Bosh sahifa Wiki Identity provider

Identity provider

Identity provider — foydalanuvchi yoki xizmat identifikatsiyasini saqlaydigan, autentifikatsiyani bajaradigan va boshqa tizimlarga tasdiqlangan identity ma’lumotini uzatadigan xizmat. U qisqacha IdP deb ataladi. Foydalanuvchi har bir dasturda alohida parol saqlash o‘rniga IdP orqali kirishi mumkin; dastur esa parolni qabul qilmasdan, standart protokol asosidagi assertion yoki tokenni tekshiradi. Tashqi dastur relying party yoki service provider rolida ishlaydi.

Federatsiya oqimi

Foydalanuvchi himoyalangan dasturga kirganda, dastur uni IdP sahifasiga yo‘naltiradi. IdP parol, xavfsizlik kaliti, biometrik dalil yoki oldingi sessiya orqali autentifikatsiya qiladi. Muvaffaqiyatli natijadan keyin brauzerga imzolangan javob qaytariladi va dastur foydalanuvchi identifikatorini qabul qiladi. OpenID Connectda ID token, SAMLda assertion shu vazifani bajaradi.

IdP va dastur o‘rtasida oldindan trust o‘rnatiladi. Dastur issuer, signing key, client identifikatori, redirect URI yoki SAML endpointlarini sozlaydi. Faqat raqamli imzoni tekshirish yetarli emas: audience, issuer, amal muddati, nonce yoki request correlation ham tekshiriladi. Aks holda boshqa dastur uchun chiqarilgan haqiqiy token noto‘g‘ri joyda qabul qilinishi mumkin.

Identity ma’lumotlari

IdP foydalanuvchiga doimiy ichki subject identifikator beradi. Email ko‘pincha login nomi yoki claim sifatida uzatiladi, ammo u o‘zgarishi va qayta boshqa shaxsga berilishi mumkin; shu sababli ma’lumotlar bazasidagi asosiy bog‘lanish uchun har doim ham yaxshi kalit emas. Pairwise subject identifikatori bir foydalanuvchini turli clientlarda turlicha ko‘rsatib, xizmatlararo kuzatishni kamaytiradi.

Claimlar ism, bo‘lim, guruh yoki autentifikatsiya usuli kabi atributlarni o‘z ichiga olishi mumkin. Dastur faqat kerakli claimlarni so‘raydi va ularning yangilanish semantikasini tushunadi. IdPdan kelgan guruh nomini bevosita yuqori imtiyozli rolga bog‘lashda issuer va tashkilot chegarasi qat’iy tekshiriladi.

Single sign-on va sessiyalar

Single sign-on foydalanuvchi IdPda bir marta autentifikatsiyadan o‘tib, bir nechta dasturga qayta parolsiz kirishini ta’minlaydi. Har bir dastur baribir o‘z lokal sessiyasini yaratadi. IdP sessiyasi tugashi barcha dastur sessiyalarini avtomatik tugatmasligi mumkin; single logout protokoli murakkab va barcha tomonlarning ishtirokini talab qiladi. Muhim hisob bloklanganda provisioning tizimi yoki back-channel signal orqali lokal ruxsatlar ham tez bekor qilinadi.

IdP markaziy nuqta bo‘lgani uchun uning ishlamasligi yangi loginlarni to‘xtatishi mumkin. Yuqori mavjudlik, zaxira signing keylar, vaqt sinxronligi va favqulodda administrator kirishi arxitekturaning bir qismidir. Signing key rotation vaqtida eski va yangi ochiq kalitlar bir muddat metadata yoki JWKSda birga e’lon qilinadi.

Identity hayot sikli

Foydalanuvchini yaratish va o‘chirish faqat login protokoli bilan hal bo‘lmaydi. SCIM yoki katalog sinxronizatsiyasi hisob, guruh va atributlarni downstream dasturlarga yetkazadi. Xodim tashkilotni tark etganda IdP hisobini bloklash, faol sessiyalarni bekor qilish va dasturlardagi lokal hisoblarni o‘chirish yoki arxivlash birgalikda bajariladi. Audit IdP autentifikatsiyasi bilan dasturdagi biznes amalini umumiy correlation ma’lumoti orqali bog‘laydi.

Home realm discovery

Bir xizmat bir nechta tashkilot IdP’sini qo‘llasa, foydalanuvchining email domeni, subdomain yoki tashkilot kodi asosida kerakli realm tanlanadi. Kiritilgan domen hali autentifikatsiya dalili emas; u faqat yo‘naltirish uchun ishlatiladi. Noto‘g‘ri issuerdan kelgan haqiqiy token boshqa tenant hisobiga ulanmasligi uchun tenant va issuer bog‘lanishi oldindan ro‘yxatga olinadi. Discovery sahifasi mavjud tashkilotlar ro‘yxatini keraksiz oshkor qilmaydi.

Bog‘liq tushunchalar

Single sign-on, OpenID Connect, SAML, Service provider, Authentication, SCIM, Identity federation