Обзор методов аутентификации

ℹ️ О документе

В этом разделе описаны все доступные методы аутентификации в системе IDENTYX. Система поддерживает множество способов входа пользователей, от простого ввода логина и пароля до современных технологий биометрической аутентификации и российских OAuth провайдеров.

Что такое аутентификация

Аутентификация — это процесс проверки подлинности пользователя при попытке входа в систему. IDENTYX выступает в роли центрального узла аутентификации для всех ваших приложений, предоставляя единую точку входа (Single Sign-On).

Доступные методы аутентификации

IDENTYX поддерживает следующие методы аутентификации:

🔑 Локальная аутентификация

Вход по логину и паролю — классический метод с использованием имени пользователя и пароля

Вход по email и паролю — вход с использованием адреса электронной почты вместо логина

Подробнее в разделе Локальная аутентификация

🏢 LDAP / Active Directory

Интеграция с корпоративными каталогами пользователей:

  • Microsoft Active Directory
  • FreeIPA
  • Любые LDAP-совместимые системы

Поддержка формата DOMAIN\username или username@domain

Подробнее в разделе LDAP/Active Directory

🇷🇺 Российские OAuth провайдеры

Вход через популярные российские сервисы:

  • Сбер ID — аутентификация через Сбербанк
  • ЕСИА (Госуслуги) — вход через портал Госуслуг
  • Яндекс ID — аутентификация через Яндекс
  • VK ID — вход через ВКонтакте

Подробнее в разделе Российские OAuth провайдеры

✈️ Telegram

Быстрый и удобный вход через Telegram Login Widget

Требуется настройка бота и получение токена

Подробнее в разделе Telegram аутентификация

🔐 Электронная подпись

Вход с использованием сертификата электронной подписи (КриптоПро)

Автоматическая проверка подлинности и срока действия сертификата

Проверка списка отозванных сертификатов (CRL)

Подробнее в разделе КриптоПро и электронная подпись

🔒 WebAuthn

Современный стандарт аутентификации без пароля:

  • Ключи безопасности (YubiKey, Token2, и др.)
  • Биометрия (отпечаток пальца, Face ID, Windows Hello)

Возможность пропуска второго фактора при использовании WebAuthn

Подробнее в разделе WebAuthn (биометрия и ключи)

Выбор метода аутентификации для пользователя

Администратор может настроить, какие методы аутентификации доступны конкретному пользователю. Для каждого пользователя можно индивидуально разрешить или запретить:

  • Вход по паролю (логин или email)
  • Вход через LDAP
  • Вход через Сбер ID
  • Вход через ЕСИА
  • Вход через Яндекс ID
  • Вход через VK ID
  • Вход через Telegram
  • Вход через электронную подпись
  • Вход через WebAuthn
⚠️ Важно

Если для пользователя отключены все методы аутентификации, он не сможет войти в систему. Убедитесь, что хотя бы один метод включен.

Внешние провайдеры и автоматическая регистрация

Для внешних провайдеров (Сбер ID, ЕСИА, Яндекс, VK, Telegram, электронная подпись) можно настроить:

Автоматическая регистрация пользователей

Если включена автоматическая регистрация, при первом входе через внешний провайдер система автоматически создаст учетную запись пользователя со следующими параметрами:

  • Отображаемое имя — берется из данных внешнего провайдера
  • Логин — генерируется случайным образом
  • Пароль — генерируется случайным образом (пользователь не будет знать его)

Автоматическое назначение в группы

Для каждого внешнего провайдера можно настроить список групп, в которые будут автоматически добавлены новые пользователи при создании через этот провайдер.

Автоматическое назначение в организации

Также можно настроить список организаций, к которым будут автоматически привязаны новые пользователи.

Привязка к существующей учетной записи

Пользователь может привязать внешнюю учетную запись к уже существующей локальной учетной записи. Для этого нужно:

  1. Войти в систему под локальной учетной записью
  2. Перейти в свой профиль
  3. Выбрать нужный внешний провайдер и пройти процедуру авторизации

После привязки пользователь сможет входить в систему как через локальную учетную запись, так и через внешнего провайдера.

⚠️ Ограничение

Одна внешняя учетная запись может быть привязана только к одной локальной учетной записи. Если пользователь попытается привязать уже используемую внешнюю учетную запись, система выдаст ошибку.

Многофакторная аутентификация (2FA)

Помимо основных методов аутентификации, IDENTYX поддерживает двухфакторную аутентификацию для повышения безопасности:

  • TOTP — одноразовые коды из приложений-аутентификаторов (Google Authenticator, Microsoft Authenticator, и др.)
  • Email 2FA — код подтверждения, отправленный на электронную почту

Администратор может:

  • Требовать 2FA для всех пользователей системы
  • Требовать 2FA для конкретных пользователей
  • Разрешить пользователям самостоятельно настроить 2FA (опционально)

Подробнее о двухфакторной аутентификации читайте в разделе Обзор 2FA.

Поток аутентификации

Типичный процесс аутентификации пользователя выглядит следующим образом:

  1. Пользователь открывает страницу входа
  2. Пользователь выбирает метод аутентификации и вводит учетные данные
  3. Система проверяет учетные данные
  4. Если проверка успешна, система проверяет, настроена ли двухфакторная аутентификация:
    • Если 2FA не настроена, но требуется — пользователю предлагается настроить 2FA
    • Если 2FA настроена — запрашивается второй фактор
    • Если 2FA не требуется или был вход через WebAuthn с пропуском 2FA — переход к следующему шагу
  5. Если настроено требование смены пароля — пользователю предлагается сменить пароль
  6. Пользователь успешно вошел в систему

Управление сессиями

После успешной аутентификации для пользователя создается сессия. Администратор может:

  • Ограничить количество одновременных сессий для пользователя
  • Принудительно завершить сессии пользователя
  • Настроить автоматическое завершение сессии при неактивности

Подробнее в разделе IAM сессии.

Политики безопасности

IDENTYX позволяет настроить различные политики безопасности, связанные с аутентификацией:

  • Требования к сложности пароля (длина, наличие специальных символов, цифр, букв разного регистра)
  • Максимальное количество неудачных попыток входа перед блокировкой
  • Блокировка учетной записи при длительном отсутствии входов (например, более 90 дней)
  • Требование периодической смены пароля (например, каждые 120 дней)
  • Запрет повторного использования старых паролей

Подробнее в разделе Параметры безопасности.

Журналирование событий аутентификации

Все попытки аутентификации (успешные и неудачные) автоматически записываются в журнал событий безопасности. Для каждого события фиксируется:

  • Дата и время попытки входа
  • Имя пользователя
  • Метод аутентификации
  • IP-адрес, с которого была попытка
  • Результат (успех или причина отказа)

Это позволяет администраторам отслеживать подозрительную активность и анализировать попытки несанкционированного доступа.

Подробнее в разделе События аутентификации.

Интеграция с приложениями через OIDC

После аутентификации в IDENTYX пользователь может получить доступ ко всем подключенным приложениям без повторного ввода учетных данных (Single Sign-On). Это достигается за счет использования протокола OpenID Connect (OIDC).

Приложение получает от IDENTYX информацию о пользователе и может использовать ее для авторизации доступа к своим ресурсам.

Подробнее в разделе Обзор OIDC.

✅ Готовы продолжить?

Переходите к разделу Локальная аутентификация для изучения детальной информации о входе по логину и паролю.