Submit Search
Upload
OAuth2 stands overview
âą
0 likes
âą
475 views
Bertrand Carlier
Follow
OAuth2 stands overview API Security
Read less
Read more
Technology
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
Â
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
Â
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestone
Bertrand Carlier
Â
Wavestone - SĂ©minaire Ă Paris sur la psd 2 et l'Ă©conmie de l'api
Wavestone - SĂ©minaire Ă Paris sur la psd 2 et l'Ă©conmie de l'api
Bertrand Carlier
Â
PreÌsentation budget insight impacts de la dsp2
PreÌsentation budget insight impacts de la dsp2
Bertrand Carlier
Â
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gÚrent l'accÚs à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gÚrent l'accÚs à leurs données
Gabrielle Pavia
Â
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
Â
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
Â
Recommended
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
Bertrand Carlier
Â
Ping City Tour Paris - Identité des Objets
Ping City Tour Paris - Identité des Objets
Bertrand Carlier
Â
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestone
Bertrand Carlier
Â
Wavestone - SĂ©minaire Ă Paris sur la psd 2 et l'Ă©conmie de l'api
Wavestone - SĂ©minaire Ă Paris sur la psd 2 et l'Ă©conmie de l'api
Bertrand Carlier
Â
PreÌsentation budget insight impacts de la dsp2
PreÌsentation budget insight impacts de la dsp2
Bertrand Carlier
Â
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gÚrent l'accÚs à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gÚrent l'accÚs à leurs données
Gabrielle Pavia
Â
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
Â
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Azure AD Identity Protection : protégez vos identités en détectant vulnérabil...
Identity Days
Â
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
Identity Days
Â
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Identity Days
Â
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
Worteks
Â
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
aOS Community
Â
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
Â
Oauth2 & OpenID Connect
Oauth2 & OpenID Connect
Pascal Flamand
Â
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
âïžSeyfallah Tagreroutâ [MVP]
Â
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
Pascal CARRERE
Â
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
Â
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Identity Days
Â
Présentation10
Présentation10
hossam-10
Â
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Identity Days
Â
Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
âïžSeyfallah Tagreroutâ [MVP]
Â
LinPKI
LinPKI
LINAGORA
Â
Projet Pki Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
Â
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Identity Days
Â
Strong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
Â
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
Â
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Identity Days
Â
Authentification Forte 1
Authentification Forte 1
Sylvain Maret
Â
Swiss API Day - Axway - API Management
Swiss API Day - Axway - API Management
SmartWave
Â
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
Â
More Related Content
What's hot
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
Identity Days
Â
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Identity Days
Â
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
Worteks
Â
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
aOS Community
Â
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Matthieu DEMOOR
Â
Oauth2 & OpenID Connect
Oauth2 & OpenID Connect
Pascal Flamand
Â
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
âïžSeyfallah Tagreroutâ [MVP]
Â
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
Pascal CARRERE
Â
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Identity Days
Â
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Identity Days
Â
Présentation10
Présentation10
hossam-10
Â
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Identity Days
Â
Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
âïžSeyfallah Tagreroutâ [MVP]
Â
LinPKI
LinPKI
LINAGORA
Â
Projet Pki Etapes Clefs
Projet Pki Etapes Clefs
fabricemeillon
Â
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Identity Days
Â
Strong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
Â
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Identity Days
Â
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Identity Days
Â
Authentification Forte 1
Authentification Forte 1
Sylvain Maret
Â
What's hot
(20)
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
SĂ©curiser votre systĂšme dâinformation avec AATP - Par Seyfallah Tagrerout
Â
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Introduction Ă lâidentitĂ© dĂ©centralisĂ©e ou Auto-souveraine - Par Yann Duchenne
Â
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
[Identity Days 2019] MaĂźtrisez les accĂšs Ă vos applications Web (Cloud et On...
Â
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
2019-06-04 aOS Strasbourg - Technique 1 - Migrating from AD FS - Hakim Taouss...
Â
Business case Cloud security | B-Network - LINKBYNET
Business case Cloud security | B-Network - LINKBYNET
Â
Oauth2 & OpenID Connect
Oauth2 & OpenID Connect
Â
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
Â
GlobalSign Service de Signatures Numériques
GlobalSign Service de Signatures Numériques
Â
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
La gestion des identités, base du Modern Workplace Microsoft. Illustration pa...
Â
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Gestion de lâauthentification des utilisateurs et du trafic pour les APIs - P...
Â
Présentation10
Présentation10
Â
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Bien protéger son identité et ses accÚs, que faites vous pour la messagerie ?...
Â
Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
Â
LinPKI
LinPKI
Â
Projet Pki Etapes Clefs
Projet Pki Etapes Clefs
Â
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Maximiser la puissance de PowerShell au travers de vos projets de gestion des...
Â
Strong Authentication with PKI
Strong Authentication with PKI
Â
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Â
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Comment hacker Active Directory de A Ă Z? - Par Sylvain CortĂšs
Â
Authentification Forte 1
Authentification Forte 1
Â
Similar to OAuth2 stands overview
Swiss API Day - Axway - API Management
Swiss API Day - Axway - API Management
SmartWave
Â
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
Â
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
OCTO Technology
Â
201707 dsp2 standards, seÌcuriteÌ, quels impacts - wavestone
201707 dsp2 standards, seÌcuriteÌ, quels impacts - wavestone
Leonard Moustacchis
Â
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...
Cyber Security Alliance
Â
Tech-Meetup Smart Transport #04 chez OnePoint, avec WeProov, Onecub et Citeazy
Tech-Meetup Smart Transport #04 chez OnePoint, avec WeProov, Onecub et Citeazy
Laurent Dunys
Â
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
Samir Arezki â
Â
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Microsoft DĂ©cideurs IT
Â
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Microsoft Technet France
Â
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
Cisco Canada
Â
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
Prénom Nom de famille
Â
Comment eÌtendre active directory dans le cloud
Comment eÌtendre active directory dans le cloud
Marc Rousselet
Â
2018-10-18 J2 7D - SĂ©curiser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - SĂ©curiser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
Â
Securite des Applications dans le Cloud
Securite des Applications dans le Cloud
Sebastien Gioria
Â
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
Samir Arezki â
Â
Donnez de l'agilité à votre systÚme d'information avec Azure
Donnez de l'agilité à votre systÚme d'information avec Azure
Samir Arezki â
Â
Garder les technologies Ă la fine pointe: Un facteur de changement
Garder les technologies Ă la fine pointe: Un facteur de changement
Cisco Canada
Â
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
AZUG FR
Â
SplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi Presentation
Splunk
Â
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
SĂ©bastien GIORIA
Â
Similar to OAuth2 stands overview
(20)
Swiss API Day - Axway - API Management
Swiss API Day - Axway - API Management
Â
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Â
La Duck Conf - "L'API Management : au-délà des promesses"
La Duck Conf - "L'API Management : au-délà des promesses"
Â
201707 dsp2 standards, seÌcuriteÌ, quels impacts - wavestone
201707 dsp2 standards, seÌcuriteÌ, quels impacts - wavestone
Â
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...
Â
Tech-Meetup Smart Transport #04 chez OnePoint, avec WeProov, Onecub et Citeazy
Tech-Meetup Smart Transport #04 chez OnePoint, avec WeProov, Onecub et Citeazy
Â
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
Â
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Â
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
Â
Cisco connect montreal 2018 net devops
Cisco connect montreal 2018 net devops
Â
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
Â
Comment eÌtendre active directory dans le cloud
Comment eÌtendre active directory dans le cloud
Â
2018-10-18 J2 7D - SĂ©curiser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - SĂ©curiser votre Digital Workplace avec Azure AD - Seyfalla...
Â
Securite des Applications dans le Cloud
Securite des Applications dans le Cloud
Â
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
Â
Donnez de l'agilité à votre systÚme d'information avec Azure
Donnez de l'agilité à votre systÚme d'information avec Azure
Â
Garder les technologies Ă la fine pointe: Un facteur de changement
Garder les technologies Ă la fine pointe: Un facteur de changement
Â
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Â
SplunkLive! Paris 2017 - Amundi Presentation
SplunkLive! Paris 2017 - Amundi Presentation
Â
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Â
More from Bertrand Carlier
2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
Bertrand Carlier
Â
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
Bertrand Carlier
Â
Identiverse - Microservices Security
Identiverse - Microservices Security
Bertrand Carlier
Â
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
Bertrand Carlier
Â
Wavestone forgerock banking demo
Wavestone forgerock banking demo
Bertrand Carlier
Â
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoT
Bertrand Carlier
Â
More from Bertrand Carlier
(6)
2022 Identiverse : How (not) to fail your IAM project
2022 Identiverse : How (not) to fail your IAM project
Â
Identiverse 2021 enterprise identity: What foundations
Identiverse 2021 enterprise identity: What foundations
Â
Identiverse - Microservices Security
Identiverse - Microservices Security
Â
CIS 2017 - So you want to use standards to secure your APIs?
CIS 2017 - So you want to use standards to secure your APIs?
Â
Wavestone forgerock banking demo
Wavestone forgerock banking demo
Â
Paris Identity Tech Talk IoT
Paris Identity Tech Talk IoT
Â
OAuth2 stands overview
1.
Quels standards pour
protéger les APIs ? Bertrand CARLIER bertrand.carlier@wavestone.com @bertrandcarlier
2.
confidentiel | ©
WAVESTONE 2CNIS Event | Octobre 2017 Des clients leaders dans leur secteur 2,500 collaborateurs sur 4 continents Parmi les leaders du conseil indĂ©pendant en Europe, n°1 en France * Partenariats Paris | Londres | New York | Hong Kong | Singapour* | DubaĂŻ* Bruxelles | Luxembourg | GenĂšve | Casablanca Lyon | Marseille | Nantes Dans un monde oĂč la capacitĂ© Ă se transformer est la clĂ© du succĂšs, nous Ă©clairons et guidons nos clients dans leurs dĂ©cisions les plus stratĂ©giques
3.
confidentiel | ©
WAVESTONE 3CNIS Event | Octobre 2017 RĂ©ussir sa transformation numĂ©rique grĂące Ă la confiance numĂ©rique UNE EXPERTISE EPROUVEE / StratĂ©gie et ConformitĂ© / Transformation mĂ©tier sĂ©curisĂ©e / Architecture et programme sĂ©curitĂ© / IdentitĂ©, Fraude et Services de Confiance / Tests dâintrusion & RĂ©ponse Ă incident / ContinuitĂ© dâActivitĂ© & RĂ©silience / SI Industriel NOS DIFFERENCIATEURS / Connaissance des risques mĂ©tier / MĂ©thodologie AMT pour les schĂ©mas directeurs / Radars Innovation et Start-ups / CERT-W / Bug Bounty by Wavestone Wavestone CybersĂ©curitĂ© & Confiance numĂ©rique Nos clients COMEX, MĂ©tier, CDO, CIO, CISO, BCM 400+ Consultants & Experts Ă Paris, Londres, New York & Hong Kong 1,000+ Missions par an dans plus de 20 pays
4.
confidentiel | ©
WAVESTONE 4CNIS Event | Octobre 2017 Maslowâs hierarchy of needs
5.
confidentiel | ©
WAVESTONE 5CNIS Event | Octobre 2017 Maslowâs hierarchy of needs - updated
6.
confidentiel | ©
WAVESTONE 7CNIS Event | Octobre 2017 OAuth2 â Hierarchy of needs LES BASES / Application client-side & server-side / Serveur Ă serveur / Application mobile & Authentification longue durĂ©e
7.
confidentiel | ©
WAVESTONE 8CNIS Event | Octobre 2017 Implicit and Client Credentials YOUâVE GOT MAIL Site web comparateur API compagnie aĂ©rienne API compagnie aĂ©rienne API compagnie aĂ©rienne Client Authorization server Resource server Access token Comparateur de vols Classe Ă©co Direct 2 escales Business class Bateau
8.
confidentiel | ©
WAVESTONE 9CNIS Event | Octobre 2017 Authorization code ARE YOU AUTHORIZED? Site web compagnie aérienne API compagnie aérienne Client Authorization server Resource server Access token Resource owner
9.
confidentiel | ©
WAVESTONE 10CNIS Event | Octobre 2017 Proof Key for Code Exchange PIXIES API compagnie aérienne Client Authorization server Resource server Access token Resource owner PKCE (RFC 7636)
10.
confidentiel | ©
WAVESTONE 11CNIS Event | Octobre 2017 Refresh token (RE)FRESH Refresh token Client Authorization server Resource server Access token Resource owner PKCE (RFC 7636) API compagnie aérienne
11.
confidentiel | ©
WAVESTONE 12CNIS Event | Octobre 2017 20 17 18 76 OAuth2.0 : câest trĂšs simple Qui ne souhaiterait pas lire 130 pages de RFC ? Et un petit complĂ©ment de 71 pages pour aborder la sĂ©curitĂ© : « OAuth2 Threat Model and Security Considerations » Refresh token Client Authorization server Resource server Access token Resource owner Proof Key for Code Exchange
12.
confidentiel | ©
WAVESTONE 13CNIS Event | Octobre 2017 OAuth2 â Hierarchy of needs LES BASES KIT DE SURVIE / SSO moderne / Authentification adaptative / APIs fĂ©dĂ©rĂ©es / Application client-side & server-side / Serveur Ă serveur / Application mobile & Authentification longue durĂ©e
13.
confidentiel | ©
WAVESTONE 14CNIS Event | Octobre 2017 OpenID Connect FRENCH CONNECTION Client Authorization server Resource server Access token Resource owner Refresh token PKCE (RFC 7636) Site web de la commune API MinistĂšre des finances France Connect hub ID token
14.
confidentiel | ©
WAVESTONE 15CNIS Event | Octobre 2017 Authentication Context Reference (acr) SMS, I KNOW⊠API Banque Authorization server Banque Client Authorization server Resource server Access token Resource owner Refresh token ID token OpenID Connect provider PKCE (RFC 7636)
15.
confidentiel | ©
WAVESTONE 16CNIS Event | Octobre 2017 JWT Bearer profile ONE RING TOKEN TO RULE THEM ALL Client Authorization server Resource server Access token Resource owner Refresh token ID token OpenID Connect provider PKCE (RFC 7636) Bank website Bank & Insurance discount White label insurance Site web bancaire Authorization server Assurance API Assurance 1 2
16.
confidentiel | ©
WAVESTONE 17CNIS Event | Octobre 2017 Oauth2.0 for Native Applications SSO ON THE GO app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636) Mobile phone Authorization server Banque OpenID Connect provider
17.
confidentiel | ©
WAVESTONE 18CNIS Event | Octobre 2017 OAuth2.0 : Kit de survie Authentification adaptative InitiĂ© par lâapplication (acr request) par lâAuthorization Server (authentification graduĂ©e) ou par lâAPI (continuous authentication) APIs federation REST friendly Scalable Single Sign-On moderne Au-delĂ du pĂ©rimĂštre de lâentreprise Compatible navigateur & mobile
18.
confidentiel | ©
WAVESTONE 19CNIS Event | Octobre 2017 OAuth2 â Hierarchy of needs CAS DâUSAGE AVANCĂS KIT DE SURVIE LES BASES / Objets connectĂ©s / Vol de jetons / Gestion du partage Ă maille fine / Propagation dâidentitĂ©
19.
confidentiel | ©
WAVESTONE 21CNIS Event | Octobre 2017 OAuth2 Device Flow 2 MINUTES TWICE A DAY app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636) OpenID Connect provider Brosse connectée Services cloud Brosse connectée Application brosse connectée 2 1 3 4
20.
confidentiel | ©
WAVESTONE 22CNIS Event | Octobre 2017 Token Binding LATER AGGREGATOR API Banque AggrĂ©gateur multi-bancaire API Banque API Banque app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636) Token Binding & Mutual TLS profiles The âPersonal Finance Managerâ usecase OpenID Connect provider
21.
confidentiel | ©
WAVESTONE 23CNIS Event | Octobre 2017 User Managed Access RUN BABY RUN Token Binding & Mutual TLS profiles app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636) Requesting party Doctor Receptionist OpenID Connect provider Réceptioniste Médecin Logiciel cabinet médical Données médicales personnelles Moi Authorization server
22.
confidentiel | ©
WAVESTONE 24CNIS Event | Octobre 2017 Token Exchange WALL STREET ( ) Service Client Client API Token Binding app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636) Requesting party Token Exchange OpenID Connect provider Micro services
23.
confidentiel | ©
WAVESTONE 25CNIS Event | Octobre 2017 Sans oublier : / Dynamic Client Registration & Management / OIDC/Oauth Discovery / Signed request / Mobile Connect / OIDC Session Management / Token revocation / ⊠The big picture AT LAST Token Binding app app Oauth 2 for native apps Client Authorization server Resource server Access token Resource owner Refresh token ID token PKCE (RFC 7636)Requesting party Token Exchange OpenID Connect provider
24.
confidentiel | ©
WAVESTONE 26CNIS Event | Octobre 2017 Assembler correctement⊠sur une base saine Bonnes pratiques de sĂ©curisation dâapplications web Ne surtout pas oublier quâune API est avant tout une application web OAuth2 reprĂ©sente un Ă©cosystĂšme trĂšs riche ïš Choisir les bons morceaux ïš Les assembler avec attention ïš Ne pas obtenir in fine un faux sentiment de sĂ©curitĂ© CAS DâUSAGE AVANCĂS KIT DE SURVIE LES BASES
25.
wavestone.com @wavestone_ riskinsight-wavestone.com @Risk_Insight securityinsider-solucom.fr @SecuInsider Bertrand CARLIER Senior Manager M
+33 6 18 64 42 52 bertrand.carlier@wavestone.com
26.
PARIS LONDON NEW YORK HONG KONG SINGAPORE
* DUBAI * BRUSSELS LUXEMBOURG GENEVA CASABLANCA LYON MARSEILLE NANTES * Partenaires stratégiques PARIS LONDRES NEW YORK HONG KONG SINGAPORE * DUBAI * SAO PAULO * LUXEMBOURG MADRID * MILAN * BRUXELLES GENEVE CASABLANCA ISTAMBUL * LYON MARSEILLE NANTES * Partenariats
Download now