Поставщик удостоверений
Поставщик удостоверений (англ. Identity Provider, IdP) — это компонент информационной системы, выполняющий функции создания, хранения, управления и проверки цифровых удостоверений (идентификационных данных) субъектов (пользователей, устройств, сервисов). Поставщик удостоверений является ключевым элементом архитектуры управления доступом и единой аутентификации (Single Sign-On, SSO), обеспечивая централизованное подтверждение личности перед другими системами и сервисами (поставщиками услуг, Service Provider, SP).
Основные функции
Поставщик удостоверений реализует три базовые функции в рамках жизненного цикла цифровой идентичности:
- Регистрация и создание удостоверения. IdP принимает и проверяет исходные данные о субъекте (например, паспортные данные, биометрические образцы, корпоративный email), создаёт уникальную запись (учётную запись) и присваивает ей идентификатор.
- Аутентификация. IdP проверяет, что субъект, предъявляющий удостоверение, является его законным владельцем. Для этого используются факторы аутентификации: знание (пароль, PIN-код), владение (смарт-карта, токен, мобильное устройство) или свойство (отпечаток пальца, распознавание лица).
- Управление сессией и передача утверждений. После успешной аутентификации IdP создаёт сессию и формирует утверждение (assertion) — цифровой документ, содержащий подтверждённые атрибуты пользователя (имя, роль, права доступа). Это утверждение передаётся поставщику услуг по защищённому протоколу.
Архитектура и протоколы
Взаимодействие между поставщиком удостоверений и поставщиком услуг строится на основе стандартных протоколов федеративного управления идентичностью. Наиболее распространённые протоколы:
- Security Assertion Markup Language (SAML). Основан на XML. Позволяет передавать утверждения об аутентификации и атрибутах между IdP и SP. Широко используется в корпоративных средах и государственных информационных системах.
- OpenID Connect (OIDC). Надстройка над протоколом OAuth 2.0. Использует JSON Web Token (JWT) для передачи информации о пользователе. Является стандартом для современных веб-приложений и мобильных сервисов.
- Lightweight Directory Access Protocol (LDAP). Протокол для доступа к службам каталогов (например, Microsoft Active Directory, OpenLDAP). Часто используется как хранилище учётных записей, поверх которого разворачивается IdP.
В типовой архитектуре IdP может быть реализован как отдельный сервер (например, Keycloak, ADFS, Okta) или как встроенный модуль в операционной системе (например, Windows Domain Controller).
Типы поставщиков удостоверений
Поставщики удостоверений классифицируются по сфере применения и модели развёртывания:
Корпоративные (внутренние)
Развёртываются внутри организации для управления доступом сотрудников к внутренним ресурсам (корпоративная почта, CRM, базы данных). Примеры: Microsoft Active Directory Federation Services (ADFS), FreeIPA, Keycloak. В российской практике распространены решения на базе Astra Linux (с модулем PARSEC) и «Ред ОС».
Облачные (публичные)
Предоставляются как сервис (SaaS). Позволяют подключать внешние приложения (SaaS-сервисы, мобильные приложения) к единой системе аутентификации. Примеры: Okta, Ping Identity, Azure Active Directory (входит в Microsoft Entra ID). В России к таким сервисам относятся решения от «Яндекс.Облако», VK Cloud, а также платформа «Госуслуги» (ЕСИА) для государственных и коммерческих сервисов.
Социальные (провайдеры идентичности)
Позволяют использовать учётные записи социальных сетей или мессенджеров для входа на сторонние сайты. Примеры: «ВКонтакте», «Одноклассники», Apple ID, Google Account. В России с 2023 года действует требование об обязательной авторизации через ЕСИА или «Госуслуги» для ряда сервисов, что ограничивает использование исключительно социальных IdP.
Государственные
Обеспечивают идентификацию граждан для доступа к государственным и муниципальным услугам. В России основным государственным IdP является Единая система идентификации и аутентификации (ЕСИА), оператором которой выступает Минцифры РФ. ЕСИА используется для входа на портал «Госуслуги», в личные кабинеты налоговой службы, Пенсионного фонда (СФР) и других ведомств.
Безопасность и риски
Поставщик удостоверений является критически важным компонентом с точки зрения информационной безопасности. Компрометация IdP позволяет злоумышленнику получить доступ ко всем подключённым сервисам.
Основные угрозы:
- Перехват утверждений (assertion theft). Атака на канал передачи данных между IdP и SP (Man-in-the-Middle). Для защиты применяются TLS-шифрование и подпись утверждений.
- Подделка утверждений. Злоумышленник может попытаться сгенерировать поддельное утверждение, если не настроена проверка цифровой подписи IdP.
- Атаки на парольную аутентификацию. Перебор паролей, фишинг. Для снижения риска применяются многофакторная аутентификация (MFA) и политики сложности паролей.
- Уязвимости в реализации протоколов. Например, атака на перенаправление (open redirect) в OAuth/OIDC, позволяющая перехватить код авторизации.
Регулирование в России
В Российской Федерации деятельность поставщиков удостоверений регулируется рядом нормативных актов, в первую очередь в сфере государственных информационных систем:
- Федеральный закон № 152-ФЗ «О персональных данных». Устанавливает требования к обработке и хранению персональных данных пользователей, включая идентификационные данные.
- Федеральный закон № 63-ФЗ «Об электронной подписи». Определяет правовой статус электронной подписи и требования к удостоверяющим центрам, которые выполняют функции IdP для квалифицированных сертификатов.
- Постановление Правительства РФ № 584 (о ЕСИА). Устанавливает правила функционирования Единой системы идентификации и аутентификации.
- Приказ ФСБ России № 378. Устанавливает требования к криптографической защите информации при передаче утверждений в государственных IdP.
С 1 сентября 2024 года вступили в силу поправки к закону «Об информации», обязывающие владельцев сайтов и мобильных приложений, использующих идентификацию через иностранные сервисы (Google, Apple, Meta — организация признана экстремистской и запрещена в РФ), предоставлять пользователям возможность авторизации через ЕСИА или иную российскую государственную систему.
Примеры реализации
- Keycloak. Открытое (open source) решение на Java, поддерживающее SAML, OIDC и LDAP. Широко используется в корпоративных средах для организации SSO.
- Microsoft Active Directory Federation Services (ADFS). Коммерческий продукт, встроенный в экосистему Windows Server. Обеспечивает федерацию с Azure AD и сторонними SAML-совместимыми сервисами.
- ЕСИА (Госуслуги). Государственный IdP, обеспечивающий аутентификацию более 100 миллионов граждан России. Поддерживает вход по паролю, SMS-коду, биометрии и с использованием электронной подписи.
- «Яндекс ID». Облачный IdP от компании «Яндекс», предоставляющий возможность аутентификации для сторонних сервисов через протокол OAuth 2.0.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- Постановление Правительства РФ от 28.11.2011 № 977 «О единой системе идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
- Приказ ФСБ России от 27.12.2011 № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
- RFC 7519 — JSON Web Token (JWT).
- OASIS Standard — Security Assertion Markup Language (SAML) v2.0.
- OpenID Foundation — OpenID Connect Core 1.0 Specification.
- Документация Keycloak (Keycloak.org).
- Материалы портала «Госуслуги» (ЕСИА) — esia.gosuslugi.ru.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →