Провайдер идентификации (IdP)
IdP — это сервис, который проверяет подлинность пользователя и передает эти данные другим приложениям.
Roles: 1. Identity Store. 2. Auth Service. 3. Token Issuer. Standards: SAML 2.0, OpenID Connect (OIDC), OAuth 2.0. Examples: Okta, Auth0, Ping Identity, Microsoft Entra ID.
graph LR
Center["Провайдер идентификации (IdP)"]:::main
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Простыми словами
IdP — это как нотариус в интернете. Ты показываешь ему паспорт, а он ставит печать на бумажке, которая говорит: 'Я подтверждаю, что это он'. С этой бумажкой ты можешь ходить по разным учреждениям, и тебе больше не нужно показывать паспорт везде — все верят печати нотариуса.
🤓 Expert Deep Dive
Выбор протокола для IdP зависит от типа приложения: SAML 2.0 чаще используется в корпоративном секторе для десктопных веб-приложений, тогда как OpenID Connect (OIDC) — это современный стандарт, построенный поверх OAuth 2.0, идеально подходящий для мобильных приложений и SPA (Single Page Applications). Одной из самых опасных атак на IdP является 'Golden SAML', при которой злоумышленник крадет закрытый ключ IdP и получает возможность генерировать поддельные токены для любого пользователя системы, обходя всю защиту.