Сьогодні ми оголошуємо про загальну доступність нового універсального OpenID Connect (OIDC) брокера для Authd. В умовах, коли підприємствам необхідно централізувати управління доступом, можливість вибору власного рішення ідентифікації є ключовою. Цей новий брокер дозволяє інтегрувати Ubuntu Desktop та Server з будь-яким постачальником ідентичності, який підтримує звичайний OIDC флоу. Це оновлення надає можливість як учасникам нашої спільноти, які використовують власні рішення, як-от Keycloak, так і нашим корпоративним клієнтам, які використовують платформи, такі як Okta, отримати єдиний досвід аутентифікації в рамках всієї інфраструктури та екосистеми додатків.

Що таке Authd?

Authd – це сучасний демон аутентифікації для Ubuntu, який дозволяє безпосередню інтеграцію з хмарними постачальниками ідентичності. Цей підхід знаменує собою значний зсув від традиційних, складних складових інфраструктури, таких як FreeIPA або спеціалізовані Vault інстанси, які часто супроводжуються великими накладними витратами на обслуговування. З Authd точки доступу Ubuntu можуть безпосередньо спілкуватися з обраним постачальником ідентичності, що значно спрощує управління, зменшує експлуатаційні витрати та централізує видимість всіх подій аутентифікації для спрощення аудиту та моніторингу.

Модульна архітектура Authd є ключем до її гнучкості. Вона складається з пільгового демона, який відкриває стандартизований API через DBus, та окремих брокерів, які полегшують інтеграцію з різними хмарними сервісами. Цей дизайн використовує OAuth 2.0 Device Authorisation Grant (також відомий як Device Flow), відкритий стандарт, який підвищує безпеку. Це також забезпечує послідовний і інтуїтивно зрозумілий досвід аутентифікації користувачів, незалежно від того, чи користувач входить в графічну сесію на Ubuntu Desktop, чи отримує доступ до командного інтерфейсу через SSH на віддаленому сервері.

Що нового: інтеграція з універсальним постачальником ідентичності за допомогою OIDC

Новий універсальний OIDC брокер є значним розширенням екосистеми Authd. Хоча раніше ми пропонували спеціалізовані брокери для Microsoft Entra ID та Google IAM, цей новий брокер відкриває двері до широкого спектра постачальників ідентичності. Це включає учасників спільноти, які використовують рішення на базі Keycloak, та підприємства, які використовують стандартні OIDC платформи, такі як Okta, Auth0 чи Ping. Врешті-решт, підприємства зможуть використовувати одне, сучасне рішення ідентичності для всього свого серверного та додаткового ландшафту.

Дизайн Authd надає пріоритет гнучкості в управлінні ідентичністю для Ubuntu, прагнучи до широкої сумісності з різними постачальниками. Дотримуючись стандарту OIDC, Authd адаптується до змінних умов ідентичності. Брокер OIDC сприяє цьому, пропонуючи стандартизований, налаштовуваний інтерфейс для платформ, що відповідають OIDC, підвищуючи сумісність інфраструктури.

Розширене управління користувачами та пристроями

Окрім гнучкості OIDC брокера, ми також забезпечуємо, щоб наші користувачі мали потужні функції управління. Новий брокер підтримує ті ж просунуті функції, що й наші інші брокери, надаючи детальний контроль над доступом і дозволами:

• Список дозволених: Обмежити доступ до комп’ютерів для визначеного списку користувачів, яким дозволено увійти після успішної аутентифікації з постачальником ідентичності. Це забезпечує важливий рівень безпеки та контролю, особливо для спільних або спеціальних машин, до яких повинні мати доступ лише конкретні особи.
• Управління привілеями: Адміністратори можуть налаштовувати користувацькі запити на своїх постачальниках ідентичності, щоб призначити користувачів конкретним групам Linux, таким як sudo. Це спрощує централізоване управління дозволами безпосередньо з постачальника ідентичності, полегшуючи адміністрування користувачів на віддалених машинах і надаючи чіткий, аудитований слід для цілей дотримання.
• Володіння пристроєм: Визначити правила для володіння пристроєм базуючись на подіях входу. Наприклад, перший користувач, який успішно аутентифікувався на новому ноутбуці, може бути автоматично призначений його власником, спрощуючи процес надання ресурсів для IT-відділів, які керують віддаленою робочою силою.

Отримайте новий брокер та додаткові ресурси

Новий універсальний OIDC Authd брокер вже доступний на Snapcraft. Ми закликаємо вас дослідити можливості, які він відкриває для ваших впроваджень Ubuntu.

• Отримайте новий OIDC Authd брокер на Snapcraft
• Прочитайте документацію Authd
• Перегляньте проект на Github
• Дізнайтеся, як розгортати Authd в масштабах з Landscape на Desktop та Server

Ми прагнемо розширити можливості Authd і підтримувати різноманітні потреби спільноти Ubuntu та наших корпоративних клієнтів. Це випуск підтверджує нашу відданість відкритим стандартам і безпеці на рівні підприємств для всіх. Ми вітаємо ваші відгуки та внески в проект.