Управление SSH-доступом в 2026 году: от зоопарка с jump-host и Ansible к единой точке входа в инфраструктуру с Warpgate
Привет! Меня зовут Амир Уразалин, я DevOps-инженер в KTS. В аутсорсинговой модели мы одновременно ведем несколько крупных проектов, каждый со своей инфраструктурой, окружениями и требованиями безопасности. При этом команда инженеров общая, а доступ к виртуальным машинам должен управляться...
Почему классический SSO не работает в энтерпрайзе
Идеальная система аутентификации создает максимум препятствий для злоумышленников и минимум — для легитимных пользователей. Но на практике приходится искать компромисс между надежностью и удобством, например, устанавливать требования к паролям по длине и сложности. Классические технологии единого...
Keycloak: Внедрение единой системы идентификации
В современных условиях любая растущая компания рано или поздно сталкивается с необходимостью централизованного управления доступом сотрудников к информационным системам. Какое решение выбрать в такой ситуации? В мире информационных технологий нет ничего постоянного. Стандарты меняются: если раньше...
Разработчики всё ещё путают JWT, JWKS, OAuth2 и OpenID Connect — разбираем на примерах. Часть 2
Мы продолжаем наше погружение в мир аутентификации и будем разбирать всё на простых примерах с практикой на Go. В первой части статьи мы разобрали, как устроен JWT, зачем нам refresh и access токены и почему в распределенных системах нам необходимо использовать асимметричные алгоритмы подписи....
Как развернуть Identity Provider Keycloak на виртуальной машине и Managed PostgreSQL
Привет! Я занимаюсь сопровождением реализации внутренних и внешних технических задач. В статье расскажу, как организовать централизованную аутентификацию через Identity Provider Keycloak. Сотрудники не будут мучаться с кучей паролей от БД, систем аналитики, таск-менеджеров, почты и других программ....
Безопасный доступ к внутренним сервисам: Keycloak, OAuth2 и немного Nginx‑магии
Рядовые инфраструктурные задачи иногда преподносят неожиданные сложности. Нашей целью была организация защищённого доступа к внутренним сервисам через единую точку входа с авторизацией в Keycloak, чтобы приложения получали проверенные пользовательские данные без необходимости реализации собственной...
Мы доверяли фрилансеру. Он ушёл — и унёс всю инфраструктуру с собой
Кажется, выстраиваешь стартап на доверии, а потом внезапно обнаруживаешь, что главный технический специалист… не оставил тебе даже пароля от GitHub. Ни в шутку, ни в полсилы. Всё, с чем работала команда: домены, серверы, CI/CD, база клиентов, мониторинг - оказалось привязано к личным аккаунтам...
Безопасная аутентификация с Indeed AM
Аутентификация с использование паролей “заслуженно” можно назвать устаревшей. Да, десятилетиями мы использовали логин и пароль для входа в различные приложения. Но сегодня этот способ аутентификации сложно назвать действительно безопасным. Злоумышленники могут подселить на машину...
История одного SSO: как мы подружили два независимых каталога пользователей через Keycloak
Привет, Хабр! Меня зовут Аскар Добряков, я ведущий эксперт направления защиты бизнес-приложений в К2 Кибербезопасность. При внедрении Single Sign-On, на первый взгляд, все должно идти по накатанной схеме: настраиваем федерацию со службой каталогов, связываем identity provider с service provider,...
Мой опыт настройки SSO OpenID Connect в 1С с помощью Authentik
При внедрении единой системы аутентификации в компании я столкнулся с задачей организовать SSO-доступ к 1С через протокол OpenID Connect. За основу я взял статью на InfoStart (https://infostart.ru/1c/articles/1538390/), однако в качестве провайдера аутентификации использовал не Keycloak, как в...
OAuth 2.0, OpenID Connect и SSO для самых маленьких
Всем привет! Меня зовут Павел, я Head of Development в Банки.ру. Сегодня хочу погрузиться с вами в, кажется, уже давно заезженные темы: Single sign-on, OAuth, OpenID и нюансы их реализации. Здесь, на Хабре, достаточно гайдов с примерами реализаций на разных языках или же, наоборот, более...
[Перевод] Настройка аутентификации в приложении через Active Directory с использованием OpenAM
Почти каждая организация использует Active Directory для управления учетными записями сотрудников. И использование существующих учетных записей для доступа к корпоративным приложениям является хорошей практикой. В данной статье мы настроим аутентификацию в демонстрационном Spring Boot приложении...
[Перевод] Настройка OAuth2/OIDC федерации в OpenAM
В данном руководстве мы настроим федерацию между двумя инстансами OpenAM по протоколу OAuth2/OIDC. Один инстанс будет являться OAuth2/OIDC сервером (Identity Provider), другой - клиентом (Service Provider). Таким образом, вы можете аутентифицироваться в клиентском инстансе OpenAM (SP) используя...
[Перевод] Настройка SAMLv2 федерации в OpenAM
В данном руководстве мы настроим федерацию между двумя инстансами OpenAM. Один инстанс будет Identity Provider (IdP), другой - Service Provider (SP). Таким образом вы можете аутентифицироваться в инстансе OpenAM (SP) используя учетные данные другого инстанса - OpenAM (IdP). Читать далее...
Аутентификация в 1С через OpenAM по протоколу OAuth2/OIDC
1С поддерживает “из коробки” несколько способов аутентификации - например по логину и паролю и аутентификацию операционной системы. Но иногда этих способов недостаточно для удобства пользователей и удовлетворения требований безопасности. Например, 1С не поддерживает аутентификацию по коду из СМС...
Опыт реализации SSO в приложении Axon средствами SAML 2.0
Перед экспертами Центра информационных технологий РТ была поставлена задача реализовать интеграцию веб-приложения Axon с SSO средствами протокола SAML 2.0. В качестве SSO выступает продукт Avanpost FAM, а в качестве конечного веб-приложения – Informatica Axon Data Governance. В статье описываем...
Cамое простое решение для Kerberos сервера на замену Microsoft AD?
Всем привет! Вот такой вопрос прозвучал в комментариях к этой статье, спасибо автору, а еще, нам на предприятие пришло вот такое распоряжение: Читать далее...
[Перевод] А имеет ли Okta альтернативы?
В этом новом мире удаленной работы и облачных технологий Идентификация и управление доступом (IAM) выходят на первый план. Почти как если бы современная экономика полагалась на гибкую и автоматизированную IAM-систему для обеспечения стремительной и цельной цифровой трансформации. Okta ведущий игрок...
Назад