Pull to refresh
  • by relevance
  • by date
  • by rating

Pubcookie: единая точка аутентификации для веб-приложений

Маркетинговая группа TechArt corporate blog
Существует множество решений, позволяющих в том или ином виде реализовать технологию единого входа (Single Sign On). Под единым входом понимается ситуация, когда авторизовавшись один раз на некотором выделенном сервере авторизации (или просто на своей машине), вы получаете доступ ко всем доступным сетевым ресурсам без дополнительной авторизации.

Мы сейчас постепенно занимаемся рефакторингом наших внутренних интранет-служб, развивавшихся зачастую стихийно, и рассматриваем различные технологии, использование которых может сделать нашу внутреннюю инфраструктуру удобнее и безопаснее.

Технологии SSO, как правило, достаточно непростые, однако если ограничиться задачей единого входа только для набора веб-приложений, существует относительно несложное решение, позволяющее реализовать такую возможность, не меняя, или незначительно меняя код приложения. Это решение называется Pubcookie, о нем и пойдет речь.

Читать дальше →
Total votes 25: ↑19 and ↓6+13
Views6.6K
Comments 3

Jasig CAS — сервер аутентификации

Website development
Если Вы разрабатываете веб-приложения, наверняка вы сталкивались с задачей реализации single sign on. В этой небольшой статье я кратко опишу готовое решение от Jasig.

Краткое описание


Jasig CAS (Central Authentication Service) — это веб-приложение, написанное на java. Чтобы начать им пользоваться, почти ничего не надо делать. Нужно загрузить, настроить, собрать, развернуть. И настроить клиентов (сайты на которых мы делаем single sign on).
Читать дальше →
Total votes 6: ↑5 and ↓1+4
Views25K
Comments 3

Single sign-on на omniauth и rails

Website developmentRuby on Rails
Sandbox
Tutorial

Аутентификация пользователей в экосистемах наподобие Google или Envato реализована в виде отдельных сервисов (accounts.google.com, account.envato.com), предоставляющих необходимые данные и токены сайтам-клиентам. В ходе разработки некоторых проектов на Ruby on Rails мне и пришлось столкнуться с подобной задачей. По-научному — single sign-on или технология единого входа.

Нужен был (1) общий сервис для всех сайтов экосистемы, с (2) преимущественно социальной авторизацией, в угоду входу по связке «логин+пароль».
Сервис, (3) аккумулирующий в себе данные из тех социальных сервисов, с помощью которых пользователь входит в систему, и (4) предоставляющий эти данные сайтам-клиентам.

Задача оказалась настолько же интересной, насколько и нестандартной. Началось все с полезной, но уже немного устаревшей статьи — автор предлагал использовать гем omniauth и кастомную стратегию на сайтах клиентах, а на сайте-провайдере — использовать тот же omniauth в связке с devise для аутентификации через соц. сервисы.

Devise в моем случае подходил мало (завязка на логине+пароле), поэтому предпочтение было полностью отдано omniauth. С этого и началось мое маленькое приключение, о ходе которого предлагаю вам ознакомиться в данной статье.
Читать дальше →
Total votes 22: ↑21 and ↓1+20
Views18K
Comments 2

Переход на механизмы авторизации и аутентификации ADFS как часть маркетинговой стратегии

True Engineering corporate blogSharePointASP
Статья будет интересна всем, кто хочет узнать значение страшного термина «Active Directory Federation Services» на примере из реальной жизни, а также всем, кто занимается разработкой кастомных систем на базе SharePoint и находится в процессе принятия решения, какую модель авторизации и аутентификации выбрать, либо собирается переключить существующее решение на ADFS.

А самое главное, она пригодится тем, кому важны потребительские качества IT-продукта, его значение и удобство для конечного пользователя.

Совсем недавно мы перевели на ADFS портал программы лояльности одного из наших заказчиков. Это стало частью большого процесса инфраструктурных изменений системы. Всегда интереснее говорить о сложных вещах в привязке к бизнес-целям, которым эти сложные технические вещи служат. Поэтому — небольшое описание самой программы лояльности.

Это система лояльности для кассиров, которые продают услуги нашего заказчика. Выполнена на MS SharePoint. Через портал кассиры копят бонусы и получают за них подарки (сувенирку, турпутевки, подарочные карты и т.п.) Компания таким образом может гибко управлять продажами нужных «позиций», анализировать работу кассиров и агентств и много еще чего полезного.

Мы разрабатывали программу лояльности с самого начала. Первый релиз состоялся в феврале 2013 года. Развитие системы продолжается. Например, только что мы провели полный редизайн портала. Но этому предшествовала миграция на ADFS, как важнейший этап модернизации. Об этом — дальше речь.

Читать дальше →
Total votes 9: ↑6 and ↓3+3
Views28K
Comments 7

Личные устройства при работе с корпоративными данными: BYOD или принеси свой собственный девайс

Microsoft corporate blog
Одним из направлений развития современных IT является концепция BYOD (Bring Your Own Device, или дословно «Принеси свое собственное устройство»). Арсенал современного пользователя состоит из нескольких устройств: ноутбука, планшета, телефона; каждый из которых имеет свои особенности и может функционировать на базе разных операционных систем. При этом остается важным вопрос использования личных устройств пользователей для работы с корпоративными данными. Если ноутбуки, да и планшеты на Windows 8 Pro подключить к домену можно без каких-либо проблем, то со всем остальными версиями операционных систем дела обстоят не столь хорошо. Но доступ к корпоративным ресурсам пользователю тем не менее предоставить необходимо. Этим начинаются муки выбора между удобством пользователей и безопасностью внутренней информации. Часто попытки найти решение заходят в тупик. Однако, с выходом Windows Server 2012 R2 и Windows 8.1 появились различные инструменты, которые помогут в решении этой вечной проблемы и в реализации концепции BYOD. Обзор новой функциональности я и хочу представить вам в рамках этой статьи.



Читать дальше →
Total votes 19: ↑13 and ↓6+7
Views21K
Comments 0

Active Directory vs. Azure Active Directory

Microsoft corporate blogMicrosoft Azure
Традиционно, для управления корпоративной сетью используется Active Directory. Но все чаще организации внедряют в свою работу различные облачные службы, которые требуют создания своих учетных записей. Инструментом для создания и управления учетными записями пользователей, применыемых в различных облачных службах Microsoft, которые приобретает организация, является Azure Active Directory. В этой статье мы поговорим о некоторых отличиях между Active Directory и Azure Active Directory, а также рассмотрим основные сценарии их синхронизации.


Читать дальше →
Total votes 35: ↑24 and ↓11+13
Views42K
Comments 5

Прозрачная аутентификация в Redmine

Website development
Сегодняшний пост будет про удобство использования Redmine в корпоративной среде, а если быть точнее, про прозрачную авторизацию пользователей Redmine в домене Microsoft Active Directory.

Мы используем Redmine как единую информационную среду, в которой работают все сотрудники компании. Вводить один и тот же пароль дважды — это всегда неудобно. Поэтому, мы настроили прозрачную аутентификацию через домен.



Читать дальше →
Total votes 17: ↑15 and ↓2+13
Views19K
Comments 9

Реализация Single Sign On в Symfony2 приложении

Information SecurityWebsite developmentPHPSymfony
Tutorial

Что такое Single Sign On?


Single Sign On — это технология, с помощью которой пользователь, будучи аутентифицированным на удостоверяющем центре (далее Identity Provider, IdP), будет автоматически аутентифицирован на другом сервисе (далее Service Provider, SP или Consumer[1-N]) этой компании.

Механизм Single Sign On используют такие сайты, как ХабраХабр, Yandex, Google. Приемущества такого подхода к аутентификации пользователей очевидны:

  • Пользователь вводит пароль только 1 раз
  • Или вовсе не вводит пароль на IdP, если там был использован вход через социальную сеть или с использованием OpenID
  • Автоматически аутентифицируется на всех проектах компании
  • Данные пользователя могут плавать между сервисами от IdP до SP прозрачно для пользователя

Читать дальше →
Total votes 14: ↑13 and ↓1+12
Views28K
Comments 21

Битва за ADFS (Active Directory Federation Services)

True Engineering corporate blogSharePoint

Предыстория


Проект начинался как портал на основе SP 2007, а позже на основе 2010 SP. Изначально все пользователи были в Active Directory. Был только один тип пользователей. Связи между ними были достаточно простыми. Появлялись новые типы пользователей, которые сложным образом становились связаны друг с другом. Также постепенно проект обрастал различными связанными подсистемами, часть из которых работала внутри портала, часть вне его. И это все усложняло схему авторизации.


Читать дальше →
Total votes 12: ↑10 and ↓2+8
Views16K
Comments 0

Двухфакторная аутентификация (2FA) устойчивая к фишингу

Information SecurityNetwork technologiesServer Administration
Последний месяц все кому не лень пишут что 2FA (двухфакторная аутентификация) в опасности из-за качественно выполненных фейковых страниц. Собственно, заголовок статьи пародирует один из таких постов на Хабре. Конечно, 2FA бывают разные. В некоторых «особо продвинутых» европейских банках до сих пор пор можно разжиться листиком с одноразовыми TAN-кодами.

Но уже несколько лет как индустрия не стоит на месте, и вместо одноразовых TAN/PIN-кодов прилетающих по SMS или через приложения типа RSA Token, Steam Guard, Google Authenticator есть и другие варианты.

Вот видео, нас интересует самый первый сценарий. Что происходит?


Читать дальше →
Total votes 18: ↑4 and ↓14-10
Views9.2K
Comments 23

Проект по внедрению Single Sign On в SAP

Information SecurityERP-systemsProject management

Конец года, все потихоньку подводят итоги.


Для меня этот год запомнился проектом внедрения Single Sign On (SSO) между SAP и Windows. В этой статье расскажу об опыте внедрения и проектного менеджмента, подводных камнях, находках и выводах.



Компания — крупное транспортное предприятие в Бельгии, объединяющее метро, трамвай и автобус. Сотрудников более 10 тысяч, из них почти две тысячи это backoffice, использующий много инструментов: корпоративный сайт, почту, службу заявок, sharepoint, архивариус и, конечно, SAP.


SAP повсюду: от бухгалтерии и HR до регистрации движения транспортных единиц, документации аварий, аналитики, закупок, складирования и т.д.


Проблема:


  • SAP для пользователя PC — это отдельное приложение, для входа в которое нужен свой пароль
  • Сначала пароль нужно запросить, а потом помнить. Техподдержка вынуждена принимать звонки по созданию и смене паролей.
  • С точки зрения пользователя лишний пароль — это лишние хлопоты. Люди хранят пароли на бумажках или делают их слишком простыми. Безопасность вопит о грубых нарушениях.
  • Минимальные требования для пароля от PC не совпадают с параметрами паролей в SAP. Если приводить их к единому знаменателю, то лучше сразу внедрить SSO.

Задача: внедрить SSO между Windows и SAP, чтобы, заходя в свою учётную запись на PC, пользователь мог залогиниться в SAP не вводя пароль.


Если вы не имеете дела с SAP вам будет интересна эта статья с точки зрения менеджмента проекта, для сапёров тех детали будут приведены (в скобках).


Под катом:


  1. Scope
    1.1 Scope Люди
    1.2 Scope системы
  2. Компоненты
    2.1 Изменение параметров системы
    2.2 Windows Active Directory (AD)
    2.3 SAP Secure Login Client (SLC)
    2.4 Привязка пользователя SAP к его AD
    2.5 Модификация файла SAP logon.ini
  3. Тестирование
  4. SNC это дыра в безопасности
  5. Командная работа
  6. Информация для бизнеса
  7. Трудности перевода
  8. Итоги и выводы
Читать дальше →
Total votes 20: ↑19 and ↓1+18
Views8.7K
Comments 9