Avanpost FAM/MFA+ : 3.2.9. ЕСИА

Общие сведения

Единая система идентификации и аутентификации (ЕСИА) может использоваться в роли провайдера аутентификации для доступа к приложениям, подключенным к Системе.

Система обеспечивает следующие функции в рамках интеграции:

  • Регистрация новых пользователей в Системе на основе информации из ЕСИА, получаемой при аутентификации через ЕСИА.
  • Актуализация атрибутов в профиле пользователей на основе информации из ЕСИА, получаемых при аутентификации через ЕСИА.
  • Автоматическое связывание существующих пользователей Системы с учётными записями в ЕСИА.
  • Ручное связывание существующих пользователей Системы с учётными записями в ЕСИА.
  • Запрос у пользователя атрибутов профиля пользователя при регистрации пользователя на основе информации из ЕСИА.
  • Проверка уровня учётной записи пользователя при аутентификации (верифицированный/не верифицированный).
  • Выполнение произвольного сценария запроса информации о ФЛ из ЕСИА.
  • Запрос дополнительных scopes ЕСИА с целью загрузки информации об организации.

Avanpost FAM поддерживает возможность выполнения аутентификации через ЕСИА для приложений, подключенных посредством следующих технологий интеграции:

Сценарии использования

Некоторые возможные сценарии использования интеграции с ЕСИА через Avanpost FAM с целью решения прикладных задач:

  • Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с привязанной УЗ (учётной записью) ФЛ (физического лица) ЕСИА.
  • Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА по атрибуту.
  • Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА посредством дополнительной аутентификации.
  • Аутентификация в веб-приложения для новых пользователей с автоматическим созданием УЗ в Avanpost FAM на основе УЗ ФЛ ЕСИА.
  • Аутентификация в веб-приложения для новых пользователей с автоматическим созданием одной или нескольких УЗ в Avanpost FAM на основе данных об организациях, в которых состоит ФЛ ЕСИА.
  • Обновление атрибутов пользователя Avanpost FAM при аутентификации через ЕСИА в случае изменения значений атрибутов в ЕСИА.
  • Авторизация пользователей Avanpost FAM при доступе к приложениям на основе групп, в которых состоит УЗ ФЛ ЕСИА.

Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с привязанной УЗ (учётной записью) ФЛ (физического лица) ЕСИА

Система Avanpost FAM позволяет обеспечить аутентификацию для существующих пользователей Avanpost FAM, у которых ранее была выполнена привязка учётной записи физического лица в ЕСИА к учётной записи Avanpost FAM. При аутентификации реализуется следующий сценарий:

  1. Пользователь инициирует аутентификацию в целевое веб-приложение, подключенное к Avanpost FAM. Приложение делегирует задачу аутентификации системе Avanpost FAM.
  2. Пользователь на стороне интерфейса аутентификации Avanpost FAM выбирает вариант аутентификации через ЕСИА, после чего осуществляется перенаправление пользователя в ЕСИА.
  3. Пользователь осуществляет аутентификацию на стороне ЕСИА. После успешной аутентификации ЕСИА перенаправляет пользователя в Avanpost FAM.
  4. Avanpost FAM осуществляет поиск УЗ Avanpost FAM, сязанной с УЗ ФЛ ЕСИА. Если УЗ найдена, то Avanpost FAM предоставляет пользователю доступ целевому веб-приложению.

Если у пользователя, выполняющего аутентификацию посредством ЕСИА, есть активная сессия на стороне ЕСИА, то будет выполнена прозрачная аутентификация с использованием функций SSO ЕСИА.

Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА по атрибуту

Система Avanpost FAM позволяет обеспечить аутентификацию для существующих пользователей Avanpost FAM путём выполнения сопоставления учётной записи физического лица в ЕСИА по произвольному атрибуту (например, СНИЛС). При использовании данной функции реализуется следующий сценарий.

  1. Пользователь инициирует аутентификацию в целевое веб-приложение, подключенное к Avanpost FAM. Приложение делегирует задачу аутентификации системе Avanpost FAM.
  2. Пользователь на стороне интерфейса аутентификации Avanpost FAM выбирает вариант аутентификации через ЕСИА, после чего осуществляется перенаправление пользователя в ЕСИА.
  3. Пользователь осуществляет аутентификацию на стороне ЕСИА. После успешной аутентификации ЕСИА перенаправляет пользователя в Avanpost FAM.
  4. Avanpost FAM загружает значение атрибута УЗ ФЛ ЕСИАЮ, по которому осуществляется связывание УЗ, и далее выполняет поиск УЗ в Avanpost FAM, у которой имеется соответствующее значение указанного атрибута. Avanpost FAM предоставляет пользователю доступ целевому веб-приложению.

Использование автоматического связывания УЗ по атрибуту ЕСИА позволяет организовать доступ для предварительно созданных и настроенных УЗ Avanpost FAM (например, посредством внешней системы IDM) и использование ЕСИА в качестве доверенного провайдера аутентификации.




Обсуждение