SAML 2.0 (Security Assertion Markup Language) — это язык разметки для обмена данными аутентификации и авторизации между сторонами. SAML позволяет реализовать систему единого входа (Single Sign-On, SSO), с помощью которой можно переключаться между приложениями без повторной аутентификации. Avanpost FAM реализует функциональность SAML Identity Provider и предоставляет для приложений и систем набор HTTP-методов в соответствии с протоколом SAML 2.0.
SAML 2.0 может использоваться для подключения следующих типов приложений:
- Корпоративные системы с поддержкой SAML 2.0 (Atlassian Jira, Confluence и т.д.).
- SaaS-решения (Slack, GitHub и т.д.).
- Другие Identity Provider с поддержкой аутентификации SAML 2.0 через сторонние провайдеры аутентификации (ADFS, собственные встроенные провайдеры аутентификации, доверенные провайдеры партнёров и т.д.).
Приложение, подключенное по SAML, может пользоваться следующими функциями Системы:
- Централизованная аутентификация в приложение через единое удостоверение пользователя в Системе.
- Многофакторная аутентификация в приложение с использованием:
- Пароля;
- Внешних провайдеров аутентификации (Google, Яндекс, ЕСИА);
- Одноразового кода, доставляемого через SMS и E-mail;
- Одноразовых кодов, формируемых программными TOTP-генераторами (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ и других);
- Мессенджера Telegram;
- Биометрии FIDO2 WebAuthn и токенов FIDO U2F;
- Мобильного приложения PayControl;
- Сертификатов;
- Других факторов, подключенных к Системе.
- Управление доступом пользователей в приложение на этапе аутентификации через Систему.
В Систему встроен сервер SAML 2.0, функционирующий в роли Identity Provider. Для подключения приложения к Системе по SAML 2.0 требуется:
- Зарегистрировать и настроить приложение в Системе. На каждое SAML-приложение требуется создать отдельное приложение через административную консоль Системы.
- Выполнить настройку параметров SAML IDP в приложении.
Система не поддерживает устаревшие версии SAML 1.0/SAML 1.1. Поставщики услуг после настройки будут перенаправлены на URL-адрес считывателя службы обнаружения IDP SAML во время единого входа.