Использование технологии единого входа (Single Sign-On)
В bpm’online реализована возможность аутентификации по технологии единого входа (Single Sign-On, SSO), которая позволяет использовать единую учетную запись в различных сервисах. Выполнив вход в учетную запись через провайдер идентификации, пользователь получает доступ ко всем связанным приложениям. При выходе из одного из таких сервисов автоматически происходит выход и из других.
Использование Single Sign-On позволяет:
•повысить безопасность и облегчить работу пользователя благодаря уменьшению количества хранимых паролей;
•уменьшить затраты времени на аутентификацию в каждом сервисе;
•упростить администрирование учетных записей;
•облегчить внедрение технологии повышения безопасности благодаря использованию единого провайдера аутентификации для различных операционных систем и устройств.
На заметку
Bpm’online поддерживает SAML 2.0 и совместима с любым провайдером идентификации, который использует этот протокол.
На заметку
Идентификация пользователей Single Sign-On поддерживается также на мобильных устройствах, которые работают на платформах iOS и Android.
Основные термины технологии Single Sign-On
Single Sign-On, SSO, технология единого входа — технология контроля доступа, обеспечивающая идентификацию пользователя с помощью единого ресурса. Технология включает в себя методы Single Sign-On, Single Sign-Off (Single Log Out), Just-In-Time Provisioning.
Single Sign-Off (Signle Log Out) — обратный метод, прекращающий доступ пользователя к ресурсам после выполнения выхода из одного из ресурсов.
Just-In-Time Provisioning — создание учетной записи, если она отсутствует в целевом приложении.
Провайдер идентификации (Identity provider) — сервис, который выполняет проверку подлинности пользователя на основании своей контактной книги (Directory) или обращается к выделенному сервису. Bpm’online поддерживает SAML 2.0 и совместима с любым провайдером идентификации, который использует этот протокол.
Поставщик сервиса (Service Provider) — сервис или система, ресурсы которой запрашивает пользователь.
Ресурс — информация, которую запрашивает пользователь у провайдера сервиса.
User Agent — пользовательская среда, браузер или другое клиентское приложение на устройстве пользователя.
Аутентификация — процесс проверки подлинности пользователя.
Авторизация — процесс проверки разрешения на выполнение действия, операции.
Federated SSO — схема аутентификации, при которой поставщик сервиса выполняет переадресацию пользователя к провайдеру идентификации, не получая учетные данные пользователя.
Преимущества технологии единого входа
Приведенные ниже примеры иллюстрируют преимущества использования технологии единого входа Single Sign-On:
Автоматическое создание учетной записи пользователя при первом входе на ресурс
Пользователю, который имеет учетную запись в домене организации, нет необходимости создавать учетную запись для каждого ресурса. Достаточно ввести свои учетные данные и в результате:
•При наличии в домене пользователя с идентичным логином для нового пользователя в bpm’online будет создан контакт и учетная запись.
•Данные контакта будут заполнены в соответствии с настройками справочника [Преобразователь SAML атрибута в название поля контакта]. Созданную запись можно найти и просмотреть в разделе [Контакты].
•Учетной записи будут предоставлены организационные и функциональные роли, аналогичные ролям этого пользователя на ресурсах домена. Созданную запись можно просмотреть в разделе управления ролями и пользователями.
На заметку
Функциональность автоматического создания пользователя настраивается отдельно после настройки единого входа и может быть отключена.
Одновременная авторизация на нескольких ресурсах
При входе на один из ресурсов, связанных с провайдером идентификации, аутентификация во все связанные сервисы будет выполняться автоматически. То есть при входе в другие приложения пользователю не нужно будет вводить логин и пароль.
Одновременный выход со всех ресурсов
При выходе из одного из ресурсов все открытые приложения будут оповещены о необходимости завершить сессию пользователя. Как следствие, связанные ресурсы также завершат текущую сессию работы пользователя.
Для настройки SSO-аутентификации выполните следующие шаги:
1.На стороне Identity provider настройте доверенные отношения к сайту bpm’online.
2.На стороне bpm’online добавьте доверенный провайдер идентификации. Если необходимо, укажите на стороне bpm’online использование провайдера SSO по умолчанию.
Для настройки сервиса необходимы:
1.Сайт bpm’online, доступный по https-протоколу, а также доступ к сайту на уровне администратора.
На заметку
Настройка bpm’online для использования протокола https рассмотрена в статье “Перевод bpm’online с http на https”.
2.Доступ на уровне администратора к провайдеру идентификации.
3.Пользователи в домене организации.
Bpm’online можно интегрировать с любым провайдером идентификации, который поддерживает протокол SAML 2.0. Это руководство содержит рекомендации по настройке SSO с помощью самых распространенных провайдеров идентификации: ADFS и OneLogin.
Содержание