Avanpost FAM/MFA+ : 3.4.2. OpenID Connect Federation

Общие сведения

Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности OpenID Connect Federation.

Функциональность OIDC Federation позволяет пользователям аутентифицироваться и получать доступ к ресурсам, используя единый набор учетных данных. Данный механизм строится на основе протокола OpenID Connect, являющегося надстройкой над OAuth 2.0. Применение OpenID Connect Federation позволяет пользователям аутентифицироваться у одного провайдера идентификации (Identity Provider, IdP), чтобы затем использовать свои учетные данные для доступа к ресурсам, предоставляемым различными поставщиками услуг (Service Providers, SP). OIDC Federation позволяет организовать совместную работу нескольких IdP, позволяя пользователю аутентифицироваться у одного из них и получать доступ к ресурсам (например, приложениям), защищенным другими IdP.

После успешной аутентификации пользователя IdP возвращает клиентскому приложению маркер доступа (Access Token) в формате JWT (JSON Web Tokens). Данные токены содержат информацию о пользователе и его правах доступа и содержат следующие компоненты:

  • Header (Заголовок) - Обычно содержит тип токена (JWT) и алгоритм подписи;
  • Payload (Полезная нагрузка) - Содержит утверждения (claims) о пользователе и другие данные
  • Signature (Подпись) - Создается путем кодирования Header и Payload с использованием секрета, обеспечивая целостность данных и аутентичность токена.

Использование Access Token позволяет безопасно передавать информацию между различными поставщиками услуг (Service Providers). Когда пользователь пытается получить доступ к защищенному ресурсу, он предоставить полученный Access Token для подтверждения своей личности. Стороны OIDC Federation проверяют маркер доступа, убеждаясь, что он выдан доверенным IdP и не изменен. Содержащиеся в токене утверждения (claims) позволяют получить более полные данные о правах пользователя, предоставляя/запрещая доступ пользователя к тем или иным защищенным ресурсам.

Avanpost FAM предоставляет гибкий механизм настройки интеграции с внешними IdP, работающими по протоколу OpenID Connect. 

Более подробная информация о настройке внешних провайдеров идентификации с поддержкой OIDC Federation дана в следующих разделах:

Обсуждение