Единая система аутентификации Обзор решения Москва, 2012г.

Презентация:



Advertisements
Похожие презентации
О принципах гарантированной защиты информации в сервис- ориентированных системах ЗАО «ИВК», 2008 г. Лекшин Олег Сергеевич, ведущий инженер – специалист.
Advertisements

Система усиленной аутентификации по отпечатку пальца.
Программное обеспечение как услуга (SaaS) Лекция 8.
Единая система идентификации и аутентификации (ЕСИА) – новый вид услуг инфраструктуры электронного правительства Круглый стол: «Госуслуги: аспекты информационной.
Разработка ПО Системная интеграция IT-аутсорсинг.
Blackberry Mobile Data System BLACKBERRY® ОТ МТС.
Реализация концепции построения и формирования отраслевой системы государственного учета, регистрации и мониторинга (ОСГУРМ) информационных ресурсов сферы.
Троицкий Д.И. Интернет-технологии1 ДИНАМИЧЕСКИЕ WEB-СТРАНИЦЫ СЕРВЕРНЫЕ СЦЕНАРИИ Лекция 9 Кафедра «Автоматизированные станочные системы» Dept. of Automated.
Интернет-сервис Dr.Web® AV-Desk Централизованно-управляемое комплексное решение для предоставления услуг информационной защиты неограниченному числу клиентов.
К построению и контролю соблюдения политик безопасности распределенных компьютерных систем на основе механизмов доверия А. А. Иткес В. Б. Савкин Институт.
Программное обеспечение как услуга (SaaS) Подготовлено для сайта SaaSCatalog.ru.
Универсальное решение для микрофинансовых организаций.
УФК по Республике Крым Установка и настройка программного обеспечения автоматизированного рабочего места пользователя системы «Электронный бюджет» Заместитель.
1 Тема 2.2. КОРПОРАТИВНЫЕ ПОРТАЛЫ: ПОНЯТИЕ, НАЗНАЧЕНИЕ И ТИПЫ ПОРТАЛ – это защищенная, базирующаяся в Web, удобная для использования фокусная точка доступа.
Симпозиум 2008 Сергей Шутов, ДИМАС Борис Егоров, Интерсистемс Практика использования Zen и Прототип-6.
1 Программный комплекс проекта «Электронная Сибирь»: структура и функциональные возможности О.Л.Жижимов Институт вычислительных технологий СО РАН Учреждение.
Дистанционное обучение Краткий обзор Михаил Гончаренко
Клиент банка под атакой © 2009, Digital Security.
Администрирование информационных систем Лекция 4. Система управления базами данных.
Методы и средства обеспечения информационной безопасности в системе 1С:Предприятие 8.1 П.Б.Хорев доцент кафедры информационной безопасности РГСУ.
Транксрипт:

Единая система аутентификации Обзор решения Москва, 2012г.

SSO (Single Sign On) - Технология единого входа При входе в каждое приложение требуется ввод своего логина и пароля Требуется однократный ввод логина и пароля, единого для всех приложений

Преимущества SSO Уменьшение парольного хаоса при использовании в каждом приложении собственных пар логин-пароль. Поддержка единых для всех приложений механизмов аутентификации, таких как логин-пароль и цифровые сертификаты. Обеспечение единой системы безопасности на каждом уровне доступа к системе. Снижение расходов на IT-службу за счет уменьшения трудозатрат на управление учетными записями пользователей в различных системах. Уменьшение времени на повторный ввод пароля для одной и той же учетной записи. Недостатки SSO Увеличивающаяся важность единственного пароля, при получении которого злоумышленник получает доступ ко всем ресурсам пользователя, использующего единый вход. В качестве решения данной проблемы может применяться многоуровневая аутентификация с применением разных механизмов аутентификации.

Единый реестр пользователей предоставляет возможность: централизованно управлять учетными записями; вести аудит и мониторинг активностей пользователей в системах; понимать общее количество пользователей, количество активных и неактивных пользователей. Единый реестр информационных систем позволяет: централизованно управлять доступом пользователей ко всем системам – предоставлять или отзывать доступ ко всем системам (например, при увольнении); централизованно управлять доступом пользователей к отдельным разделам и отдельному функционалу в приложениях. Ролевая модель позволяет установить соответствие между должностью (ролью) сотрудника и набором приложений, доступных сотруднику. Гибкая настройка прав доступа, включая области видимости данных, например по территориальному или другим признакам. Поддержка различных платформ клиентских приложений: web-приложения (тонкий клиент); клиент-серверные приложения (толстый клиент) – благодаря наличию собственно SDK (комплект средств разработки). Возможности SSO

Обзор технической платформы Предлагаемое решение основано на продукте с открытым исходным кодом OpenAM, разработанное компанией Sun и в настоящее время сопровождаемое компанией ForgeRock. Продукт OpenAM является веб-приложением Java, которое можно развернуть в любом из основных используемых индустрией web- и app- контейнеров. Продукт реализует все основные протоколы аутентификации и авторизации, разработанные открытым ИТ-сообществом на данный момент. Продукт содержит набор сервисов и клиентских библиотек, которые могут использоваться клиентскими приложениями для обеспечения режима SSO как в рамках одного предприятия (домена), так и между разными доменами. Продукт имеет модульную расширяемую структуру, которая позволяет, в случае необходимости, переопределить поведение любого из базовых сервисов путем регистрации в системе собственных расширений (plug-ins).

Модель компонентов Веб-браузер конечного пользователя, запрашивающего защищенный ресурс. Веб-приложение заказчика, развернутое в web- либо app- контейнере и защищенное Агентом SSO. Агент SSO – поставляемое веб- приложение (filter) OpenAM, развернутое на защищенном ресурсе и перехватывающее все запросы к нему. Веб-приложение OpenAM, развернутое на выделенном контейнере сервлетов и предоставляющее пользователю страницы аутентификации, где он может ввести свои логин/пароль. Передает серверу SSO данные пользователя для аутентификации. OpenSSO Server – поставляемый сервер OpenAM/OpenSSO, осуществляющий аутентификацию пользователя, генерирует SSO- токены, поддерживает пользовательские сессии SSO. База конфигурационных и пользовательских данных (LDAP).

Бизнес-процесс аутентификации 1.Пользователь обращается к веб-ресурсу, защищенному Агентом SSO. 2.Если Агент SSO не находит в запросе session cookie, то перенаправляет запрос на общий сайт аутентификации ЕСА. 3.Веб-браузер пользователя выполняет запрос на страницу логина. 4.Страница логина возвращается пользователю. 5.Пользователь вводит логин/пароль и возвращает их сайту аутентификации. 6.Сайт аутентификации перенаправляет запрос на аутентификацию серверу SSO. 7.Сервер SSO проверяет входные параметры и, в случае успеха, открывает новую пользовательскую сессию SSO и формирует SSO token. 8.Сервер SSO возвращает SSO token на сайт аутентификации. 9.Сайт аутентификации формирует session cookie по полученному токену SSO, формирует redirect-запрос на полученный ранее адрес первичного запроса и возвращает его пользователю. 10.Веб-браузер пользователя перенаправляет пользователя на начальную страницу защищенного ресурса. 11.Агент SSO находит SSO Token в запросе. 12.Агент SSO выполняет запрос на проверку SSO token к серверу SSO. 13.Сервер SSO успешно валидирует SSO token и продлевает время жизни соответствующей активной сессии SSO. 14.Сервер SSO возвращает код успешной валидации агенту. 15.Агент SSO пропускает пользовательский запрос на защищенный ресурс и пользователь получает запрашиваемый контент.

Комплекс технических средств WSSO-DMZ1,2 - Реализует форму аутентификации системы ЕСА WSSO-HTTP1,2 - Принимает и обрабатывает запросы на аутентификацию WSSO-DS1,2 - Хранит учетные данные пользователей системы ЕСА WSSO-IDM1,2 - Управляет учетными записями Directory Server