Релизы Blitz Identity Provider

Релизы

Релиз 2.28

Сервис единого входа

  • Обработка входа пользователя при передаче параметра prompt=login при вызове Authorization Endpoint (/oauth/ae) приведена в соответствии со спецификацией OpenID Connect. При форсированной аутентификации пользователь должен осуществить вход именно под своей учетной записью. Если будет произведен вход под другой учетной записью, то Blitz Identity Provider вернет приложению ошибку login_required. Если для приложения при использовании prompt=login нужна именно возможность входа под другим пользователем, то это можно обеспечить через задание приложению специальной процедуры входа с поведением LOGOUT_THEN_MORE.
  • Появилась возможность сквозного входа на сайт (без запроса логина/пароля) при вызове в WebView из мобильного приложения и наличии установленной приложением cookie с именем cookieShortSession.

Регистрация

  • Добавлена возможность отправить пользователям по SMS или по email уведомление об успешной регистрации учетной записи.

Консоль управления

  • Исправлена ошибка, что при отключении в «Сервисы самообслуживания» функции «Личный кабинет» приложение все равно продолжало работать.
  • Расширены функциональные возможности процедур входа:
      • Добавлена возможность анализировать переданные при вызове Authorization Endpoint параметры. Например, можно переопределить логику работу процедуры входа при наличии в параметре вызова /oauth/ae параметра prompt=login.
      • К возможным возвратам метода begin добавлен StrategyState.LOGOUT_THEN_MORE, определяющий, что при попытке входа пользователя в приложение нужно принудительно прекратить текущую действующую сессию и провести новую идентификацию и аутентификацию пользователя. При этом допускается, что идентификация и аутентификация могут быть пройдены в отношении иного пользователя.

Релиз 2.27

Сервис единого входа

  • Исправлена ошибка, что в некоторых случаях пользователям отправлялись лишние уведомления о входе с неизвестного устройства.

Личный кабинет

  • Встроена защита от CSRF-атаки (межсайтовая подделка запросов).

Консоль управления

  • Убрана возможность посмотреть заданные в настройках пароли подключения к LDAP, к SMS‑шлюзу, к SMTP, к социальным сетям. Вместо поля «Пароль» предусмотрена ссылка «Изменить значение». Заданный пароль можно только заменить на новый. Возможность посмотреть пароли сохранена только для настроек приложений (можно посмотреть заданный для приложения client_secret, нажав кнопку с изображением глаза).
  • Добавлена возможность настроить максимально разрешенное количество попыток ввода кода подтверждения, направленного в SMS. Ранее было жестко ограничено 10 попытками.

Релиз 2.26

Сервис единого входа

  • Добавлена возможность входа с использование Сбербанк ID.

Релиз 2.25

Сервис единого входа

  • Добавлена поддержка проверки электронной подписи по ГОСТ Р 34.10-2012 в случае, если проверка электронной подписи в Blitz Identity Provider выполняется без использования вызова внешнего сервиса проверки электронной подписи.
  • В записях аудита для входов с использованием OAuth 2.0 Resource Owner Password Credentials Flow теперь фиксируется client_id.
  • Для сервиса Authorization Endpoint (/oauth/ae) добавлен опциональный режим prompt=login. При запросе входа в таком режиме пользователю будет показан экран входа, даже если он уже входил или у него есть долгосрочная сессия.
  • Обеспечена поддержка спецификации PKCE в соответствии с RFC 7636.
  • Возврат ошибок обработчика Token Endpoint (/oauth/te) приведен в соответствии с RFC 6748:
    • Код возврата при ошибке – 400 Bad Request, а не 200 OK.
    • При ошибке проверки username/password при вызове в режиме grant_type=password теперь возвращается ошибка invalid_grant, а не access_deny.

Консоль управления

  • Добавлена возможность просматривать привязанные к учетным записям пользователей выпущенные динамические client_id привязанных мобильных приложений.
  • В OAuth 2.0 настройках приложений теперь можно регулировать необходимость задействовать для приложения PKCE, ограничить доступные для приложения способы аутентификации, разрешенные приложению Flow (grant type и response type).

Релиз 2.24

Сервис единого входа

  • Добавлена защита от атаки подбора пароля. При попытке подбора пароля к учетной записи включается задержка на вход, а также блокируется возможность входа данной учетной записью в параллельной сессии.
  • Обеспечен вывод красивого сообщения об ошибке, если при принудительной смене пароля при входе пользователь вводит пароль из числа ранее использованных, и парольная политика в LDAP запрещает это.
  • Улучшена работа с пулом LDAP-соединений для обработки ситуации недоступности LDAP‑каталога или аварийного прерывания каталогом соединения.
  • HTTP-код редиректа с обработчика Authorization Endpoint изменен с 303 на 302.
  • Добавлена поддержка OAuth0 Dynamic Client Registration в соответствии с RFC 7591 и специальных возможностей по интеграции для мобильных приложений.

Личный кабинет

  • Ссылки на установку TOTP‑приложений при настройке второго фактора аутентификации теперь открываются в новом окне.
  • При изменении номера мобильного телефона теперь показывается обратный отсчет времени, доступного для ввода кода. Также ограничено количество попыток ввода кода подтверждения при смене телефона.
  • Исправлено, что при открытии меню «Безопасность» всегда по умолчанию теперь будет открыта самая левая вкладка (обычно «Смена пароля»).
  • Добавлено отображение на вкладке «Разрешения» выданных явно пользователем разрешений и привязанных к учетной записи пользователя установок мобильных приложений.

Консоль управления

  • Исправлена работа задания SAML‑настроек приложения для случая, что в названии SAML‑атрибута присутствовал дефис.
  • В настройка метода аутентификации «Логин и пароль» добавлена настройка для включения защиты от подбора пароля. Возможно включить как защиту от перебора пароля на конкретную учетную запись, так и подбора пароля на множество разных учетных записей.
  • В OAuth0 настройках приложения можно на новой вкладке «Динамические клиенты» включить режим OAuth 2.0 Dynamic Client Registration и задать его настройки.

Релиз 2.23

Сервис единого входа

  • Если обнаружено, что пользователю необходимо сменить пароль при входе, то теперь проверяется тип источника учетной записи пользователя. Для источников с пометкой «Только для чтения» пользователю не предлагается сменить пароль, а просто выводится сообщение об ошибке входа с пояснением.

Личный кабинет

  • Появилась вкладка «Разрешения», на которой показываются выданные пользователем разрешений на вход в приложения. В списке появляются только те разрешения, которые явно выдавал пользователь (у приложений в настройках OAuth не включен чекбокс «Не требовать от пользователя согласие на предоставление доступа к данным о себе».

Релиз 2.22

Восстановление пароля

  • На экране восстановления пароля теперь не нужно выбирать, производится ли восстановление пароля по email или по телефону. Достаточно просто ввести логин – если введен email, будет запущено восстановление по email, если телефон – то по телефону, если же введен какой-то иной логин, то будет проверено, что у пользователя по этому логину есть email и/или телефон, и пользователю будет предложено выбрать из доступных для него каналов восстановления (показанные для выбора телефон и email при этом будут частично маскированы).

Релиз 2.21

Регистрация, личный кабинет, восстановление пароля

  • Поле для задания пароля при регистрации, смене пароля в личном кабинете, задании нового пароля при восстановлении пароля снабжено индикатором стойкости и соответствия парольной политике
  • Предотвращена ситуация, при которой можно было добиться регистрации двух учетных записей с одинаковым мобильным телефоном несмотря на установленный признак уникальности мобильного телефона

Релиз 2.20

Сервис единого входа

  • Страница ошибки «Ваша сессия просрочена» (если больше часа находится на экране входа, а потом попробовать войти) выдается теперь не на белом экране, а в дизайне страницы входа.

Консоль управления

  • Добавлена возможность в настройках самообслуживания включить/выключить отображение в Личном кабинете вкладок с событиями, а также ограничить период, за который пользователем доступен поиск/просмотр событий аудита с их учетной записью.

Релиз 2.19

Личный кабинет, восстановление пароля

  • Добавлена проверка парольной политики (по длине и допустимым символам) при смене в личном кабинете и при восстановлении пароля (парольная политика задается в blitz.conf в блоке password-policy). Проверка выполняется до отправки в LDAP, позволяет пользователя предупредить о неподходящем пароле еще до момента, когда сработает парольная политика внутри LDAP.

Релиз 2.18

Сервис единого входа

  • Увеличена производительность входа по логину/паролю, если в качестве логина учетной записи используется дополнительный атрибут (хранимый внутри Blitz, а не во внешнем источнике).
  • Оптимизирована работа Blitz с oauth bucket. Исключено использование индексов. Добавлен TTL 1 год для refresh tokens.
  • Переделан механизм работы с долгосрочными сессиями. Создан метод аутентификации 1 фактора «Вход с известного устройства», позволяющий провести автоматический вход в случае, если:
    • ранее пользователь успешно вошел с этого же устройства с явно выключенным признаком «чужой компьютер» и с момента такого входа не прошел период «Срок действия долгосрочной сессии»;
    • вычисленный в момент входа цифровой отпечаток устройства не изменился с момента первичного входа;
    • пользователь не делал логаут и не очищал куки;
    • пользователь не удалял устройство в личном кабинете на вкладке «Устройства»;
    • учетная запись пользователя не заблокирована.
  • Если пользователь входил в Blitz методом аутентификации, отличным от «Логин и пароль» и «SMS-код подтверждения», то долгосрочная сессия не создается. Например, для тех, кто входит по «Вход с рабочего компьютера», «Вход с помощью электронной подписи» или через внешний поставщик идентификации, вход будет проходить каждый раз после перезапуска браузера.

Личный кабинет

  • Исправлено отображение в личном кабинете событий аудита и устройств при большом кол-ве записей в БД
  • Исправлена работа личного кабинета на смартфоне в вертикальной ориентации:
    • кнопки привязки и удаления соц.сетей не налезают друг на друга
    • добавлена горизонтальная прокрутка устройств и событий
  • Исправлена ошибка, что при смене пароля при установленной настройке «Уведомлять пользователя о событиях — Смена пароля») пользователю приходило два уведомления вместо одного

Консоль управления

  • Исправлено, что измененный вручную в конфиге credentials пароль администратора не зашифровывался при перезапуске blitz-console
  • Исправлена ошибка, что в консоли управления можно было создать более одной учетной записи администратора с одинаковым логином
  • Ускорен поиск событий аудита в Blitz Console. Но теперь при поиске нужно обязательно задать поисковое условие в поле Субъект или Объект
  • Включить и выключить метод «Вход с известного устройства» можно без перезапуска Blitz Identity Provider.
  • В аудите вход по методу «Вход с известного устройства» протоколируется как «вход с известного устройства (…)», где вместо … указывается тот метод входа, который был использован в первый раз в момент создания сессии. Например, «вход с известного устройства (пароль)».
  • Настройка длительности долгосрочной сессии перенесена в консоли управления из экрана общий настроек аутентификации в экран нового метода «Вход с известного устройства».

Релиз 2.17

Сервис единого входа

  • Новые способы входа: Яндекс, Одноклассники.
  • Изменен дизайн страницы входа:
      • Кнопки входа через социальные сети всегда показываются в одну строку. Если настроено до 2 социальных сетей, то кнопки широкие с иконкой и надписью. Если 3 и более социальные сети, то кнопки в виде иконок.
      • Кнопка входа через ЕСИА отображается в виде широкой кнопки с логотипом «Госуслуги».
      • Ссылка «Другие способы входа» заменена на кнопку и отображается только в случае, если кол-во альтернативных способов входа больше 3. Иначе другие способы входа отображаются сразу в виде кнопок.
      • На экранах входа с помощью электронной подписи, входа с помощью сеанса ОС, входа с помощью СМС-кода, убран список других способов входа – оставлена только кнопка «Другие способы входа», ведущая на основной экран страницы входа.
      • Добавлена возможность просмотра введенного/подставленного пароля на странице входа (кнопка «глаз» внутри поля «Пароль»).
      • Добавилась возможность через настройки шаблона внешнего вида регулировать начальное состояние чекбокса «Чужой компьютер».
  • Улучшения программных интерфейсов (API) сервера аутентификации и механизмов интеграции:
      • Добавлено API для возможности запроса аутентификации по логину/паролю из фрейма/модального окна приложения заказчика.
      • Повышена надежность взаимодействия Blitz Identity Provider с LDAP-серверами. Теперь Blitz Identity Provider можно подключить к кластеру LDAP-серверов, прописав в DNS для хоста LDAP несколько IP-адресов каждой из нод кластера. Blitz Identity Provider будет распределять коннекты среди работающих нод LDAP-кластера.
  • Оптимизирована регистрация событий аудита. Теперь на одно событие входа генерируется одна запись аудита.
  • Оптимизирована работа сервиса /oauth/me в случае использования нескольких источников данных. Теперь сервис для получения данных обращается только к тому хранилищу, в котором был найден пользователь в момент выпуска access_token.
  • Исправлены ошибки:
      • При входе через социальную сеть при вводе неправильного логина/пароля для привязки аккаунта социальной сети к аккаунту пользователя выводилась «внутренняя ошибка», а не «неправильный логин или пароль»
      • В выпущенном id_token утверждение exp указывалось в миллисекундах с момента выпуска токена, а не с 1970 года, как это должно быть в соответствии со спецификацией.
      • При повторном входе через социальную сеть все время крутился спиннер входа.
      • Ошибка с привязкой аккаунта к социальной сети при входе, если пользователь 3 раза неправильно ввел пароль.
      • Зацикливание при смене пароля при входе, что при каждом новом входе опять запрашивалась смена пароля.

Личный кабинет

  • Добавлено API привязки/отвязки социальных сетей для встраивания функции в приложение заказчика.

Консоль управления

  • Появилась настройка «Режим выдачи маркеров доступа по умолчанию». Если она в значении offline, то приложение получает refresh_token, если online, то не получает. Также приложение может само регулировать, получать или нет refresh_token, если в обращении к OAuth 2.0 Authorization Endpoint будет указывать опциональный параметр access_type=online/offline
  • В настройках подключения к LDAP появилась возможность задать параметры балансировки соединений к LDAP-кластеру.
  • Улучшена настройка процедур входа:
      • из процедуры входа можно обращаться к cookie
      • из процедур входа можно делать вызовы внешних сервисов.
  • Добавлены настройки подключения социальных сетей Яндекса и Одноклассников.
  • В настройках сервисов самообслуживания для «Личный кабинет» теперь можно сконфигурировать URL возврата при логауте.
  • В просмотре событий безопасности убрана настройка сортировки событий аудита по датам. Сортировка теперь всегда по убыванию даты в целях повышения производительности. Ускорен поиск событий аудита в случае большого кол-ва событий.
  • Исправлен перевод интерфейса на английский язык, а также переход к экрану настроек лицензий в интерфейсе консоли на английском языке.

Релиз 2.16

Сервис единого входа

  • Улучшен процесс связывания учетных записей при входе через социальные сети. Если не прошел автоматический маппинг учетки при входе, то пользователь может:
      • сообщить, что у него уже есть учетная запись и ввести от нее логин/пароль;
      • пройти регистрацию.
  • Исправлена 500-ошибка «No idp login context available» при взаимодействии по SAML систем с Blitz Identity Provider.

Восстановление пароля

  • Ссылку на восстановление пароля теперь можно вызывать в сессии авторизованного пользователя (если пользователь хочет восстановить пароль, не выполняя логаут).
  • Ссылка на восстановление пароля добавлена на экран смены пароля в личном кабинете (если пользователь хочет сменить пароль от учетной записи, но не помнит текущее значение пароля).
  • Улучшено отображение приложений в Internet Explorer.

Консоль управления

  • Настройки приложений:
      • Установка допустимых URL-возврата после логаута.
      • Указание, какие атрибуты пользователя/сессии должны передаваться в id_token.
  • Настройки источников данных:
        • Изменен дизайн экрана настроек. Теперь раздельно задаются настройки хранимых атрибутов, настройки вычисляемых атрибутов, правила преобразования атрибутов из входящих значений (вводимых пользователем или переданных в API) и выходящих значений (подготовленных Blitz Identity Provider для передачи подключенным приложениям).
        • Появилась возможность выполнять преобразования над multi-value-атрибутами.
  • Настройки социальных сетей:
      • Добавлена возможность настроить обновление в источниках данных интересующих атрибутов учетной записи значениями атрибутов из социальной сети или ЕСИА при каждом входе пользователя. Регулируется колонкой «Мастер» в таблице настроек сопоставления атрибутов учетной записи Blitz Identity Provider атрибутам, полученным из социальной сети, в настройках «Поставщики идентификации».
      • Добавлена настройка «Предлагать пользователю ввести логин и пароль для привязки, если учетная запись не была идентифицирована».
  • Механизмы безопасности консоли управления:
      • Добавлено ролевое разграничение доступа в консоль управления.
      • Добавлена возможность заведения учетных записей администраторов через консоль управления (меню «Администраторы»).
      • При длительной неактивности администратора в консоли управления его теперь просят войти повторно.

Релиз 2.15

Сервис единого входа

  • Создан сервис метаданных /oauth/.well-known/openid-configuration. Сервис соответствует спецификации OpenID Connect Discovery0.
  • Изменения в работе функции логаута:
    • При логауте выполняется проверка, что URL возврата в числе разрешенных.
    • При вызове сервиса единого логаута ссылку на URL-возврата теперь можно передавать в параметре с именем post_logout_redirect_uri в соответствии со спецификацией OpenID Connect Session Management 1.0.
    • Улучшена обработка ошибок на странице единого выхода.

Консоль управления

  • Добавлена возможность указывать разрешенные приложению OAuth-scope.
  • В настройках аутентификации с помощью сеанса операционной системы теперь можно задать подключение одновременно к нескольким Kerberos-серверам и задать несколько SPN/keytab.

Релиз 2.14

Сервис единого входа

  • При входе по электронной подписи теперь можно вызывать проверку действительности сертификата через внешний сервис проверки.
  • Приложение может вызывать сервис единого входа с использованием Hybrid Flow по спецификации OpenID Connect.
  • Улучшена поддержка работы с LDAP-хранилищами, расположенными на удаленных площадках, сетевые соединения с которыми нестабильны. Blitz Identity Provider обеспечивает поддержание соединений с такими LDAP в рабочем состоянии и автоматически возобновляет соединения при необходимости. Этот режим рекомендуется использовать при подключении Blitz Identity Provider к Azure AD Domain Services.

Консоль управления

  • В настройках приложения client-secret и пароль приложения теперь хранятся в зашифрованном виде. В консоли добавлена возможность по нажатию на изображение «глаза» посмотреть значения этих параметров.
  • Настройки источников данных:
    • Для REST-хранилищ добавлена возможность указать подмножество атрибутов, управляемых REST-хранилищем. Прочие атрибуты в этом случае обрабатываются Blitz Identity Provider самостоятельно.
    • Уточнены встроенные справки-описания по настройке подключения хранилищ учетных записей через REST‑API.
  • Работа с процедурами входа добавлена в редакцию Standard Edition.

Релиз 2.13

Сервис единого входа

  • В Standard Edition добавлен режим входа по сеансу ОС (Kerberos). Ранее этот режим был доступен только в Enterprise Edition.

Регистрация, личный кабинет, восстановлении пароля

  • Сделана HTML-верстка стандартных писем, отправляемых при регистрации, смене и восстановлении пароля, изменении email

Консоль управления

  • Во вкладке «Процедуры входа» созданы процедуры входа для распространенных сценариев контроля доступа пользователей в приложения.
  • Много эргономических улучшений: исправление верстки, исправления текстов подсказок, повышение отзывчивости интерфейса.

Релиз 2.12

Сервис единого входа

  • Новый режим входа – «долгосрочная сессия». При входе с доверенного компьютера пользователь остается залогиненным на длительный срок – сессия не прекращается в случае перезапуска браузера.

Регистрация, личный кабинет, восстановлении пароля

  • Пользователь может зарегистрироваться с использованием средства электронной подписи. Атрибуты предзаполняются из сертификата пользователя либо дополнительно вводятся пользователем на отдельной странице ввода.
  • При регистрации через социальную сеть теперь пользователь может задать значения недостающих для регистрации атрибутов (если для регистрации нужно больше атрибутов, чем получено из социальной сети).
  • При регистрации теперь может вызываться проверка введенных пользователем данных во внешней системе (например, кадровой системе), и получения из внешней системы дополнительных сведений.

Консоль управления

  • Администрирование пользователей:
    • можно изменить пользователю пароль
    • можно блокировать/разблокировать учетную запись. С помощью заблокированной учетной записи нельзя войти в приложения.
  • Настройки источников данных:
    • Можно пометить хранилище признаком «только для чтения». Для учетных записей из такого хранилища не будут доступны операции регистрации, смены атрибутов учетной записи и пароля.
    • При регистрации учетных записей можно настроить их хранение в разных DN.
  • Назначенная приложению процедура входа начинает действовать сразу. Перезапускать сервер Blitz Identity Provider для применения настройки теперь не нужно.

Релиз 2.11

Сервис единого входа

  • Новый способ входа (1-й фактор) – пользователь указывает номер телефона и полученный по SMS на этот телефон разовый пароль.

Регистрация, личный кабинет, восстановлении пароля

  • Для активации учетной записи можно использовать мобильный телефон и подтверждение регистрации по SMS.
  • При заполнении значений атрибутов можно использовать атрибуты со списками значений.
  • Добавлен режим восстановления пароля с использованием привязанного номера телефона и отправки проверочной SMS.

Консоль управления

  • Администрирование пользователей – можно редактировать атрибуты с типом «массив строк» (раньше можно было редактировать только single-value атрибуты)
  • Настройки источников данных:
    • Можно подключить несколько LDAP-хранилищ с разным набором атрибутов, разными названиями атрибутов, разным форматом значений атрибутов.
    • Упрощена настройка атрибутов. Теперь если атрибут учетной записи не хранится во внешнем хранилище, то он хранится во внутренней БД Blitz Identity Provider. Отдельно это настраивать для атрибута не нужно.

Релиз 2.10

Сервис единого входа

  • В случае успешной аутентификации теперь запоминается логин. При повторных входах пользователю его вводить не нужно. Если пользователь входит с чужого ПК и не хочет, чтобы информация о его входе сохранилась на этом устройстве, то он может отметить чекбокс «Чужой компьютер».
  • При включенном режиме аутентификации «Вход с известного устройства» если у пользователя активирована двухфакторная аутентификация, то она будет запрашиваться только при первом входе с новых (незнакомых) устройств. Устройство становится знакомым, если пользователь с него успешно вошел и в процессе входа снял чекбокс «Чужой компьютер».
  • Новый способ двухфакторной аутентификации с помощью Duo Mobile.

Личный кабинет

  • Появилась возможность настраивать привязку устройств Duo Mobile.

Консоль управления

  • Добавлены разделы настроек «Duo push-аутентификация», «Вход с известного устройства».
  • Добавлена возможность просмотреть доступные лицензии Blitz Identity Provider.
  • Исправлена ошибка, что созданные атрибуты с источником «Хранилище доп. атрибутов» нельзя было получать и редактировать через REST API.
  • Исправлена ошибка, что при переименовании в «Хранилище» атрибута некоторые экраны консоли могли перестать работать, если в указанных на этих экранах настройках использовался переименованный атрибут.
  • В разделе «Пользователи» появилась возможность задать настройки привязки Duo‑аутентификаторов, а также привязки аппаратных TOTP-генераторов.
  • В разделе «Устройства» появилась возможность загружать файлы описаний аппаратных TOTP‑генераторов. Появилась поддержка загрузки файлов формата PSKC XML.
  • В Standard Edition появилась функция резервного копирования и восстановление внутренней БД через консоль управления, а также настройки по автоматическому выполнению резервного копирования.
  • Настройки Twirl-шаблонов для Регистрации и для Личного кабинета унифицированы.
  • Предусмотрена возможность в Twirl-шаблонах использовать строки с поддержкой переводов.
  • Улучшена работа с LDAP. Теперь заданные настройки подключения к LDAP вступают немедленно и не требуют перезапуска сервера Blitz Identity Provider.
  • Улучшены возможности настройки входа через Госуслуги (ЕСИА). Добавлены возможности привязки по СНИЛС, email, телефону, ИНН, паспортным данным и ФИО.

Релиз 2.9

Общие улучшения

  • Повышена надежность и производительность Blitz Identity Provider. Выполнена замена СУБД Riak KV на СУБД Couchbase Server, используемой в качестве внутренней СУБД в Blitz Identity Provider. Производительность повышена до ~1000 запросов в секунду для одного сервера с Blitz Identity Provider при среднем времени отклика ~100 мс.
  • Добавлены экраны-заглушки в дизайне Blitz Identity Provider для стандартных ошибок HTTP (страница не найдена, шлюз не отвечает, внутренняя ошибка).

Сервис единого входа

  • При отмене входа через социальную сеть или через сеанс ОС пользователь теперь сразу возвращается на главный экран входа.
  • Поддержана возможность входа по электронной подписи в Firefox v.52 и новее.
  • При входе по электронной подписи теперь не разрешается пытаться входить с помощью просроченного сертификата электронной подписи.
  • Добавлена возможность входа через социальные сети в Standard Edition.
  • Добавлено протоколирование событий входа при использовании OAuth 2.0 Resource Owner Password Credentials Flow.

Регистрация, личный кабинет

  • При регистрации теперь можно задать не только email и пароль, но и другие атрибуты учетной записи. Например, можно настроить, чтобы при регистрации пользователи указывали ФИО.
  • Приложение «Профиль пользователя» переименовано в «Личный кабинет».
  • В личном кабинете добавлена возможность редактировать атрибуты пользователя (с возможностью подтверждения по email и SMS).
  • В личном кабинете теперь нельзя включить двухфакторную аутентификацию, если не настроен ни один метод второго фактора аутентификации.
  • Отвязка аккаунта социальной сети теперь протоколируется в журнале событий безопасности.
  • Переименованы названия устройств (MAC на Mac, WINDOWS на Windows PC, IPHONE на iPhone и т.д.).
  • Когда привязаны все социальные сети, пользователю теперь не выдается надпись, что доступные для привязки аккаунты социальных сетей не найдены.

Консоль управления

  • Добавлен раздел «Сервисы самообслуживания», позволяющий настроить работу приложений «Регистрация», «Личный кабинет», «Восстановление доступа», а также включить и выключить размещение на них ссылок в окне входа.
  • Незначительные изменения пользовательского интерфейса (исправлены названия некоторых пунктов меню и текстовые подсказки в интерфейсе).
  • Расширены возможности настроек метода аутентификации TOTP.
  • Обеспечена возможность работать с аппаратными TOTP-генераторами и загрузки файлов их описаний в разделе «Устройства».
  • Исправлена ошибка с тем, что не работало изменение названий темы внешнего вида страниц входа и имени шаблона.
Top