Browse Category

Identity & Access Management

SAML คืออะไร และทำงานยังไง?

หลายๆคนอาจจะเคยได้ยินคำว่า “SAML“, “แซมแอล“, “เอส เอ เอ็ม แอล” บ่อยๆ แต่อาจจะไม่รู้ว่ามันคืออะไร ทำงานยังไง วันนี้จะขอแนะนำข้อมูลและวิธีการทำงานคร่าวๆ ของ “SAML” หรือ “แซมแอล” ให้ฟังนะครับ

SAML เป็นมาตรฐานที่มีมานานมากตั้งแต่ก่อนมี OAuth และ OpenID โดยเป็นมาตรฐานด้าน Authentication และ Authorization มาตั้งแต่ปี 2001  และถูกพัฒนาขึ้นมาเรื่อยๆ จนในปี 2005 ก็ Publish SAML 2.0 ออกมาซึ่งถูกใช้งานมาจนถึงปัจจุบันนี้ครับ

Keep Reading

WebAuthn มาตรฐาน “Password Less” บน Web Browser

เผอิญอ่านบทความผ่านๆไป พึ่งเห็นว่าวันที่ 4 มีนาคม 2562, ทาง W3C (องค์กรที่พัฒนาเทคโนโลยี WWW) และ FIDO Alliance (Fast IDentity Online, กลุ่มบริษัทพันธมิตรยักษ์ใหญ่ที่ร่วมกันแก้ปัญหาเรื่อง User / Password ในการยืนยันตัวตนแบบ Online) ได้ประกาศให้ “WebAuthn (Web Authentication) เป็นมาตรฐานของเวปอย่างเป็นทางการ” ซึ่งหมายความว่า ในอนาคตอันใกล้เราจะสามารถเข้าถึงเวป โดยไม่ต้องใช้ User / Password แต่จะใช้ Authenticator อื่นๆ เข้ามาช่วยในการ Authenticate ผู้ใช้งานแทน ซึ่งจะช่วยเพิ่มความปลอดภัยให้กับเวปแอพพลิเคชั่นเป็นอย่างมาก มันเป็นยังไง ไปดูกันครับ

Keep Reading

OAuth มีกี่โฟลและทำงานกับ OIDC อย่างไร?

จาก Blog ที่ผ่านมาเรื่อง ลงลึกกับ OAuth กันดีกว่า ผมได้อธิบายการทำงานของ OAuth โดยยกตัวอย่างโฟลต่างๆไปแล้วนั้น Blog นี้จะขอเน้นไปที่ OAuth และ OIDC รวมถึงโฟลต่างๆของ OAuth ว่าตกลงมันมีกี่แบบกันแน่ และแต่ละแบบมันต่างกันอย่างไร

Keep Reading

ลงลึกกับ OAuth กันดีกว่า

จากที่เล่าเรื่อง OAuth กับ OIDC ว่ามีหน้าที่ในการทำอะไรไปแล้ว ใน Blog ก่อนหน้า รู้จัก OAuth 2.0 กันก่อน บทความนี้จะลงในรายละเอียด ที่อาจจะทำให้หนักหัวกับหลายๆคน แต่อาจจะเป็นเรื่องง่ายๆสำหรับอีกหลายๆคนขึ้นอยู่กับมีประสบการณ์กับมันมากแค่ไหน แต่ยังไงจะพยายามอธิบายให้เข้าใจได้แบบง่ายที่สุดเท่าที่จะทำได้นะครับ – -”

ก่อนอื่น อยากให้ลองมองย้อนกลับไปยุคก่อนที่จะมี OAuth / OIDC มาให้ใช้งานกันแบบทุกวันนี้ เรามีการบริหารจัดการ Authentication กันอย่างไร

Keep Reading

รู้จัก OAuth 2.0 กันก่อน

ก่อนจะเข้าเนื้อหาจะขอเล่าน้ำสักบทนึงก่อนนะครับ คิดอยู่ว่าจะทำยังไงให้เข้าใจเรื่องนี้โดยไม่มีศัพท์เทคนิค เพื่อให้ได้ความรู้และคุยกับเพื่อนร่วมงาน, Partner ได้เข้าใจ จะได้วางแผนงานและแบ่งงานกันรู้เรื่อง เพราะประสบการณ์ที่ผ่านมามักจะมาแนวว่า “Authentication ใช้ OAuth ละกัน ปลอดภัยดี ดูมีมาตรฐาน” ว่าแต่จริงๆแล้ว OAuth มันคืออะไรล่ะ Dev รู้จักมันจริงไหม, IT Operation บริหารจัดการมันได้ดีแค่ไหน Authen ไม่ผ่านต้องทำอย่างไร, Attibute อะไรที่ใช้บ้าง, Protocol เองก็เก่ง ทำได้เยอะ mode เหลือเกิน ทำแบบไหนดี เลยอยากจะเล่าที่มาที่ไปของมันก่อน เพื่อให้เห็นกรอบการทำงานของมันเพื่อให้ทุกคนอ่านแล้วเห็นภาพเดียวกัน แล้วในบทความต่อๆไป จะค่อยๆอธิบายรายละเอียดการทำงานของ Protocol ยันการเขียน Application เพื่อทดสอบเชื่อมต่อไปเลย สำหรับเฉพาะกลุ่มหรือคนที่ต้องการลงรายละเอียดจริงๆมาอ่าน และได้ประโยชน์

Keep Reading

ว่ากันด้วยเรื่อง Identity

ว่ากันด้วยเรื่อง Identity

หลายคนน่าจะรู้เรื่อง “Identity” มาบ้างนะครับ “Identity” จริงๆแล้วไม่ได้มีอะไรซับซ้อน ถ้าแบบง่ายๆก็ “อะไรก็ตามที่ใช้ยืนยันกับสิ่งอื่น หรือระบบว่านี่คือเรา” เป็นเรื่องที่มีมาตั้งแต่สมัยโบราณ ก่อนจะมีคอมพิวเตอร์จนมาถึงตอนนี้ที่เป็น “Mobile first” , “BlockChain”, “IoT” และจะพัฒนาต่อไป ตามการใช้งานของผู้ใช้และ Application ที่มีความหลากหลายมากขึ้นไปด้วย แต่หลักๆก็จะวนไปวนมาอยู่ใน 3 ส่วน สุดคลาสสิคไม่ได้เปลี่ยนไปไหนมากมาย คือ

Keep Reading