Использование OpenID для входа в Loginom

Loginom широко используется в корпоративных информационных системах благодаря гибкости, богатому функционалу и широкому спектру решаемых задач. Это делает платформу ключевым инструментом для работы с данными в крупных компаниях.

Одним из критически важных аспектов корпоративных решений является безопасность. Современные IT-инфраструктуры должны соответствовать строгим требованиям информационной безопасности, обеспечивать централизованное управление доступами и поддерживать гибкие механизмы аутентификации и авторизации.

OpenID Connect (OIDC) — один из таких механизмов. Этот стандарт позволяет безопасно интегрировать Loginom в корпоративную среду, обеспечивая единый вход (SSO) и централизованное управление доступами, избавляя от необходимости хранить пароли в самой системе.

В этой статье мы покажем, как настроить вход в Loginom через OpenID Connect, используя Keycloak в качестве сервера аутентификации.

Про аутентификацию и авторизацию в Loginom

Прежде чем переходить к настройке подключения по OpenID Connect, важно разобраться с базовыми принципами аутентификации и авторизации, на которых строится управление доступом в Loginom.

Когда пользователь открывает в браузере стартовую страницу Loginom, он видит форму ввода логина и пароля.

Аутентификация — первый шаг. После ввода логина и пароля система проверяет, действительно ли это зарегистрированный пользователь. Если проверка успешна, Loginom «узнает» пользователя и дает ему доступ к системе. Регистрация пользователя в системе — обязанность администратора Loginom, как и его блокировка при необходимости.

Авторизация — второй шаг. После подтверждения личности система определяет права пользователя: какие функции и данные ему доступны. На этом этапе формируется полная картина возможностей пользователя в Loginom, включая ограничения на доступ к определенным разделам или ресурсам. Этому способствует ролевая модель, определяемая в системе администратором платформы.

Если аутентификация отвечает на вопрос «Кто ты?», то авторизация — «Что тебе разрешено делать?».

Что такое OpenID Connect и OAuth 2.0

Рассмотренный ранее механизм аутентификации и авторизации в Loginom — это стандартное решение, доступное всем пользователям серверных редакций. В этом случае учетные записи хранятся во внутреннем хранилище сервера Loginom и надежно защищены.

Однако для владельцев Enterprise-редакции Loginom доступны расширенные механизмы аутентификации:

• OpenID Connect + OAuth 2.0 (далее — OpenID) — позволяет интегрировать Loginom с внешними системами аутентификации и авторизации, обеспечивая единый вход (SSO);
• LDAP (Lightweight Directory Access Protocol) — используется для хранения и управления учетными записями, группами и правами доступа в централизованных каталогах, таких как Active Directory или OpenLDAP.

Эти механизмы позволяют централизованно управлять доступом и гибко настраивать права пользователей в соответствии с корпоративными стандартами безопасности.

OpenID Connect

Прежде чем предоставить пользователю доступ к системе, необходимо подтвердить его личность. OpenID Connect (OIDC) решает эту задачу аутентификации.

При входе в Loginom пользователь вводит свои данные, а сервер аутентификации (например, Keycloak или Okta) проверяет их. Если аутентификация успешна, Loginom получает ID Token, который подтверждает, кто именно вошел в систему. Этот токен содержит основную информацию о пользователе и позволяет Loginom корректно определить, с каким пользователем он взаимодействует.

OAuth 2.0 — авторизация без передачи паролей

Стандарт OAuth 2.0 отвечает за авторизацию, позволяя приложениям получать ограниченный доступ к другим системам без передачи паролей. Например, если Loginom запрашивает доступ к данным, сервер авторизации выдает Access Token, подтверждающий, что у пользователя есть право на этот доступ.

Использование OIDC и OAuth 2.0 вместе позволяет разделить процессы аутентификации и авторизации, обеспечивая безопасный вход в Loginom.

Почему это важно для Loginom?

Благодаря OpenID Loginom не хранит у себя пароли, а получает данные безопасно через стандартные API. Вместо этого:

• управление учетными записями передается серверу аутентификации (Identity Provider), который централизованно управляет пользователями;
• права и доступы регулируются корпоративными ролевыми моделями;
• единый вход (Single Sign-On, SSO) позволяет автоматически входить в несколько приложений с одной учетной записью.

Такие надстройки по работе с учетными записями, как обновление информации о пользователе, периодическая смена пароля, выдача временного пароля, управление сроком действия учетных записей берет на себя сервер аутентификации (Identity Provider) и администратор. Это также включает двухфакторную аутентификацию (2FA), контроль сессий пользователей и мониторинг попыток входа. Благодаря этому Loginom не приходится управлять этими процессами самостоятельно, делегируя эту часть другому специализированному инструменту и администраторам Identity Provider.

Основные элементы OpenID

Чтобы хорошо ориентироваться в настройках OpenID в Loginom, важно знать основные термины.

Поток аутентификации и авторизации при использовании OpenID Connect в Loginom

Схема взаимодействия выглядит следующим образом:

1. пользователь заходит на стартовую страницу Loginom и нажимает на кнопку «Войти через OpenID»;
2. происходит перенаправление пользователя на Сервер авторизации (форму ввода логина/пароля);
3. пользователь вводит свой логин и пароль;
4. в случае успеха Сервер авторизации перенаправляет пользователя на страницу Loginom, передавая при этом код авторизации;
5. Loginom сервер обращается к Серверу авторизации для обмена кода авторизации на токен доступа;
6. сервер авторизации предоставляет ID-токен и Access-токен;
7. с помощью полученного Access-токена Loginom запрашивает дополнительные данные пользователя у Сервера авторизации;
8. сервер авторизации возвращает запрошенные дополнительные данные пользователя;
9. на основе токена и дополнительных данных Loginom осуществляет аутентификацию и авторизацию пользователя, предоставляя доступ.

Более наглядно это показано на диаграмме вызовов ниже.

Поток аутентификации и авторизации в Loginom

Далее рассмотрим настройку аутентификации и авторизации в Loginom через Keycloak.

Настройка OpenID для Loginom через Keycloak

Почему Keycloak?

Keycloak — это мощный сервер аутентификации, поддерживающий OpenID Connect, OAuth 2.0 и SAML. Он бесплатный, активно развивается, имеет удобный веб-интерфейс и хорошо подходит для корпоративных решений.

Основные причины выбора Keycloak для интеграции:

• открытый исходный код и бесплатность — без лицензионных ограничений;
• гибкость настройки — поддержка ролей, политик безопасности и Single Sign-On (SSO);
• простая интеграция — легко подключается к Loginom и другим корпоративным сервисам;
• широкая поддержка различных стандартов.

Keycloak хорошо интегрируется с LDAP, Active Directory, Kerberos.

Среда развертывания

В рамках данной статьи при настройке входа в Loginom через OpenID Connect учитываются следующие особенности развертывания:

1. Сервер

• Операционная система: Ubuntu;
• Аппаратные ресурсы: 4 ядра, 16 ГБ оперативной памяти, 100 ГБ дискового пространства.

2. Loginom

• Редакция: Enterprise;
• Версия: 7.2.3 (поддержка OpenID Connect появилась начиная с 7.2.0);
• Установка: Loginom Server уже установлен и запущен, дополнительных пакетов или зависимостей не требуется.

3. Сервер аутентификации (Identity Provider)

• Программное обеспечение: Keycloak (версия 20.0 — не является обязательным требованием);
• Установка: Keycloak уже установлен и запущен, дополнительные расширения не требуются.

Как установить Keycloak?
См. официальную документацию: Keycloak — Getting Started.

Важно:
Версия Loginom под Linux выбрана не специально: вход по OpenID Connect поддерживается на всех операционных системах, где работает Loginom.

Настройка со стороны Keycloak

Для начала настроим Keycloak для работы с Loginom.

Необходимо войти в панель администрирования Keycloak под учетными данными администратора.

​​​​1. Создание нового Realm

Для начала создадим новый Realm (изолированную область) для Loginom.

Необходимо:

• нажать кнопку «Create Realm»;

• указать имя нового Realm (например, Loginom) и нажать кнопку «Create».

2. Создание Client

Далее для нашего Realm создадим новый клиент.

Необходимо:

• перейти во вкладку «Clients» и нажать кнопку «Create client»;

​​​​​

• задать его имя (например, «LoginomClient») и выбрать тип клиента «OpenID Connect»;

​​

• нажать кнопку «Next».

С помощью ползунка включаем аутентификацию клиента и авторизацию. А с помощью чекбоксов выбираем «Standard Flow» и отключаем «Direct access grants» (необязательно, но он для работы с Loginom использоваться не будет). С точки зрения стандарта Oauth 2.0 это «Authorization Code Flow». Используется для приложений, где требуется высокий уровень безопасности.

После нажатия на кнопку «Save» создастся новый клиент для работы с Loginom.

Включение аутентификации и авторизации в настройках клиента означает, что приложение должно предъявить client_id и client_secret при обращении к Keycloak (помимо пользователей аутентификацию и авторизацию должен пройти сам Loginom Server).

Хоть это и не является обязательным условием, желательно подобную настройку все же осуществить как меру дополнительной защиты. После включения аутентификации и авторизации client_secret можно будет узнать на вкладке Credentials в информации о клиенте.

​​​​​​Потребуется также указать «Valid redirect URIs» в секции «Access Settings» — список разрешенных URL-адресов, на которые Keycloak может перенаправлять пользователя после успешной аутентификации. Подобная настройка не допускает перехвата данных в случаях, когда злоумышленник пытается «встроиться посередине». Здесь нужно указать адрес страницы входа Loginom ({loginom_host_name}/app/).

Далее можно выбрать тему для страницы входа в Loginom через Keycloak в секции «Login settings» (в настройках клиента проскроллить 2-3 экрана вниз) и еще раз нажать кнопку «Сохранить».

Этого минимального набора настроек клиента достаточно для работы Keycloak в связке с Loginom. При необходимости можно задать дополнительные расширенные настройки, такие как: Access Token Lifespan, ID Token Lifespan, Refresh Token Lifespan (время жизни различных видов токенов).

3. Создание ролевой модели

Определим ролевую модель в Keycloak, которая должна соответствовать модели в Loginom.

Необходимо:

• перейти в раздел «Realm roles» и нажать кнопку «Create role»;

• в открывшемся окне ввести название роли и описание;

• аналогичную операцию проделать для всех остальных ролей, каждый раз сохраняя новую роль и возвращаясь на вкладку «Realm roles».

4. Создание пользователей

В рамках этой статьи мы создадим пользователя вручную. В реальной продуктовой среде рекомендуется настроить интеграцию с корпоративными провайдерами аутентификации, такими как LDAP, Active Directory или Kerberos, если такая интеграция ещё не настроена.

Для создания пользователя необходимо:

• перейти во вкладку «Users» и нажать кнопку «Create new user»;

• заполнить основную информацию о пользователе;

• на вкладке «Credentials» можно создать пароль пользователя. При этом есть опция выбора временный/постоянный. Если пароль временный, пользователь должен будет его в обязательном порядке изменить при первой операции аутентификации, указав свой вариант.

Keycloak предоставляет различные механизмы управления учетными записями, которые могут быть полезны в корпоративной среде и о которых нельзя не упомянуть из-за их взаимосвязи с входом в Loginom:

• запрос обновления профиля — заставляет пользователя изменить или дополнить данные при следующем входе;
• подтверждение email — отправляет пользователю запрос на подтверждение почты;
• отправить условия использования перед входом в систему, которые пользователь должен принять (например, можно явно проинформировать, что разрешается и что запрещается делать при работе в Loginom);
• включение двухфакторной аутентификации — добавляет дополнительный уровень защиты и т.д.

5. Установка дополнительных параметров для пользователя

Keycloak позволяет настраивать дополнительные параметры пользователя, которые могут быть полезны при интеграции с Loginom.

5.1 Добавляем возможность выдавать пользователям доступ к папкам

Во вкладке «Attributes» можно добавить кастомные атрибуты. Например, атрибут folders может содержать список папок в Loginom, к которым пользователь должен иметь доступ.

Однако просто добавить атрибут недостаточно — его еще нужно включить в токен и сделать доступным через «Scope». Для этого необходимо:

• зайти в настройки «Scope», нажать ее кнопку «Create client scope» и указать имя, описание, тип «Default» (его имя нужно будет в дальнейшем использовать при запросе соответствующей информации с помощью Loginom);

• обязательно нажать кнопку «Save», после чего появится возможность добавления правила сопоставления (мэппинга);

• на вкладке «Mappers» создать новый «Mapper», нажав на кнопку «Сonfigure a new mapper» и выбрав тип «User Attribute» — «Scope» будет связан со свойством пользовательского атрибута;

• установить галочки: «Add to ID Token», «Add to Access Token», «Add to UserInfo», «Multivalued» (может быть массивом), «Aggregate attribute values» (добавляет группировку по ключу).

• перейти в раздел «Clients» в настройки клиента «LoginomClient», затем перейти на вкладку «Clients scopes» и, нажав на кнопку «Add client scope», выбрать соответствующий «Scope» с опцией «Optional». В нашем случае это folders.

Теперь параметр folders будет передаваться в «ID Token», «Access Token», «UserInfo Endpoint» и сможет быть обработанным в Loginom.

5.2 Назначаем роли пользователям

На вкладке «Role mapping» можно назначить роли для пользователя, нажав на кнопку «Assign role» и выбрав доступные из списка.

Если нужно отвязать какую-либо роль, то это делается установкой чекбокса и нажатием кнопки «Unassign».

Можно немного упростить процесс с назначением ролей, задав роль по умолчанию. Например, можно установить дефолтную роль «Viewer» для всех пользователей и все новые добавленные пользователи будут получать её автоматически. Делается это в разделе «Realm settings» на вкладке «User registration» с помощью кнопки «Assign role».

​​​​​5.3 Установка двухфакторной аутентификации

Для дополнительной защиты можно включить двухфакторную аутентификацию, требующую ввода временного одноразового кода при каждом входе в Loginom.

Это необязательная настройка, но если в компании есть соответствующие требования по информационной безопасности, — необходимо будет реализовать.

В Keycloak есть разные штатные средства для реализации двухфакторной аутентификации:

• одноразовые пароли (OTP) через мобильное приложение (Google Authenticator, FreeOTP, Authy);
• WebAuthn (FIDO2) — вход с биометрией (Face ID, отпечаток пальца) или USB-ключом (YubiKey, Titan Security Key);
• SMS-аутентификация (OTP по SMS) — через отдельный провайдер (например, Twilio, Nexmo, AWS SNS);
• Email-аутентификация (OTP по почте) — одноразовый код приходит на email пользователя;
• Push-уведомления — через Duo Security, Firebase, Auth0 (запрос подтверждения входа).

В рамках данной статьи рассмотрим настройку OTP через мобильное приложение, а с другими методами можно ознакомиться в официальной документации Keycloak.

Процесс выглядит следующим образом:

• администратор в разделе Authentication устанавливает два чекбокса в «Configure OTP», которые делают данный способ доступным и используемым как действие для всех пользователей по-умолчанию;

​​​​​

• при первом входе Keycloak предлагает пользователю настроить двухфакторную аутентификацию, отобразив QR-код;

• пользователь сканирует QR-код в приложении-аутентификаторе (Google Authenticator, FreeOTP, Authy) и добавляет Loginom в список аутентификаторов;

• при каждом последующем входе в Loginom пользователь вводит логин, пароль и одноразовый код из мобильного приложения.

Как работает OTP?

• приложение генерирует временный одноразовый код со сроком жизни 30 секунд;
• когда пользователь вводит код, Keycloak проверяет его и пускает в систему.

На этом с настройкой Keycloak мы закончили. Переходим к настройкам Loginom.

Настройка со стороны Loginom

Если на предыдущем шаге всё было сделано правильно, то данная настройка будет осуществлена значительно проще и быстрее.

Чтобы настроить вход через OpenID, необходимо зайти под учетной записью администратора и на вкладке «Параметры» указать настройки в группе OpenID.

В таблице ниже указаны параметры, их описание и мэппинг с Keycloak.

Сопоставление ролей Loginom и Keycloak производится с помощью графического редактора:

URL точек аутентификации, авторизация и дополнительных данных о пользователях можно посмотреть в настройках Keycloak в разделе Realm Settings -> General -> OpenID Endpoint Configuration.

После ввода настроечных параметров появится возможность входа в Loginom через OpenID.

​​​​​При нажатии кнопки происходит перенаправление на вход через Keycloak.

Теперь можно ввести значения логина и пароля (из Keycloak), после чего произойдет вход в Loginom.

Можно сделать еще одну настройку и убрать стандартный вход в Loginom. В этом случае пользователь будет сразу переводиться на страницу входа Keycloak. Для этого нужно отредактировать файл конфигурации server.json (в моем случае он располагается по пути: /var/www/loginom), добавив следующую строчку: "openid": "force".

Пример:

{
    "wsport": null,
    "host": null,
    "openid": "force"
}

Теперь пользователю недоступна стандартная страница входа в Loginom и при входе он сразу перенаправляется на страницу входа Keycloak.

Особенности работы Loginom с OpenID

Пользователь получит доступ только к тем папкам, что были указаны в настройках Keycloak, и ему доступны те действия, что были определены в ролевой модели.

​​​​​​Если вы следовали указанным настройкам, то при смене роли в Keycloak (например, на администратора) изменения автоматически применятся при следующей аутентификации пользователя.

Аналогично работает добавление новых доступных пользователю папок.

После настройки OpenID Connect аутентификация и авторизация в Loginom через Keycloak будет работать по следующему сценарию:

• если пользователя нет в Loginom — он будет автоматически зарегистрирован, а основная информация (логин, имя, роли, доступы к папкам) возьмётся из токена и UserInfo Endpoint;
• если пользователь уже есть в Loginom и его параметры совпадают с переданными из Keycloak (роли, доступ к папкам) — он войдет в систему без изменений;
• если пользователь уже есть в Loginom, в настройках OpenID включена опция «Обновлять роль пользователя», и его роли или доступы изменились в Keycloak — Loginom автоматически обновит информацию и применит новые параметры доступа;
• если пользователь изначально был создан вручную в Loginom — для передачи управления его профилем в Keycloak потребуется включить соответствующую настройку.

Как отключить вход в Loginom с помощью OpenID

Если по каким-либо причинам требуется отключить вход в Loginom с помощью OpenID, то можно в панели администрирования очистить содержимое client_id. Отключение входа произойдет автоматически.

Если до этого редактировался файл конфигурации server.json, то предварительно потребуется вернуть его в исходное состояние, убрав строку "openid": "force".

Заключение

Настройка OpenID Connect в Loginom через Keycloak позволяет централизованно управлять пользователями, обеспечивая безопасный и удобный вход. Теперь не нужно вручную создавать и настраивать учетные записи — все права и доступы обновляются автоматически, а пользователи могут входить в систему по корпоративным учётным данным.

Дальнейшие шаги:

• настроить SSO (единый вход) в другие системы через Keycloak, в том числе и к источникам данных;
• добавить дополнительные атрибуты для передачи в Loginom — по аналогии с folders из Keycloak можно передавать и другие атрибуты пользователей, которые при соответствующих настройках со стороны Loginom можно использовать в сценарии как переменные;
• усилить безопасность с помощью двухфакторной аутентификации — мы рассмотрели один из способов, при необходимости можно пойти дальше и попробовать остальные.

Если в процессе интеграции возникли вопросы, всегда можно заглянуть в документацию Keycloak.

Дополнительные материалы:

Использование PMML в Loginom

Как избежать проклятий: правильная организация сценариев в Loginom

Loginom — ETL-платформа enterprise уровня