Релизы Blitz Identity Provider

Сервис единого входа

• Добавлена поддержка входа через типовые решения, прошедшие процедуру оценки влияния на СКЗИ в соответствии с требованиями ФСБ России по информационной безопасности в установленном порядке и реализующие безопасную реализацию протокола OpenID Connect 1.0: SDK ИС Клиента (АНО НТЦ ЦК), TrustGate (АО «ИнфоТеКС Интернет Траст»), а также с использованием VipNet EDI SOAP Gateway (АО «ИнфоТеКС»).
• Добавлена поддержка входа через МТС ID.
• Добавлена возможность подтверждать вход с помощью доверенного приложения.
• Выпущена первая версия мобильного приложения Blitz Key, реализующего TOTP-аутентификацию и push-аутентификацию с помощью доверенного приложения.
• Добавлена возможность подтверждать вход с использованием внешнего flex-метода. Flex-методы используют такие возможности Blitz Identity Provider, как дизайн страницы входа, конфигурирование в консоли и пользовательское управление через Личный кабинет. Поддерживают работу по протоколу RADIUS.
• Разработан внешний flex-метод для подтверждения входа через Aladdin JaCarta Management System (JAS) с использованием SMS, TOTP и push через мобильное приложение Aladdin 2FA.
• Добавлена возможность проводить аутентификацию пользователя без создания сессии с использованием JWT-Secured Authorization Request.
• Разработан REST API для работы со сторонними сервисами по отправке push-уведомлений.
• Добавлена возможность отображать права и сессионные утверждения в маркере доступа после его обновления (ранее при обновлении маркера доступа в новый маркер не переносились сессионные утверждения).
• Добавлен REST API для назначения прав группам в отношении приложений.
• Добавлено зонирование доступа к хранилищам, при котором доступ администраторов и приложений к хранилищам определяется их принадлежностью к той или иной зоне.
• Внедрен REST API v3 с авторизацией по маркеру доступа для работы с группами пользователей.
• Добавлена возможность определения в RADIUS-процедуре, какие методы второго фактора настроены у пользователя.
• Добавлена возможность настроить общую среду программирования, описав в файле env.toml набор системных переменных, доступных для использования во всех кастомных процедурах и шаблонах.
• Добавлен REST-сервис версии v3 с авторизацией по маркеру доступа для привязки внешнего поставщика идентификации к текущему пользователю.
• Добавлен REST-сервис версии v3 с авторизацией по маркеру доступа для удаления пользователя.
• Добавлена возможность хранения прав доступа в отдельном конфигурационном файле.
• Создан транслятор для преобразования атрибутов в верхний/нижний/initcap регистры.
• Пользователю-объекту предоставлена возможность просмотра, какие субъекты могут им управлять.
• Добавлена возможность добавлять LDAP-атрибут из одного символа.
• Добавлена возможность менять атрибуты пользователя из процедуры входа.
• Добавлена возможность передавать в процедуру входа значения cookies.
• Добавлена возможность создания атрибута с типом Date для хранения календарных дат, не учитывающих временные зоны и время. Новый тип данных подходит для хранения даты рождения пользователя.
• Разработан механизм для создания процедуры входа, запрашивающей у пользователя несколько атрибутов с последующим их сохранением.
• Доработан сервис интроспекции маркеров OAuth0. Добавлена аутентификация по системному маркеру доступа и выполнен перевод идентификаторов пользователя в маркере из Realm владельца маркера в Realm системы, которая вызвала интроспекцию.
• Доработан механизм работы CAPTCHA.
• Добавлена возможность сохранять сессионные утверждения от внешнего поставщика в утверждения маркеров доступа и идентификации.
• Добавлена поддержка offline-доступа в Authorization Code Flow – обработка scope с именем offline_access.
• Добавлено отображение устройства в событиях входа, включая REST API работы с событиями.
• Доработан механизм формирования сообщения, отображающегося при выборе методов в RADIUS.
• Доработан список ошибок в API аутентификации при подтверждении электронной почты.
• Добавлена автоматическая синхронизация прав пользователя при входе через ЕСИА на основе групп пользователя.
• Добавлена поддержка PBKDF2WithHmacSHA256 и Argon2 при миграции паролей из legacy-систем.
• В валидатор атрибута теперь можно передавать идентификатор пользователя-субъекта.
• Добавлена возможность ввода кода подтверждения из SMS и электронной почты в отдельные textbox по количеству цифр в коде.
• Добавлена возможность отображать выбор метода второго фактора на отдельном экране.
• В аудит добавлена запись ошибки входа по TOTP для протокола RADIUS.
• Исправлен некорректный аудит для входа с grant_type password.
• Исправлена недоступность страницы входа при наличии только внешних поставщиков аутентификации.
• Исправлена ошибка регистрации ключа безопасности на устройствах Samsung.
• Исправлена проблема, при которой отсутствовало отображение логотипа в стандартной теме в браузере Firefox.
• Исправлена ошибка, когда при входе по RADIUS в диалоге выбора второго фактора мог сбиваться порядок вариантов.
• Исправлена ошибка обработки кириллицы и знака & в параметре post_logout_redirect_uri.

Регистрация, Личный кабинет, Восстановление пароля

• Добавлена возможность настройки многошаговой регистрации.
• Добавлена возможность перенаправления пользователя на регистрацию, если пользователь подтвердил номер телефона ввода кодом из SMS, но номер не найден в хранилище.
• Добавлена настройка количества попыток ввода кода подтверждения из электронной почты при регистрации.
• Исправлена ошибка регистрации в режиме отправки пользователю сгенерированного пароля на почту.
• Добавлена возможность подтверждать восстановление пароля с помощью ввода данных и проверки соответствия их хранимым в учетной записи.
• Исправлена ошибка, позволяющая при регистрации учетной записи перебирать коды из SMS и электронной почты.

Консоль управления

• Модернизирован дизайн на вкладках Приложения, Сервисы самообслуживания, Права доступа, Администраторы.
• Улучшена логика привязки TOTP/HOTP-генераторов.
• Обновлены тексты интерфейса в настройках хранилища.
• Расширен список операторов при задании правил доступа к приложению. Добавлены операторы: не равно, содержит, не содержит.
• Добавлена возможность не сохранять привязку внешней учетной записи к учетной записи Blitz Identity Provider при входе через внешнего поставщика. В этом случае поиск учетной записи по заданным правилам сопоставления будет выполняться каждый раз при входе через внешнего поставщика.
• Добавлена возможность задавать добавляемые в маркер доступа утверждения в настройках приложения. В качестве утверждений можно указывать атрибуты и сессионные утверждения, указанные в файле конфигурации (настройка sessionClaims).
• Исправлена ошибка сброса сессий пользователя в консоли при использовании СУБД Couchbase.
• Исправлена ошибка, при которой приложение OAuth 2.0 не создавалось, если был указан только параметр «Префиксы ссылок возврата».
• Добавлена возможность в разделе «Группы» назначить право доступа группе на приложение.
• Добавлена поддержка SMPP для подключения к SMS-шлюзу.

Технические изменения

• Внесены изменения в установщик:
  • Появилась возможность задать альтернативную директорию установки.
  • Появилась возможность доустановить сервисы Blitz Identity Provider.
  • Изменился механизм синхронизации конфигурации: появился сервис blitz-sync, который заменит необходимость использования и настройки incron.
  • Изменились заданные по умолчанию настройки Blitz Identity Provider, устанавливаемые для новой установки.
• Изменения в конфигураторе:
  • Изменилось расположение скрипта синхронизации.
  • Появилось два режима работы: init – по умолчанию выполняется после установки для первоначальной настройки системы/кластера; join – добавление сервера в уже существующий кластер.
  • Обновился файл параметров конфигуратора. Добавился список нод, на которые должна выполняться синхронизация конфигурации в кластере, а также порт подключения к Postg
• Прочие изменения в конфигурации: в файлах /etc/default/blitz-* появилась возможность задать порт, на котором запускается сервис и путь к boot-файлу.
• Доработан механизм работы с сессиями пользователя. Реализовано хранилище для просмотра и управления сессиями пользователей. Добавлен механизм удаления сессии и отзыве маркеров доступа и обновления при логауте и отзыве устройства.
• Изменена конфигурация правил обмена маркеров Token Exchange, необходима ручная миграция конфигурационного файла.
• Добавлен пакет java.util.regex.* в разрешенные для использования в процедурах входа.
• Улучшено логирование – добавлена возможность для многих записей логов добавлять в них через механизм kvp (https://logback.qos.ch/manual/configuration.html) сквозные идентификаторы для группировки записей логов в рамках общего запроса (callId), группировки в рамках переданного заголовка (traceId), а также логирования имени операции (name), класса операции (location), строки в файле (line), имени приложения (appName) и имени сервера (nodeName).

Сервис единого входа

• Добавлена возможность использовать для входа на первом факторе разовый код на основе времени (TOTP).
• Добавлена возможность использовать для входа на первом факторе код из номера входящего звонка (метод Flash Call).
• Добавлена возможность использовать пароль для подтверждения входа на втором факторе.
• Выпущена новая версия Blitz Smart Card Plugin 1.20.0. (обеспечена работа с браузером Firefox версий 127 и новее, а также поддержка браузерного расширения Chrome Manifest v.3).
• Добавлена возможность одновременной проверки методов на первом (пароль) и втором (TOTP) факторе при подключении по протоколу RADIUS.
• Оптимизирована работа с хранилищем при обмене/проверке маркеров access_token/refresh_token при работе с несколькими хранилищами.
• Можно назначать права доступа пользователям опосредовано через назначение прав группам пользователей и включения пользователей в группы пользователей. Обеспечена возможность передачи в access_token атрибута rights со списком прав доступа.
• Реализована возможность интегрировать с Blitz Identity Provider внешнее приложение, отвечающее за запрос разрешений у пользователя.
• Добавлена возможность включить в software_statement собственные утверждения.
• В SMS-шлюз теперь можно передавать идентификатор процесса и идентификатор сессии (processId и sessionId), сохраняемые в событии безопасности о факте отправки SMS. Из ответа SMS-шлюза теперь можно извлечь идентификатор отправки, и сохранить его событии безопасности о факте отправки SMS.
• В REST API добавлены методы для просмотра и назначения группе пользователей прав на приложение.
• В REST API добавлен метод для снятия временной блокировки методов входа, возникающей при превышении количества попыток входа.
• Исправлена ошибка реализации протокола RADIUS при взаимодействии с VPN-шлюзом КриптоПро NGate, при которой при обработке ответа c выбором метода для второго фактора возникала ошибка и начинался вход по первому фактору. Ошибка возникала, если порты источника на первом и втором RADIUS-запросе отличались.
• Исправлена ошибка, возникавшая при попытке получить access_token по refresh_token в среде с БД Tarantool.
• Исправлена ошибка, при которой сервис поиска пользователей API v3 отдавал больше данных с помощью токена на scope c ограниченным набором атрибутов.
• Исправлена ошибка, при которой право ведущего пользователя на смену пароля ведомого пользователя не назначалось в запросах, отправленных от имени динамического клиента.
• Исправлена ошибка, при которой при создании SAML-приложения в файле relying-party.xml атрибут provider формировался с двумя слэшами (//), что приводило к формированию некорректного SAML Response.

Регистрация, Личный кабинет, Восстановление пароля

• На страницах входа по логину и паролю, восстановления доступа и регистрации поддержана Yandex SmartCaptcha.
• Исправлена ошибка, при которой не работала автоподстановка кода из SMS на странице регистрации.
• При задании контакта через личный кабинет или REST API реализована блокировка операции при превышении количества попыток ввода неправильного кода проверки.

Консоль управления

• Добавлены новые возможности для работы с пользователем: снятие блокировки методов входа, возникающей при превышении количества попыток входа, установка требования принудительной смены пароля при следующем входе.
• Общие настройки TOTP-генераторов вынесены в отдельную вкладку Аутентификация → TOTP-генераторы.
• Удалена настройка Windows Mobile из настроек метода TOTP.
• Добавлена запись в аудит событий подтверждения входа методом Flash Call.
• Добавлена запись в аудит событий входа на первом факторе по SMS.
• Реализована выгрузка событий безопасности в CSV-файл.
• Исправлена ошибка, при которой не сохранялась вкладка Источники данных, если хотя бы один атрибут в правилах преобразования входных значений имел заглавную букву.
• Исправлена ошибка, при которой при записи в аудит дублировалась информация о пройденном втором факторе при входе через RADIUS.
• Исправлена ошибка, при которой попытка сбросить сессии пользователя из консоли управления до первого входа приводила к ошибке 500 (Internal Server Error) на вызове метода /blitz/console/api/user/reset/sessionsReset.

Технические изменения

• Изменился формат конфигурирования параметров подключения к серверу очередей RabbitMQ. Теперь параметры тонкой настройки необходимо прописывать в разделе properties.
• Добавлена возможность настроить работу с группами пользователей для нескольких LDAP-хранилищ.
• Добавлена возможность разрешать внешним системам редактировать отдельные атрибуты пользователя.
• Изменены тексты стандартных писем информирования о добавлении ключей безопасности.
• Устранена неисправность, при которой наблюдалась повышенная загрузка CPU при недоступности RabbitMQ.

Сервис единого входа

• Доработан процесс при отсутствии действия на странице входа – теперь вход в аккаунт запрещен и требуется повторно ввести данные для входа.
• При превышении неудачных попыток входа обработана ошибка Too many failed logins от LDAP и обновлен текст ошибки для пользователя на странице входа.

Регистрация, Личный кабинет, Восстановление пароля

• Исправлена ошибка, при которой генерация пароля пользователя не соответствовала парольной политике.
• Добавлен механизм назначения права менять атрибуты в зависимой учетной записи.
• В личном кабинете добавлена кнопка копирования под QR-кодом для TOTP. Также удалена кнопка “Download from Windows Store”.

Консоль управления

• Исправлена ошибка, при которой API не возвращало имя аккаунта во внешнем поставщике.
• Создана авторизация для сервиса поиска учетных записей пользователей.
• Добавлен новый API для редактирования прав доступа.
• Улучшена работа с тегами (метками) приложений – для назначения тегов их можно выбирать из всплывающего списка.
• Добавлена возможность передавать идентификатор пользователя в вызовах SMS-шлюза.
• Исправлена ошибка, при которой из консоли не удалялись права с тегом в отношении пользователя.
• Реализован механизм для формирования атрибутов пользователя, вычисляемые на основе внешних подгружаемых Java-классов.

Технические изменения

• В событие безопасности типа auth_failed добавлен объект и субъект идентификатора пользователя.
• Изменены названия, ссылки и логотипы с Tinkoff ID (Тинькофф ID) на Т-ID.
• Реализовано объединение метрик для динамических клиентов по имени основного приложения.
• В группах пользователя поддержана возможность получать вложенные группы при работе с MS AD.
• Для возможности сохранения факта просмотра новости в атрибуте пользователя в конфигурации новостного пайпа добавился опциональный атрибут “userReadAttr”.
• В SAML поддержаны атрибуты SHA256/512.
• При интроспекции токена добавлен атрибут aud.
• Заблокирована кнопка пайпа для многократного нажатия.
• Добавлена поддержка TOTP в API аутентификации.
• Добавлена автоподстановка кодов подтверждения двухфакторной аутентификации на мобильном устройстве.
• Добавлен пример конфигурационного файла для HAProxy.
• Исправлена ошибка, при которой возникала ошибка 500 при входе пользователем, у которого более 100 групп в хранилище.
• Исправлена внутренняя ошибка, которая возникала при регистрации с автокомплитом SMS.

Сервис единого входа

• Доработано взаимодействие с Couchbase Server при недоступности одной из нод кластера. Добавлена настройка для задания интервала повторного считывания глобальной конфигурации кластера.
• В карточке пользователя и его Личном кабинете теперь отображается информация о привязанных аккаунтах пользователя во внешних поставщиках (соцсетях). Привязать аккаунт можно в консоли, посредством процедуры на Java и через API.
• Добавлена возможность добавлять параметры obj_type (тип пользователя), roles (типы ролей пользователя) в вызов сервиса аутентификации ЕСИА.
• Добавлена возможность получения из ЕСИА информации о группах пользователя внутри организации.
• Доработан метод входа по RADIUS. Теперь:
  • В процедуру обработки запросов добавлена функция, позволяющая пользователю выбирать способ подтверждения входа.
  • В процедуру обработки запросов добавлена функция, позволяющая отображать для пользователя краткую инструкцию по способам подтверждения входа.
  • В случае если учетная запись пользователя заблокирована, то при попытке входа выводится ошибка.
  • Если количество попыток входа по ssh исчерпано, своевременно отображается ошибка.
  • Если метод подтверждения входа по RADIUS заблокирован, своевременно выводится корректное сообщение о блокировке.
  • При подтверждении по SMS и email выполняется актуализация контакта.
  • Исправлена ошибка, при которой если было настроено два канала доставки кода push и SMS, RADIUS запрашивал только первый из них.
  • Исправлена ошибка, при которой событие отклонения в Личном кабинете запроса на вход в сетевую службу по RADIUS не записывалось в аудит.
• Исправлена ошибка, при которой при отправке неверного значения client_secret в сервис /introspect сервис возвращал HTTP 500, а не HTTP 401, как требует спецификация.
• Возвращен ошибочно убранный редирект через кнопку Назад из SAML-приложения на страницу входа (/login/methods/password).
• Улучшена фильтрация при передаче URL в query-запросах к Blitz Identity Provider.
• Исправлена ошибка, при которой атрибут с типом данных bigint и значением null добавлялся в токен.
• Скорректирована схема данных, применявшаяся для создания спейса dc в БД Tarantool.
• Исправлена ошибка, при которой в Error-логе отображалось значение client_secret приложения.
• Исправлена ошибка, при которой код подтверждения не отправлялся, если пользователь переключался на другой метод подтверждения после того, как истекал срок действия кода подтверждения по первому использованному методу.
• Исправлена ошибка, при которой файлы idp.key, crt.key, blitz-keystore.bks после выполнения скрипта первичной настройки создавались с неверным владельцем (с тем, под правами которого выполнялся скрипт).

Регистрация, Личный кабинет, Восстановление пароля

• В настройках сервиса восстановления доступа добавлена возможность требовать при восстановлении доступа подтверждение по второму фактору только в случае, если для пользователя включен хотя бы один метод из списка методов дополнительной проверки.
• Исправлена ошибка, при которой в мобильных браузерах не работала прокрутка вбок на вкладке Устройства Личного кабинета (/blitz/profile/devices).
• Исправлена ошибка, при которой после успешного восстановления доступа на странице по-прежнему отображался спиннер.
• Исправлены опечатки в локализации на странице входа по свойствам сессии.
• Актуализирован логотип T-ID в стандартной теме и теме СУДИР страницы входа.
• Исправлена ошибка с CSRF-токеном, которая появлялась при вызове запроса /blitz/reg/complete, если пропускался ввод кода подтверждения для необязательного атрибута.
• Выравнена верстка блока кнопок в Личном кабинете в сообщении о подтверждении входа через RADIUS.

Консоль управления

• В настройках внешних поставщиков добавлена возможность регистрации пользователя при входе.
• Добавлено автоматическое создание файла метаданных для SAML-приложения на основании значений базовых параметров.
• Исправлена ошибка relation “fed_tkn” does not exist, появлявшаяся при удалении пользователя в консоли управления (учетная запись при этом удалялась).
• Исправлена ошибка, при которой не отображался календарь в фильтре событий.
• Исправлена ошибка, появлявшаяся при создании пользователя в консоли.
• Исправлена ошибка, при которой тексты первичного входа по SMS и email повторяли тексты второго фактора.

Технические изменения

• Реализована поддержка JDK 11.
• Файл конфигурации blitz.conf теперь поддерживает расширенные настройки пула соединений для БД PostgreSQL. Настройки задаются в блоке blitz.prod.local.idp.internal-store-jdbc.pool.
• В блоке blitz.prod.local.idp.internal-store-jdbc.pool изменился формат имен.

Сервис единого входа

• Добавлен вход по электронной почте в качестве первого фактора аутентификации.
• Поддержан новый протокол вызова и получения маркеров доступа от внешнего сервиса аутентификации ЕСИА.
• Поддержано подписание запросов в ЕСИА с КриптоПро JCP.
• Добавлена возможность входа от имени организации через ЕСИА без создания группы.
• Добавлена возможность вызывать сброс сессии из процедуры входа.
• Добавлена возможность задавать кастомные сообщения об определенных статусах аутентификации, а также вызывать их в процедурах на Java.
• Добавлена возможность создания тегов приложений в консоли и посредством API. Поддержано использование тегов приложений в процедурах входа.
• Добавлена возможность получать токены (access_token) внешних поставщиков идентификации.
• Добавлен транслятор для атрибута objectSID из Active Directory.
• Внесены улучшения в метод подтверждения входа по входящему звонку (Flash Call):
  • Теперь можно показывать пользователю в замаскированном виде номер телефона, с которого будет совершен звонок.
  • В процедуру вызова добавлена возможность логирования.
  • В процедуру вызова добавлена возможность отображения значения таймаута вызова сервиса.
• Исправлена логика подтверждения по входящему звонку.
  • Теперь при обновлении (F5) страницы новый код не отправляется и таймер ввода не сбрасывается.
  • При исчерпании попыток ввести код теперь отображается соответствующая ошибка без возможности запросить повторный звонок.
• Исправлена ошибка передачи параметра access_type при вызове ЕСИА.
• Исправлена ошибка, при которой операция Find в процедуре имперсонификации не работала без альтернативного варианта поиска.
• Исправлена ошибка при входе через ЕСИА в режиме выбора организации, при которой система не находила уже существующую группу для пользователей из одной организации.
• Исправлена ошибка, при которой вход в приложение по протоколу RADIUS с подтверждением в Личном кабинете создавал запись в аудите о входе в Личный кабинет, а не в приложение.
• Исправлена ошибка, при которой при первом входе пользователя по SSO выдавался недействительный токен.

Регистрация, Личный кабинет, Восстановление пароля

• Добавлена возможность кастомизации логотипа и оформления (CSS) Личного кабинета.
• Исправлена ошибка, при которой не происходило перенаправление в Личный кабинет во время привязки учетной записи из встроенного браузера на мобильном устройстве.
• Исправлена ошибка, при которой кастомная тема сбрасывалась после выбора способа отправки кода для восстановления пароля.
• Исправлена ошибка, при которой в Личном кабинете нельзя было во второй раз добавить ключ без перезапроса страницы, если в первый раз данная операция завершилась ошибкой.
• Исправлена опечатка в сообщении о выборе учетной записи при входе в Личный кабинет.

Консоль управления

• Добавлена возможность отключить запоминание логина пользователя для будущих входов.
• Добавлена возможность выбрать хранилище учетных записей для первичного (1FA) входа по SMS.
• Поддержано получение признака isIdentified из внешнего поставщика Tinkoff ID. Данный признак получают пользователи, которых идентифицировали лично по предоставленному паспорту.
• Убраны поля выбора хранилища для поиска учетных записей в таких методах второго фактора, как подтверждение входа с помощью электронной почты и по коду из SMS/push.
• Исправлена ошибка, при которой регистрация в консоли не прошедшего аттестационную проверку ключа FIDO2 была невозможна, но сообщение об ошибке отсутствовало.
• Убраны дата и время из сообщения, появляющегося при удалении процедуры обработки запросов в RADIUS.

Технические изменения

• Удалена функция разделения и объединения профилей первого и второго фактора в методах входа по коду из SMS/push, с помощью электронной почты и ключа безопасности. Теперь профили первого и второго фактора у данных методов настраиваются по отдельности.
• Расширено управление настройками пула соединений к БД PostgreSQL.

Сервис единого входа

• Добавлена возможность доступа в сетевые службы по протоколу RADIUS с использованием первого и второго фактора аутентификации. В качестве первого фактора поддерживается вход по логину и паролю. В качестве второго – подтверждение по входу из SMS и в Личном кабинете пользователя.
• Реализован delivery mode 2 (persistent) для сервера очередей RabbitMQ, что позволяет сохранять сообщения при его перезапуске.
• Реализована поддержка SHA-512 при миграции пользовательских паролей из legacy-систем.
• Исправлено двойное кодирование state в OIDC Implicit Flow в режиме работы Form Post Response Mode.
• Исправлен механизм отсчета времени на подтверждение входа, если для отправки кода подтверждения используются сразу два канала.

Регистрация, Личный кабинет, Восстановление пароля

• Доработана функция применения темы в зависимости от тега для сервисов Регистрация и Восстановление пароля.

Консоль управления

• Исправлена ошибка, при которой изменения настроек хранилища учетных записей переставали применяться после попытки активации недоступного по сети хранилища.

Сервис единого входа

• Добавлен метод аутентификации Flash Call, позволяющий передавать одноразовые коды для реализации второго фактора аутентификации в номере входящего звонка. В этом случае после успешной первичной аутентификации на номер пользователя будет выполнен звонок с заранее неизвестного телефонного номера, последние цифры которого потребуется ввести для подтверждения входа.
• Добавлена возможность автоматической идентификации пользователя по свойствам его сессии. Поддерживаются все свойства сессии, которые могут быть определены сервисом Заказчика и затем предоставлены в Blitz Identity Provider. Реализованы гибкая настройка метода и полная кастомизация текстов интерфейса.
• Добавлена возможность входа через сервис идентификации VK ID.
• Добавлена возможность анализа геоданных пользователя (страны, города) в процедуре входа. Данная возможность позволяет гибко настраивать правила входа в зависимости от местоположения пользователя, например, вводить запрет на вход из-за рубежа, в обязательном порядке использовать второй фактор аутентификации и др.
• Добавлена возможность кастомизации логики операций с хранилищами данных с помощью процедур на Java. Теперь при выполнении операции возможен вызов внешнего веб-сервиса или вызов другой операции.
• Добавлена поддержка OAuth 2.0 Form Post Response Mode согласно спецификации.
• Минорные изменения в текстах интерфейса (вход по временной ссылке).
• Исправлена ошибка, что могло произойти задвоение кнопки входа по ключу безопасности на экране подтверждения входа при включенной настройке «Приравнять использование этого метода к применению первого и второго фактора. Если опция включена, то вход по ключу безопасности будет означать, что пользователь прошел двухфакторную аутентификацию».
• Исправлена верстка экрана ошибки «Пользователь не найден» при входе по SMS.
• Цвет кнопки экрана второго фактора подтверждения по push изменен на стандартный.
• Исправлена ошибка, при которой URL, передаваемый в адресе возврата post_logout_redirect_uri, приводился к lowerCase.
• Исправлена ошибка, при которой отображение QR-кода на мобильных устройствах в виде ссылки «Открыть в мобильном приложении» не позволяло обеспечить вход данным методом. Теперь ссылка открывается в новой вкладке, в то время как в текущей вкладке Blitz Identity Provider переходит в состояние ожидания подтверждения входа.
• Исправлена ошибка, при которой ЕСИА не возвращала параметр id_token из-за того, что при запросе данных организации не добавлялся scope openid.

Регистрация, Личный кабинет, Восстановление пароля

• Добавлена возможность задания контрольного вопроса с помощью вспомогательного приложения (pipe).
• Реализована обработка ошибки, возникающей при попытке восстановления пароля по коду при уже использованной ссылке.
• Исправлена ошибка, при которой страница с выбором учетной записи для входа не отображалась, если внешний поставщик идентификации был привязан к двум и более учетным записям в Blitz Identity Provider.

Консоль управления

• На вкладке «Пользователи» добавлена отдельная вертикальная прокрутка для списка найденных пользователей.
• Исправлена ошибка, при которой при попытке добавления пользователя в разделе «Пользователи» поиск выдавал группы также из других хранилищ, а не только группы из хранилища пользователя, если в разных хранилищах настроено несколько профилей групп.
• Исправлена ошибка, при которой при просмотре свойств пользователя в разделе «Пользователи» в блоке «Членство в группах» не показывались данные групп в AD.
• Исправлена ошибка, при которой запрос выбора организаций из ЕСИА инициировал получение данных пользователя.
• Исправлены мелкие недочеты в текстах интерфейса.
• Исправлена ошибка некорректного entityID при создании приложения, если в качестве entityID использовался URL с косой чертой в конце «/».
• Исправлена ошибка, при которой переставал работать поиск событий по пользователю в разделе «События» после входа данного пользователя через внешний поставщик SAML и регистрации события входа.

Поставка и установка

• Переменные в файле с первичными настройками приведены к единому виду. Добавлена возможность задания значения trustedServers (список IP-адресов серверов Blitz Identity Provider) через данный файл.
• В resources.zip поставки добавлен шаблон для Grafana Dashboard и пример job-задания для сбора метрик в Prometheus.

Сервис единого входа

• Если пользователь запомнен на устройстве, то при входе с помощью FIDO2 ключа всегда показываются ключи запомненного пользователя, а не всех пользователей на данном устройстве.
• Поддержан опциональный параметр client_id при вызове /blitz/oauth/logout.
• Исправлена ошибка, что иногда прогрузка страницы входа могла завершится ошибкой.
• Исправлено, что при запросе маркера доступа через механизм Token Exchange и передачи параметра scope маркер выпускался на все разрешенные правилом обмена маркеры, а не только те, что запрошены через scope.
• На странице входа при прохождении проверки второго фактора аутентификации убрано отображение в футере рекомендации про использование режима инкогнито. Данная рекомендация теперь показывается только на экранах первого фактора аутентификации.
• Исправлена ошибка, что произведенный пользователем выбор в Choice Pipe нельзя было передать приложению в claim.
• Предусмотрена возможность использовать метод входа по QR-коду на смартфонах. Вместо QR-кода в этом случае отображается кнопка входа через мобильное приложение.
• При смене пароля в процессе входа добавлен чекбокс «Выйти со всех устройств».
• При смене просроченного пароля в процессе входа в случае каталога Active Directory реализована возможность смены от имени сервисной учетной записи.
• Добавлена возможность принудить при входе к смене пароля, не соответствующего парольной политике (раньше смена пароля рекомендовалась, но ее можно было пропустить).
• Добавлена возможность запросить задание контрольного вопроса и ответа на контрольный вопрос при входе пользователя.
• Убрана кнопка «Повторить» с экрана отображения ошибки входа пользователя при входе в заблокированную учетную запись.
• Исправлена ошибка, что могло не срабатывать ограничение «Продолжительность сессии при бездействии пользователя».
• Добавлена возможность замены client_id в маркере доступа с использованием механизма Token Exchange и нового типа impersonate правил замены маркеров доступа.
• Добавлена возможность через Token Exchange менять маркер доступа из формата jwt на opaque и обратно с использованием параметра token_format.
• В сервис проверки маркера доступа (/oauth/introspect) добавлены выдача дат выпуска (iat) и окончания срока действия (exp), а также предоставление идентификатора субъекта в атрибуте с именем sub.

Регистрация, Личный кабинет, Восстановление пароля

• Добавлена возможность задать контрольный вопрос и ответ на контрольный вопрос в форме регистрации пользователя и в Личном кабинете.
• Сделано REST API для операций управления контрольным вопросом.
• При смене пароля в Личном кабинете добавлен чекбокс «Выйти с других устройств».
• При смене пароля через Восстановление доступа добавлен чекбокс «Выйти со всех устройств».
• Сделано REST API для операции сброса сессий пользователя.
• В REST API изменения пароля добавлен параметр для опционального сброса сессий пользователя.
• При восстановлении пароля добавлена возможность запросить проверку ответа на контрольный вопрос.
• Исправлена ошибка, что восстановление доступа могло не работать при хранении учетной записи в REST-хранилище учетных записей.

Консоль управления

• Исправлена ошибка, что нельзя было создавать приложения, client_id которых начинается с цифры.
• Исправлена ошибка, что при сохранении настроек приложения в консоли ссылки возврата принудительно сохранялись в нижнем регистре.
• Исправлена ошибка работы установщика Blitz Identity Provider в случае, если на сервере в ОС уже заведен пользователь с именем *blitz*.
• Оптимизирована операция изменения тем внешнего вида.
• Добавлена операция «Сбросить сессию» в консоль управления.
• При операции сброса сессии выполняется очистка привязанных к учетной записи динамических client_id/client_secret.
• При изменении пароля в консоли управления добавлен чекбокс «Сбросить сессии».
• В установщик Blitz Identity Provider добавлена поддержка silent-режима установки.
• Улучшена обработка в Blitz Identity Provider с ситуацией длительной недоступности подключенного LDAP-хранилища учетных записей. Раньше при длительной недоступности хранилища мог возникнуть сбой Out of memory в Blitz Identity Provider.
• Исправлено, что тумблер включения метода аутентификации мог перенестись на отдельную строку, из-за чего он переставал работать.
• Для событий аудита, записываемых в БД, файл или сервер очередей, предусмотрен общий идентификатор события.
• Предусмотрена возможность плавной миграции пароля из унаследованной системы входа с возможностью поддержки произвольного алгоритма хэширования для проверки пароля.
• Повышена стабильность работы Blitz Identity Provider при недоступности отдельных серверов с memcached.

Сервис единого входа

• Исправлена ошибка, что при настройке метода аутентификации FIDO2 в режиме обнаружения браузером на втором факторе аутентификации данный способ подтверждения входа предлагался всем пользователям, а не только тем, у кого привязаны ключи безопасности.
• В случае пользователь не смог войти в приложение из-за настроенного для приложения правила контроля доступа, и пользователь был перенаправлен на экран с отображением ошибки, то на отображаемом экране добавлена кнопка «Перевойти», чтобы пользователь мог запросить новый вход с использованием другой учетной записи.
• Исправлена ошибка с возможным циклическим редиректом при открытии страницы входа во фрейме.
• Добавлен сервис, предоставляющий информацию о состоянии приложения в виде метрик функционирования в формате Prometheus.

Регистрация, Личный кабинет, Восстановление пароля

• Если пользователь удалит устройство из списка запомненных устройств доступа, то это аннулирует SSO-сессии на удаленном устройстве.
• Добавлен сервис, предоставляющий информацию о состоянии приложения в виде метрик функционирования в формате Prometheus.

Консоль управления

• В настройках Добавлена возможность из процедуры входа до запуска идентификации и аутентификации проверить свойства запомненного пользователя, чтобы их можно было учесть для выбора предпочтительного способа аутентификации.
• Добавлена возможность настроить, чтобы настройки приложений хранились не внутри конфигурационного файла blitz.conf, а в отдельных файлах.
• Добавлен сервис, предоставляющий информацию о состоянии приложения в виде метрик функционирования в формате Prometheus.
• Исправлено, что данные могли не отправляться в RMQ после повторного подключения к серверу очередей после восстановления сервера очередей от сбоя.

Сервис единого входа

• Исправлена ошибка, что форма входа могла не открываться во встроенном браузере WebKit.
• Исправлена ошибка, что в атрибуты id_token нельзя было включить вычисляемый атрибут.
• Добавлена поддержка входа через Альфа ID.
• Исправлена ошибка, что при входе через внешний поставщик, к которому в Blitz Identity Provider привязано более 2 учетных записей, на выбор учетной записи для входа предоставлялось только 2 учетные записи.
• Добавлена возможность автоматически блокировать при входе учетные записи, по которым слишком долго не было активности.
• Исправлена ошибка, что при входе с помощью кода подтверждения, отправленного на SMS, могла автоматически не обновиться дата проверки актуальности телефона.
• Исправлена ошибка, что в режиме FIDO2 Client Discovery при входе пользователя по ключу безопасности если пользователь выбирает ключ, принадлежавший другому пользователю, чем последний запомненный при входе, то возникала ошибка. Теперь пользователь входит в учетную запись, соответствующую выбранному ключу.
• Исправлена внутренняя ошибка при входе, которая возникала при одновременном использовании pipe отображения пользователю сообщения при входе и запроса, доверяет ли пользователь использованному для входа устройству.

Регистрация

• Добавлен REST сервис /blitz/reg/api/v3/users для регистрации пользователей, использующий для авторизации access_token и позволяющий при регистрации выполнить дополнительные действия. Поддержано действие bindDynClient, что при регистрации учетной записи из мобильного приложения можно сразу ассоциировать учетную запись с выпущенной для экземпляра мобильного приложения пары client_id/client_secret.

Консоль управления

• На экране «О продукте» добавлено отображение домена, на котором развернут Blitz Identity Provider.
• Добавлена поддержка работы с группами каталога при использовании MS Active Directory.
• Добавлена возможность из процедуры входа до запуска идентификации и аутентификации проверить свойства запомненного пользователя, чтобы их можно было учесть для выбора предпочтительного способа аутентификации.
• Добавлена возможность уведомления пользователя о событиях удаления привязки внешних поставщиков идентификации.

Сервис единого входа

• Добавлены поддержка входа через ВТБ ID и через СберБизнес ID.
• Добавлена возможность подтверждать привязку внешнего поставщика при входе не только с помощью логина и пароля, но и через дополнительные способы (например, кодом из SMS)
• Исправлена ошибка с возможным искажением отображения времени действия QR-кода при входе по QR-коду
• Обеспечен запрет на использование TOTP-кода в параллельной сессии, если этот же код был использован при входе
• Исправлена ошибка 500 при попытке войти в заблокированную учетную запись с помощью средства электронной подписи или внешней учетной записи. Теперь выдается корректное сообщение об ошибке.
• Обновлена версия плагина Blitz Smart Card Plugin в составе Blitz Identity Provider до актуальной версии 1.19, в которой обеспечена поддержка использования ЭП в ОС RedOS и Astra Linux.
• При входе с помощью метода аутентификации «Прокси аутентификация» улучшена обработка заголовка X-SSL-Client-CERT, чтобы было возможно настроить вход на основе проверки HTTPS-сертификата на клиентском устройстве.
• Улучшено определение «Яндекс.Браузера», Chromium и Huawei-браузера при входе. Если ОС и браузер не удалось определить, то вместо unknown unknown пишется «Неизвестное устройство».
• Улучшена обработка запоминания пользователя. Теперь если запомненный пользователь в режиме запоминания одного пользователя на странице входа выбирает вход под другой учетной записью, то запомненная учетная запись очищается из браузера. Добавлена поддержка параметра bip_user_hint для программного выбора запомненной учетной записи.
• Повышена стабильность работы входа по SAML. Исправлена обработка ситуаций, в которых могла возникать 500 ошибка при входе.
• Исправлена ошибка, при входе по SMS на кнопке входа после нажатия отображалась надпись «loading».
• Расширены доступные режимы использования стандартного pipe для актуализации контактов при входе. Можно отдельно запросить про актуальность контакта без обязательного запроса изменения контакта при входе в случае неактуальности.

Регистрация, Личный кабинет, Восстановление пароля

• Добавлено API для привязки внешней учетной записи с известным внешним идентификатором. Для сервисов управления привязками соцсетей обеспечена поддержка авторизации по access_token (добавлена v3-версия сервисов).
• Исправлена ошибка, что при выключении внешнего поставщика идентификации в настройках в ЛК привязки продолжали показываться как картинки, но без подписей. Теперь привязки выключенных поставщиков в ЛК не показываются.
• При обмене маркера доступа с помощью grant_type=urn:ietf:params:oauth:grant-type:token-exchange исправлено, что в новом маркере не изменялся aud в соответствии с указанным в вызове параметре resource.

Консоль управления

• Для хранения записей о динамических client_id/client_secret можно ограничить время хранения с момента последнего использования client_id/client_secret
• Можно настраивать разные темы внешнего вида для страниц входа, страниц привязки, регистрации и восстановления пароля для входа в одно и тоже приложение. Для различия тем добавлены тэги.
• Можно для поставщика идентификации включить настройку «Разрешить привязывать одну учетную запись поставщика идентификации ко многим аккаунтам Blitz Identity Provider». Если одна внешняя учетная запись привязана к нескольким учетным записям в Blitz Identity Provider, то при входе внешней учетной записью Blitz Identity Provider предложит выбрать для входа привязанную из списка.
• Для входа в консоль администратора в режиме «Вход через SSO» обеспечено получение роли администратора из внешней IDP в атрибуте, заданном настройкой roleClaim. Для внешних учетных записей больше не требуется их предварительное заведение в меню «Администраторы».
• Добавлена возможность задавать настройки использования ключей безопасности FIDO2 через консоль управления.
• При аннулировании динамических client_id/client_secret теперь регистрируется событие безопасности.
• Добавлена возможность через консоль задавать следующие настройки восстановления пароля: «Атрибуты для проверки», «Общее количество попыток», «Время блокировки при превышении попыток, в мин.».
• Добавлена возможность через консоль задавать следующие настройки аутентификации в блоке «Основные настройки»: «Запоминание учетных записей», «Отображаемое имя пользователя», «Отображаемый идентификатор пользователя», «Отображать аватар», «Время отображения экрана логаута, сек.»
• Добавлена возможность через консоль задавать для методов аутентификации, связанных с вводом кода подтверждения, следующих настроек: «Количество попыток за 1 вход», «Общее количество попыток», «Время блокировки при превышении попыток, в мин.».
• Исправлена ошибка, что при удалении учетной записи о ней сохранялись права доступа, выданные на нее другим учетных записям, а также сохранялись настройки ключей безопасности.
• Исправлена ошибка отображения минут в поле «Последний вход» в блоке «Устройства пользователя».

Сервис единого входа

• Исправлена ошибка, что при нажатии «Назад» в браузере при возвращении на экран вспомогательного приложения (pipe) возникает ошибка 500.
• Дата актуальности контакта автоматически обновляется в случае успешного входа с проверкой кода подтверждения, отправленного на контакт.
• Исправлена ошибка, что если у пользователя на странице входа сохранен логин, то пользователь не может войти в систему с правильным паролем в случае, если его учетная запись перемещена в другое хранилище или у нее изменился DN в каталоге.
• Добавлена возможность объединять claims в группы в id_token.
• Добавлено сохранение в аудит результата выбора пользователем в экране, доверяет ли он устройству входа.
• Добавлена возможность из процедуры входа проверить, какие методы второго фактора доступны текущей учетной записи.
• Улучшено определение названия и версии операционных систем и браузеров.

Регистрация, Личный кабинет, Восстановление пароля

• Исправлена ошибка, что не работало удаление значения строкового атрибута при использовании @editAsText в шаблоне профиля.

Консоль управления

• Можно настраивать справочник прав доступа через консоль.
• Использование RabbitMQ теперь опционально при эксплуатации Blitz Identity Provider в связке с СУБД PostgreSQL.
• Повышена надежность Blitz Identity Provider в случае сбоев нод memcached.
• При редактировании пароля администратора добавлена проверка парольной политики.
• События назначения и отзыва прав доступа теперь показываются при выборе группы событий «Авторизация доступа».
• Добавлена регистрация событий безопасности с типом «Изменены настройки».
• Добавлена возможность подключаться к SMTP-серверу по mail.smtp.ssl.
• Добавлена возможность настройки парольной политики через консоль.
• Повышена надежность работы при сбоях сервера очередей RabbitMQ.

До 5.11.3

• Информация о изменениях и улучшениях, внесенных в более ранние версии Blitz Identity Provider, доступна по ссылке.