Безагентская технология ESSO

Безагентская технология однократного входа

Для подключения приложений Blitz Identity Provider использует безагентскую технологию однократного входа (Single Sign-On).

Традиционный подход требует установки специальной программы-агента на компьютер пользователя. При обращении пользователя к различным приложениям программа-агент перехватывает возникающие окна входа приложений и подставляет в них логины и пароли пользователя, вошедшего в домен.

Такой подход имеет ряд недостатков:

  • нельзя использовать ПК, не включенные в домен организации, например, домашние ПК;
  • нельзя использовать MacBook и Chromebook, так как программа-агент работает исключительно в ОС Windows и не поддерживает macOS и Linux;
  • невозможно использовать планшеты и смартфоны, так как программа-агент не предусматривает работу в IOS/Android/Windows Phone;
  • пользователь потенциально может входить в приложения в обход единого сервиса входа, если знает логин и пароль своей учетной записи в приложении и может воспользоваться ПК без установленной программы-агента или заблокировать его запуск. В таком случае вход в приложение останется незапротоколированным единым сервисом входа;
  • обновление приложений может привести к нарушению работоспособности сервиса однократного входа, так как профили настроек подстановки логина/пароля могут сбиться в новой версии. Интеграция сервиса входа и приложений осуществляется с использованием недокументированных возможностей приложений.

Enterprise Single Sign On

Область применения традиционного подхода

Blitz Identity Provider использует современный способ реализации однократного входа, не требующий установки программы-агента. Однократный вход обеспечивается:

  1. Протоколами федеративного доступа — SAML, OpenID Connect, WS-Federation. В этом случае вместо вывода собственного окна ввода логина и пароля приложение запрашивает идентификацию и аутентификацию пользователя у единого сервиса входа.
  2. Если приложение не поддерживает протоколы федеративного доступа, то используется технология, позволяющая на веб-шлюзе организации перехватить форму логина/пароля и заполнить ее без участия пользователя и его компьютера.

В результате пользователь проходит идентификацию/аутентификацию однократно — или в процессе входа в домен, или с использованием единой веб-страницы входа.

Преимущества безагентского способа реализации однократного входа:

  • пользователи могут использовать любые устройства доступа: ПК под управлением Windows/Linux/Mac OS X, устройства на IOS/Android/Windows Phone;
  • все события доступа протоколируются: вход осуществляется исключительно посредством единого сервиса, получить доступ к приложению в обход единого сервиса входа невозможно;
  • возможно предоставить доступ к приложениям сотрудникам сторонних организаций и фрилансерам без необходимости включения их ПК в домен.

Federated Single Sign On

Область применения безагентской технологии