О модуле Blitz Keeper

С помощью Blitz Identity Provider можно осуществлять контроль доступа при вызове приложениями защищаемых сервисов.

Сервис blitz-keeper предоставляет собой шлюз безопасности для защиты сервисов. Сервис blitz-keeper пропускает и перенаправляет запросы только для заданных URL. Также возможна настройка дополнительной логики обработки запросов. Например, использование механизма Token Exchange или фильтрация по значением из заголовков запроса.

При использовании сервиса blitz-keeper в режиме Token Exchange сервис берет на себя выполнение следующих задач:

• Проверяет включенный в вызов сервиса заголовок авторизации, извлекает из заголовка маркер доступа и, во взаимодействии с сервисом авторизации (blitz-idp) выполняет проверку, действителен ли маркер доступа, а также, достаточно ли у пользователя и приложения прав для вызова защищаемого сервиса.

• Во взаимодействии с сервисом авторизации (blitz-idp) заменяет маркер доступа таким образом, чтобы передаваемый от шлюза безопасности к защищаемому сервису маркер безопасности содержал только тот набор сведений о пользователе и разрешений, который необходим для работы защищаемого сервиса. При этом из маркера безопасности могут быть как изъяты излишние разрешения и сведения о пользователе, так и наоборот, добавлены в маркер доступа дополнительные разрешения и сведения, если такое установлено политикой безопасности.

• Протоколирует в журнале событий безопасности Blitz Identity Provider события успешной и неуспешной проверки прав доступа.

Взаимодействие шлюза безопасности с сервисом авторизации осуществляется на основе спецификации OAuth 2.0 Token Exchange. Иллюстрация взаимодействия приведена на схеме.

Настройка использования blitz-keeper описана в последующих разделах.