Система единого входа и разграничения прав доступа на базе технологии SAML SSO

Время на чтение: 12 минут
09.06.2024
237
Никита Лиханов
Поделиться:
Никита Лиханов

Содержание

Акция!

При регистрации до 27.07.2024:

  • 500 бесплатных анкет
  • бесплатная консультация эксперта и разработка опросника
  • бесплатное оформление опроса
Получить бесплатно

Вам может быть интересно

Для крупных компаний безопасность данных — важная составляющая деловой репутации. Процедура проверки подлинности (или аутентификация) — это способ убедиться в том, что пользователь, с которым взаимодействует система, действительно является таковым.

Например, при проверке подлинности аккаунта с помощью пароля система сравнивает введённый ключ с сохранённым в базе данных вариантом. Это дает больше возможностей для анализа, а также позволит вернуться к отправителю обращения с корректной обратной связью по его вопросу.

В то же время аутентификация сотрудников при входе в различные приложения и переходах на веб-сайты должна быть быстрой и комфортной. Часто этот процесс приходится контролировать в ручном режиме, в том числе раздавать пароли и доступы. Автоматизация в этом случае сэкономит время и ресурсы.

Существующие системы предполагают авторизацию через социальные сети или личные почтовые сервисы. Этот вариант часто не подходит для рабочих задач в крупных компаниях, где важна информационная безопасность. Важно иметь возможность авторизоваться через внутренний контур.

SAML SSO: что это такое

SAML (Security Assertion Markup Language) является открытым стандартом обмена аутентификационными данными в определенном формате. Сторонами процесса являются система управления доступом и веб-приложение (в нашем случае — FOQUZ).

Технология единого входа SSO (Single Sign-On), которая базируется на протоколе SAML, дает возможность пользователю проходить авторизацию всего один раз в системе управления доступом.

Это значит, что пользователь вводит логин и пароль только один раз при входе в корпоративную сеть на персональном устройстве, т. е. ему не нужно затем вводить свои данные при авторизации в FOQUZ. При попытке зайти на сайт FOQUZ веб-платформа осуществляет запрос аутентификационных данных у системы контроля и управления доступами и на их основе предоставляет пользователю доступ к определенным разделам.
SAML SSO: что это

Далее пользователь незаметно в автоматическом режиме авторизуется в тех приложениях и сервисах, которые поддерживают данную технологию и интегрированы с системой доступа.

Вход в FOQUZ с использованием SAML-аутентификации обеспечивает быстрый и беспрепятственный доступ к веб-приложению — нужно просто зайти на сайт системы опросов. Пользователь не должен запоминать или где-то хранить логин и пароль входа в FOQUZ, что повышает уровень безопасности платформы.

Технология единого доступа SSO на базе SAML реализуется путем обмена данными между корпоративной системой управления доступом и платформой FOQUZ. Веб-сервис получает логины, состояние аутентификации, права и другие данные, которые служат основанием для автоматического подключения пользователя к платформе.

Это значит, что пользователь вводит логин и пароль только один раз при входе в корпоративную сеть. При попытке зайти на сайт FOQUZ веб-платформа осуществляет запрос аутентификационных данных у системы управления доступом и на их основе предоставляет пользователю доступ к определенным разделам.

Преимущества и принцип работы

Если у вас используется система управления пользователями и доступом (например, Active Directory или аналогичная), вы можете использовать ее для авторизации сотрудников на сервисе опросов FOQUZ.

Тогда не нужно будет создавать нового пользователя, сотрудники смогут получить доступ к определенным папкам и опросам (ответам, статистике) с помощью своих корпоративных аккаунтов. Весь процесс аутентификации в этом случае будет выглядеть так:

Как работает Sing Sign-On в FOQUZ

1) пользователь открывает ссылку для входа в сервис FOQUZ,

2) сервис перенаправляет пользователя на сервис аутентификации,

3) пользователь авторизуется в системе управления доступом и правами ADFS,

4) ADFS запрашивает данные о пользователе в корпоративном Active Directory,

5) AD передает доступ и права пользователя в ADFS,

6) пользователь авторизуется в ADFS,

7) ADFS перенаправляет пользователя в сервис FOQUZ и передает данные о его правах.

SSO позволяет пользователям получать доступ ко всем защищенным ресурсам без необходимости повторной аутентификации, ведь их личность уже подтверждена. SAML обеспечивает высокий уровень безопасности и гибкость, так как учетные данные пользователей не хранятся в каждом приложении отдельно. Такой процесс аутентификации дает ряд преимуществ:

  • Упрощает работу пользователей. Авторизация в сервисах и приложениях будет значительно быстрее. Не нужно хранить и вспоминать логины и пароли к каждому сайту.
  • Одновременно снижается нагрузка на службу поддержки, которая не будет завалена заявками на восстановление доступа в связи с потерей пароля.
  • Разграничение прав. Вместе с доступом к приложению SAML передает персонализированные права на доступ, например, на папки с анкетами или опросами.
  • Решает вопросы безопасности. Уволенный сотрудник с отключенной в единой системе учетной записью сразу теряет доступ ко всем приложениям и сервисам.
Преимущества
Упрощение работы
пользователей
Снижение нагрузки на
службу поддержки
Разграничение прав
Решение вопросов
безопасности
Кейсы
Ограничение количества «мертвых»
профилей и избыточных прав
Единая точка контроля различных
онлайн-коммуникаций с клиентом
Автоматизация выдачи нужного
доступа сотрудникам
Предупреждение утечки данных
в клиентском и внутреннем контурах
SAML SSO: преимущества и бизнес-кейсы

Вот лишь некоторые бизнес-кейсы, где технология единого доступа SSO будет незаменима с точки зрения защиты конфиденциальной информации:

  • ограничивать рост «мертвых» профилей или числа сотрудников с избыточными правами, которые накапливаются со временем;
  • создать единую точку контроля многообразных онлайн-коммуникаций с клиентом;
  • автоматизировать процесс выдачи нужного доступа в моменте обращения сотрудника к нужному ресурсу;
  • предупредить утечку данных при выстраивании производственных и логистических процессов с партнерами.

Также можно распределять доступы к частям функционала, определенным вопросам, анкетам. Например, разграничить роли администратора и обычного пользователя. Это позволит эффективно управлять информацией, обеспечивать конфиденциальность данных и предотвращать несанкционированный доступ к важным ресурсам.

SSO и информационная безопасность

Технология единого доступа SSO востребована в сфере информационной безопасности. В таких компаниях применяют гибкий подход в назначении паролей. Ведь чем жестче политика распределения доступов, тем чаще сотрудники будут забывать данные для входа, начнут записывать их, терять или оставлять на видном месте свои персональные доступы.

Сотрудники инфобезопасности могут легко ограничить доступ к ресурсам для сотрудников с ограниченными правами или уволенных работников. При этом затраты на генерацию паролей и частоту их изменения в различных системах будут минимальными.

Спрос на такие программные решения для сферы информационной безопасности растет с каждым годом, и разработчики предлагают различные варианты программного обеспечения:

1. Enterprise SSO — ПО устанавливается на компьютеры и автоматически заполняет данные пользователя в формах для аутентификации приложения. Его разновидность Individual instance — это отдельный виртуальный сервер приложения в облаке, который работает независимо от других инстансов на том же облачном хостинге.

Каждый отдельный инстанс имеет свои собственные вычислительные ресурсы, операционную систему, базу данных и другие компоненты, что обеспечивает изоляцию и безопасность данных.

Enterprise SSO
сервер на стороне
клиента
Individual instance
отдельный виртуальный
сервер приложения
в облаке
Пример:
ADFS (Active Directory Federation
Services)
Web SSO
предполагает аутенти-
фикацию через веб-
приложения
Пример:
аутентификация в Яндекс
Варианты поставки ПО для внедрения технологии SAML SSO

Для этих двух технологий нередко используется СКУД (Системы контроля и управления доступами). Одна из таких систем — ADFS (Active Directory Federation Services) — сервис от Microsoft, который позволяет пользователям одновременно получать доступ к нескольким веб-приложениям, использующим разные системы идентификации.

ADFS упрощает процесс аутентификации: создает единую точку входа для управления доступом к различным приложениям и сервисам. Пользователь предоставляет свои учетные данные, после чего ADFS генерирует утверждение (токен) и подтверждает успешную аутентификацию. Этот токен затем используется для авторизации пользователя при доступе к другим приложениям и сервисам.

2. Web SSO предполагает аутентификацию через веб-приложения, обеспечивая единый сервис для проверки подлинности пользователей, использует одну учетную запись для доступа ко всем приложениям. Поддерживает различные протоколы, такие как SAML, OAuth 2.0 и OpenID Connect.

Самый знакомый нам всем пример Web SSO — идентификация в Google. Для входа в аккаунт Google (например, для Gmail, Google Drive, YouTube и т. д.) пользователю необходимо ввести адрес электронной почты или номер телефона, а затем пароль. Google проверяет эти данные на соответствие с информацией в базе данных. После успешной проверки пользователь получает доступ к своему аккаунту.

Создать анкету или опрос за несколько минут

Воспользоваться анкетой, созданной экспертом-маркетологом,
или создать свой опросник
простая регистрация
готовые шаблоны и темы дизайна
удобный и функциональный конструктор
широкие возможности автоматизации
профессиональная помощь экспертов
модуль контроля качества

SSO и HR

В больших компаниях с множеством департаментов и подразделений работать с кадровыми событиями (приемом, увольнением, отпусками и так далее) очень сложно.

Классическая схема аутентификации, требующая корректировки учетных данных при каждом кадровом событии, и вовсе становится нереализуемой задачей. Без корректной базы сотрудников невозможно также управлять доступами к защищенным ресурсам.

SSO помогает и в решении рутинных HR-задач. Например, позволяет автоматизировать процесс аутентификации сотрудников, упрощая контроль над заполнением анкет и одновременно обеспечивая безопасность предоставляемых данных. Кроме того, такой подход предотвращает нарушения и исключает возможность заполнение одной анкеты разными сотрудниками.

Автоматизация выдачи ролей, уровней доступа
Безопасное хранение персональных данных
Проверка данных респондентов в опросах
SSO (Single Sign-On) для задач HR-отдела

С помощью SSO можно прописать правила конфиденциальности по ролевым моделям, определяя различные уровни доступа к системам и данным в зависимости от статуса пользователя. Например, руководители могут иметь расширенные права доступа к табелям зарплаты и бонусов всего отдела, в то время как обычные сотрудники могут видеть только личные данные.

Повышайте свой уровень инфобезопасности

Наличие у FOQUZ доступа SSO на базе SAML — это функционал для компаний, достигших ИТ-зрелости. Специалисты компании могут легко и быстро настроить удобный и безопасный доступ к системе создания опросов и результатам анкетирования.

Авторизация в FOQUZ по технологии единого входа SSO будет особенно полезна для компаний, где более 100 сотрудников из разных отделов имеют доступ к созданию опросов и результатам анкетирования. В таких случаях важно эффективно управлять правами доступа, что легко реализуется через технологию единого доступа SSO на базе протокола SAML.

Расскажите Хани, насколько эта статья была информативной и полезной

Вам может быть интересно