebruiker via HTTP headers
Dit kan gebruikt worden indien een web-toepassing een sterke authenticatie door de ACM IDP wil laten afdwingen.
In dat geval bereiken de requests enkel de toepassing als de gebruiker zich eerst succesvol wist aan te melden bij ACM.
De ACM IDP gateway (reverse proxy) kan de nodige identiteitsgegevens van de gebruiker doorsturen via HTTP headers: de toepassing kan hierop vertrouwen en de gebruiker aanmelden op basis van deze informatie.
Eigenschap | Toelichting | |
---|---|---|
+ | makkelijke manier van integreren | De toepassing krijgt HTTP-headers uitgeleverd: het is vrij eenvoudig om daarmee te integreren. |
+ | volledige afscherming van de toepassing | In tegenstelling tot alle andere integratieprotocollen verschijnen er enkel requests op de toepassing als de gebruiker sterk geauthenticeerd werd: geen enkel ander request bereikt de toepassing (en men kan niet op zoek naar kwetsbaarheden in de toepassing tenzij men sterk authenticeerde). |
- | een strikt beveiligde connectie is vereist | Er is een strikt beveiligde connectie vereist tussen de ACM IDP reverse proxy en de toepassing: dit kan worden afgedwongen door firewalls (naar het interne datacenter), via VPN’s of via een mutual-TLS connectie: dit zorgt voor extra complexiteit. Deze beveiligde connectie dient gegarandeerd te kunnen worden voor een veilige setup. |
- | niet ideaal voor toepassingen in de cloud | Door de nood aan een strikt beveiligde koppeling tussen de ACM IDP reverse proxy en de toepassing, leent dit zich niet goed voor use cases waar ACM IDP en de toepassing zich in verschillende datacenters bevinden. |