Интеграция с IAM

📚 Полная документация IDENTYX

INFRAX использует систему управления идентификацией и доступом IDENTYX.

Данный раздел описывает только базовые аспекты интеграции INFRAX с IAM. Для получения полной информации о возможностях IDENTYX, включая:

  • Методы аутентификации (локальная, LDAP/AD, OAuth, ЕСИА, Сбер ID, Telegram, КриптоПро, WebAuthn)
  • Двухфакторная аутентификация (TOTP, Email)
  • Управление пользователями, группами и организациями
  • Детальная настройка системы прав доступа (RBAC, ACL)
  • Управление учетными данными и их шифрование
  • Интеграция приложений через OIDC/OAuth 2.0
  • Журналирование событий безопасности

Обращайтесь к документации IDENTYX: https://docs.identyx.ru

ℹ️ О разделе

В этом разделе описывается интеграция INFRAX с системой управления идентификацией и доступом (IAM - Identity and Access Management), включая синхронизацию пользователей, организаций, Single Sign-On (SSO) и получение учетных данных.

Содержание раздела

Обзор интеграции

INFRAX может интегрироваться с внешней системой IAM для централизованного управления пользователями, организациями и учетными данными. Это позволяет:

  • Единый реестр пользователей — все пользователи управляются в одной системе
  • Централизованные права доступа — права настраиваются в IAM и автоматически применяются в INFRAX
  • Single Sign-On (SSO) — однократная авторизация для доступа к нескольким приложениям
  • Автоматическая синхронизация — изменения в IAM автоматически отражаются в INFRAX
  • Безопасное хранение учетных данных — пароли, ключи и сертификаты хранятся централизованно
✅ Преимущества интеграции
  • Упрощение управления пользователями при работе с несколькими системами
  • Повышение безопасности за счет централизованного контроля доступа
  • Удобство для пользователей — не нужно запоминать множество паролей
  • Автоматизация процессов добавления и удаления пользователей

Настройка подключения

Конфигурационный файл

Подключение к IAM настраивается через специальный конфигурационный файл, который содержит параметры доступа к системе IAM.

Необходимые параметры

Параметр Описание
client_id Идентификатор клиента (приложения) в системе IAM
client_secret Секретный ключ приложения для аутентификации
identyx_url URL-адрес системы IAM
infrax_url URL-адрес текущего экземпляра INFRAX
⚠️ Безопасность

Конфигурационный файл с параметрами доступа должен быть надежно защищен. Не допускайте распространения секретного ключа (client_secret). При компрометации ключа немедленно обратитесь к администратору IAM для его смены.

Проверка подключения

После настройки параметров подключения система автоматически попытается установить соединение с IAM при запуске. Если параметры указаны неверно, в логах системы появятся сообщения об ошибках подключения.

Синхронизация пользователей

Как работает синхронизация

INFRAX периодически запрашивает у системы IAM список пользователей, которые имеют доступ к приложению, и обновляет локальную базу данных. При синхронизации обновляются следующие данные:

  • Имя пользователя
  • Адрес электронной почты
  • Номер телефона
  • Права доступа (permissions)
  • Статус активности (отключен/удален)

Автоматическая синхронизация

Система автоматически синхронизирует пользователей и организации по расписанию. Эта задача выполняется в фоновом режиме с помощью системы планировщика задач.

ℹ️ Частота синхронизации

По умолчанию синхронизация пользователей выполняется регулярно. Точная частота зависит от настроек планировщика задач системы.

Синхронизация при входе

Дополнительно к автоматической синхронизации, система проверяет наличие организаций пользователя при каждом входе. Если обнаруживается, что организаций пользователя нет в локальной базе, запускается синхронная синхронизация всех организаций из IAM.

Ручная синхронизация

Администраторы могут запустить синхронизацию вручную через систему задач:

  1. Перейдите в раздел "Задачи" или "Планировщик задач"
  2. Найдите задачу синхронизации с IAM
  3. Запустите задачу принудительно
  4. Дождитесь завершения выполнения

Синхронизация организаций

Что синхронизируется

При синхронизации организаций из IAM в INFRAX загружаются следующие данные:

  • Уникальный идентификатор организации
  • Название организации

Связь пользователей с организациями

Права пользователей в INFRAX часто привязаны к конкретным организациям. Система автоматически извлекает идентификаторы организаций из прав доступа пользователя и обеспечивает их наличие в локальной базе данных.

Создание и обновление организаций

Если организация с определенным идентификатором уже существует в INFRAX, её данные обновляются. Если организация новая, она создается автоматически.

💡 Автоматическое создание

Вам не нужно вручную создавать организации в INFRAX. Все активные организации из IAM будут автоматически синхронизированы в систему.

Single Sign-On (SSO)

Что такое SSO

Single Sign-On (единый вход) — это механизм аутентификации, который позволяет пользователю войти один раз в систему IAM и получить доступ ко всем интегрированным приложениям без повторного ввода логина и пароля.

Как работает SSO в INFRAX

Шаг 1. Переход в INFRAX

Пользователь открывает веб-интерфейс INFRAX. Если он еще не авторизован, система перенаправляет его на страницу входа IAM.

Шаг 2. Авторизация в IAM

Пользователь вводит свои учетные данные (логин и пароль) в системе IAM. После успешной аутентификации IAM создает сессию пользователя.

Шаг 3. Получение токена

IAM выдает INFRAX токен доступа (access token), который подтверждает личность пользователя и содержит информацию о его правах.

Шаг 4. Создание сессии в INFRAX

INFRAX проверяет токен, извлекает данные пользователя и создает локальную сессию. Пользователь получает доступ к интерфейсу INFRAX.

✅ Удобство SSO

После первого входа в IAM пользователь может переходить между различными интегрированными приложениями без повторной авторизации, пока его сессия в IAM остается активной.

Завершение сессии

При выходе из системы IAM автоматически завершаются все сессии во всех интегрированных приложениях, включая INFRAX.

Получение учетных данных

Централизованное хранение учетных данных

Система IAM может хранить учетные данные пользователей для доступа к различным узлам сети и сервисам. INFRAX может запрашивать эти учетные данные при подключении к узлам.

Типы учетных данных

IAM поддерживает различные типы учетных данных:

  • Логин и пароль — для RDP, SSH, Web
  • SSH-ключи — приватные и публичные ключи для SSH-подключений
  • API-ключи — для доступа к API различных сервисов
  • Сертификаты — для аутентификации через сертификаты
  • Токены — токены доступа к различным системам

Приоритизация учетных данных

Когда пользователь подключается к узлу, INFRAX запрашивает у IAM наиболее подходящие учетные данные. Система использует следующую логику приоритетов:

  1. Личные учетные данные с подходящим типом — если у пользователя есть личные учетные данные нужного типа для этого узла
  2. Личные учетные данные любого типа — если тип не совпадает, но есть личные учетные данные
  3. Групповые учетные данные с подходящим типом — учетные данные, доступные группе пользователей
  4. Групповые учетные данные любого типа — если других вариантов нет
💡 Автоматический выбор

Система автоматически выбирает наиболее подходящие учетные данные при подключении. Если найдены несколько вариантов, приоритет отдается личным учетным данным пользователя.

Безопасность учетных данных

Шифрование

Все учетные данные хранятся в зашифрованном виде в системе IAM. При передаче в INFRAX они расшифровываются и передаются по защищенному соединению.

Журналирование

Все обращения к учетным данным фиксируются в журнале событий безопасности IAM. Администраторы могут отслеживать, кто и когда получал доступ к конкретным учетным данным.

Права доступа

Пользователь может получить только те учетные данные, к которым у него есть права доступа согласно политикам безопасности IAM.

Сценарии использования

Сценарий 1. Новый сотрудник

  1. Администратор создает пользователя в системе IAM
  2. Назначает ему права доступа к INFRAX
  3. При следующей синхронизации пользователь появляется в INFRAX
  4. Сотрудник может войти в INFRAX через SSO без дополнительной регистрации

Сценарий 2. Изменение прав доступа

  1. Администратор изменяет права пользователя в IAM
  2. При следующей синхронизации права обновляются в INFRAX
  3. Пользователь получает или теряет доступ к определенным функциям
  4. Дополнительная настройка в INFRAX не требуется

Сценарий 3. Подключение к серверу

  1. Пользователь выбирает сервер для подключения в INFRAX
  2. INFRAX запрашивает у IAM учетные данные для этого сервера
  3. IAM возвращает наиболее подходящие учетные данные (SSH-ключ или пароль)
  4. INFRAX устанавливает подключение, используя полученные учетные данные

Сценарий 4. Увольнение сотрудника

  1. Администратор отключает или удаляет пользователя в IAM
  2. При следующей синхронизации пользователь помечается как отключенный в INFRAX
  3. Все активные сессии пользователя завершаются
  4. Доступ к системе и ко всем учетным данным блокируется

Диагностика проблем

Проблема: Синхронизация не работает

Возможные причины:

  • Неверные параметры подключения в конфигурационном файле
  • Система IAM недоступна по сети
  • Секретный ключ был изменен в IAM

Решение: Проверьте логи системы, убедитесь в правильности параметров подключения и доступности IAM.

Проблема: Пользователь не может войти через SSO

Возможные причины:

  • Пользователь не имеет прав доступа к приложению INFRAX в IAM
  • Сессия в IAM истекла
  • Проблемы с передачей токена между системами

Решение: Проверьте права пользователя в IAM, попробуйте выйти и войти заново.

Проблема: Не загружаются учетные данные

Возможные причины:

  • У пользователя нет учетных данных для данного узла в IAM
  • Истекла сессия OIDC
  • Проблема с сетевым подключением к IAM

Решение: Убедитесь, что учетные данные созданы в IAM, проверьте статус сессии.

Лучшие практики

Безопасность

  • Регулярно проверяйте логи синхронизации на наличие ошибок
  • Не передавайте секретный ключ (client_secret) третьим лицам
  • Используйте HTTPS для всех подключений к IAM
  • Периодически меняйте секретный ключ приложения

Управление пользователями

  • Управляйте пользователями централизованно через IAM, а не в каждом приложении отдельно
  • Настройте автоматическое отключение неактивных пользователей в IAM
  • Используйте группы для упрощения управления правами

Учетные данные

  • Создавайте личные учетные данные для критически важных серверов
  • Используйте групповые учетные данные для общих ресурсов
  • Регулярно обновляйте пароли и ключи в IAM
  • Указывайте понятные названия для учетных данных