Включите исполнение JavaScript в браузере, чтобы запустить приложение.
Created with Pixso.
Разработка
16 янв 2025

OpenAm: сервис аутентификации

15 мин
Created with Pixso.7
OpenAM возник как OpenSSO — система управления доступом, созданная Sun Microsystems и теперь принадлежащая корпорации Oracle. OpenAM проверяет, существует ли пользователь в хранилище данных. Сервис сверяет учетные данные, и если предоставленные они действительны, OpenAM создает новый аутентифицированный сеанс в хранилище сеанса и дополняет его пользовательскими данными и деталями процесса аутентификации. Если учетные данные недействительны, OpenAM отказывает в аутентификации. В статье расскажем о функциях OpenAM и особенностях его настройки.

Что такое OpenAM?

OpenAM — это open source веб-платформа. Она разработана для управления доступом и аутентификацией. Сервис обеспечивает возможность управлять еще и контролем доступа. Он поддерживает различные протоколы аутентификации, включая SAML, OAuth и OpenID, и может использоваться для защиты веб-приложений, веб-сервисов и других ресурсов. OpenAM предоставляет такие функции, как единый вход, многофакторная аутентификация, объединение удостоверений и управление профилями пользователей. Он часто используется в корпоративных средах для обеспечения централизованного решения контроля доступа для нескольких приложений и систем.

Функции OpenAM

Если в компании имеется несколько сайтов и приложений, то необходимо обеспечить для них простую аутентификацию. Если пользователь однажды вошел в систему на одном из сайтов, то ему не нужно вводить свои учетные данные на других сайтах повторно.

Ключевые особенности OpenAM:

Аутентификация. OpenAM поставляется с более чем 20 модулями аутентификации, которые вы можете использовать для настройки процесса аутентификации. Также вы можете настроить последовательность модулей, чтобы обеспечить многофакторную или адаптивную аутентификацию.

Авторизация. OpenAM также может управлять авторизацией, поэтому вы можете ограничить доступ к нужным ресурсам в соответствии с различными политиками авторизации.

Поставщик удостоверений. OpenAM может выступать в качестве поставщика удостоверений, используя SAML, OAuth 2.0 или OpenID Connect 1. Ваши клиенты могут разрабатывать свои собственные приложения или веб-сайты и проходить аутентификацию через OpenAM так же, как они проходят аутентификацию через SberID или VK.

Единый вход. После единой аутентификации пользователь получает доступ ко всем ресурсам, защищенным OpenAM. Так нет необходимости проходить аутентификацию на других сервисах.

Высокая производительность и кластеризация. Чтобы обеспечить высокую доступность для крупномасштабных и критически важных развертываний, OpenAM обеспечивает как аварийное переключение системы, так и аварийное переключение сеанса. Эти две ключевые функции помогают гарантировать отсутствие единой точки отказа при развертывании и постоянную доступность службы OpenAM для конечных пользователей. Резервные серверы OpenAM, агенты политик и балансировщики нагрузки предотвращают единую точку отказа. Переключение сеанса гарантирует непрерывность сеанса пользователя и отсутствие потери пользовательских данных.

Расширяемость. Сервис позволяет расширять любую функциональность: от модулей аутентификации до источников пользовательских данных. Кроме того, он поддерживает настройку пользовательского интерфейса для создания отдельных страниц для конечных пользователей с личным брендом.

SDK для разработчиков. OpenAM поставляется с Java SDK, который позволяет взаимодействовать с API авторизации, API аутентификации и управлять учетными записями.

Безопасность. Поскольку OpenAM имеет открытый исходный код, он позволяет сообществу и клиентам проверять его на наличие возможных уязвимостей и проводить PEN-тесты.

Настройка OpenAM

OpenAM состоит из четырех модулей:

  • модуль интеллектуальной аутентификации — деревья и узлы аутентификации, модуль адаптивного риска, многофакторная и строгая аутентификация, внешнее хранилище конфигураций (хранилище конфигураций в службах каталогов ForgeRock), веб-агенты и агенты Java для единого входа, мобильный аутентификатор и аналитика входа пользователей;
  • модуль авторизации — политики предоставления прав, веб-агенты и агенты Java для обеспечения соблюдения и авторизация транзакций;
  • модуль федерации — SAML 2.0, службы федерации Active Directory, OpenID Connect, OAuth 2.0 и вход через социальную сеть;
  • модуль пользовательского доступа — сервер авторизации UMA и UMA Protector.

Когда пользователь пытается получить доступ к защищенному ресурсу, веб-агент спрашивает OpenAM, соответствует ли запрос политике безопасности или нет.

Если запрос удовлетворяет политике, OpenAM возвращает сеанс веб-агенту. Веб-агент дополняет запрос пользователя данными сеанса, перенаправляет запрос на защищенный ресурс и проксирует ответ защищенного сервера обратно.

Если человек не аутентифицирован или его сеанс нарушает политику, веб-агент перенаправляет пользователя на сервер OpenAM для аутентификации или дополнительной авторизации.

При аутентификации сервис запрашивает у человека учетные данные. OpenAM проверяет, существует ли пользователь в хранилище данных, и сверяет информацию.

Если предоставленные учетные данные действительны, OpenAM создает новый аутентифицированный сеанс в хранилище данных сеанса и дополняет его пользовательскими данными и деталями процесса аутентификации. После успешной аутентификации пользователь перенаправляется на защищенный ресурс.

OpenAM в качестве провайдера идентификации

Войдите в консоль администратора OpenAM. В REALMS выберите области, в которых вы хотите создать размещенный IDP. Вы будете перенаправлены на страницу обзора Realm. Нажмите «Создать поставщиков SAMLv2» на странице «Обзор области».

Нажмите «Create Hosted Identity Provider». Вы будете перенаправлены на страницу конфигурации. Далее настройте SAML IDP.

  • Имя: Name of the SAML IDP.
  • Выберите ключ подписи из раскрывающегося списка.
  • Новый круг доверия: укажите названия групп, которые доверяют друг другу.
  • Сопоставление атрибутов: настройка атрибутов профиля пользователя для отправки в приложение поставщика услуг.
  • Нажмите кнопку «Настроить» в правом верхнем углу.
  • Проверьте конфигурацию на вкладке «Federation» OpenAM.

Аутентификация по протоколу SAML с помощью OpenAM

Приложение Confluence SAML дает возможность включить единый вход SAML для программного обеспечения Confluence. Программное обеспечение Confluence совместимо со всеми поставщиками удостоверений SAML. Мы рассмотрим руководство по настройке единого входа между Confluence и Identity Provider.

Чтобы интегрировать IDP с Confluence, важно учесть следующие факторы:

  • Confluence должен быть установлен и настроен;
  • учетные данные администратора нужно настроить в Confluence;
  • должна быть действующая лицензия сервера Confluence и центра обработки данных.

Установка:

  1. Войдите в Confluence в качестве администратора.
  2. Перейдите в меню настроек и выберите пункт Manage Apps.
  3. Нажмите «Найти новые приложения» или «Найти новые дополнения» в левой части страницы.
  4. Найдите Confluence SSO/ Единый вход, SAML SSO с помощью поиска.
  5. Нажмите «Попробовать бесплатно», чтобы начать новую пробную версию, или «Купить сейчас», чтобы приобрести лицензию для Confluence SSO/ Single Sign On, SAML SSO.
  6. Введите свои данные и нажмите «Создать лицензию», когда будете перенаправлены на MyAtlassian.
  7. Нажмите «Применить лицензию».

Быстрая настройка упрощает процесс начальной настройки. Можно автоматически обработать все детали, необходимые для базовой настройки единого входа. Это позволяет вам быстро включить функцию единого входа authentication, а затем настроить другие функции по своему усмотрению.

Вы можете выполнить приведенные ниже действия для запуска быстрой настройки:

  1. Нажмите на кнопку «Добавить нового IDP» в разделе «Настроенные IDP».
  2. Затем выберите опцию быстрой настройки в появившемся всплывающем окне.
  3. Выберите подходящее IDP из списка отображаемых. Вы также можете выполнить поиск IDP с помощью строки.
  4. После выбора желаемого IDP вы перейдете в раздел метаданных поставщика услуг (SP). Здесь вы найдете метаданные, которые необходимо предоставить вашему IDP.В настройках вы можете двумя способами добавить эти метаданные в свой IDP.
  5. Если ваш IDP поддерживает импорт метаданных, вы можете выбрать, предоставив IDP URL-адрес/файл метаданных из выпадающего списка.
  6. В зависимости от требований Identity Providers вы можете либо предоставить URL-адрес метаданных, либо загрузить файл XML-метаданных. Чтобы получить XML-файл, нажмите на кнопку «Загрузить метаданные».
  7. Если вы хотите добавить метаданные вручную, можно вручную настроить их в IDP из выпадающего списка.Если вы выберете метод вручную, на экране будет отображен идентификатор объекта SP, URL ACS и сертификат SP. Вам нужно будет предоставить эти данные.

После настройки (IDP) можно настроить основные атрибуты профиля пользователя для Service Provider (SP).

Идентификация пользователя. В процессе единого входа в систему Jira учетная запись пользователя идентифицируется на основе атрибута, полученного от поставщика удостоверений (ISP).

Значение этого атрибута используется для поиска соответствующей учетной записи в Jira и входа в эту учетную запись. Вы можете выбрать, какой конкретный атрибут следует использовать для этого сопоставления пользователей.

Настройка атрибутов профиля.Если вы хотите разрешить пользователям регистрироваться, необходимо указать имя, адрес электронной почты. Если тестовая настройка, выполненная на предыдущем шаге, прошла успешно, то входные данные для атрибутов имени и электронной почты будут отображаться в виде выпадающих списков. В этих выпадающих списках будут указаны все имена, отправленные из IDP. Вам нужно будет выбрать соответствующие параметры, содержащие имя и адрес электронной почты.

Группы пользователей. Для предоставления доступа к Jira важно, чтобы пользователи были членами хотя бы одной из групп. На этом шаге вы можете выбрать группы по умолчанию. Они будут автоматически назначены после успешной аутентификации с помощью единого входа authentication. Вы можете установить несколько групп в качестве групп по умолчанию.

Устранение неполадок и техническая поддержка (Troubleshooting and Support). В этом разделе вы можете просмотреть результаты успешной тестовой настройки. К ним относятся атрибуты, полученные от IDP, отправленный запрос SAML и полученный ответ SAML. Метод быстрой настройки обеспечивает базовую функциональность единого входа для конечных пользователей. Вы можете дополнительно настроить свои параметры, используя полный набор функций, предоставляемых плагином.

Чтобы получить доступ к расширенным параметрам конфигурации:

  • перейдите на страницу настроенных IDPS;
  • найдите выпадающее меню «Редактировать» для вашего настроенного IDP;
  • отсюда вы можете получить доступ к своим метаданным SP и настроить параметры для профиля и групп.

Перенаправление на странице входа в систему. Если у вас настроен только один IDP, вы можете использовать функции, представленные на вкладке «Настройки единого входа» и «Правила перенаправления» плагина, для управления перенаправлением на странице входа в систему. Включите опцию автоматического перенаправления на IDP на вкладке «Настройки единого входа», если вы хотите разрешить пользователям входить в систему только с помощью IDP.

Используйте URL-адрес для экстренного входа/обходного пути, чтобы все администраторы могли получить доступ к странице входа в Jira/Confluence по умолчанию и войти в систему. Вы также можете ограничить доступ к этому URL-адресу для определенных пользователей. Используйте настройки, указанные на вкладке «Правила перенаправления», чтобы перенаправлять пользователей на конкретные адреса электронной почты в зависимости от их доменов электронной почты, групп и каталогов. Эта функция особенно полезна в тех случаях, когда у вас добавлено несколько адресов почты.