2. Назначение
Blitz Identity Provider – платформа создания единого сервиса
доступа в организации.
Единый сервис доступа обеспечивает идентификацию,
аутентификацию и контроль доступа пользователей к
приложениям организации.
3. Благодаря единому сервису доступа
Пользователи с использованием любых устройств
проходят идентификацию и аутентификацию.
Получают доступ к приложениям как внутри, так
и вне организации.
4. Ценности продукта
Пользователям:
1) Используя всего одну учётную
запись пользователь получает
доступ ко всем приложениям
организации. Пользователи
избавлены от необходимости
помнить много логинов и
паролей.
2) Используют надежные методы
двухфакторной
аутентификации.
3) Имеют средства для
самостоятельного контроля
событий безопасности,
связанных с входом/выходом в
приложения.
Владельцам/администраторам:
1) Централизуют управление
аутентификацией, снижают
эксплуатационные затраты.
2) Внедрение новых приложений
происходит быстрее – не нужно
раздавать пользователям
логины и пароли.
3) Увеличивают безопасность.
4) Снижают зависимость от
поставщиков решений по
аутентификации. Легко можно
заменять поставщиков смарт-
карт/токенов.
5) С меньшими затратами
добиваются соответствия
нормативным требованиям по
ИБ.
5. Преимущества Blitz Identity Provider
1) ПО включено в единый реестр российских программ для
ЭВМ и баз данных (подана заявка).
2) Конкурентоспособная цена.
3) Для использования ПО не требуются сторонние лицензии.
4) Бесшовная интеграция с существующей ИТ-
инфраструктурой (LDAP, IDM).
5) Пользователи могут использовать любые устройства
доступа (ПК, Мак, планшеты, смартфоны).
6) Поддержка мобильных приложений и облачных
приложений.
6. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
7. Пользователи устали от парольного хаоса
Я не хочу запоминать много паролей от
своих рабочих учетных записей.
И мне не нравится, что при смене пароля
в каждом приложении свои правила его
задания.
Мне не нравится, что когда переключаюсь
между приложениями, то у меня каждый
раз просят вновь ввести логин и пароль.
И что мешает сделать, чтобы экраны
входа выглядели одинаково?
Я редко использовала приложение и
забыла от него пароль.
И как мне его теперь восстановить?
8. Беспорядок с входом в приложения беспокоит и
администраторов
Я не могу гибко настроить в
приложениях правила
аутентификации.
Придется довольствоваться
парольной аутентификацией.
При внедрении нового приложения мне
нужно готовить для него учетные
записи, давать доступы, выдавать
пользователям пароли. На это я
трачу свои время и энергию.
Пользователи не могут
быстро усвоить новые
пароли. Внедрение новых
приложений происходит
медленно.
Чем больше приложений со
своей системой входа, тем
чаще инциденты «забыл
пароль». Пора что-то с
этим предпринять.
Единая система входа устранит неудобства
9. Беспорядок с входом в приложения беспокоит и
администраторов
У меня нет единой картины,
в какие приложения кто из
пользователей и как часто
ходит.
Я не уверен, что все эти механизмы
аутентификации в разных
приложениях безопасны. Сделанное
«плохо» приложение компрометирует
пароли и несет угрозу безопасности.
Пользователи выбирают
ненадежные пароли. Вход
не защищен. Парольные
политики не эффективны.
Единая система входа повысит безопасность
организации
10. Внедрение SSO и единого сервиса доступа решит
проблемы
Какое решение выбрать?
Что будет актуальным сегодня и завтра?
11. Эволюция условий, в которых должно
функционировать SSO-решение
Пользователи приложений –
исключительно сотрудники компании
Все устройства доступа – это ПК
Все приложения развернуты
исключительно внутри организации
Вчерашний день
Люди
(пользователи)
Устройства
доступа
Приложения
и данные
13. «Я-центричность» – современная парадигма доступа
Защита доступа обеспечивается без ограничений свободы
выбора пользователя, но с соблюдением установленной
политики безопасности
Свобода в
выборе операционной
системы и веб-браузера
Свобода в выборе
устройства доступа
(ПК, Мак, планшет,
смартфон)
Свобода
осуществлять доступ
как из офиса, так и
удаленно
Свобода в выборе удобного
метода аутентификации
Возможность контроля
за использованием
приложениями
персональных данных
14. Способы подключения приложений к Blitz Identity
Provider для обеспечения SSO
Прямое подключение к
поставщику идентификации
Наилучший способ подключения,
но требует, чтобы приложение
поддерживало один из протоколов
или методов интеграции:
1) Подключение приложения по
протоколу SAML (1.0/1.1/2.0).
2) Подключение приложения по
протоколамOpenID Connect 1.0
/ OAuth 2.0.
Подключение через шлюз
Способ применяется для веб-
приложений внутри организации, в
случае если для них неприменимо
подключение с использованием
протоколовSAML/OpenID/OAuth.
Используются следующие техники:
1) Перехват встроенной страницы
аутентификации приложения и
заполнение в ней
аутентификационных данных
средствами шлюза.
2) Формирование сессии путем
установки требуемых
приложению cookie или http-
параметров.
15. Подключение приложений по протоколу SAML
SAML – популярный стандарт для подключения
корпоративных и облачных приложений к серверу
аутентификации.
Большинство популярных приложений имеют или встроенную
поддержку SAML, или сторонние расширения,
обеспечивающие работу по SAML.
Есть библиотеки для реализации SAML-клиентов для всех
популярных платформ разработки, что облегчает поддержку
SAML в приложениях заказной разработки.
17. Типовая схема подключения SAML-приложений к
Blitz Identity Provider
Настройки на стороне
приложения
1) Прописать метаданные Blitz
Identity Provider (берутся из
административной консоли).
2) Выгрузить метаданные
приложения.
3) После завершения настроек в
Blitz Identity Provider проверить
работу приложения –
идентификация пользователей
будет выполняться через Blitz
Identity Provider.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
метаданные приложения.
2) Создать необходимые
приложению SAML-
утверждения и установить их
связь с пользовательскими
атрибутами.
3) Настроить перечень
передаваемых приложению
атрибутов, а также требований
к их шифрованию и
подписанию в соответствии с
нуждами приложения.
20. Схема подключения OpenID Connect приложения
Настройки на стороне
приложения
1) Прописать URL-адресаOAuth-
сервисов Blitz Identity Provider
или дать ссылку на «.well-
known»-сервис.
2) Задать в приложении client_id
и client_secret.
3) После завершения настроек в
Blitz Identity Provider проверить
работу приложения –
идентификация пользователей
будет выполняться через Blitz
Identity Provider.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
настройки приложения
(client_id, client_secret,
redirect_url и др.).
2) При необходимости создать
для приложения отдельные
OAuth scope.
Или разрешить
автоматическую настройку.
1) При необходимости включить
режим OpenID Connect
automatic discovery.
23. Схема подключения приложения через шлюз
Настройки на стороне приложения
На стороне приложения не требуется
вносить никакие настройки.
Настройки на шлюзе (nginx)
1) Задать правило перенаправления
http-запроса в Blitz Identity
Provider при обращении
пользователя к странице
аутентификации приложения.
2) Задать правило встройки JS-
скрипта при ответе приложения в
результате аутентификации.
Настройки в Blitz Identity Provider
1) Зарегистрировать в
административной консоли
настройки приложения (имя
приложения, домен).
2) Зарегистрировать профиль
приложения (селекторы формы
аутентификации, селектор поля
ввода логина, признак
использования SSL, перечень
сессионных cookie для очистки при
логауте, JS-скрипты проверки
успешности идентификации).
Действия при первом входе
пользователя в приложение
При первичном входе в приложение
через Blitz Identity Provider
пользователь должен будет ввести
свой логин и пароль от приложения.
24. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
25. Пользователи не доверяют паролям
Источник: 2015 Accenture DigitalConsumer Survey
Я нуждаюсь в
альтернативе
логинам/паролям для
своей защиты в
Интернете
Логины и
пароли
громоздки в
использовании
В следующем
году я бы
использовал
уникальный чип в
моем
телефоне/ПК для
своей защиты в
Интернете
В следующем
году я бы
использовал
биометрию для
своей защиты в
Интернете
Я знаю не менее
одной
альтернативы
логину/паролю
для своей
защиты в
Интернете
26. Поддерживаемые методы аутентификации
Идентификация /
аутентификация по логину и
паролю
Строгая идентификация /
аутентификация
(ПИН-код и смарт-карта/токен)
Сквозная идентификация
• на основе результатов входа в
домен Windows
• на основе установленного
VPN-соединения
Усиленная аутентификация
(пароль и 2-й фактор):
• вырабатываемые
устройствами числовые коды
• вырабатываемые
приложениями числовые коды
• отправляемые по SMS
числовые коды
• устройства стандарта U2F
• таблицы разовых ключей
Федеративная идентификация
• с использованием учетной
записи в соц.сети
• с использование
федеративного поставщика
идентификации
28. Вход по логину и паролю
Можно хранить пароли в любом хранилище, только бы был
API для их проверки.Также поддерживаются различные
механизмы беспарольной идентификации пользователя, так
что пароль является опциальным.
Поддерживаются парольные политики, настроенные в Active
Directory / LDAP.
30. Вход по смарт-карте / USB-токену
При получении аутентификационного запроса пользователь
присоединяет к компьютеру средство аутентификации и
вводит ПИН-код.
С помощью записанного в электронном чипе средства
аутентификации приватного ключа формируется и
отсылается на сервер электронная подпись.
Сервер сверяет аутентификационный запрос и полученную
электронную подпись, а также проверяет действительность и
доверие к сертификату электронной подписи.
Пользователь идентифицируется на основе данных,
извлеченных из его сертификата.
31. Поддерживаемые в Blitz Identity Provider
средства строгой аутентификации
JaCarta / eToken
(Аладдин Р.Д.)
Рутокен ЭЦП/S/Lite
(Компания Актив)
ESMARTToken
(ISBC Группа
компаний)
32. Плагин Blitz Smart Card Plugin для строгой
аутентификации
В первый раз для строгой аутентификации пользователи должны
установить на свой компьютер плагин Blitz Smart Card Plugin.
Для установки пользователю не потребуются ни пароль
администратора, ни перезапуск браузера.
33. Плагин Blitz Smart Card Plugin для строгой
аутентификации
Ввод ПИН-кода осуществляется не в браузере, а отображенным
операционной системой окном плагина. ПИН-код используется
локально и не передается по сети.
34. Плагин Blitz Smart Card Plugin для строгой
аутентификации
Плагин предоставляется для ОС Windows/Linux/Mac OS X и
совместим с популярными браузерами этих ОС.
35. Усиленная аутентификация – отправляемые по
SMS коды подтверждения
Принцип работы
• После успешной проверки логина и пароля пользователя
осуществляется отправка SMS с цифровым кодом на
ассоциированный с учетной записью пользователя номер
телефона.
• Пользователь в течение разрешенного времени вводит
полученный по SMS цифровой код.
Для отправки SMS используется SMS-шлюз. Blitz Identity
Provider можно настроить на использование любого
популярного в РФ SMS-шлюза.
36. Усиленная аутентификация – вырабатываемые
устройствами числовые коды (HOTP)
Принцип работы
• Устройство предварительно привязывается к учётной записи
пользователя.
• При каждом нажатии устройство вырабатывает числовой
аутентификационный код.
• После ввода логина и пароля пользователь вводит
выработанный устройством числовой код в качестве 2
фактора аутентификации.
Работа алгоритма специфицирована в RFC4226 «HOTP: An
HMAC-Based One-Time Password Algorithm».
38. Настройка HOTP в Blitz Identity Provider
1) В административной консоли Blitz Identity Provider
администратор загружает файл, описывающий купленную
партию HOTP-устройств. Поддерживаются файлы
описания устройств всех популярных форматов.
2) Устройства по серийным номерам привязываются к
учетным записям пользователей.
3) После этого устройства выдаются пользователям.
4) Возможно также разрешить пользователям
самостоятельно привязать устройство к своей учетной
записи в процессе входа или в профиле
самообслуживания.
42. Пример экрана для проведения синхронизации
HOTP-устройства с учетной записью
43. Усиленная аутентификация – вырабатываемые
мобильными приложениями числовые коды (TOTP)
Принцип работы
• Мобильное приложение привязывается к учётной записи
пользователя.
• Каждые 30 секунд в мобильном приложении вырабатывает
числовой аутентификационный код.
• После ввода логина и пароля пользователь вводит
выработанный устройством числовой код в качестве 2
фактора аутентификации.
Работа алгоритма специфицирована в RFC6238 «TOTP:Time-
Based One-Time Password Algorithm».
45. НастройкаTOTP в Blitz Identity Provider
Пользователь самостоятельно в профиле самообслуживания
привязывает к своей учетной записи мобильное приложение,
вырабатывающееTOTP-код.
Привязка возможна как по QR-коду, так и путем ввода
текстовой строки привязки.
47. 1) Однократный вход (Single Sign On)
2) Двухфакторная аутентификация
3) Регистрация событий доступа
Основные функции Blitz Identity Provider
48. Преимущества единой точки контроля
Единый сервис входа фиксирует все события доступа
пользователя в подключенные приложения, каким бы
устройством доступа он ни воспользовался.
Централизованный аудит позволяет администратору иметь
полное представление о том, какие пользователи какие
приложения используют.
52. Архитектура Blitz Identity Provider
Слой «Веб»
SAML поставщик идентификации
Blitz Web Gate
OAuth-сервер
REST-поставщик ресурсов
Слой «Сервисы»
Атрибуты Пользователи Устройства Приложения …Слой «Объекты»
Слой «Серверный кэш»
Слой «Бизнес-логика»
Веб-приложение «Профиль» Веб-приложение «Консоль администратора»
Слой «Хранение» или
Фреймворк Bootstrap
Memcached
53. Варианты развертывания
На одном сервере
1) ОСWindows или OC Linux
2) ВстроеннаяСУБД (Mab DB)
В кластере
1) ОС Linux
2) Кластеризуемая СУБД Riak KV
3) Серверный кэш Memcached
4) Балансировщик нагрузки Nginx
54. Что дальше
1. Загрузите и опробуйте пробную версию Blitz Identity Provider
http://identityblitz.ru/products/blitz-identity-provider/download/
2. Свяжитесь с нами, мы с удовольствием ответим на ваши
вопросы.
ООО «РЕАК СОФТ» +7 (499) 322-14-04 info@reaxoft.ru
http://identityblitz.ru