Общие сведения
Единая система идентификации и аутентификации (ЕСИА) может использоваться в роли провайдера аутентификации для доступа к приложениям, подключенным к Системе.
Система обеспечивает следующие функции в рамках интеграции:
- Регистрация новых пользователей в Системе на основе информации из ЕСИА, получаемой при аутентификации через ЕСИА.
- Актуализация атрибутов в профиле пользователей на основе информации из ЕСИА, получаемых при аутентификации через ЕСИА.
- Автоматическое связывание существующих пользователей Системы с учётными записями в ЕСИА.
- Ручное связывание существующих пользователей Системы с учётными записями в ЕСИА.
- Запрос у пользователя атрибутов профиля пользователя при регистрации пользователя на основе информации из ЕСИА.
- Проверка уровня учётной записи пользователя при аутентификации (верифицированный/не верифицированный).
- Выполнение произвольного сценария запроса информации о ФЛ из ЕСИА.
- Запрос дополнительных scopes ЕСИА с целью загрузки информации об организации.
Avanpost FAM поддерживает возможность выполнения аутентификации через ЕСИА для приложений, подключенных посредством следующих технологий интеграции:
Сценарии использования
Некоторые возможные сценарии использования интеграции с ЕСИА через Avanpost FAM с целью решения прикладных задач:
- Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с привязанной УЗ (учётной записью) ФЛ (физического лица) ЕСИА.
- Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА по атрибуту.
- Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА посредством дополнительной аутентификации.
- Аутентификация в веб-приложения для новых пользователей с автоматическим созданием УЗ в Avanpost FAM на основе УЗ ФЛ ЕСИА.
- Аутентификация в веб-приложения для новых пользователей с автоматическим созданием одной или нескольких УЗ в Avanpost FAM на основе данных об организациях, в которых состоит ФЛ ЕСИА.
- Обновление атрибутов пользователя Avanpost FAM при аутентификации через ЕСИА в случае изменения значений атрибутов в ЕСИА.
- Авторизация пользователей Avanpost FAM при доступе к приложениям на основе групп, в которых состоит УЗ ФЛ ЕСИА.
Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с привязанной УЗ (учётной записью) ФЛ (физического лица) ЕСИА
Система Avanpost FAM позволяет обеспечить аутентификацию для существующих пользователей Avanpost FAM, у которых ранее была выполнена привязка учётной записи физического лица в ЕСИА к учётной записи Avanpost FAM. При аутентификации реализуется следующий сценарий:
- Пользователь инициирует аутентификацию в целевое веб-приложение, подключенное к Avanpost FAM. Приложение делегирует задачу аутентификации системе Avanpost FAM.
- Пользователь на стороне интерфейса аутентификации Avanpost FAM выбирает вариант аутентификации через ЕСИА, после чего осуществляется перенаправление пользователя в ЕСИА.
- Пользователь осуществляет аутентификацию на стороне ЕСИА. После успешной аутентификации ЕСИА перенаправляет пользователя в Avanpost FAM.
- Avanpost FAM осуществляет поиск УЗ Avanpost FAM, сязанной с УЗ ФЛ ЕСИА. Если УЗ найдена, то Avanpost FAM предоставляет пользователю доступ целевому веб-приложению.
Если у пользователя, выполняющего аутентификацию посредством ЕСИА, есть активная сессия на стороне ЕСИА, то будет выполнена прозрачная аутентификация с использованием функций SSO ЕСИА.
Аутентификация в веб-приложения для существующих пользователей Avanpost FAM с сопоставлением УЗ Avanpost FAM с УЗ ФЛ ЕСИА по атрибуту
Система Avanpost FAM позволяет обеспечить аутентификацию для существующих пользователей Avanpost FAM путём выполнения сопоставления учётной записи физического лица в ЕСИА по произвольному атрибуту (например, СНИЛС). При использовании данной функции реализуется следующий сценарий.
- Пользователь инициирует аутентификацию в целевое веб-приложение, подключенное к Avanpost FAM. Приложение делегирует задачу аутентификации системе Avanpost FAM.
- Пользователь на стороне интерфейса аутентификации Avanpost FAM выбирает вариант аутентификации через ЕСИА, после чего осуществляется перенаправление пользователя в ЕСИА.
- Пользователь осуществляет аутентификацию на стороне ЕСИА. После успешной аутентификации ЕСИА перенаправляет пользователя в Avanpost FAM.
- Avanpost FAM загружает значение атрибута УЗ ФЛ ЕСИАЮ, по которому осуществляется связывание УЗ, и далее выполняет поиск УЗ в Avanpost FAM, у которой имеется соответствующее значение указанного атрибута. Avanpost FAM предоставляет пользователю доступ целевому веб-приложению.
Использование автоматического связывания УЗ по атрибуту ЕСИА позволяет организовать доступ для предварительно созданных и настроенных УЗ Avanpost FAM (например, посредством внешней системы IDM) и использование ЕСИА в качестве доверенного провайдера аутентификации.