Единый вход

Единый вход в приложения

Пользователи аутентифицируются в Blitz Identity Provider, а не в каждом приложении в отдельности. Так вы побеждаете парольный хаос: пользователи не сталкиваются с различными формами входа, не устают от многократного ввода логина и пароля при переключении между приложениями, им не нужно помнить много паролей.

С помощью сервера аутентификации Blitz Identity Provider вы сможете автоматически входить в приложения после успешного получения доступа к рабочей станции (операционной системе). Достаточно войти в домен — и при доступе к вашим веб-приложениям не нужно будет повторно вводить логин и пароль.

Технология единого входа Blitz Identity Provider не требует установки на устройства пользователя специальных программ и работает с любыми популярными клиентскими операционными системами и типами устройств (ПК, планшеты, смартфоны).

Single Sign-on для любых целей

Важно, кто входит в ваши приложения — сотрудники компании, клиенты, покупатели, абоненты. У каждой категории пользователей есть свои особенности.

Если ваши приложения — для сотрудников компании, то безопасность входа — ключевая задача. При доступе к внутренним ресурсам (Интранет) сотрудники будут использовать принятые в компании методы аутентификации даже в ущерб удобству.

Напротив, для клиентов и покупателей важнее всего удобство использования. Используемые вашими Интернет-ресурсами технологии аутентификации и доступа не должны раздражать пользователей, а сам процесс входа должен быть максимально удобным и простым.

Сервер аутентификации Blitz Identity Provider отлично подходит для организации доступа как к Интранет, так и Интернет-ресурсам. Для каждой сферы применения можно настроить свои правила доступа и использовать наиболее подходящие методы входа. Например:

  • для корпоративной среды можно требовать строгую/усиленную аутентификацию с использованием смарт-карт/USB-токенов или аппаратных брелоков HOTP/TOTP, можно разрешить сквозной вход в веб-приложения после аутентификации в корпоративном домене;
  • интернет-пользователям можно разрешить входить через соцсети (Facebook, ВКонтакте, Google) или госуслуги (ЕСИА). При желании пользователи могут защитить свои аккаунты с помощью SMS-кодов или специальных мобильных приложений (Google Authenticator, Яндекс.Ключ, Duo Mobile).

Поддерживаемые SSO-технологии

SAML 2.0 для подключения приложений к серверу аутентификации

SAML 1.0, SAML 1.1, SAML 2.0

Сервер аутентификации Blitz Identity Provider поддерживает SAML — широко распространенный протокол, позволяющий подключить  практически любое популярное корпоративное ПО или облачное приложение к сервису входа. Нужное вам приложение не поддерживает SAML? Посмотрите, SAML может быть дополнительной опцией или может потребоваться установка интеграционного коннектора/плагина.

Blitz Identity Provider позволяет использовать оба режима единого входа (SSO), предусмотренных SAML:

  1. Приложение инициирует SSO. Для этого приложение обращается к серверу аутентификации Blitz Identity Provider с запросом на идентификацию пользователя. После успешной аутентификации приложение получает от Blitz Identity Provider специальный XML-документ, содержащий данные пользователя (SAML assertions).
  2. Поставщик идентификации инициирует SSO. Здесь пользователь сначала входит в свой профиль Blitz Identity Provider, после чего переходит в нужное ему приложение. Сервер аутентификации Blitz Identity Provider перенаправляет пользователя в приложение, прикладывая к вызову требуемые для сквозного входа данные.

OAuth 2.0 и OIDC для подключения приложений к серверу аутентификации

OpenID Connect 1.0 и OAuth 2.0

По сравнению с SAML, OpenID Connect (OIDC) / OAuth 2.0 — более современный протокол аутентификации, изначально ориентированный на работу с веб-приложениями в сети Интернет. Если вы создаете новое приложение, то гораздо проще подключить его к сервису авторизации по OIDC. Для разработчиков HTML5/JavaScript-приложений или мобильных приложений под IOS/Android в использовании OIDC также имеется ряд преимуществ.

Сервер аутентификации Blitz Identity Provider позволяет использовать OIDC / OAuth 2.0 в сценариях:

  1. Приложение хочет идентифицировать пользователя. Для этого оно направляет пользователя в Blitz Identity Provider, где и происходит идентификация и аутентификация. После этого сервер аутентификации Blitz Identity Provider возвращает пользователя в приложение и передает специальный маркер (ID token). Получив данный маркер, приложение идентифицирует пользователя.
  2. Приложение хочет вызывать сервисы другого приложения. Здесь приложение получает от Blitz Identity Provider маркер доступа (access token) на право вызывать сервисы другого приложения от имени определенного пользователя. Blitz Identity Provider выдает этот маркер только после того, как пользователь явно разрешил приложению получать данные о нем в некотором сервисе. Маркер доступа — это своеобразный билет, который используется приложением при обращении к ресурсу, предоставляющему данные. Конечно, пользователь может в любой момент отозвать это разрешение.

веб-прокси для подключения приложений к серверу аутентификации

Веб-прокси для обеспечения SSO в устаревших веб-приложениях

SAML и OIDC позволяют подключить большинство приложений. Но что делать, если нужное вашей организации веб-приложение не поддерживает эти протоколы и не может быть доработано?

Для этого случая сервер аутентификации Blitz Identity Provider предоставляет следующий сценарий интеграции:

  1. Доступ к развернутому в организации устаревшему веб-приложению настраивается через веб-прокси.
  2. Производится интеграция веб-прокси с Blitz Identity Provider по специальному протоколу Simple.
  3. Веб-прокси перехватывает запрос веб-приложением у пользователя ввода логина и пароля. Веб-прокси обращается к Blitz Identity Provider.
  4. Blitz Identity Provider проводит идентификацию и аутентификацию пользователя. В случае успеха сервер аутентификации Blitz Identity Provider через веб-прокси подставляет логин и пароль пользователя в веб-приложение. В самый первый раз, когда Blitz Identity Provider еще не знает логин / пароль пользователя от веб-приложения, он запрашивает у пользователя эту информацию.

Автоматический вход в приложения после успешной аутентификации в ОС

«Зачем у меня просят ввести пароль при доступе к приложению, ведь я только что успешно прошел авторизацию при входе в ОС своей рабочей станции?» – таким вопросом задаются многие сотрудники компаний.

Чтобы исключить повторный запрос пароля, сервер аутентификации Blitz Identity Provider предоставляет функцию автоматического сквозного входа. Если пользователь прошел аутентификацию при входе в операционную систему своей рабочей станции, подключенной к Kerberos-серверу (например, контроллеру домена Active Directory), то доступ к веб-приложению через Blitz Identity Provider будет предоставлен автоматически.

Механизм сквозного входа в Blitz Identity Provider основан на технологии SPNEGO и стандарте GSSAPI. Воспользоваться сквозным входом можно как на ПК под управлением Windows, так и на рабочих станциях на основе macOS и Linux.

Единая учетная запись для всех типов приложений

К серверу аутентификации Blitz Identity Provider можно подключить не только веб-приложения. Blitz Identity Provider уже совместим со многими корпоративными десктопными приложениями и нативными мобильными приложениями. Например, Blitz Identity Provider совместим с MS Office 365 и G Suite.

Blitz Identity Provider может выступать в качестве OAuth 2.0 сервера. Если вы разрабатываете нативное мобильное приложение, Blitz Identity Provider поможет вам быстро реализовать функцию привязки устройств и приложений к учетной записи пользователя, осуществления контроля доступа привязанных приложений к серверным программным интерфейсам (API).