4 способа встроить SAS в вашу инфраструктуру

Многофакторная аутентификация — необходимая на сегодняшний день мера защиты учетных данных. Но чтобы использовать любую систему аутентификации для организации доступа к вашим ИТ-средам, необходимо сначала интегрировать ее в корпоративную инфраструктуру, настроить четкое и безопасное взаимодействие ИТ-платформ. Поэтому многие компании откладывают внедрение MFA. Они считают это процесс сложным и трудоемким. Однако наличие уже проверенных на практике протоколов интеграции позволяет централизованно использовать многофакторную аутентификации без лишних сложностей.

Дело в том, что применение единого сервиса аутентификации не только повышает безопасность любых корпоративных систем и хранящихся в них данных, но также помогает снизить издержки, связанные с администрированием, управлением и поддержкой системы. А учитывая, что наше решение SAS поддерживает различные методы подключения ваших сервисов, вам просто нужно выбрать наиболее подходящий протокол взаимодействия.

В настоящее время SAS поддерживает все наиболее популярные протоколы интеграции, и о каждом из них мы сегодня расскажем подробнее.

Протокол RADIUS был впервые представлен еще в 1997 году и с тех пор является одним из распространенных способов выполнения запросов на аутентификацию пользователей. Для любой ИТ-системы корпоративного уровня поддержка протокола Radius является стандартом де-факто. Возможность взаимодействия через Radius для подавляющего большинства сервисов и ПО предоставляется “из коробки”. Radius поддерживают все продукты класса NGFW, средства удаленного доступа, системы доступа к консолям управления, VPN-сервисы, инфраструктуры VDI и так далее. Строго говоря, с Radius на сегодняшний день работают почти все сервисы на базе Linux.

SAS использует сервис FreeRadius, который развивается как OpenSource сообщество. Также пользователям доступны клиентские библиотеки RADIUS возможности RADIUS PAM и модуль Apache RADIUS для создания кастомизированных портальных систем.

Таким образом, работа с Radius — это максимально простой путь, если ваши платформы и решения поддерживают этот проткол. В данном случае не нужно поднимать свои системы PKI и создавать сертификаты. При обращении к сервису аутентификации достаточно указать IP, порт и секретный ключ. А в качестве бонуса Radius также позволяет провести авторизацию, возвращая так называемые RARIUS-атрибуты, чтобы система могла сопоставить правила доступа и выдать соответствующие разрешения.

Для тех, кто использует экосистему Microsoft и Active Directory как единое и централизованное хранилище учетных данных пользователей, авторизация через ADFS может оказаться наиболее удобным решением. Это стандарт де-факто для веб-решений, работающих на базе продуктов Microsoft – SharePoint, Exchange. Dynamics и так далее. Фактически все MS-компоненты, которые администрируются через веб-интерфейс, используют ADFS. Также протокол поддерживается продуктами VMware — vSphere, vCloud и другими.

Фактически Active Directory Federation Services предоставляется любым Windows Server. Она формирует готовое решение для идентификации и организации авторизованного доступа. Вместе с ADFS клиенты (не важно, находятся ли они внутри или вне корпоративной сети), могут использовать SSO-доступ к веб-приложениям, которые находятся на серверах компании. Причем на базе ADFS можно организовать авторизацию сразу для любого количества приложений в рамках одного пользовательского сеанса.

Как и все другие элементы экосистемы Microsoft ADFS достаточно хорошо проработан, отличается удобством и стабильностью и не требует большой экспертизы для развертывания и поддержки. А портал авторизации ADFS можно брендировать и вообще оформить в любом стиле, что для некоторых также является важным критерием выбора системы интеграции.

Кроме базовой и двухфакторной аутентификации ADFS интересен тем, что дает возможность настроить адаптивную аутентификацию, когда способ выбирается исходя из условий. Например, в локальной сети вы можете определить, что 2FA не нужна, но требуется при подключении тех же пользователей извне. Для одних групп можно определить дополнительные требования, а для других — отменить. Система может запрашивать подтверждение по SMS, например, только в том случае. если вы зашли с неизвестного или недоверенного устройства.

SAS встраивается в экосистему ADFS как универсальный сервис многофакторной аутентификации и позволяет полностью передать все задачи авторизации пользователей с Windows Server. При этом большим преимуществом выглядит простое внедрение SSO. Через ADFS довольно легко настроить однократную аутентификацию для доступа ко всем веб-ресурсам.

SAML

Стандарт SAML был принят в 2002 году. Свое название он получил от специального языка разметки SAML (Security Assertion Markup Language) представляет собой открытый формат обмена, созданный на основе XML. Он также обеспечивает комфортные условия для обмена данными между сервером и клиентом, поддерживая процессы аутентификации и авторизации. Этот стандарт разработал Технический комитет по сервисами безопасности (Security Services Technical Committee) организации OASIS. Это профессионалы, которые занимаются формированием экосистемы для работы со структурированной информацией.

Основной плюс протокола SAML заключается в том, что пользователи могут получать доступ ко множеству своих облачных приложений. При этом для аутентификация происходит только один раз. Гибкость языка XML делает SAML универсальным решением. На базе SAML в последнее время очень часто создают системы SSO (single sign-on) не только для одной компании, но и для целой экосистемы партнеров. А открытость SAML позволяет пользователям не привязываться к решению определенного вендора и менять сервисы аутентификации по требованию.

ODIC

OpenID Connect (OIDC) развивается под эгидой OpenID Foundation. Технически он основан на базе OAuth 2.0 (и обратно совместим с ним).

Главное преимущество OIDC — наличие огромного количества энтузиастов, которые продолжают развивать проект. Мало того, что сегодня существует множество OIDC-клиентов. Сообществом OpenID разработано немало дополнительных инструментов, которые помогают сделать аутентификацию более гибкой, адаптировать процесс под запросы конкретных компаний, пользователей, приложений.