ID-сервис Bell Integrator для единой точки входа
Компания Bell Integrator FabricaONE.AI (ГК Softline) анонсировала веб-сервис для единой точки входа клиентов банка в партнерские сервисы одного из крупнейших российских банков. Разработка на базе Keycloak и Java обеспечивает функционал единого сервиса идентификации, аутентификации и авторизации на сайтах и мобильных приложениях организаций-партнеров.
Как поясняют в компании, заказчику потребовалось в сжатые сроки заменить зарубежные проприетарные сервисы авторизации на российские и open source решения, соответствующие требованиям импортозамещения, а также строгим требованиям по масштабируемости и отказоустойчивости. Проект Bell Integrator стал одним из первых крупных решений по построению централизованной платформы идентификации и аутентификации и системы единого входа (SSO) на согласованном Минцифры технологическом стеке, созданная система соответствует требованиям ЕРПО.
В ходе проекта специалисты Bell Integrator разработали и внедрили архитектуру решения, а также провели его тестирование на совместимость с отечественной ОС Astra Linux. В сервис была внедрена двухфакторная аутентификация с защитой от перебора паролей и автоматической блокировкой учетной записи при подозрительной активности. Для усиления безопасности реализовано автоматическое завершение всех пользовательских сессий при изменении персональных данных или согласий.
Решение рассчитано на высокую нагрузку. В его архитектуре задействовано более 15 микросервисов, работающих в отказоустойчивом режиме, и заложено развертывание на десятки серверов, распределенных по дата-центрам. Для обеспечения стабильности и прозрачности работы используются механизмы кэширования данных, а также подсистемы логирования, аудита и мониторинга.
Сервис Bell Integrator обеспечивает централизованный доступ к сайтам и мобильным приложениям партнеров банка для клиентов самого банка и защищенный доступ к сервисам банка на основе протокола OAuth 2.0. Поддерживается аутентификация по стандарту OIDC (OpenID Connect) с использованием механизма PKCE на базе OAuth 2.0. Кроме того, он исключает необходимость ручного ввода данных при регистрации пользователей.
Партнерские организации могут подключить вход через сервис банка с помощью SDK и API. Архитектура их приложений и сайтов при этом не обрабатывает логины и пароли, а использует готовый сервис идентификации и аутентификации. Достаточно интегрировать SDK или добавить кнопку входа, чтобы получить полностью готовое решение.
Как подчеркивают в Bell Integrator, была создана единую систему идентификации клиентов с централизованным управлением согласиями для всех цифровых сервисов. Несмотря на то что сервис создавался для конкретного клиента, он разработан как универсальное решение. Наработки компании (фасад над Keycloak, SDK для партнеров, интеграционные сервисы) можно адаптировать и для других банков или организаций с экосистемой цифровых сервисов.