Единый вход

Важно, кто входит в ваши приложения — сотрудники компании, клиенты, покупатели, абоненты. У каждой категории пользователей есть свои особенности.

Если ваши приложения — для сотрудников компании, то безопасность входа — ключевая задача. При доступе к внутренним ресурсам (Интранет) сотрудники будут использовать принятые в компании методы аутентификации даже в ущерб удобству.

Напротив, для клиентов и покупателей важнее всего удобство использования. Используемые вашими Интернет-ресурсами технологии аутентификации и доступа не должны раздражать пользователей, а сам процесс входа должен быть максимально удобным и простым.

Сервер аутентификации Blitz Identity Provider отлично подходит для организации доступа как к Интранет, так и Интернет-ресурсам. Для каждой сферы применения можно настроить свои правила доступа и использовать наиболее подходящие методы входа. Например:

• Для корпоративной среды можно требовать строгую/усиленную аутентификацию с использованием смарт-карт/USB-токенов, аппаратных брелоков HOTP/TOTP, ключей безопасности FIDO2/U2F или можно разрешить сквозной вход в веб-приложения после аутентификации в корпоративном домене;
• Интернет-пользователям можно разрешить входить через соцсети (Яндекс, VK, Google), банки (Сбер ID, Тинькофф ID) или госуслуги (ЕСИА, Mos ID). При желании пользователи могут защитить свои аккаунты с помощью Passkey, SMS-кодов или специальных мобильных приложений (Google Authenticator, Яндекс.Ключ, Duo Mobile).

SAML 1.0, SAML 1.1, SAML 2.0

Сервер аутентификации Blitz Identity Provider поддерживает SAML — широко распространенный протокол, позволяющий подключить практически любое популярное корпоративное ПО или облачное приложение к сервису входа. Нужное вам приложение не поддерживает SAML? Посмотрите, SAML может быть дополнительной опцией или может потребоваться установка интеграционного коннектора/плагина.

Blitz Identity Provider позволяет использовать оба режима единого входа (SSO), предусмотренных SAML:

1. Приложение инициирует SSO. Для этого приложение обращается к серверу аутентификации Blitz Identity Provider с запросом на идентификацию пользователя. После успешной аутентификации приложение получает от Blitz Identity Provider специальный XML-документ, содержащий данные пользователя (SAML assertions).
2. Поставщик идентификации инициирует SSO. Здесь пользователь сначала входит в свой профиль Blitz Identity Provider, после чего переходит в нужное ему приложение. Сервер аутентификации Blitz Identity Provider перенаправляет пользователя в приложение, прикладывая к вызову требуемые для сквозного входа данные.

OpenID Connect 1.0 и OAuth 2.0

По сравнению с SAML, OpenID Connect (OIDC) / OAuth 2.0 — более современный протокол аутентификации, изначально ориентированный на работу с веб-приложениями в сети Интернет. Если вы создаете новое приложение, то гораздо проще подключить его к сервису авторизации по OIDC. Для разработчиков HTML5/JavaScript-приложений или мобильных приложений под IOS/Android в использовании OIDC также имеется ряд преимуществ.

Сервер аутентификации Blitz Identity Provider позволяет использовать OIDC / OAuth 2.0 в сценариях:

1. Приложение хочет идентифицировать пользователя. Для этого оно направляет пользователя в Blitz Identity Provider, где и происходит идентификация и аутентификация. После этого сервер аутентификации Blitz Identity Provider возвращает пользователя в приложение и передает специальный маркер (ID token). Получив данный маркер, приложение идентифицирует пользователя.
2. Приложение хочет вызывать сервисы другого приложения. Здесь приложение получает от Blitz Identity Provider маркер доступа (access token) на право вызывать сервисы другого приложения от имени определенного пользователя. Blitz Identity Provider выдает этот маркер только после того, как пользователь явно разрешил приложению получать данные о нем в некотором сервисе. Маркер доступа — это своеобразный билет, который используется приложением при обращении к ресурсу, предоставляющему данные. Конечно, пользователь может в любой момент отозвать это разрешение.

Веб-прокси для обеспечения SSO в устаревших веб-приложениях

SAML и OIDC позволяют подключить большинство приложений. Но что делать, если нужное вашей организации веб-приложение не поддерживает эти протоколы и не может быть доработано?

Для этого случая сервер аутентификации Blitz Identity Provider предоставляет следующий сценарий интеграции:

1. Доступ к развернутому в организации устаревшему веб-приложению настраивается через веб-прокси.
2. Производится интеграция веб-прокси с Blitz Identity Provider по специальному протоколу Simple.
3. Веб-прокси перехватывает запрос веб-приложением у пользователя ввода логина и пароля. Веб-прокси обращается к Blitz Identity Provider.
4. Blitz Identity Provider проводит идентификацию и аутентификацию пользователя. В случае успеха сервер аутентификации Blitz Identity Provider через веб-прокси подставляет логин и пароль пользователя в веб-приложение. В самый первый раз, когда Blitz Identity Provider еще не знает логин / пароль пользователя от веб-приложения, он запрашивает у пользователя эту информацию.

К серверу аутентификации Blitz Identity Provider можно подключить не только веб-приложения. Blitz Identity Provider уже совместим со многими корпоративными десктопными приложениями и нативными мобильными приложениями. Например, Blitz Identity Provider совместим с MS Office 365 и G Suite.

Blitz Identity Provider может выступать в качестве OAuth 2.0 сервера. Если вы разрабатываете нативное мобильное приложение, Blitz Identity Provider поможет вам быстро реализовать функцию привязки устройств и приложений к учетной записи пользователя, осуществления контроля доступа привязанных приложений к серверным программным интерфейсам (API).