Если вы работаете с веб-доступом системы DIRECTUM и в вашей компании активно используют другие веб-ресурсы, например корпоративный форум, блог, чат, сайт контрольной панели модуля «Управление показателями эффективности» DIRECTUM, то эта статья вам будет особенно полезной. Далее мы расскажем о принципе единого входа (Single Sign-On) и о подключении к веб-доступу системы DIRECTUM 5.2 с помощью сторонних провайдеров аутентификации.

Принцип единого входа

Зачастую, чтобы зайти на веб-ресурс у пользователя запрашивают параметры для входа, обычно это логин и пароль. Когда веб-ресурс один, никаких неприятностей не возникает, но стоит количеству разрастись даже до двух, появляются проблемы:

• пользователям приходится запоминать несколько комбинаций логина и пароля для разных корпоративных сайтов;
• постоянно тратится время на ввод логина и пароля на каждом веб-ресурсе;
• возрастает нагрузка на ИТ-отдел, ответственный за веб-ресурсы, так как увеличивается число обращений по восстановлению забытых пользователями паролей;
• для сотрудников ИТ-отдела усложняется процесс поддержки традиционных механизмов аутентификации: проверка сложности пароля, отслеживание срока их действия, периодическая активация, изменение, удаление паролей и т.д.

Чем больше в компании веб-ресурсов, тем сильнее проявляются эти проблемы. Решить их можно путем использования принципа единого входа (Single Sign-On). Это технология позволяет войти на сайт одного ресурса, а к другим обращаться уже без аутентификации.

Для поддержки принципа единого входа в версии DIRECTUM 5.2 аутентификация на сайте веб-доступа и на сайте контрольной панели модуля «Управление показателями эффективности» может быть реализована с помощью внешних провайдеров аутентификации.

Алгоритм аутентификации с помощью внешнего провайдера

Алгоритм работы:

1. При открытии любой страницы сайта (SP) проводится проверка аутентификации пользователя.
2. Неаутентифицированный пользователь перенаправляется на страницу аутентификации соответствующего провайдера (Idp).
3. На странице аутентификации провайдера пользователь выбирает тип аутентификации и вводит реквизиты, идентифицирующие его, обычно это логин и пароль.
4. После нажатия кнопки Войти, пользователь проходит аутентификацию на стороне сервера провайдера.
5. Если аутентификация прошла успешно, то провайдер создаёт ключ, в который включает информацию, идентифицирующую пользователя.
6. После этого пользователя перенаправляют на изначальную страницу сайта, при этом к запросу добавляется полученный ключ.
7. На стороне сервера сайта (SP) определяется, что пользователь аутентифицирован, из ключа извлекается необходимая для авторизации информация, после чего пользователю предоставляется доступ к сайту.

Использование сайтов провайдеров для аутентификации

в веб-доступе

При обращении к сайту веб-доступа DIRECTUM 5.2 можно настроить автоматическое перенаправление на страницу аутентификации провайдера. Другой вариант – перенаправлять пользователя на сайт провайдера при нажатии на специально созданную кнопку на странице входа веб-доступа:

В любом случае, после проведения аутентификации на стороне провайдера мы получим ключ безопасности с информацией о пользователе. В дальнейшем при помощи HTTP-модуля ключ будет использован для авторизации пользователя на сайте веб-доступа.

В стандартной поставке веб-доступ системы DIRECTUM 5.2 поддерживает интеграцию с провайдером Active Directory Federation Services (AD FS), который работает по протоколу WS-Federation. Функцию HTTP-модуля аутентификации для таких провайдеров выполняет стандартный модуль, который входит в пакет .NET Framework 4.5.

Если используются провайдеры, работающие по другим протоколам, то HTTP-модуль аутентификации необходимо разработать самостоятельно. В справке можно найти информацию о том, как разработать собственный HTTP-модуль, а также посмотреть пример настройки аутентификации с помощью провайдера PingFederate.

Все описанные выше настройки производятся файле конфигурации web.config. Подробнее о порядке настройки читайте в справке.

Аутентификация в веб-доступе без перехода на сайт провайдера

Аутентификация на стороне провайдера может проходить и без перехода на сайт провайдера. Реализовать такую возможность в веб-доступе системы DIRECTUM 5.2 можно, если добавить новый провайдер аутентификации в список типов аутентификации на странице входа:

Такой вариант реализации позволяет заменить провайдер аутентификации на произвольный без необходимости менять страницу входа. При нажатии на кнопку Войти выбранному провайдеру будет отправлен запрос на аутентификацию. Хочется отметить, что данный вариант реализации осуществим благодаря возможности разработки своего интегрированного провайдера аутентификации. Вы можете подробно изучить порядок добавления провайдера в список типов аутентификации в веб-доступе в справке.

Заключение

Настройка аутентификации на сайте веб-доступа DIRECTUM с помощью сторонних провайдеров не является заурядной задачей, ее решение потребует вашего времени. Однако, если в компании активно используют различные веб-приложения, и сотрудники привыкли работать с ними как внутри локальной сети, так и за ее пределами, то реализация единого входя для всех веб-приложений существенно повысит удобство работы с ними. Многие пользователи скажут вам спасибо, когда вы избавите их от бесчисленных форм входа на сайты.