Блог

Возможность аутентификации и авторизации с использованием ADFS

В технологической платформе Sherp реализованы аутентификация и авторизация пользователей прикладной системы с использованием компоненты Active Directory Federation Services (ADFS).

 

Active Directory Federation Services - это компонент операционных систем Microsoft Windows Server 2003 R2 и старше, который обеспечивает использование технологии единого входа (SSO - Single Sign On) для проверки подлинности пользователя. ADFS использует модель авторизации на основе утверждений для обеспечения безопасности приложений и реализации федеративной идентификации. Аутентификация на основе утверждений – это процесс аутентификации пользователя на основе набора требований к его идентификатору, содержащихся в доверенном токене.  

Данный способ рекомендуется для холдинговых организаций, состоящих из разных юридических лиц и имеющих учетные записи пользователей, выданных в разных доменах. Также такой способ применим при создании цифровой экосистемы и предоставлении доступа к информационным системам компании её партнерам.

 

Использование технологии ADFS позволяет предоставлять авторизованный доступ к своим информационным ресурсам, оставляя контроль за учетными записями пользователей в доменах дочерних или партнерских организаций. Т.е., например, блокирование при увольнении сотрудника дочерней организации доступа к информационным ресурсам головной компании реализуется своевременным блокированием его учетной записи в домене дочерней организации.

 

Для реализации данного способа аутентификации и авторизации в организации необходимо:

  1. Установить программное обеспечение:
  • Internet Information Services 7;
  • Active Directory Certification Service;
  • ADFS версии 2.0 RTW и выше.
  1. Выполнить конфигурирование серверов ADFS.

Конфигурирование сервера ADFS производится с помощью мастера конфигурации, путем указания в нём необходимых сертификатов. Сервер ADFS должен иметь сертификат проверки подлинности сервера и сертификат для подписи токенов. Для политики доверия требуется связанный сертификат, известный как сертификат проверки, который представляет собой часть сертификата для подписи токенов, относящуюся к открытому ключу.

2.1. Сертификаты проверки подлинности серверов. Сервер ADFS использует SSL-сертификат проверки подлинности сервера, чтобы защитить трафик веб-служб, обеспечивающий взаимодействие с веб-клиентами или прокси-сервером ADFS. Эти сертификаты можно запросить и установить с помощью оснастки «Службы IIS».

2.2. Сертификаты для подписи токенов. Каждый сервер ADFS использует подписывающий токены сертификат для подписи всех производимых им токенов безопасности. Так как каждый токен безопасности подписан партнером по учетным записям, партнер по ресурсам может проверить, что токен безопасности в действительности выдан партнером по учетным записям и что он не был изменен. Это помогает предотвратить фальсификацию и изменение злоумышленниками токенов безопасности для получения несанкционированного доступа к ресурсам.

2.3. Сертификаты проверки. Сертификаты проверки используются для подтверждения того, что токен безопасности выдан действующим сервером ADFS и что токен не был изменен. Сертификаты проверки - это фактически сертификаты для подписи токенов других серверов ADFS. Чтобы удостовериться, что токен безопасности выдан заданным сервером ADFS и не был изменен, сервер ADFS должен иметь сертификат проверки для сервера ADFS, выдавшего токен безопасности.

3. Выполнить конфигурирование сервера приложений платформы Sherp.

Для настройки работы серверной части приложения (служба Server.exe) требуется внести изменения в файл конфигурации службы Server.exe.config. Настройка производится в разделе Remoting, в котором указываются параметры:

  • URL главного сервера ADFS;
  • отпечаток сертификата главного сервера ADFS;
  • Relying Party Trust главного сервера ADFS;
  • Relying Party Trust сервера службы;
  • отпечаток сертификата сервера, на котором запущена служба Server.exe;
  • Claim, в котором будет содержаться идентификатор пользователя;
  • тэги IPSts должны содержать список дочерних серверов, который будет отображаться на форме аутентификации.

После выполнения указанных действий пользователь может запустить клиентское приложение (Loader.exe), выбрать название сервера ADFS, ввести свой логин/пароль и пройти процесс аутентификации и авторизации.

В рамках процесса аутентификации и авторизации будет установлено защищенное соединение между клиентским приложением и сервером платформы Sherp с использованием протокола SSL и защищенное соединение между сервером платформы Sherp и серверами ADFS с использованием протокола https.


О Платформе
Подписаться

Новые статьи

Настройка рабочего места Изменения в разработке пользовательских форм Платформа как инструмент реализации задач индивидуального пользователя Поиск по связанным сущностям Дополнительные настройки Browser'а Новая форма интерфейса - FinderBrowser Новый вид меню пользователя Возможность формирования отчетов с использованием различных источников данных (Федерация данных) Росагролизинг внедрил лизинговый конвейер, автоматизировав процесс рассмотрения заявок на поставку сельхозтехники Возможность аутентификации и авторизации с использованием ADFS