IBP

По запросу

Интеллектуальная

платформа планирования

IaaS

По запросу

По вашим правилам

Dedicated, SaaS/PaaS

Low-code

от 667 руб.

Цифровая трансформация

с ELMA365

Low-code

По запросу

Автоматизация процессов

с AMBER BPM

IP-телефония

от 0 руб.

Продуманная связь

для вашего бизнеса

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

Kubernetes

От 5,95 руб / час

№1 в рейтинге провайдеров

SLA 99,98%, 152-ФЗ

BI

По запросу

Visary BI

Облачная аналитика

  • IaaS

    По запросу

    По вашим правилам

    Dedicated, SaaS/PaaS

  • Low-code

    от 667 руб.

    Цифровая трансформация

    с ELMA365

  • Low-code

    По запросу

    Автоматизация процессов

    с AMBER BPM

  • IP-телефония

    от 0 руб.

    Продуманная связь

    для вашего бизнеса

  • Корпоративные мессенджеры

    от 250 руб/мес

    Защищенная платформа

    коммуникаций

  • ВКС

    от 250 руб/мес

    Платформа корпоративных

    коммуникаций

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • Kubernetes

    От 5,95 руб / час

    №1 в рейтинге провайдеров

    SLA 99,98%, 152-ФЗ

  • BI

    По запросу

    Visary BI

    Облачная аналитика

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

Kubernetes

По запрос

Платформа

контейнеризации

IBP

По запросу

Высокая скорость

принятия решений

HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

IBP

По запросу

Цифровая система

SCP и IBP

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

DBaaS

От 3,98 руб./час

№1 в рейтинге DBaaS

SLA 99,95%, 152-ФЗ, PCI DSS

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

Протоколы аутентификации пользователей: обзор технических решений

Маркет

Протоколы аутентификации пользователей обеспечивают проверку подлинности пользователей, гарантируя, что только авторизованные лица могут получить доступ к ресурсам. В данной статье рассматриваются различные технические решения и протоколы, используемые для аутентификации пользователей в современных условиях.

LDAP/ActiveDirectory

LDAP (Lightweight Directory Access Protocol) и Active Directory (AD) — это две тесно связанные технологии, которые широко используются для управления учетными записями пользователей и ресурсами в корпоративных сетях.

LDAP — это стандартный протокол для доступа к службам каталога. Он предоставляет структурированный способ поиска, добавления, модификации и удаления данных в репозиториях информации, известных как директории.

Перейти к обзору Средств облачной защиты 2024

Основной элемент LDAP — это база данных, организованная в виде дерева с узлами (объектами) и ветвями (связями между объектами). Базовые структуры данных LDAP включают:

  • Узел: Каждый объект в базе данных.
  • Атрибут: Характеристика узла.
  • Свойство: Значение атрибута.
Протоколы аутентификации пользователей обеспечивают проверку подлинности пользователей, гарантируя, что только авторизованные лица могут получить доступ к ресурсам

Для работы с LDAP используется специальное программное обеспечение, известное как клиент LDAP, который выполняет запросы к серверам LDAP. Серверы LDAP отвечают на эти запросы и предоставляют доступ к данным.

Важным понятием в LDAP является schema — набор правил, определяющих структуру данных. Schema определяет, какие атрибуты могут присутствовать в узлах и какого типа они могут быть (строковые, числовые и т.д.).

К преимуществам LDAP относят:

  1. Стандартизация: LDAP основан на открытых стандартах, что облегчает интеграцию с другими системами и обмен данными.
  2. Легкий вес: Протокол оптимизирован для работы с большими объемами данных, обеспечивая высокую производительность.
  3. Централизованное управление: Вся информация хранится в одном месте, что упрощает управление учетными данными и ресурсами.
  4. Гибкость: Возможность настройки схем и атрибутов для адаптации к специфическим потребностям.

Active Directory (AD) — это реализация служб каталога Microsoft, построенная на базе LDAP. AD расширяет возможности LDAP и предоставляет дополнительные функции для управления сетями Windows.

Основными компонентами AD являются:

  • Domain Controller (DC): Центральный сервер, управляющий доменной структурой. DC отвечает за синхронизацию информации между всеми участниками домена.
  • Forest: Группа доменов, объединенных общей схемой и конфигурацией.
  • Domain: Базовый элемент леса, представляющий собой административную область с общими правилами и политиками.
  • Organizational Unit (OU): Подгруппа домена, используемая для группировки объектов по функциональному признаку.

Среди недостатков выделяют зависимость от платформы: некоторые функции Active Directory ограничены экосистемой Windows.

Kerberos

Kerberos — это протокол аутентификации, используемый для обеспечения безопасного доступа к сетевым ресурсам. В ходе аутентификации клиент получает TGT (ticket granting ticket) от KDC (Key Distribution Center), который включает идентификационную информацию клиента и срок действия. Для получения TGT клиент должен предоставить секретную информацию, например, пароль.

Перейти к рейтингу Средств облачной защиты 2024

Необходимость наличия центрального KDC может усложнить развертывание в распределенных сетях. Большое количество запросов замедляет работу KDC и увеличить задержки в системе. Потеря TGT приводит к полной потере доступа, что требует смены пароля для восстановления.

OAuth 2.0

OAuth 2.0 — это протокол авторизации, который позволяет пользователям безопасно предоставлять доступ к своим данным на одном сайте (сервис А) другому сайту (сервис Б) без необходимости делиться своими учетными данными.

Благодаря OAuth 2.0 пользователи могут авторизовать сторонние приложения, не раскрывая свои учетные данные. При этом атаки типа man-in-the-middle (тип атак, при которых злоумышленник внедряется в коммуникационный канал между двумя сторонами, не подозревающими о его присутствии и пытается осуществить перехват, изменение или блокировку данных, передаваемых между жертвой и сервером) могут перехватить токен и использовать его неправомерно.

OpenID Connect

OpenID Connect — это расширение протокола OAuth 2.0, предназначенное для аутентификации пользователей в интернет-приложениях и сервисах. Оно основано на концепции идентификаторов (identifiers), которые представляют пользователей и связывают их с информацией об аутентичности и правах доступа.

Перейти к обзору Средств облачной защиты 2024

Пользователь входит в систему через OpenID провайдера (OP), предоставляя свое имя пользователя и пароль, а протокол проверяет учетные данные пользователя и выдает ему ID Token.

Пользователи могут использовать одну учетную запись для доступа к множеству сервисов, что упрощает процесс аутентификации. Однако требуется установка и настройка OpenID-провайдеров.

SAML 2.0

SAML (Security Assertion Markup Language) 2.0 — это открытый стандарт обмена данными об аутентификации и авторизации между различными системами. Он широко используется для реализации SSO (Single Sign-On) в корпоративных сетях и облачных решениях.

Если пользователь пытается получить доступ к защищенному ресурсу, то веб-сервер (SP, Service Provider) отправляет запрос на аутентификацию к Identity Provider (IdP) и, если все в порядке, выдает разрешения.

При использовании SAML 2.0 пользователи могут войти в систему один раз и получить доступ ко многим ресурсам без необходимости повторной аутентификации.

Короткая ссылка