Служба аутентификации PASSPORT SERVER

Passport Server - служба аутентификации пользователей веб-приложений, поддерживающая различные способы аутентификации:

1. Аутентификация по логину/паролю;
2. Аутентификация по X.509 сертификатам (например, на ключах Alladin eToken через USB-порт);
3. Аутентификация через Active Directory.
4. Возможна прозрачная аутентификация на одном веб приложении как по логину, так и по X.509 сертификату

Назначение Passport Server - обеспечить централизованное хранение информации о пользователях для потребителей - различных веб-приложений.

Архитектура службы аутентификации

Passport Server состоит из следующих компонентов:

• База данных, хранящая информацию о пользователях:
  • Личные сведения (ФИО, контактная информация)
  • Логин/пароль, сертификат, идентификатор в домене и т.д.
• Веб-сайт администрирования, предоставляющий возможность управления пользователями.
• Веб-сервис, обслуживающий запросы от систем на аутентификацию пользователей.

 

Основные преимущества Passport Server по сравнению с отдельной аутентификацией на каждом сайте

• Пользователь будет иметь один логин и пароль для доступа ко всем сайтам компании.
• Пользователь может иметь один сертификат для доступа к нескольким сайтам компании.
• Централизованное администрирование пользователей сокращает расходы.

Службу аутентификации можно расширять, добавляя новые способы аутентификации пользователей, и внедрять их на веб-сайты с минимальными доработками.

Принцип работы системы аутентификации

Аутентификация по X.509 сертификату (ЭЦП)

1. Пользователь вставляет ключ Alladin eToken в USB-порт.
2. Пользователь обращается к веб-сайту по протоколу HTTPS.
3. Веб-сайт запрашивает сертификат пользователя, у пользователя появляется окно выбора сертификата для идентификации себя.
4. Пользователь выбирает из списка доступных сертификатов нужный и вводит PIN-код (PIN-код запрашивает драйвер eToken для доступа к сертификату).
5. Браузер пользователя отправляет запрос на веб-сайт с прикреплённым сертификатом.
6. Веб-сайт запрашивает идентификатор пользователя через веб-сервис Passport Server, передавая серийный номер сертификата и публичный ключ.
7. Веб-сервис Passport Server находит в своей базе данных пользователя с заданным серийным номером сертификата, и сверяет публичные ключи переданного и хранящегося сертификатов. Веб-сервис проверяет по своей базе данных, имеет ли пользователь доступ к запрашиваемому веб-сайту. Если все проверки прошли успешно, веб-сервис возвращает идентификатор пользователя.
8. Веб-сайт находит в своей БД пользователя с заданным идентификатором и инициализирует сессию.
9. Если в БД веб-сайта нет пользователя с заданным идентификатором, веб-сайт запрашивает информацию о пользователе через веб-сервис и создаёт запись о новом пользователе (ФИО, e-mail и другие поля). При необходимости пользователь заполняет дополнительные сведения о себе.

Аутентификация по логину/паролю

1. Пользователь обращается к веб-сайту по протоколу HTTP.
2. Веб-сайт перенаправляет пользователя на страницу логина.
3. Пользователь вводит логин и пароль.
4. Веб-сайт запрашивает идентификатор пользователя через веб-сервис Passport Server, передавая логин и хэш пароля.
5. Веб-сервис Passport Server находит в своей базе данных пользователя с заданным логином, и сверяет переданный и хранящийся пароли. Веб-сервис проверяет по своей базе данных, имеет ли пользователь доступ к запрашиваемому веб-сайту. Если все проверки прошли успешно, веб-сервис возвращает идентификатор пользователя.
6. Веб-сайт находит в своей БД пользователя с заданным идентификатором и инициализирует сессию.
7. Если в БД веб-сайта нет пользователя с заданным идентификатором, веб-сайт запрашивает информацию о пользователе через веб-сервис и создаёт запись о новом пользователе (ФИО, e-mail и другие поля). При необходимости пользователь заполняет дополнительные сведения о себе.