Transcript Агент SSO
Единая система аутентификации Обзор решения Москва, 2012г. SSO (Single Sign On) - Технология единого входа Аутентификация без применения SSO Вход Приложение 1 Вход Приложение 1 Вход Приложение 1 При входе в каждое приложение требуется ввод своего логина и пароля Пользователь Аутентификация с применением SSO Приложение 1 Вход Пользователь В технологии единого входа применяются централизованные серверы аутентификации, используемые всеми приложениями и системами, которые обеспечивают ввод пользователем своих учетных данных только один раз. Приложение 1 Приложение 1 Требуется однократный ввод логина и пароля, единого для всех приложений Преимущества SSO Уменьшение парольного хаоса при использовании в каждом приложении собственных пар логин-пароль. Поддержка единых для всех приложений механизмов аутентификации, таких как логин-пароль и цифровые сертификаты. Обеспечение единой системы безопасности на каждом уровне доступа к системе. Снижение расходов на IT-службу за счет уменьшения трудозатрат на управление учетными записями пользователей в различных системах. Уменьшение времени на повторный ввод пароля для одной и той же учетной записи. Недостатки SSO Увеличивающаяся важность единственного пароля, при получении которого злоумышленник получает доступ ко всем ресурсам пользователя, использующего единый вход. В качестве решения данной проблемы может применяться многоуровневая аутентификация с применением разных механизмов аутентификации. Возможности SSO Единый реестр пользователей предоставляет возможность: централизованно управлять учетными записями; вести аудит и мониторинг активностей пользователей в системах; понимать общее количество пользователей, количество активных и неактивных пользователей. Единый реестр информационных систем позволяет: централизованно управлять доступом пользователей ко всем системам – предоставлять или отзывать доступ ко всем системам (например, при увольнении); централизованно управлять доступом пользователей к отдельным разделам и отдельному функционалу в приложениях. Ролевая модель позволяет установить соответствие между должностью (ролью) сотрудника и набором приложений, доступных сотруднику. Гибкая настройка прав доступа, включая области видимости данных, например по территориальному или другим признакам. Поддержка различных платформ клиентских приложений: web-приложения (тонкий клиент); Обзор технической платформы Предлагаемое решение основано на продукте с открытым исходным кодом OpenAM, разработанное компанией Sun и в настоящее время сопровождаемое компанией ForgeRock. Продукт OpenAM является веб-приложением Java, которое можно развернуть в любом из основных используемых индустрией web- и appконтейнеров. Продукт реализует все основные протоколы аутентификации и авторизации, разработанные открытым ИТ-сообществом на данный момент. Продукт содержит набор сервисов и клиентских библиотек, которые могут использоваться клиентскими приложениями для обеспечения режима SSO как в рамках одного предприятия (домена), так и между разными доменами. Продукт имеет модульную расширяемую структуру, которая Модель компонентов Управление доступом к ресурсам Сервер каталогов (LDAP) Администратор ЕСА Запрос прав доступа к ресурсу Контейнер сервлетов Glassfish/Tomcat Вход Перенаправление на сайт аутентификации при отсутствии в запросе Проверка прав доступа к ресурсу Сервер аутентификации и авторизации (SSO) (OpenAM) Проверка SSO Token на сервере SSO при наличии Token в запросе SSO Token Агент SSO защищает ресурс и перехватывает все обращения к нему Перенаправление к ресурсу при успешной аутентификации Обращение к Web-приложению Сервер приложений WEB-сервер Запрос ресурса (https) Чтение и изменение данных Пользователь WEB-Браузер База данных приложения Веб-браузер конечного пользователя, запрашивающего защищенный ресурс. Веб-приложение заказчика, развернутое в web- либо appконтейнере и защищенное Агентом SSO. Агент SSO – поставляемое вебприложение (filter) OpenAM, развернутое на защищенном ресурсе и перехватывающее все запросы к нему. Веб-приложение OpenAM, развернутое на выделенном контейнере сервлетов и предоставляющее пользователю страницы аутентификации, где он может ввести свои логин/пароль. Передает серверу SSO данные пользователя для аутентификации. OpenSSO Server – поставляемый сервер OpenAM/OpenSSO, Бизнес-процесс аутентификации 1. Пользователь обращается к веб-ресурсу, защищенному Агентом SSO. 2. Если Агент SSO не находит в запросе session cookie, то перенаправляет запрос на общий сайт аутентификации ЕСА. 3. Веб-браузер пользователя выполняет запрос на страницу логина. 4. Страница логина возвращается пользователю. 5. Пользователь вводит логин/пароль и возвращает их сайту аутентификации. 6. Сайт аутентификации перенаправляет запрос на аутентификацию серверу SSO. 7. Сервер SSO проверяет входные параметры и, в случае успеха, открывает новую пользовательскую сессию SSO и формирует SSO token. 8. Сервер SSO возвращает SSO token на сайт аутентификации. 9. Сайт аутентификации формирует session cookie по полученному токену SSO, формирует redirect-запрос на полученный ранее адрес первичного запроса и возвращает его пользователю. 10. Веб-браузер пользователя перенаправляет пользователя на начальную страницу защищенного ресурса. 11. Агент SSO находит SSO Token в запросе. 12. Агент SSO выполняет запрос на проверку SSO token к серверу SSO. 13. Сервер SSO успешно валидирует SSO token и продлевает время жизни соответствующей активной сессии SSO. 14. Сервер SSO возвращает код успешной валидации агенту. Internet http/https Комплекс технических средств Load balancer ht tp tp ht DMZ WSSO-DMZ2 http p/ h htt /htt ps s ttp WSSO-DMZ1 p Load balancer htt tp ht TCP, UDP WSSO-HTTP2 TC P ,U DP DP U P TC , TCP, UDP TCP, UDP WSSO-HTTP1 TCP, UDP WSSO-DS2 TC P , UDP P,UDP TC TCP, UDP WSSO-DS1 TCP, UDP WSSO-DMZ1,2 Реализует форму аутентификации системы ЕСА WSSO-HTTP1,2 Принимает и обрабатывает запросы на аутентификацию WSSO-DS1,2 - Хранит учетные данные пользователей системы ЕСА TCP, UDP WSSO-IDM1 WSSO-IDM2 Back End