Архитектура развертывания#

Функционирование Blitz Identity Provider основывается на взаимодействии следующих архитектурных компонентов:

  1. Веб-сервер. Можно использовать существующий веб-сервер компании для балансировки нагрузки и снятия SSL-шифрования с входящего трафика.

  2. Сервисы Blitz Identity Provider:

    • blitz-console – консоль управления Blitz Console;

    • blitz-idp - сервис аутентификации и «личный кабинет»;

    • blitz-registration – сервис регистрации;

    • blitz-recovery – сервис восстановления доступа;

    • blitz-keeperшлюз безопасности;

    • blitz-panelвитрина, предоставляющая доступ пользователей к подключенным приложениям.

    Примечание

    Сервисы регистрации, восстановления доступа, шлюз безопасности и витрину можно не устанавливать, если связанные с ними функции не планируется использовать.

  3. СУБД. Можно использовать Couchbase Server, PostgreSQL, Postgres Pro, Jatoba.

    Внимание

    Взаимодействие Blitz Identity Provider с PostgreSQL осуществляется по JDBC. Вместо PostgreSQL можно использовать любую реляционную СУБД с поддержкой JDBC, но это должно быть отдельно согласовано с нашими техническими специалистами в рамках соответствующих проектов внедрения.

    • Couchbase Server – рекомендуется при создании систем аутентификации с пиковой нагрузкой более 1000 запросов в секунду, количеством аутентификаций в сутки более 1 млн и с высокими требованиями к отказоустойчивости.

    • PostgreSQL (или иная реляционная СУБД, поддерживающая работу по JDBC) – рекомендуется при создании систем аутентификации с умеренной нагрузкой и средними требованиями к отказоустойчивости, а также при использовании отечественных операционных систем.

  4. Хранилище учетных записей и паролей. Можно использовать как существующее, так и специально развернутое в организации хранилище учетных записей.

    Поддерживаются:

    • LDAP-совместимые хранилища. Это может быть любой сервер, поддерживающий протокол LDAP, а также Microsoft Active Directory, Samba4, FreeIPA;

    • иные типы хранилищ, для подключения Blitz Identity Provider к ним необходимо разработать специальные REST-сервисы.

    В случае необходимости развертывания нового LDAP-каталога рекомендуется в качестве LDAP-каталога использовать 389 Directory Server, который входит в состав ОС.

  5. Опционально Сервер очередей – используется RabbitMQ. Также можно настроить передачу событий безопасности в Kafka. Установка сервера очередей RabbitMQ требуется, если сервер очередей будет использоваться для передачи событий в смежные системы или в качестве брокера сообщений.

Развертывание возможно в конфигурации с минимальными ресурсами либо в кластерной конфигурации.