CAS: вводи пароль один раз… и пользуйся всеми рабочими сервисами

05:00, 20 октября 2020

С чего начинается ваш рабочий день? Вы усаживаетесь за стол, включаете компьютер, а там — целый набор сервисов, которые требуют посещения: AIST, HelpDesk, Адресная книга, TaxSeeOffice, LMS и другие. Как утомительно было бы вводить свой логин и пароль в каждом из них. Хорошо, что есть CAS, осуществляющий технологию единого входа. Один раз залогинился — и работай спокойно!

CAS (Central Authentication Service) — это сервис, который реализует схему аутентификации единого входа. Пользователю достаточно один раз пройти аутентификацию — ввести логин и пароль — чтобы получить доступ ко всем остальным веб-ресурсам холдинга, что избавляет его от многократного ввода данных своей учётной записи.



CAS заменяет разработку сложных средств аутентификации для каждого сервиса. При этом гарантированно обеспечиваются все необходимые меры безопасности взаимодействия пользователя и сервера. Так как это единая точка для всех, приложение существенно увеличивает надёжность и достоверность аутентификации, а также значительно повышает уровень безопасности.

CAS – Open Source* проект, в нашей компании начал применяться с 2012 года и постепенно дорабатывался под потребности холдинга. К примеру, для проверки одноразового пароля стал использоваться наш сервис, который был разработан специалистом нашей компании. А для проверки основного пароля CAS использует системные службы Linux, которые обращаются к системе авторизации.

Процедура генерации разовых паролей стандартизирована. Использование готовых приложений (таких, как Google Authenticator), удовлетворяющих стандарту, снижает затраты компании на разработку собственных средств. Однако там, где функциональные требования к продукту не описаны стандартом и не позволяют использовать готовые решения, приходится прибегать к собственным программным решениям. Так, для целей прозрачной кроссплатформенной реализации была проведена самостоятельная разработка и внедрение OTP-сервера**, PAM-модулей*** для Linux и OTP-клиента для Windows. Именно эти внедрения позволили доработать CAS-сервер для комфортного и безопасного использования одноразовых паролей.

За день через сервер CAS проходит более 3000 аутентификаций пользователей. Именно поэтому сервис должен отвечать самым высоким требованиям надёжности и пока это удаётся.

Наши специалисты занимаются не только поддержкой сервиса, но и постоянно улучшают и дорабатывают его.

— Совершенству нет предела! В планах развития сервиса всегда есть идеи по улучшению средств противостояния атакам. — говорят специалисты отдела разработки интегрированных систем.

Внедрение и эксплуатация CAS как единой точки аутентификации в рамках web-технологий — это сложный и непрерывный процесс, так как необходимо обеспечивать интеграцию данного подхода в рамках новых приложений. Постоянная доработка и развитие также являются обязательным требованием к любому живущему продукту в условиях бурного развития IT.

--------------

Open Source*– это программное обеспечение с открытым исходным кодом. Такая модель разработки ПО поощряет открытое сотрудничество.

*OTP (англ.one time password) — это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определённым промежутком времени.

**PAM-модули (Pluggable Authentication Modules) — набор подключаемых модулей, которые отвечают за аутентификацию в системе.