Наверх

PKI и сертификаты клиентов

Одним из распространенных методов обеспечения безопасности связи между клиентами и сервисами является использование проверки подлинности сертификата клиента. Этот термин может охватывать широкий спектр клиентских и серверных рабочих процессов. Например, его можно использовать для пользователя, запрашивающего веб-страницу, или для серверной системы, подключающейся к API в рамках обмена данными между серверами. Сертификаты PKI можно использовать для шифрования веб-соединений, подписания кода и приложений, аутентификации пользователя в удаленной системе или общения между людьми с помощью таких шаблонов, как Pretty Good Privacy (PGP).

Клиентские сертификаты обычно создаются для пользователя центром сертификации, который обслуживается или управляется ИТ-отделом компании. Они хранятся в хранилище операционной системы, на отдельном устройстве или с использованием другого механизма хранения, например, на USB-накопителе или смарт-карте. Они могут быть подключены к нескольким разным компьютерам, чтобы пользователь мог проходить аутентификацию из разных мест.  

Аутентификация клиента в сервисах ArcGIS

В системах ArcGIS клиентские сертификаты чаще всего применяются для аутентификации пользователей у провайдера аутентификации. Ниже описаны два основных шаблона реализации этого рабочего процесса.

Аутентификация на веб-уровне

В ArcGIS Enterprise аутентификация на веб-уровне относится к схеме, где на веб-сервере размещен ArcGIS Web Adaptor для организации процесса аутентификации. Общая последовательность работы при этом шаблоне включает в себя следующее:

  1. Когда пользователь впервые пытается получить доступ к ArcGIS Enterprise, например, к компоненту ArcGIS Server или Portal for ArcGIS, веб-сервер отвечает на запрос пользователя запросом на предоставление сертификата клиента.
  2. Пользователь может выбрать возможность предоставить сертификат, который проверяется на соответствие хранилищу доверенных сертификатов веб-сервера. При успешной валидации ArcGIS Web Adaptor отправит имя пользователя компоненту, который, в свою очередь, установит сессию.
Примечание:

Этот процесс не требует, чтобы сертификат клиента был отправлен в ArcGIS Enterprise или доверен ему. Не происходит обмена паролем или его валидации с компонентом ArcGIS. Неявное доверие процесса аутентификации сертификата клиента обеспечивает пользователю доступ.

IdP на основе SAML или OIDC

Этот шаблон становится все более популярным по мере внедрения современных методов аутентификации. Он включает в себя использование сертификата клиента для аутентификации пользователя у провайдера идентификации на основе SAML или OIDC. В этом шаблоне отсутствует взаимодействие аутентификации сертификата клиента с ArcGIS Enterprise или ArcGIS Online. Вместо этого, рабочий процесс выглядит так:

  1. Когда пользователь пытается войти в ArcGIS, ему предлагается начать процесс входа в систему на основе SAML или OIDC с их провайдерами идентификации.
  2. Провайдер идентификации, обычно представляющий собой отдельно управляемую и размещенную систему, может разрешить ряд различных шаблонов аутентификации, которые могут включать аутентификацию сертификата клиента с помощью смарт-карты или сертификата, управляемого ОС, а также другие варианты, такие как аутентификация на основе имени пользователя и пароля.
  3. После того как пользователь успешно прошел аутентификацию в IdP, его сеанс инициируется в ArcGIS с помощью утверждения SAML или утверждения OIDC, и сертификат клиента не запрашивается повторно до истечения срока действия сеанса.

Аутентификация между сервисами с помощью PKI

Еще один шаблон аутентификации клиента на основе сертификатов связан с запросами, которые исходят от серверного компонента, веб-службы или другого процесса, в отличие от сеанса отдельного пользователя через программное обеспечение, такое как веб-браузер. Этот процесс может происходить в разнообразных рабочих процессах, включая:

  • Сервис печати ArcGIS Server пытается подключиться к защищенной PKI конечной точке для картографического сервиса или сервиса объектов.
  • Управляемый облаком сервис API проходит проверку подлинности в серверном или локальном сервисе и требует проверки подлинности сертификата клиента.

В этих сценариях необходимо применить конфигурацию для предоставления клиентского сертификата для сервиса, который будет использоваться для проверки подлинности в серверной системе. Это может принимать различные формы или настраиваться различными способами.

Другие соображения и рекомендации

  • Аутентификация PKI из встроенных и мобильных приложений, созданных с помощью ArcGIS Maps SDK, может потребовать особого внимания из-за использования и хранения сертификатов клиентов на мобильных устройствах.
  • Реализация проверки подлинности PKI и способы взаимодействия пользователей с ней могут значительно различаться в зависимости от конфигурации операционной системы, браузера и параметров отдельных пользователей.
  • Устранение неполадок или ошибок, связанных с PKI, требует специальных навыков и понимания предполагаемой архитектуры всей системы PKI в сети или ИТ-окружении.
    Взаимодействие со специалистами в области кибербезопасности или ИТ важно для обеспечения соблюдения норм и правильного использования.
  • Сертификаты клиента имеют те же требования к действительности, цепочке доверия и атрибутам, что и сертификаты SSL/TLS веб-сервера. Их следует тщательно отслеживать, обновлять и управлять ими, чтобы избежать неожиданных сбоев для пользователей.
Top