Универсальный ключ к экосистеме. Обзор возможностей сервиса авторизации Сбер ID
Партнеры, использующие Сбер ID для авторизации пользователей на своих ресурсах, могут существенно сэкономить на развертывании собственного IAM-решения, требующего программных и аппаратных ресурсов, а также получают существенный прирост клиентской аудитории, поскольку сервисами группы Сбер в нашей стране пользуются многие миллионы людей.
В последние годы широко распространились платформы авторизации пользователей. При регистрации на каком-либо ресурсе достаточно указать, что вы хотите войти на сайт по аккаунту Google, Facebook и т. д., которые используют протокол авторизации OAuth (OAuth 2.0). Затем на открывшейся странице этого сервиса нужно подтвердить, что вы разрешаете доступ к нему стороннему ресурсу, на котором регистрируетесь. Ресурс «доверяет» Google, Facebook или другой платформе, с которой он получает ваши данные. В дальнейшем, возможно, придется добавить и другие регистрационные данные, как того требует администрация ресурса. Но главное - вы уже вошли и «представились» сайту, то есть предъявили свой ID.
Протокол OAuth делегирует аутентификацию сервису, на котором находится аккаунт пользователя (Google, Facebook и т. д.), а стороннее приложение или ресурс получают к нему ограниченный доступ (токен авторизации). Этот протокол работает в веб-браузерах и приложениях, как на настольных ПК, так и на мобильных устройствах. Стороннее приложение или ресурс после проверки подлинности получают от сервера авторизации токен, посредством которого и осуществляется доступ к пользовательским данным.
Итак, запрашивающий сторонний ресурс получает от сервера имя, адрес электронной почты и другие данные пользователя. При этом пользовательский пароль он не получает, пароль сохраняется в защищенном виде на сервере авторизации. Если пользователь передумает предоставлять данные своего аккаунта стороннему приложению или сервису, он может удалить его из списка «доверенных», ресурсов, которым была делегирована авторизация.
«Сбер» — это экосистема приложений и сервисов, от классических банковских услуг до заказа такси, еды и товаров на дом. Для удобства пользователей, которым пришлось бы запоминать множество паролей для входа на ресурсы экосистемы, был реализован единый цифровой идентификатор Сбер ID. Он работает по простому принципу: вместо множества шифров и паролей при входе в сервисы участников и партнеров экосистемы используется универсальное значение. После входа по Сбер ID на сайтах партнеров данные идентификатора будут внесены автоматически, что позволит сэкономить время на вход в систему.
Важно отметить, что для входа по Сбер ID пользователю необязательно иметь банковский счет в Сбере, а для получения доступа к «цифровому ключу» и большинству сервисов достаточно простой регистрации в Сбер ID по номеру мобильного телефона. Мобильный телефон сегодня есть практически у всех.
В основе работы Сбер ID лежит тот же самый протокол OAuth 2.0, но над ним расположен «слой» в виде стандарта Open ID Connect (OIDC). Он расширяет возможности простой авторизации, которая происходит с помощью OAuth 2.0. С OAuth 2.0 запрашивающий ресурс получает просто имя и адрес пользователя, c OAuth 2.0/OIDC добавляются сведения о логине и профиле пользователя (токен идентификации). Таким образом пользователь может быть аутентифицированна разных сайтах без необходимости ввода логина и пароля, но с передачей расширенного набора данных.
Запрашивающему ресурсу не передаются платежные и финансовые данные, поскольку, заходя по номеру телефона или через QR-код, пользователь подтверждает вход на сервере авторизации, а не на запрашивающей странице. На основе интеграции OAuth 2.0 и Open ID Connect можно создавать системы аутентификации на основе технологии SSO (Single-Sign-On) для веб-ресурсов, десктопных и мобильных приложений, ориентированных как на массового пользователя, так и на корпоративный сегмент. Именно такую систему, в общих чертах, представляет собой Сбер ID. Технология относительно новая, и пока на рынке доступно не очень много примеров ее внедрения и использования. Важно помнить и то, что единственным «каналом доверия» между запрашивающим приложением или ресурсом и «поставщиком» токенов является протокол HTTPS. В случае взлома центра сертификации TLS/SSL, SSO-вход станет небезопасен. Но такие инциденты, к счастью, случаются очень редко.Бизнес уходит в облако: стратегии и подходы
Разработчиками сервиса Сбер ID реализовано семь сценариев работы:
- Первый подразумевает взаимодействие клиента и запрашивающего ресурса, когда и тот и другой работают в браузере на настольном ПК.
- Во втором сценарии клиент в браузере на мобильном устройстве входит на запрашивающий ресурс через мобильное приложение «Сбербанк Онлайн».
- В третьем сценарии клиент бесшовно переходит из мобильного приложения «Сбербанк Онлайн» на запрашивающий ресурс во встроенном браузере.
- Четвертый вариант аналогичен третьему, с той лишь разницей, что бесшовный переход осуществляется не на мобильном устройстве, а на настольном ПК, клиент переходит с сайта «Сбербанк Онлайн» по SSO на запрашивающий сайт.
- В пятом сценарии у клиента установлено мобильное приложение «Сбербанк Онлайн» и мобильное приложение запрашивающего ресурса.
- Шестой вариант аналогичен пятому, с той лишь разницей, что переход осуществляется бесшовно, по SSO.
- Наконец, в седьмом сценарии присутствует мобильное приложение запрашивающего ресурса, но при этом нет мобильного приложения «Сбербанк Онлайн», а используется браузер.
Как мы видим, предусмотрены абсолютно все возможные комбинации взаимодействия клиента и запрашивающего ресурса, что очень удобно для пользователя. Нет необходимости специально устанавливать мобильное приложение «Сбербанк Онлайн». Что касается прочих преимуществ, то здесь можно отметить наличие единого идентификатора на всех поддерживаемых ресурсах. Не нужно тратить время на регистрацию, создание новых паролей и внесение персональной информации в регистрационную форму. Безопасность и шифрование, в свою очередь, надежно защищают регистрационные данные от злоумышленников. Из маркетинговых выгод, которые получает пользователь сервиса Сбер ID, стоит отметить доступ ко всевозможным скидкам и акциям многочисленных партнеров, работающих в экосистеме группы «Сбер». Даже если пользователь впервые зашел на тот или иной ресурс, он уже «свой», поскольку зарегистрирован в экосистеме, его можно привлечь и мотивировать дополнительными скидками.
Партнеры, использующие Сбер ID для авторизации пользователей на своих ресурсах, могут существенно сэкономить на развертывании собственного IAM-решения, требующего программных и аппаратных ресурсов, а также получают существенный прирост клиентской аудитории, поскольку сервисами группы «Сбер» в нашей стране пользуются многие миллионы людей.
Чтобы подключить сторонний сервис к авторизации по Сбер ID необходимо, в первую очередь, определиться, какие пользовательские данные будут необходимы. От этого зависит, какие данные нужно будет указать при регистрации сервиса. Также необходимо будет произвести соответствующие настройки серверного оборудования и установить сертификаты для защищенного TLS-соединения. Подробные инструкции как для внешних партнерских ресурсов, так и для участников экосистемы СБЕР имеются на сайте сервиса Сбер ID. Отправить заявку на присоединение можно по адресу.
Для взаимодействия Сбер ID с запрашивающими ресурсами используется собственный API, который транслирует запросы. Описание запросов доступно по адресу. Чтобы сократить время на интеграцию API с приложениями партнеров, разработчики Сбер ID создали SDK для популярных программных платформ: iOS, Java, JavaScript, Python, Android. Для веб-разработчиков, использующих популярные CMS (Drupal, Joomla, WordPress, 1C-Битрикс, OpenCart) предлагаются готовые модули и плагины, которые можно включить в код сайта. К каждому из них прилагаются технические требования и инструкция по настройке.