Единый вход OAuth 2.0 и OpenID Connect

OAuth 2.0 и OpenID Connect (OIDC) — это фундаментальные протоколы, которые кардинально изменили подход к управлению доступом и аутентификации в веб-приложениях и мобильных сервисах. Вместо хранения множества паролей пользователь получает единый, безопасный и удобный ключ для доступа к различным ресурсам.

Что это такое и как работает?

OAuth 2.0 — это, в первую очередь, протокол авторизации. Он позволяет приложению (например, новостному сайту) получить ограниченный доступ к защищенным ресурсам пользователя в другом сервисе (например, к его имени и аватарке в социальной сети) без необходимости раскрывать пароль от этого сервиса. Пользователь просто подтверждает запрос на доступ на стороне доверенного поставщика удостоверений (Identity Provider, IdP), который затем выдает приложению специальный токен доступа.

OpenID Connect — это надстройка над OAuth 2.0, которая добавляет слой аутентификации. Если OAuth отвечает на вопрос «Имеет ли это приложение право получить доступ к X?», то OIDC отвечает на вопрос «Кто этот пользователь?». Он стандартным способом предоставляет приложению основную информацию о пользователе (идентификатор, имя, email) в форме ID-токена, подписанного IdP.

Процесс единого входа (SSO) с использованием этих технологий выглядит так:

1. Пользователь пытается войти в корпоративное приложение «А».
2. Приложение перенаправляет его на страницу входа централизованного провайдера (IdP), например, КриптоАРМ ID.
3. Пользователь один раз аутентифицируется у провайдера (например, по сертификату или Passkey).
4. IdP с согласия пользователя возвращает в приложение «А» токены доступа и ID.
5. Если пользователь затем зайдет в приложение «Б», шаги 2-4 повторятся, но шаг 3 будет пропущен — сессия с IdP уже активна. Это и есть магия SSO.

Ключевые преимущества

• Удобство и продуктивность: Один пароль или сильный метод аутентификации (биометрия, токен) для доступа ко всем корпоративным приложениям. Снижается усталость от паролей.
• Повышенная безопасность: Централизация аутентификации позволяет применять строгие политики (MFA, контроль устройств) ко всем подключенным приложениям единообразно. Упрощается отзыв доступа при увольнении сотрудника.
• Снижение рисков: Пароли не хранятся и не передаются в каждое отдельное приложение, что минимизирует риск их утечки.
• Упрощенная разработка и интеграция: Стандартизированные протоколы позволяют быстро и безопасно подключать новые приложения к системе единого входа.

Ссылки на стандарты и ресурсы

• OAuth 2.0 Authorization Framework (RFC 6749): https://datatracker.ietf.org/doc/html/rfc6749
• OpenID Connect Core 1.0: https://openid.net/specs/openid-connect-core-1_0.html
• OAuth.net: https://oauth.net/ — популярный портал с введениями, библиотеками и новостями.
• OpenID Foundation: https://openid.net/ — официальный сайт, посвященный OpenID Connect и смежным стандартам.

В КриптоАРМ ID протоколы OAuth 2.0 и OpenID Connect поддерживаются полностью, что позволяет легко интегрировать решение в качестве центрального провайдера удостоверений для сотен современных корпоративных и облачных приложений, обеспечивая надежный и удобный единый вход (SSO).