Единая система аутентификации Обзор решения Москва, 2012г.
SSO (Single Sign On) - Технология единого входа При входе в каждое приложение требуется ввод своего логина и пароля Требуется однократный ввод логина и пароля, единого для всех приложений
Преимущества SSO Уменьшение парольного хаоса при использовании в каждом приложении собственных пар логин-пароль. Поддержка единых для всех приложений механизмов аутентификации, таких как логин-пароль и цифровые сертификаты. Обеспечение единой системы безопасности на каждом уровне доступа к системе. Снижение расходов на IT-службу за счет уменьшения трудозатрат на управление учетными записями пользователей в различных системах. Уменьшение времени на повторный ввод пароля для одной и той же учетной записи. Недостатки SSO Увеличивающаяся важность единственного пароля, при получении которого злоумышленник получает доступ ко всем ресурсам пользователя, использующего единый вход. В качестве решения данной проблемы может применяться многоуровневая аутентификация с применением разных механизмов аутентификации.
Единый реестр пользователей предоставляет возможность: централизованно управлять учетными записями; вести аудит и мониторинг активностей пользователей в системах; понимать общее количество пользователей, количество активных и неактивных пользователей. Единый реестр информационных систем позволяет: централизованно управлять доступом пользователей ко всем системам – предоставлять или отзывать доступ ко всем системам (например, при увольнении); централизованно управлять доступом пользователей к отдельным разделам и отдельному функционалу в приложениях. Ролевая модель позволяет установить соответствие между должностью (ролью) сотрудника и набором приложений, доступных сотруднику. Гибкая настройка прав доступа, включая области видимости данных, например по территориальному или другим признакам. Поддержка различных платформ клиентских приложений: web-приложения (тонкий клиент); клиент-серверные приложения (толстый клиент) – благодаря наличию собственно SDK (комплект средств разработки). Возможности SSO
Обзор технической платформы Предлагаемое решение основано на продукте с открытым исходным кодом OpenAM, разработанное компанией Sun и в настоящее время сопровождаемое компанией ForgeRock. Продукт OpenAM является веб-приложением Java, которое можно развернуть в любом из основных используемых индустрией web- и app- контейнеров. Продукт реализует все основные протоколы аутентификации и авторизации, разработанные открытым ИТ-сообществом на данный момент. Продукт содержит набор сервисов и клиентских библиотек, которые могут использоваться клиентскими приложениями для обеспечения режима SSO как в рамках одного предприятия (домена), так и между разными доменами. Продукт имеет модульную расширяемую структуру, которая позволяет, в случае необходимости, переопределить поведение любого из базовых сервисов путем регистрации в системе собственных расширений (plug-ins).
Модель компонентов Веб-браузер конечного пользователя, запрашивающего защищенный ресурс. Веб-приложение заказчика, развернутое в web- либо app- контейнере и защищенное Агентом SSO. Агент SSO – поставляемое веб- приложение (filter) OpenAM, развернутое на защищенном ресурсе и перехватывающее все запросы к нему. Веб-приложение OpenAM, развернутое на выделенном контейнере сервлетов и предоставляющее пользователю страницы аутентификации, где он может ввести свои логин/пароль. Передает серверу SSO данные пользователя для аутентификации. OpenSSO Server – поставляемый сервер OpenAM/OpenSSO, осуществляющий аутентификацию пользователя, генерирует SSO- токены, поддерживает пользовательские сессии SSO. База конфигурационных и пользовательских данных (LDAP).
Бизнес-процесс аутентификации 1.Пользователь обращается к веб-ресурсу, защищенному Агентом SSO. 2.Если Агент SSO не находит в запросе session cookie, то перенаправляет запрос на общий сайт аутентификации ЕСА. 3.Веб-браузер пользователя выполняет запрос на страницу логина. 4.Страница логина возвращается пользователю. 5.Пользователь вводит логин/пароль и возвращает их сайту аутентификации. 6.Сайт аутентификации перенаправляет запрос на аутентификацию серверу SSO. 7.Сервер SSO проверяет входные параметры и, в случае успеха, открывает новую пользовательскую сессию SSO и формирует SSO token. 8.Сервер SSO возвращает SSO token на сайт аутентификации. 9.Сайт аутентификации формирует session cookie по полученному токену SSO, формирует redirect-запрос на полученный ранее адрес первичного запроса и возвращает его пользователю. 10.Веб-браузер пользователя перенаправляет пользователя на начальную страницу защищенного ресурса. 11.Агент SSO находит SSO Token в запросе. 12.Агент SSO выполняет запрос на проверку SSO token к серверу SSO. 13.Сервер SSO успешно валидирует SSO token и продлевает время жизни соответствующей активной сессии SSO. 14.Сервер SSO возвращает код успешной валидации агенту. 15.Агент SSO пропускает пользовательский запрос на защищенный ресурс и пользователь получает запрашиваемый контент.
Комплекс технических средств WSSO-DMZ1,2 - Реализует форму аутентификации системы ЕСА WSSO-HTTP1,2 - Принимает и обрабатывает запросы на аутентификацию WSSO-DS1,2 - Хранит учетные данные пользователей системы ЕСА WSSO-IDM1,2 - Управляет учетными записями Directory Server