По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Предприятия, использующие различные бизнес-приложения, должны поддерживать конфиденциальность данных и предоставлять права доступа в соответствии с ролями пользователей во всей инфраструктуре. Сделать это достаточно сложно. SAML (Security Assertion Markup Language) значительно помогает в этом плане.
Давайте посмотрим, что же это такое и как оно работает, в чем его преимущества, чем оно отличается от SSO, а в чем оно похоже, и как оно помогает в проверке доступа к API для обеспечения максимального уровня безопасности.
Что такое SAML?
Основная работа SAML заключается в том, чтобы позволить IdP (поставщикам удостоверений - identity details providers) делиться учетными данными, связанными с аутентификацией, с соответствующими органами. Это открытый стандарт, который позволяет предоставить унифицированный доступ для всех видов приложений без ущерба для безопасности данных.
Вот еще несколько фактов, которые вы должны знать о SAML:
Он использует XML для завершения стандартного соединения между IdP и поставщиками услуг для обеспечения надежной связи.
Процесс аутентификации SAML подтверждает личность конечного пользователя, а авторизация SAML определяет, какие ресурсы должны быть доступны для пользователя.
Он проверяет SP (поставщиков услуг), IdP (поставщиков удостоверений) и конечных пользователей, если пользователь имеет право на требуемое действие.
Это стандарт OASIS.
Обеспечивает безопасный обмен данными.
Он поддерживает активацию SSO. Однако данная процедура требует подключения к внешнему поставщику удостоверений и совместного с ним использования XML-токенов.
Кратко о SSO (Single Sign-on – система однократного входа)
SSO считается одним из самых эффективных механизмов аутентификации и объединяет несколько экранов входа. Это значит, что вам не нужно самостоятельно входить в систему в своих приложениях. Вместо этого для приложений SaaS (Software as a Service) будет работать всего один набор данных для входа для всех ваших учетных записей.
Это обеспечивает более быстрый доступ к приложению, делает его более простым и подконтрольным. Это является ключевым аспектом IAM-стратегий компаний, стремящихся к беспрепятственной проверке доступа к приложениям и наилучшей реализации безопасности.
Включение SSO дает следующие возможности:
Надежные пароли, так как нет необходимости создавать несколько схожих паролей. Достаточно иметь один сложный и надежный пароль.
Пользователям не нужно запоминать различные пароли.
Простое использование MFA (Многофакторная аутентификация), которое проверяет несколько факторов, так как его активация в одной точке обеспечивает защиту различных приложений.
Политика быстрого повторного ввода пароля, поскольку у администраторов есть единственная точка применения политики.
Удобное внутренне управление учетными данными, поскольку SSO хранит пароли пользователей внутри и предоставляет IT-специалистам гораздо больший контроль над базой данных.
Мгновенное восстановление пароля пользователя, поскольку IT-команда должна работать над восстановлением одного пароля.
Аутентификация SAML – пошагово
Давайте рассмотрим всю процедуру в нескольких шагах.
Прежде всего, служба идентификации передает входные данные, связанные со входом пользователя в систему, поставщику услуг. Для бесперебойной передачи параметров SAML поставщикам услуг каждый конечный пользователь обязан один раз войти в систему через SSO.
Затем, SP связывается с IdP для подтверждения достоверности запроса. Этот процесс также требует предоставления согласия на настройку системы однократного входа SAML. Это гарантирует то, что для проверки личности и авторизации пользователя/запроса используются одни и те же параметры SAML.
Преимущества SAML
Данный подход имеет стандартный формат, поэтому он предоставляет предприятиям открытый подход, не зависящий от совместимости платформ и реализаций поставщиков.
Он использует слабосвязанные каталоги, что означает, что нет необходимости хранить и синхронизировать пользовательские данные с локальными каталогами.
Так как он поддерживает SSO, то конечные пользователи получат доступ к приложениям.
SAML позволяет предприятиям повторно использовать интеграции для регистрации/входа, сохраняя при этом тот же уровень безопасности. Это значительно сокращает расходы на управление аккаунтом.
Обязанность обслуживания удостоверений пользователей переносится на IdP, когда работает SAML. Это освобождает поставщиков услуг от лишних проблем, связанных с регистрацией и входом в систему.
Что такое SAML Assertion?
Выражаясь простым языком, это документ в формате XML, который содержит в себе информацию о статусе авторизации пользователя. Эта информация предоставляется IdP поставщику услуг.
Есть утверждения трех типов:
Authentication – это проверка личности пользователя, связанных с ней методов и сведения об отслеживании продолжительности сеанса.
Assigned обеспечивает успешную передачу SAML-токенов поставщику услуг. IdP и SP используют одни и те же атрибуты для подтверждения личности создателя запроса.
И последнее, утверждение типа Authorization-decision объясняет, где пользователю предоставляется доступ в соответствии с его запросом. Если будет отказано в доступе, то также будет предоставлена подробно описанная причина этого отказа.
Пример SAML
Ниже приведен самый простой пример того, как SAML обрабатывает свои операции:
Пусть конечный пользователь по имени Джон пытается получить доступ к бизнес-приложению в служебных целях.
Джон начинает сеанс с SSO и завершает часть процедуры проверки личности.
Zoho CRM запрашивает у IdP информацию о пользователе для подтверждения.
Программное средство SaaS получает доступ к результатам для завершения этапа проверки полномочий.
IdP отвечает по этому запросу в формате SAML. На нем будут цифровые подписи Джона. На основании сходства между идентифицированными данными, которые предоставил Джон и IdP, в ответном сообщении могут содержаться и другие сведения.
Программное средство SaaS получает ответ и предоставляет доступ или отказывает в доступе в соответствии с инструкциями IdP.
Если доступ был разрешен, то Джон может использовать свою учетную запись Zoho.
SAML vs SSO
SAML помогает в проверке личности пользователя и делает возможным использование системы однократного входа (SSO). SSO может существовать отдельно и позволяет конечным пользователям использовать различные приложения с унифицированными данными для входа. SSO может задействовать стандартные протоколы SAML при обмене информацией, поскольку у него нет собственным специальных протоколов. Помимо этого, он может использовать сторонние протоколы, такие как OpenID, для эффективной междоменной проверки личности пользователя. SAML имеет же широкий спектр собственных протоколов.
SAML vs oAuth2
Из-за сходства основного назначения SAML 2.0 и oAuth 2.0 часто принимают за одно и то же программное средство. Хотя они и имеют некоторое сходство, но они также имеют и различия в некоторых аспектах.
Сходства
И то, и другое необходимо для обеспечения безопасного взаимодействия приложений.
Оба поддерживают простое управление доступом и быструю интеграцию.
Различия
oAuth 2.0 больше уделяет внимание на авторизацию, тогда как SAML отдает приоритет аутентификации.
SAML основан на XML, а oAuth 2.0 – на JSON.
SAML поддерживает данные сеанса с помощью файлов cookie, в то время как oAuth использует вызовы API.
Аутентификация API с помощью SAML
Несмотря на то, что одним из самых распространенных вариантов применения SAML является поддержка проверка личности пользователя и включение SSO, он также может оказаться полезным для проверки подлинности запроса в API. Проверка прав доступа пользователя для проверки подлинности запроса является ключевой с точки зрения безопасности API и может быть проведена путем отправки SAML-запроса, который в свою очередь должен предусматривать следующее:
SAML подготавливает запрос аутентификации API на основе API-интерфейса.
Запрос должен содержать SAML-сообщение, которое может поддерживать процесс SSO, автоматически инициируемый IdP.
Очень важно, чтобы сообщение SAML-запроса основывалось на закодированном XML-документе с корневым элементом <Response>.
Тело запроса должно содержать текстовое наполнение, идентификаторы и область. Первые два аспекта являются обязательными, третий – нет.
Ответ SAML включает в себя access_token (маркер SAML, предоставляющий или запрещающий доступ), username (имя пользователя), expires_in, refresh_token и realm (область).
Заключение
SAML и SSO тесно связаны друг с другом. Это критически важно для обеспечения безопасности данных без каких-либо компромиссов. Надеюсь, эта статья поможет вам разобраться в теме и больше узнать об этих двух программных средствах.
Огромный и “кровавый" энтерпрайз врывается в нашу IT - базу знаний. Говорить будем о продукте (точнее продуктах) американской компании Genesys. Эти ребята делают ПО для контактных центров, так сказать, высшего разряда - банки, государство и крупнейшие предприятия. Хотя сам Genesys подчеркивает, что решение может помочь и малому бизнесу, но, честно говоря, автор статьи не на своем веку не встречал инсталляций Genesys в SMB сегменте (по крайней мере в России).
/p>
Genesys постоянно фигурирует в сводке компании Gartner, в 2018 году ребятам даже удалось стать лидером в “магическом квадранте". Давайте разбираться.
Что умеет контакт - центр на базе Genesys?
Вендор позиционирует свой продукт в четырех плоскостях. Разберемся по порядку.
Улучшение клиентского сервиса
Первая часть профита. Genesys обеспечит умную маршрутизацию на агентов (умнее чем даже модный prescission routing у Cisco), которая маршрутизирует на агентов не только на базе привычных скиллов или атрибутов, на и подключается искусственный интеллект и технологии машинного обучения. Клиент попадет именно на того агента, который сможет решить его вопрос. Так сказать, дата - дривен подход в маршрутизации клиентских обращений - и это не только голос. Конечно Genesys умеет в модный омниченнел.
Помимо фронтовой части КЦ (звонки и разговоры с агентами), Genesys обеспечит вас инструментами WFO, которые позволяет более эффективно планировать смены агентов, чтобы нагрузка на КЦ была обеспечена в рамках требуемого service level.
Что касается так называемых “порталов самообслуживания" - у ребят есть решение. Создавать сервисы, в рамках которых при обращении в КЦ клиент сам сможет решить свою проблему довольно просто.
Это основные пункты. Но далеко не все. Погнали дальше.
Маркетинг
Омниканальный возможности вендора (чаты, мессенджеры, то есть не только голос) обеспечат точечную доставку ваших маркетинговых кампаний до клиентов. Вы уверены, что 20ти летний клиент вашего бизнеса хочет принять звонок? Может быть он ждет сообщения в мессенджер?
Продажи
Инструментов много. Но самый популярный - это конечно исходящий обзвон (дайлер). Genesys OCS (outbound contact server) вместе с интеграционными возможностями и гибкой кастомизацией обзвона (днем звоним на мобильный, вечером на домашний в зависимости от часового пояса, как вам?), с возможностью обзвона в режимах ручного набор, превью (preview, тут агенту выгружается список контактов и он сам решает, кому звонить), progressive (тоже самое что и превью, только оператор не выбирает) или predictive (дайлер угадывает доступность абонента) - изи.
Конкуренты
Основные конкуренты это Cisco и Avaya. У Cisco можно выделить 2 продукта (на оба у нас есть статьи, ознакомьтесь нажав ниже):
Cisco UCCX - конкурентом, конечно, можно назвать с натяжкой. Ибо это контакт - цент экспресс;
Cisco UCCE - тяжеловесная энтерпрайзная машина для контакт - центров. Полноценный конкурент;
И решения Avaya Aura. Мы не будем делиться субъективными мнения, кто круче и у кого “очереди больше". Посмотрите анализ гартнера ,если хотите понимать динамику во временном разрезе.
Примерная архитектура
От инсталляции к инсталляции. И это важно. Но мы очень постарались в общих чертах с детализацией роли серверов нарисовать, как работает КЦ от Genesys. Гляньте на картинку. Мы очень верхнеуровнево постарались показать, как работает обработка цифровых и голосовых каналово в Genesys:
Теперь давайте поговорим компоненты:
Клиент - хммм. Кто же это может быть?
Голос - голосовой обращение клиента в КЦ (звонок);
Чат - текстовое сообщение через мессенджер, чат на сайте или мобильном приложении, например;
SIP сервер - это интерфейс между SIP (телефония) и компонентами Genesys. Принимает SIP запросы и транслирует их дальше на понятный остальным компонентам язык;
GVP - он же Genesys Voice Platform. Гибкая платформа создания приложений для обработки вызовов и работы с RTP потоками. У Cisco есть CVP, а у Genesys GVP, вай нот?) ;
ASR/TTS - сердце синтеза и распознавания речи (если мы делаем голосовые сервисы). Genesys активно топит за Nuance, но не переживайте - там живет MRCP. Можно и ЦРТ подключить, и что угодно;
GMS - Genesys Mobile Services. Расширяет функции REST API для интеграции с внешними приложениями. Например, с API от Telegram (мессенджер);
Interaction сервер - часть PureEngage Digital (eServices). То есть это не голосовые, а цифровые коммуникации. Сервер помогает выполнить обмен сообщениями и выполнять контроль воркфлоу обработки, как было нарисовано в IRD (Interaction Routing Designer). Кстати, IRD это конструктор скриптов маршрутизации. Об этом в следующих статьях;
ORS - важный. Очень важный. Его зовут Orchestration Server и он помогает в маршрутизации запросов. ORS интегрируется с другими компонентами, и по факту, просто выполняет на себе SCXML скрипты (стратегии), которые вы сможете сделать в Composer (инструмент для генерации стратегий маршрутизации);
Conversation Manager - сам по себе конверсейшн менеджер, это некое приложение, которое обеспечивает согласованную клиентскую коммуникацию. Давайте про его модули поконкретнее:
Context Services - помогает определить клиента. Кто он? Чего хочет? Где он находится в процессе всего пути клиентского обращения?;
Genesys Rules - набор каких то правил. Например, если мы знаем, что этот клиент интересуется кредитами, часто звонит и исправно платит свой текущий кредит, то в качестве опций, предлагаемых ему, будет предложено воспользоваться приложениям для самообслуживания, например. Условно говоря, этот модуль живет на принятии решений вида if..then;
Journey Timeline - классная штука. Визуальная шкала того, какой путь прошел ваш клиент, какие пункты IVR послушал, какие порталы самообслуживания “поюзал" и так далее. CJM (customer journey map), так сказать;
Pulse коллектор - компонент, который напрямую коннектится к Stat серверу (сервер сбора статистики) и забирает с него статистику по объектам КЦ;
Data Depot - берет данные из Context Services, чтобы передать в статистику информацию по клиенту;
Pulse - компонент отчетности и анализа статистики КЦ;
Вот так. Это примерная архитектура контактного центра на базе Genesys.
Итоги
КЦ на базе Genesys - отличный и конкурентный вариант. Продукт имеет мощных конкурентов, борьба с которыми обеспечивает его динамичное развитие. Набор продуктов Genesys создан для того, чтобы прогреть лояльность ваших клиентов то температуры кипения, увеличить продажи и улучшить маркетинговые кампании.
Эта статья завершает нашу серию лекций по пониманию EIGRP рассмотрением двух последних тем:
Идентификатор роутера EIGRP
Требования к соседству EIGRP
Предыдущие статьи цикла:
Часть 1. Понимание EIGRP: обзор, базовая конфигурация и проверка
Часть 2. Про соседство и метрики EIGRP
Часть 2.2. Установка K-значений в EIGRP
Часть 3. Конвергенция EIGRP – настройка таймеров
Часть 4. Пассивные интерфейсы в EIGRP
Часть 5. Настройка статического соседства в EIGRP
Начнем мы наше обсуждение с рассмотрения идентификатора роутера EIGRP.
EIGRP Router ID
Каждый EIGRP-спикер роутер имеет ассоциируемый router ID EIGRP (RID). RID - это 32-битное значение, записанное в десятичном формате с точками, например IPv4-адрес. RID EIGRP определяется, когда процесс EIGRP начинает выполняться. Интересно, что EIGRP использует те же шаги для определения RID, что и OSPF. Ниже показаны последовательные шаги определения RID:
Шаг 1. Применить заданное значение RID.
Шаг 2. Если RID не настроен, используйте самый старший IPv4-адрес на loopback интерфейсе, находящийся в состоянии up/up.
Шаг 3. Если ни один loopback интерфейс не настроен с IPv4-адресом, используйте самый высокий IPv4-адрес на non-loopback интерфейсе.
Интересно, что в то время, как EIGRP требует, чтобы роутер имел RID, значение RID играет очень тривиальную роль в процессе EIGRP. Соседи EIGRP могут дублировать RID и устанавливать соседство EIGRP между ними, хотя лучше всего назначать уникальные RID соседям EIGRP. Однако, прежде чем мы чрезмерно минимизируем RID, есть один очень важный момент, когда роутер нуждается в уникальном RID роутера. В частности, если мы вводим внешние маршруты в процесс маршрутизации EIGRP, роутер, выполняющий это перераспределение, нуждается в уникальном RID.
Настройка и проверка Router ID EIGRP
Чтобы сделать схему сетевой адресации более интуитивно понятной, вы можете выбрать ручную настройку RID EIGRP на определенном роутере. Это можно сделать с помощью команды EIGRP router-id rid, как показано на роутере OFF1 и показано в следующем примере:
OFF1#conf term
Enter configuration commands, one per line. End with CNTL/Z.
OFF1(config)#router eigrp 1
OFF1(config-router)#eigrp router-id 1.1.1.1
OFF1(config-router)#end
OFF1#
Обратите внимание на выходные данные в приведенном выше примере, что мы вручную установили RID роутера OFF1 на 1.1.1.1. Команды проверки, которые позволяют нам просматривать RID роутера, включают: show ip eigrp topology и show ip protocols, как показано в следующих примерах:
Требования к соседству
Одной из основных проблем, возникающих при устранении неполадок в сети EIGRP, является установление соседства. EIGRP имеет несколько требований, как и OSPF. Однако EIGRP и OSPF немного отличаются по своим предпосылкам соседства. В таблице ниже перечислены и противопоставлены правила установления соседства как для EIGRP, так и для OSPF.
Требования
EIGRP
OSPF
иметь возможность отправлять пакеты на другой сервер
Да
Да
Первичный адрес интерфейса (не вторичный адрес) должен быть включен в ту же подсеть, что и сеть, сопоставляемая оператором network.
Да
Да
Интерфейс, соединенный с соседом не должен быть пассивным.
Да
Да
Необходимо использовать ту же автономную систему (для EIGRP) или process-ID (для OSPF) при настройке роутера.
Да
Нет
Таймер Hello и таймер Hold (для EIGRP) или Dead таймер (дляOSPF)максимально совпадать.
Нет
Да
Соседи должны аутентифицироваться друг с другом, если аутентификация настроена.
Да
Да
Должно быть в той же зоне
N/A
Да
IP MTU совпадает.
Нет
Да
К-значения совпадают
Да
N/A
Идентификаторы роутеров (rid) должны быть уникальными
Нет
Да