Что такое SAML аутентификация и кому она нужна?
Управление доступом пользователей к облачным ресурсам представляет собой одну из основных проблем для безопасного использования облачных приложений в корпоративном окружении. С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, в том числе организация строгой аутентификации для каждого приложения создает определенную нагрузку на ИТ-подразделения предприятий. Пользователям приходится держать в памяти многочисленные логины и пароли, что неизбежно приводит к утере паролей, снижению продуктивности и раздражает пользователей. До 20% всех обращений в службу поддержки связано с восстановлением утраченных или забытых паролей.
Более того, ИТ-подразделения зачастую не владеют информацией о том, с какими именно приложениями работают конкретные пользователи, и как часто осуществляется доступ к этим приложениям, что фактически приводит к формированию теневых ИТ и снижает эффективность управления ресурсами. С точки зрения контроля доступа возникает также следующий вопрос: каким образом вы можете гарантировать, что в случае ухода сотрудника из компании он перестанет пользоваться корпоративными приложениями? Наконец, даже несмотря на наличие возможности обезопасить доступ к облачным ресурсам средствами многофакторной аутентификации, ИТ-подразделения зачастую не располагают информацией, кто из сотрудников все же позаботился об использовании такой аутентификации. В результате повышается вероятность компрометации данных, угроза фишинга, перебора паролей, взлома облачных баз данных и прочих угроз.
В отсутствие централизованных инструментов управления доступом использование облачных приложений в корпоративном окружении часто не предусматривает механизмов эффективного масштабирования, что приводит к появлению брешей безопасности, увеличению административной нагрузки, раздражению пользователей и снижению эффективности работы организации.
Управление доступом к облачным ресурсам: удостоверения в роли нового периметра безопасности
Аутентификация с использованием SAML
Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML, который предназначен для обмена данными аутентификации и авторизации между сторонами процесса. Ставший стандартом с 2002 года, SAML является разработкой Технического комитета по сервисами безопасности (Security Services Technical Committee), который работает при организации OASIS, занимающейся продвижением стандартов для работы со структурированной информацией. С помощью протокола SAML пользователи могут получать доступ ко множеству своих облачных приложений, указывая всего один логин и пароль. Такой подход получил название «федерации удостоверений», поскольку вместо запоминания целого множества логинов и паролей к каждому приложению, пользователю необходимо помнить лишь одну такую пару. При федерации удостоверений единая система, поддерживающая протокол SAML и получившая название доверенного поставщика удостоверений (Identity Provider, IdP), проводит аутентификацию пользователей, при этом облачные приложения «перекидывают» процесс аутентификации на эту IdP систему всякий раз при попытке пользователя получить к ним доступ.
Федерация удостоверений на базе протокола SAML
Федерация удостоверений и система единого входа позволяет избавиться от множества сложностей и проблем, связанных с необходимостью раздельного управления логинами и паролями для доступа к многочисленным веб-приложениям, не важно, реализованы ли они внутри организации, или являются внешними. Федерация стала возможной благодаря применению стандартов, и протокол SAML выступает в роли краеугольного камня в архитектуре и является основным стандартом для федерации удостоверений. Кроме того, широкое распространение этого протокола и рост его популярности также стали важными преимуществами SAML.
Поскольку в основе стандарта лежит язык разметки XML, SAML отличается исключительной гибкостью. Одного внедрения SAML достаточно, чтобы поддерживать подключение сервиса единого входа (single sign-on, SSO) для множества различных партнеров по федерации. Эта совместимость обеспечивает SAML определенные преимущества над другими, закрытыми механизмами единого входа, в частности, SAML позволяет организациям не ограничивать себя решениями какого-либо отдельного поставщика, дает возможность переходить с одной платформы SAML аутентификации на другую.
Чтобы продемонстрировать гибкость и совместимость SAML, в рамках инициативы Kantara была реализована программа тестирования на взаимосовместимость, когда поставщики SAML решений подтверждали возможность взаимодействия своих стандартных коробочных решений с проектами SAML других поставщиков. На сегодняшний день в списке Kantara Trust Registry представлено более 80 сертифицированных решений от многочисленных поставщиков и организаций со всего мира.
Каким образом устроена SAML аутентификация?
Аутентификация средствами SAML предусматривает возможность обмена данными учетных записей между доверенным поставщиком удостоверений (IdP) и облачными или веб-приложениями. Модель SAML аутентификации включает в себя поставщика удостоверений, который выдает ‘SAML подтверждения’ (SAML assertions) – в роли такого поставщика может выступать, например, SafeNet Authentication Service – и поставщика услуг, который принимает эти подтверждения, например, Google Apps, Office 365 или любое другое облачное приложение, поддерживающее SAML. Подтверждения SAML обычно подписываются с помощью подписи PKI, которая служит доказательством того, что подтверждение является подлинным.
Сервис аутентификации, выступающий в качестве поставщика удостоверений, получает пользовательские учетные данные и возвращает ответ тому облачному приложению, к которому осуществляется доступ. Этот ответ получил название SAML подтверждения. В зависимости от содержимого SAML подтверждения облачное приложение либо принимает, либо отказывает пользователю в доступе. Если SAML подтверждение содержит положительный ответ, то пользователь входит в систему.
Ключевым аспектом в реализации федерации удостоверений средствами SAML является привязка (mapping) пользователей к поставщику удостоверений (IdP) и поставщикам услуг, чтобы при обращении пользователя к сервисам вроде Office 365, эти сервисы понимали, на какого поставщика удостоверений им нужно перенаправить пользователя, чтобы он мог пройти процедуру строгой аутентификации.
Федерация удостоверений для централизованного управления доступом пользователей
SAML позволяет распространить сферу применения имеющихся корпоративных учетных записей пользователей и на облачные приложения. Благодаря федеративной системе проверки подлинности удостоверений пользователи могут полностью обойтись без запоминания многочисленных логинов и паролей. Они смогут получать доступ ко всем своим облачным приложениям, используя одну и ту же корпоративную учетную запись, то есть ту же самую учетную запись, указывая которую они каждое утро входят в сеть.
С точки зрения пользователей федеративная система проверки удостоверений на базе SAML работает максимально органично и незаметно. В SAML используются cookie-файлы, благодаря чему после входа в Office 365 пользователю не требуется проходить повторную аутентификацию при входе в другие облачные приложения в новых вкладках браузера, например в Dropbox, WordPress, Salesforce и т.д.
Преимущества федерации удостоверений на базе протокола SAML
Помимо того, что SAML аутентификация помогает избавить пользователей от необходимости запоминания множества логинов и паролей, эта технология позволяет ИТ-администраторам управлять лишь одной парой учетных данных на пользователя для всех приложений. Поэтому при увольнении сотрудника из организации, ИТ-подразделению достаточно аннулировать лишь одну пару логина и пароля. При этом учетную запись можно аннулировать без необходимости входа в каждое отдельное облачное приложение. Автоматизированные скрипты позволяют минимизировать административную нагрузку на ИТ-подразделения за счет синхронизации с системами хранения учетных записей пользователей, такими как MS SQL или Active Directory.
Если представить ИТ-инфраструктуру в виде офисного здания, то федеративная система проверки подлинности удостоверений с помощью SAML могла бы обеспечить сотрудникам компании более простой и удобный доступ к различным зонам этого здания – к кабинетам, конференц-залу, зоне отдыха, столовой и т.д. – с помощью всего одной карты доступа вместо того, чтобы иметь отдельные карты на каждую комнату.
Компьютерный перевод
Обучается переводу с помощью примеров, переведенных людьми.
English
Russian
Информация
English
unable to validate address
Russian
Переводы пользователей
Добавлены профессиональными переводчиками и компаниями и на основе веб-страниц и открытых баз переводов.
Английский
Русский
Информация
Английский
Русский
Последнее обновление: 2010-07-18
Частота использования: 1
Качество:
Английский
Русский
Последнее обновление: 2010-07-18
Частота использования: 1
Качество:
Английский
Unable to validate SAML message!
Русский
невозможно подтвердить адрес
Последнее обновление: 2019-09-25
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Русский
Последнее обновление: 2018-02-21
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
SLEPOTA TSENTRAL’NOGO PROISKHOZHDENIIA
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
СЛЕПОТА ЦЕНТРАЛЬНОГО ПРОИСХОЖДЕНИЯ
Последнее обновление: 2014-12-09
Частота использования: 1
Качество:
Источник: Анонимно
Предупреждение: Это сопоставление может быть неверным.
Удалите его, если считаете, что это так.
Английский
Русский
Последнее обновление: 2020-11-10
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Unable to find mode
Русский
Невозможно найти режим
Последнее обновление: 2020-11-10
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Unable to continue
Русский
Последнее обновление: 2020-11-10
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Русский
Не поддаются оценке
Последнее обновление: 2017-01-03
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Unable to recommendb
Русский
Нет возмож-ности дать рекомендациюb
Последнее обновление: 2017-01-03
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Unable to recommendc
Русский
Нет возмож-ности дать рекомендациюc
Последнее обновление: 2017-01-03
Частота использования: 1
Качество:
Источник: Анонимно
Английский
Unable to recommendb
Русский
Нет возможности дать рекомендациюb
Последнее обновление: 2017-01-03
Частота использования: 1
Качество:
Источник: Анонимно
Получите качественный перевод благодаря усилиям
4,401,923,520 пользователей
Сейчас пользователи ищут:
MyMemory — крупнейшая в мире память переводов. Она была создана на основе систем памяти переводов Европейского Союза, Организации Объединенных Наций и ведущих специализированных многоязычных сайтов из разных отраслей.
Мы относимся к Translated, так что, если вам нужны услуги профессионального перевода, посетите наш основной сайт.
Portal for ArcGIS
В этом разделе
Язык Security Assertion Markup Language (SAML) является открытым стандартом безопасного обмена данными аутентификации и авторизации между корпоративным провайдером идентификации и провайдером сервиса (в данном случае, Portal for ArcGIS ). Этот подход называется также SAML Web Single Sign On (Технологией единого веб-входа SAML).
Портал совместим с SAML 2.0 и работает с провайдерами идентификации, поддерживающими стандарт SAML 2 Web Single Sign On. Преимущество настройки SAML состоит в том, что вам не нужно создавать для пользователей дополнительные учетные записи для доступа к ArcGIS Enterprise ; они могут использовать уже настроенную в корпоративном хранилище учетную запись. Данный процесс называют в документации настройкой корпоративных учетных записей.
Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций.
Сопоставление имен пользователей ArcGIS Online в портале ArcGIS Enterprise
Если в вашей организации ArcGIS Online и на портале используется тот же провайдер аутентификации SAML, то корпоративные имена пользователей можно настраивать, чтобы они совпадали. У всех корпоративных имен пользователей в организации ArcGIS Online есть короткие имена, присоединенные в конце. Такие же корпоративные имена пользователей можно использовать на портале, задав свойство defaultIDPUsernameSuffix портала ArcGIS Enterprise в настройках безопасности и указав его в соответствии с коротким именем организации. Это необходимо, если включено отслеживание правок для сервиса объектов, редактируемого корпоративными пользователями ArcGIS Online и портала.
Вход с использованием SAML
Portal for ArcGIS поддерживает корпоративные учетные записи, инициированные провайдером сервиса (SP) и провайдером идентификаций (IDP). Процедуры входа с их использованием отличаются.
Учетные записи, инициированные провайдером сервиса
При использовании учетных записей провайдера сервиса пользователи получают доступ к порталу напрямую, и у них есть возможность входа с использованием встроенных учетных записей (управляемых порталом) или учетных записей, которые хранятся в провайдере идентификации с поддержкой SAML. Если участники выбирают опцию использования провайдера сервиса, они перенаправляются на веб-страницу (менеджер корпоративной аутентификации), на которой им предлагается ввести корпоративное имя пользователя и пароль. После проверки учетной записи пользователя провайдер корпоративной аутентификации передает в Portal for ArcGIS проверенные данные входящего пользователя, и пользователь снова перенаправляется на веб-сайт портала организации.
Если участник выбирает опцию использования встроенной учетной записи, то открывается страница входа на веб-сайт портала ArcGIS Enterprise организации. Пользователь может ввести свое встроенное имя пользователя и пароль для доступа к веб-сайту. Встроенную учетную запись можно использовать в качестве отказоустойчивой, если ваш провайдер идентификации, совместимый с SAML, недоступен при условии, что опция входа с использованием учетной записи ArcGIS не была отключена.
Учетные записи, инициированные провайдером аутентификации
Опция входа с помощью встроенных учетных записей из менеджера корпоративной аутентификации будет недоступна. Чтобы войти в организацию с использованием встроенных учетных записей, участники должны произвести доступ к веб-сайту портала напрямую.
Примечание:
Провайдеры аутентификации SAML
Portal for ArcGIS поддерживает все провайдеры идентификации SAML В следующих руководствах показано, как настроить несколько часто используемых SAML-совместимых провайдеров идентификации на работу с Portal for ArcGIS :
Процесс получения необходимых метаданных от провайдера идентификации, перечисленных выше, описан в каждой ссылке. Процесс настройки провайдера аутентификации с Portal for ArcGIS описан ниже. Перед продолжением рекомендуется связаться с администратором вашего корпоративного провайдера идентификации для получения параметров, необходимых для настройки.
Необходимая информация
Настройка SAML-совместимого провайдера идентификации для работы с порталом
Портал можно настроить так, чтобы пользователи выполняли вход, используя то же имя и пароль, которые используются для входа в локальные системы. Перед настройкой Корпоративных учетных записей вам необходимо настроить тип пользователя по умолчанию для своей организации.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Инструкции см. в статье Отключение первичной учетной записи администратора сайта.
Примечание:
Если ваш провайдер идентификации имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте провайдер идентификации на работу с доверенным сертификатом.
Примечание:
Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.
Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры аутентификации SAML выше.
Назначение корпоративной учетной записи прав администратора
Автоматическое присоединение к организации
Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.
Когда учетная запись впервые добавляется на портал автоматически, ей назначается роль по умолчанию, настроенная для новых участников. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль администратора.
Выбранная вами корпоративная учетная запись будет теперь иметь права администратора портала.
Добавление корпоративных учетных записей на портал вручную
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора другую роль или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.