Продукты
КриптоАРМ ГОСТ
КриптоАРМ
КриптоАРМ Server
Железный почтовый ящик
КриптоАРМ Mobile
Блог Документация Получить КЭП Магазин
SSO система КриптоАРМ ID для корпоративной аутентификации - Документация для КриптоАРМ 6
Перейти к содержанию
trusted.ru/КриптоАРМ

Обзор КриптоАРМ ID — SSO система единого входа#

КриптоАРМ ID — это Single Sign-On (SSO) система для централизованной аутентификации пользователей и управления доступом к корпоративным приложениям.

Система обеспечивает безопасную централизованную аутентификацию с поддержкой SSO, OAuth 2.0, OpenID Connect и двухфакторной аутентификацией.

Для каких задач подходит КриптоАРМ ID#

КриптоАРМ ID — система для организации централизованного входа пользователей на корпоративные информационные ресурсы с использованием единой учетной записи.

КриптоАРМ ID ориентирован на компании, которым требуется:

  • Единое окно входа для внутренних и внешних сервисов
  • Централизованное управление доступом для разных категорий пользователей (сотрудники, подрядчики, клиенты)
  • Повышенная безопасность с поддержкой многофакторной аутентификации
  • Строгий контроль и аудит действий пользователей
  • Безопасная интеграция множества приложений с разными системами аутентификации

Основные возможности КриптоАРМ ID#

1. Аутентификация и вход#

Система обеспечивает централизованную аутентификацию и поддержку нескольких протоколов и методов аутентификации.

Поддерживаемые протоколы#

  • OpenID Connect (OIDC) — аутентификация пользователей и передача идентификационных данных
  • OAuth 2.0 — авторизация и управление доступом к ресурсам

Методы аутентификации#

  • Базовые методы: логин и пароль, электронная почта,
  • Внешние провайдеры идентификации: социальные сети, доверенные корпоративные системы и другие сервисы,
  • Усиленные и беспарольные методы: криптографическая аутентификация через mTLS (клиентские сертификаты) и WebAuthn (биометрия, аппаратные ключи), а также одноразовые пароли TOTP/HOTP.

Двухфакторная аутентификация (2FA / MFA)#

КриптоАРМ ID поддерживает многофакторную аутентификацию (MFA), при которой доступ предоставляется только после успешного подтверждения личности пользователя несколькими независимыми факторами (знание, владение, биометрия).

2. Управление приложениями и пользователями#

  • Создание и настройка приложений: веб-приложения, нативные мобильные приложения
  • Кастомизация виджета: настройка внешнего виджета аутентификации под бренд компании
  • Управление пользователями: регистрация, редактирование, блокировка, смена паролей

3. Безопасность и аудит#

  • Разграничение прав доступа
  • Подробное журналирование всех событий и действий

4. Мини-виджет#

Лёгкий JavaScript-компонент, который обеспечивает быстрый доступ к функциям аутентификации и информации о пользователе. Легко встраивается в любые веб-сайты и интерфейсы и предоставляет переход к профилю, кабинету организации и приложениям.

Уровни доступа#

Система предоставляет гибкую модель ролевого доступа:

Роль Полномочия Для кого предназначена
Администратор сервиса Полный доступ ко всем приложениям, пользователям и глобальным настройкам Администраторы системы, суперпользователи
Управленец Управление приложениями и способами входа своей организации/подразделения Руководители отделов, менеджеры проектов
Администратор приложения Управление конкретными приложениями и их пользователями Разработчики, администраторы приложений
Участник Управление своим профилем и разрешениями на доступ к личным данным Обычные пользователи, сотрудники

Модули системы КриптоАРМ ID#

1. Профиль#

Модуль «Профиль» обеспечивает управление персональными данными пользователя и настройками доступа. Включает функции редактирования личной информации, настройки приватности, управления правами приложений, а также просмотра журнала активности. Также модуль предоставляет доступ к каталогу публичных приложений.

2. Кабинет администратора#

Модуль «Кабинет администратора» предназначен для централизованного управления системой КриптоАРМ ID. Включает функции настройки глобальных параметров системы, методов аутентификации и внешнего вида страницы входа. В модуле можно управлять приложениями и учетными записями пользователей, а также отслеживать их активность через единый журнал событий.

3. Кабинет организации#

Модуль «Кабинет организации» обеспечивает управление приложениями, методами аутентификации и политиками доступа в рамках организации. Включает настройку параметров организации, конфигурацию способов входа, управление приложениями организации и мониторинг активности пользователей.

4. Кабинет приложения (ADM)#

Модуль «Кабинет приложения» предназначен для администрирования отдельных приложений. Содержит функции управления назначенными приложениями и контроля активности пользователей, имеющих доступ к данным приложениям.

Концепция и принципы работы КриптоАРМ ID#

Общая схема взаимодействия#

Общая схема взаимодействия КриптоАРМ ID с корпоративными системами

Последовательность взаимодействия:

  1. Запрос доступа — пользователь обращается к информационной системе (ИС).
  2. Проверка в БД ИС — система проверяет наличие пользователя.
  3. Перенаправление на виджет — пользователь направляется в КриптоАРМ ID.
  4. Аутентификация — пользователь проходит процедуру входа.
  5. Проверка в БД КриптоАРМ ID — валидация учетных данных.
  6. Предоставление профиля — возврат данных пользователя.
  7. Сопоставление в ИС — поиск пользователя по данным из КриптоАРМ ID.
  8. Проверка прав — авторизация в целевой системе.
  9. Предоставление доступа — успешный вход в систему.

📌 Требования для интеграции: Для подключения информационной системы к КриптоАРМ ID необходимо наличие базы данных пользователей и модуля авторизации, поддерживающего OpenID Connect или OAuth 2.0.

Схема авторизации по OpenID Connect#

Схема авторизации по протоколу OpenID Connect

Ключевые этапы OIDC:

  1. Пользователь обращается к ИС.
  2. ИС (клиент) генерирует code_verifier и code_challenge.
  3. ИС перенаправляет пользователя на /authorize КриптоАРМ ID.
  4. Пользователь перенаправляется на виджет авторизации КриптоАРМ ID.
  5. Пользователь вводит логин/пароль и предоставляет согласие на передачу данных.
  6. Выполняется проверка пользователя в БД КриптоАРМ ID.
  7. Перенаправление пользователя обратно в ИС (клиент) с Authorization code.
  8. ИС отправляет запрос на /token в КриптоАРМ ID.
  9. Проверка code_challenge and code_verifier в КриптоАРМ ID.
  10. Предоставление в ИС id token, содержащего профиль пользователя КриптоАРМ ID, и access token (опционально refresh token).
  11. Аутентификация пользователя ИС.
  12. Пользователь получает доступ к ИС.

Схема авторизации по OAuth 2.0#

Схема авторизации по протоколу OAuth 2.0

Особенности OAuth 2.0 потока:

  1. Пользователь обращается к ИС.
  2. ИС перенаправляет пользователя на /authorize КриптоАРМ ID.
  3. Пользователь перенаправляется на виджет авторизации КриптоАРМ ID.
  4. Пользователь вводит логин/пароль и предоставляет согласие на передачу данных.
  5. Выполняется проверка пользователя в БД КриптоАРМ ID.
  6. КриптоАРМ ID перенаправляет пользователя обратно в ИС с Authorization code на Redirect_URI.
  7. ИС отправляет запрос на token по Authorization code.
  8. КриптоАРМ ID валидирует запрос.
  9. КриптоАРМ ID возвращает токены id token и access token (опционально refresh token).
  10. ИС запрашивает профиль пользователя.
  11. КриптоАРМ ID предоставляет профиль пользователя.
  12. ИС валидирует ответы и устанавливает локальную сессию пользователя.
  13. Пользователь получает доступ к ИС.

Схема Single sign-on (SSO)#

Как работает единый вход Single sign-on между несколькими системами

Типичный сценарий:

  1. Запрос доступа к ИС1.
  2. Аутентификация пользователя в КриптоАРМ ID.
  3. Предоставление профиля пользователя КриптоАРМ ID в ИС1.
  4. Запрос доступа к ИС2.
  5. Предоставление профиля пользователя КриптоАРМ ID в ИС2 без повторной процедуры аутентификации пользователя.

🚀 Готовы начать? Переходите к руководству по установке системы.

Смотрите также#

Для повышения удобства работы и хранения данных веб-сайт CRYPTOARM.RU использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Согласен