Перейти к содержанию

Обзор Encvoy ID — SSO система единого входа#

Encvoy ID — это Single Sign-On (SSO) система для централизованной аутентификации пользователей и управления доступом к корпоративным приложениям.

Система обеспечивает безопасную централизованную аутентификацию с поддержкой SSO, OAuth 2.0, OpenID Connect и двухфакторной аутентификацией.

Для каких задач подходит Encvoy ID#

Encvoy ID — система для организации централизованного входа пользователей на корпоративные информационные ресурсы с использованием единой учетной записи.

Encvoy ID ориентирован на компании, которым требуется:

  • Единое окно входа для внутренних и внешних сервисов
  • Централизованное управление доступом для разных категорий пользователей (сотрудники, подрядчики, клиенты)
  • Повышенная безопасность с поддержкой многофакторной аутентификации
  • Строгий контроль и аудит действий пользователей
  • Безопасная интеграция множества приложений с разными системами аутентификации

Основные возможности Encvoy ID#

1. Аутентификация и вход#

Система обеспечивает централизованную аутентификацию и поддержку нескольких протоколов и методов аутентификации.

Поддерживаемые протоколы#

  • OpenID Connect (OIDC) — аутентификация пользователей и передача идентификационных данных
  • OAuth 2.0 — авторизация и управление доступом к ресурсам

Методы аутентификации#

  • Базовые методы: логин и пароль, электронная почта
  • Внешние провайдеры идентификации: социальные сети, доверенные корпоративные системы и другие сервисы
  • Усиленные и беспарольные методы: криптографическая аутентификация через mTLS (клиентские сертификаты) и WebAuthn (биометрия, аппаратные ключи), а также одноразовые пароли TOTP/HOTP

Двухфакторная аутентификация (2FA / MFA)#

Encvoy ID поддерживает многофакторную аутентификацию (MFA), при которой доступ предоставляется только после успешного подтверждения личности пользователя несколькими независимыми факторами (знание, владение, биометрия).

2. Управление приложениями и пользователями#

  • Создание и настройка приложений: веб-приложения, нативные мобильные приложения
  • Кастомизация виджета: настройка внешнего виджета аутентификации под бренд компании
  • Управление пользователями: регистрация, редактирование, блокировка, смена паролей

3. Безопасность и аудит#

  • Разграничение прав доступа
  • Подробное журналирование всех событий и действий

4. Мини-виджет#

Лёгкий JavaScript-компонент, который обеспечивает быстрый доступ к функциям аутентификации и информации о пользователе. Легко встраивается в любые веб-сайты и интерфейсы и предоставляет переход к профилю, кабинету организации и приложениям.

Уровни доступа#

Система предоставляет гибкую модель ролевого доступа:

Роль Полномочия Для кого предназначена
Управленец Управление приложениями и способами входа своей организации/подразделения Руководители отделов, менеджеры проектов
Администратор приложения Управление конкретными приложениями и их пользователями Разработчики, администраторы приложений
Участник Управление своим профилем и разрешениями на доступ к личным данным Обычные пользователи, сотрудники

Модули системы Encvoy ID#

1. Профиль#

Модуль «Профиль» обеспечивает управление персональными данными пользователя и настройками доступа. Включает функции редактирования личной информации, настройки приватности, управления правами приложений, а также просмотра журнала активности. Также модуль предоставляет доступ к каталогу публичных приложений.

2. Кабинет организации#

Модуль «Кабинет организации» обеспечивает управление приложениями, методами аутентификации и политиками доступа в рамках организации. Включает настройку параметров организации, конфигурацию способов входа, управление приложениями организации и мониторинг активности пользователей.

3. Кабинет приложения (ADM)#

Модуль «Кабинет приложения» предназначен для администрирования отдельных приложений. Содержит функции управления назначенными приложениями и контроля активности пользователей, имеющих доступ к данным приложениям.

Концепция и принципы работы Encvoy ID#

Общая схема взаимодействия#

Общая схема взаимодействия Encvoy ID с корпоративными системами

Последовательность взаимодействия:

  1. Запрос доступа — пользователь обращается к информационной системе (ИС).
  2. Проверка в БД ИС — система проверяет наличие пользователя.
  3. Перенаправление на виджет — пользователь направляется в Encvoy ID.
  4. Аутентификация — пользователь проходит процедуру входа.
  5. Проверка в БД Encvoy ID — валидация учетных данных.
  6. Предоставление профиля — возврат данных пользователя.
  7. Сопоставление в ИС — поиск пользователя по данным из Encvoy ID.
  8. Проверка прав — авторизация в целевой системе.
  9. Предоставление доступа — успешный вход в систему.

📌 Требования для интеграции: Для подключения информационной системы к Encvoy ID необходимо наличие базы данных пользователей и модуля авторизации, поддерживающего OpenID Connect или OAuth 2.0.

Схема авторизации по OpenID Connect#

Схема авторизации по протоколу OpenID Connect

Ключевые этапы OIDC:

  1. Пользователь обращается к ИС.
  2. ИС (клиент) генерирует code_verifier и code_challenge.
  3. ИС перенаправляет пользователя на /authorize Encvoy ID.
  4. Пользователь перенаправляется на виджет авторизации Encvoy ID.
  5. Пользователь вводит логин/пароль и предоставляет согласие на передачу данных.
  6. Выполняется проверка пользователя в БД Encvoy ID.
  7. Перенаправление пользователя обратно в ИС (клиент) с Authorization code.
  8. ИС отправляет запрос на /token в Encvoy ID.
  9. Проверка code_challenge and code_verifier в Encvoy ID.
  10. Предоставление в ИС id token, содержащего профиль пользователя Encvoy ID, и access token (опционально refresh token).
  11. Аутентификация пользователя ИС.
  12. Пользователь получает доступ к ИС.

Схема авторизации по OAuth 2.0#

Схема авторизации по протоколу OAuth 2.0

Особенности OAuth 2.0 потока:

  1. Пользователь обращается к ИС.
  2. ИС перенаправляет пользователя на /authorize Encvoy ID.
  3. Пользователь перенаправляется на виджет авторизации Encvoy ID.
  4. Пользователь вводит логин/пароль и предоставляет согласие на передачу данных.
  5. Выполняется проверка пользователя в БД Encvoy ID.
  6. Encvoy ID перенаправляет пользователя обратно в ИС с Authorization code на Redirect_URI.
  7. ИС отправляет запрос на token по Authorization code.
  8. Encvoy ID валидирует запрос.
  9. Encvoy ID возвращает токены id token и access token (опционально refresh token).
  10. ИС запрашивает профиль пользователя.
  11. Encvoy ID предоставляет профиль пользователя.
  12. ИС валидирует ответы и устанавливает локальную сессию пользователя.
  13. Пользователь получает доступ к ИС.

Схема Single sign-on (SSO)#

Как работает единый вход Single sign-on между несколькими системами

Типичный сценарий:

  1. Запрос доступа к ИС1.
  2. Аутентификация пользователя в Encvoy ID.
  3. Предоставление профиля пользователя Encvoy ID в ИС1.
  4. Запрос доступа к ИС2.
  5. Предоставление профиля пользователя Encvoy ID в ИС2 без повторной процедуры аутентификации пользователя.

Смотрите также#