О компоненте
Сервис IAM (Identity and Access Management) (услуга 1.13) — набор инструментов для аутентификации и авторизации пользователей в прикладных приложениях.
Компонент «Авторизация Platform V IAM» отвечает за процессы авторизации и включает в себя Объединенный сервис авторизации.
Объединенный сервис авторизации (ОСА) — централизованная точка принятия решений о возможности доступа на основе политик, формируемых по ABAC-модели.
Функции ОСА:
- сопоставление ролей пользователей Keycloak/ЕСИА с привилегиями в ОСА;
- принятие авторизационных решений в runtime.
Авторизация предоставляет возможность получения прав и групп пользователей на основе данных по результатам аутентификации пользователей. Через построение ролевой модели определяются группы пользователей и допустимый набор привилегий по каждому ресурсу для каждой группы в прикладном приложении.
Минимальная конфигурация Сервиса обеспечивает:
- один realm для Потребителя (один экземпляр IAM Proxy для обслуживания одного realm потребителя);
- количество потоков, обрабатывающих запросы к Keycloak (параметр
max-threads count) — 10; - максимальное количество соединений с IAM Proxy (параметр
worker_connections) — 4096; - максимальный размер запроса к IAM Proxy (параметр
client_max_body_size) — 10M; - периодичность обновления конфигурации (обновление информации об URL проксируемых сервисов) IAM Proxy (параметр
rds.read_data_from_rds_time_in_sec) — 10.
В демопримерах реализованы стандартные сценарии, демонстрирующие работу отдельных сервисов Платформы ГосТех. Отправка тестовых запросов в демопримерах позволит вам ознакомиться с функциями того или иного сервиса. Доступные демопримеры и описания реализованной в них функциональности представлены ниже.
Авторизация
Авторизация в ЕСИА с использованием личной или предоставленной тестовой учётной записи
Проверка наличия прав
Проверка наличия у пользователя определённых прав по JWT токену