Единая аутентификация для корпоративных приложений
Единая аутентификация для корпоративных приложений (Single Sign-On или просто SSO) – это технология, с помощью которой пользователь может входить не только в десктопные информационные системы своей организации, но и в их мобильные версии, используя один набор данных. То есть, вход в них предельно упрощён, а также удовлетворена потребность в централизованном доступе и простом управлении учётными записями для сотрудников корпорации.
Первые стандарты (например, Kerberos) были несовершенными. Но с появлением облачных технологий появились новые, они позволили создать относительно безопасное соединение приложений не только с корпоративными, но и со сторонними веб-ресурсами. И сегодня SSO по достоинству оценили пользователи, отмечая удобство и простоту в работе, однократное введение пароля, а не нескольких, которые ранее приходилось запоминать и вводить при каждом входе.
Как работает Single Sign-On?
Пользователь вводит пароль один раз, и создаваемая сессия признаётся всеми ресурсами, подключёнными к системе. После этого identity-провайдер – IdP – формирует зашифрованный для защиты конфиденциальности аутентификационный токен с информацией о сотруднике и его статусе. Есть несколько SSO-tokens:
- SAML. Применяется для обмена сведениями о пользователе, правах доступа и т.д.
- OAuth. Предоставляет сторонним сервисам ограниченный определёнными рамками доступ к своим системам. Его виды:Access. Ограничен по сроку работы и нужен для входа в сервисы с высоким уровнем защищённости.Refresh. Используется, чтобы получить новые токены Access взамен Tokens с истекающим сроком, избежав повторного прохождения аутентификационного процесса.
Есть также Open ID connect токены, которые содержат сведения о сотруднике и предназначены для подтверждения его распознания у IdP.
Валидация
Валидация tokens– это многоуровневый процесс по проверке, проводимой API, для установления подлинности и времени действия токенов. Проверяются:
- Цифровая подпись, гарантирующая отсутствие изменений после выдачи токена IdP;
- Срок действия;
- Выдача идентификатора ожидаемым издателем для определённого приложения;
- Права доступа сотрудника к корпоративным web-ресурсам и т.д.
Возможны ситуации, в которых сервис-провайдер запрашивает у identity-провайдера новый токен с целью пролонгации сессии.
Управление сессией и меры безопасности
После прохождения аутентификации в SSO сотруднику не придётся каждый раз заново входить в корпоративную систему. Просто для каждой сессии создаётся свой идентификатор, он будет отслеживать работу пользователя с сервисами. Так система организует постоянный доступ сотрудника к требуемым сервисам.
Безопасность обеспечивают следующие факторы:
- Эффективные способы шифрования с использованием протоколов, предотвращающих кибератаки злоумышленников;
- Защищённая передача токенов между сервисами и системами, исключающая их кражу, подделку или перехват;
- Многофакторная аутентификация с высокими требованиями к доказательствам личности сотрудника (например, вопросы о сведениях, доступных ограниченному кругу лиц);
- Цифровые подписи, создаваемые с применением публичного и приватного ключей;
- Постоянный мониторинг корпоративной информационной системы для обнаружения уязвимых точек и проявлений активности, вызывающей подозрения;
- Ограниченные определённым временем сессии, их автоматическое завершение, если сотрудник не вышел из системы или не проявляет активности;
- Требование пройти аутентификацию заново после завершения сессионной работы.
Причём, сессия будет завершена по истечении срока действия токена независимо от того, проявляет пользователь активность или нет.
Протоколы
Основой метода SSO являются протоколы (или, как их ещё называют — стандарты): OAuth и OpenID Connect, а также SAML. В web-приложениях обычно используют OAuth и OpenID Connect.
SAML применяют для объединения сервисов, обмена информацией между SP и IdP в корпоративной среде.
OAuth, не раскрывая учётной информации, разрешает внешним сервисам ограниченный определёнными рамками доступ к собственным защищённым ресурсам. При подозрении на опасность сотрудник компании может сразу отозвать токен. OAuth особенно популярен для разработки технологий авторизации и аутентификации в соцсетях и облачных сервисах.
OpenID Connect увеличивает функционал протокола OAuth. Например, с его помощью можно аутентифицировать пользователя соцсетей и получить основные данные о его профиле.
Провайдеры
Identity Provider
IdP является сервисом, который проверяет данные вошедшего в систему человека, создаёт токен со сведениями о пользователе, управляет сессией, заканчивая её в соответствии с действующими требованиями к сессионной политике и настройками безопасности.
Identity Provider поддерживает многофакторную аутентификацию, включающую применение SMS-кодов, запрос биометрических данных и т.д. Также он управляет правом доступа, то есть, устанавливает срок действия паролей и их сложность, настраивает время сессии, выполняет другие функции, обеспечивает безопасность.
Service Provider
Данный сервис-провайдер получает от Identity Provider аутентификационный токен, валидирует его, чтобы удостовериться в его подлинности. Затем он создаёт пользовательскую сессию, открывая сотруднику доступ к ресурсам. SP мониторит активность человека и автоматически завершает сессию по истечении срока действия токена.
User Agent
User Agent – это главный сервис для работы пользователя с SSO. Через него сотрудник компании вводит учётные данные, входит в ИС, управляет сессиями. Функции User Agent заключаются в перенаправлении запросов между человеком и сервисами SSO.
Подводя итоги, можно сказать, что SSO – это эффективный инструмент, обеспечивающий безопасность и сохранение конфиденциальности, делающий вход в корпоративные приложения максимально простым и быстрым, а работу сотрудников – продуктивной.