Аванпост оголосила про випуск Avanpost SSO 2.0
Аванпост оголосила про випуск Avanpost SSO 2.0
Аванпост оголосила про випуск Avanpost SSO 2.0 — етапного релізу програмного продукту для створення корпоративних систем з функцією єдиного входу (Single Sign-On, або SSO).
Зміни, включені в даний реліз, за словами розробника, розширили можливості систем аутентифікації, створюваних на базі Avanpost Web SSO, спростили впровадження та супровід продукту, а також дозволили однаково ефективно реалізувати аутентифікацію як для сучасного ПЗ, так і для успадкованих систем.
Avanpost Web SSO — це системоутворююче ПЗ, що дозволяє великій територіально розподіленій організації або мережі взаємодіючих підприємств (кластеру, ділової мережі, розширеному ланцюжку поставок та ін.) реалізувати повний комплекс функцій звичайної та багатофакторної аутентифікації користувачів ІС, а також їх безпечного входу в усі необхідні додатки після одноразової аутентифікації. Побудована на базі Avanpost Web SSO єдина система аутентифікації охоплює всі засоби взаємодії користувачів з сучасними ІС: тонких клієнтів, мобільні додатки, SaaS-сервіси, настільні додатки традиційного типу та складно організовані веб-ресурси, сторінки яких динамічно звертаються до інформаційних систем однієї чи кількох організацій . При цьому Avanpost WebSSO здатний ефективно підтримувати ІС із мільйонами користувачів, стверджують в Аванпост.
Серед змін Avanpost Web SSO 2.0 розробник відзначив підтримку множинних ідентифікаторівкористувачів, ефективну роботу з успадкованим ПЗ, появу повнофункціонального адміністративного інтерфейсу, що дозволяє вести внутрішній каталог користувачів, включаючи керування групами та призначення груп та окремих користувачів доступу до програм. У релізі Avanpost Web SSO повністю змінено технологію управління даними, що спростило впровадження та конфігурування продукту, а також забезпечило можливість зміни моделі даних та внесення відповідних оновлень до системи аутентифікації без участі користувачів.
Ідентифікація користувачів
Множинні ідентифікатори користувачів дозволяють їм входити в систему не тільки за логіном, а й за будь-якими іншими дозволеними замовниками унікальними ключами, наприклад, за номером телефону, e-mail, СНІЛС та ін. Під яким би індикатором не увійшов до системи користувач йому буде доступний той самий набір додатків. Крім того, кожній програмі Avanpost Web SSO 2.0 передає саме той ідентифікатор і в тому форматі, який він чекає. Це дозволяє підключати до єдиної системи автентифікації програми, що використовують різні варіанти ідентифікації користувачів та мають власні бази ідентифікаторів, які потрібно зберегти. Така ситуація характерна для успадкованого програмного забезпечення, зазначив розробник.
Система автентифікації та SSO для нового та успадкованого ПЗ
Для ефективної роботи корпоративної системи аутентифікації як із сучасним ПЗ принципове значення має підтримка в Web SSO 2.0 двох різних способів аутентифікації. Починаючи з першого релізу, в Avanpost Web SSO було реалізовано автентифікацію через identity provider. У такій схемі система Web SSO бере участь тільки в процесі аутентифікації, після завершення якого ніякої взаємодії з прикладним ПЗ більше не відбувається. Відповідно, система аутентифікації, що використовує цю схему, найбільш стійка та найменш навантажена.
Avanpost Web SSO 2.0 отримала також можливість працювати і в якості спеціального аутентифікуючого проксі-сервера (reverse proxy). Сервіс автентифікації та SSO, що міститься перед інформаційною системою, перехоплює всі запити до додатків і додає до них той чи інший авторизаційний атрибут (наприклад, один з ідентифікаторів користувача), що дозволяє застосуванню знати, від якого користувача надійшов запит. Системи SSO, що працюють за цією схемою, беруть участь у обробці всіх запитів кожного додатка і тому можуть масштабуватись тільки разом із ними. Адже від пропускної спроможності reverse proxy залежить швидкість передачі в додатки. Виходить навантажена система автентифікації, що важко масштабується. Однак, у цієї схеми є сильна сторона, пов'язана з можливістю підключити до корпоративної системи аутентифікації та SSO успадковані програми, які ніколи не будуть підтримувати ні SAML, ні OpenID або щось подібне, підкреслив розробник.
Можливість спільного використання обох схем, що надається Avanpost Web SSO 2.0, дозволяє замовникам ефективно працювати як з новими, так і з успадкованими програмами, підтримуючи оптимальний життєвий цикл корпоративної системи автентифікації та SSO. В Avanpost вважають, що використовувати одну технологічну платформу простіше та зручніше, ніж комбінувати та розвивати незалежні системи аутентифікації.
Система керування даними
Ще одна зміна пов'язана з повною переробкою системи керування даними в Avanpost Web SSO 2.0. Замість двох програмних продуктів (OpenLDAP і Redis) використовується СУБД Tarantool. Зберігання інформації про користувачів OpenLDAP ускладнювало оновлення схеми даних. Додавання полів та розширення схеми, з якою справляється будь-яка реляційна СУБД, у разі OpenLDAP є складним завданням, що вимагає від адміністратора високої кваліфікації та великих трудовитрат. У той же час необхідність у змінах схеми даних виникає досить часто (наприклад, цього вимагала реалізація множинних ідентифікаторів користувачів та адміністративного інтерфейсу Avanpost Web SSO 2.0). Перехід на СУБД Tarantool забезпечив розширюваність схеми даних та її оновлення без участі користувачів.
Високодоступне мережеве журнальне сховище даних типу «ключ — значення» Redis дозволило Avanpost Web SSO 1.х тримати в пам'яті мінливу інформацію про безліч сесій на безлічі нод і своєчасно коригувати ці зв'язки (наприклад, при переміщенні сервісів або перемиканні користувачів між нодами) . І хоча ця функція працювала бездоганно, ряд особливостей Redis призводив до невиправданого ускладнення ІТ-рішення та зростання витрат на впровадження та адміністрування. Так, у кластерному режимі Redis вимагає не менше трьох нід, тоді як більшості замовників Avanpost Web SSO достатньо двох. Заміна Redis на Tarantool усунула подібні проблеми без побічних ефектів. Випробування показали, що СУБД Tarantool високодоступна, швидко реплікується, зберігає інформацію як в оперативній, так і зовнішній пам'яті, ефективна у високонавантаженому режимі та у відмовостійких конфігураціях. Крім того, конфігурування та адміністрування однієї системи керування даними замість двох значно знизило складність налаштування та адміністрування високодоступних кластерів.
У релізі Avanpost Web SSO розробником відзначені і менш масштабні зміни, що впливають на зручність використання та функціональність продукту. У представленої версії підтримується більше факторів аутентифікації, причому їх можна використовувати в будь-яких поєднаннях. У повному обсязі реалізована доменна автентифікація Kerberos. А в багатофакторній аутентифікації можна задіяти SMS, для цього до складу продукту вбудовані необхідні інструменти інтеграції із зовнішніми шлюзами SMS будь-яких провайдерів.
Змінилася і система підготовки звітів. Зокрема, на основі досвіду практичного застосування Avanpost Web SSO був розроблений вивірений набір звітів, які дозволяють побачити, хто і коли працював з тією чи іншою системою і скільки входило за певний час, зібрати різну статистику по системах, користувачах і групах, отримати зрізи з облікових записів та інших елементів моделі даних. Цей фіксований набір звітів вбудований в Avanpost Web SSO 2.0 і не вимагає адміністрування, ні інтеграції з іншими програмами, ні складної настройки. При цьому зберігається можливість створювати у зовнішньому ПЗ звіти будь-якої складності.
При підготовці Avanpost Web SSO 2.0 компанія Аванпост застосувала власні методики дозування змін, що включаються до етапних та мінорних оновлення своїх продуктів. Ця зміна, введена у зв'язку з переходом на технології Agile, спрощує освоєння нових версій користувачами та адміністраторами продуктів лінійки Avanpost, вважає розробник.
