Сервис SSO

В ОИЯИ запущена в эксплуатацию единая система аутентификации пользователей - "Single Sign-On" (SSO). Что это означает для пользователей и какие дает ему преимущества?

В ОИЯИ существует множество вычислительных ресурсов, таких как, компоненты Многофункционального Информационно-Вычислительного Комплекса (МИВК) – Грид-инфраструктура, ЦИВК, HybriLIT, суперкомпьютер Govorun. Различные средства хранения – dCache, EOS, XrootD, AFS, NFS, CVMFS. Сервисы баз данных - общего пользования, административные,регулирующие научную деятельность и т.д.

На данный момент SSO-логин используется в сервисах PIN, "База документов ОИЯИ", ADB2, СЕД и др. В разделе WEB-экосистема собраны и сгруппированы ссылки на корпоративные web-приложения ОИЯИ, а также некоторые другие полезные тематические ссылки.

Каждый сервис имеет свои правила предоставления услуг пользователю и свои учетные записи. При этом разрешенные возможности пользователя ограничены задачами, которые необходимо решать. Чтобы предоставить пользователю определенные ресурсы, ему необходимо выдать:

• Учетную запись (логин-пароль);
• Права доступа к ресурсам.

Давайте права доступа к ресурсам назовем «подпиской» на сервис. При этом на разных сервисах «подписка» может называться по-разному: регистрация, инициализация, персонализация, получение прав и т.д. И содержание «подписки» будет разным. Например: получение места на диске (если это дисковые хранилища); объем оперативной памяти и количество ядер процессора (если это вычислительные системы); права доступа к той или иной части базы данных (если это информационные системы) и т.д.

Обычно эти процедуры совмещаются при регистрации на сервисе. Но при этом на разных сервисах приходится иметь отдельную учетную запись (логин и пароль).

Система SSO позволяет пользователям ОИЯИ иметь одну учетную запись на всех сервисах, включенных в систему. Однако «подписка» на сервис в каждом случае будет разной и её придется получать отдельно. Так что, пользователи должны самостоятельно выяснять правила и возможности «подписки» для нужного им сервиса.

Как было сказано выше, сервис SSO – это единая система аутентификации пользователей. Однако очень часто пользователи путают термины – аутентификация и авторизация. Это связанно с тем, что они появляются только в момент использования сервиса. Если аутентификация – это подтверждение того, кем вы являетесь, в то время как авторизация – это то, к чему вы можете получить доступ.

Попробуем на примере пояснить эту разницу. И так, у нас есть документы: паспорт (SSO-логин/пароль) и билет, в котором указана страна, рейс, класс билета (эконом, первый, бизнес) - (подписка). Мы поехали в аэропорт, чтобы отправиться в путешествие. И вот тут происходит проверка этих документов. На стойке регистрации проверяют, что это мы и это наш паспорт – убедившись, система SSO подтвердила это, пропускают в свободную зону. Мы прошли первую проверку – нас аутентифицировали. И, казалось бы, лети куда хочешь, а тут еще одна проверка: уже билета на этот рейс, - рейсов-то много, но сесть в самолет нужно согласно купленному билету (подписка). И вот мы уже в нашем самолете, но посадят нас на конкретное, указанное в билете место, и будут обслуживать соответственно класса билета (эконом, первый, бизнес) – вот это уже авторизация, т.е. предоставление нам возможностей в соответствие с приобретенными на время полета правами.

А теперь пристегните ремни, и счастливого полета!