Сегодня среднестатистический пользователь может иметь по разным оценкам от нескольких десятков до нескольких сотен аккаунтов в различных приложениях и интернет-сервисах, начиная от социальных сетей и мессенджеров, заканчивая банковскими приложениями и государственными порталами.
Для доступа к каждому из этих аккаунтов требуются логин и уникальный пароль. Создание, запоминание, хранение и использование такого количества учетных данных могут вызывать определенные сложности. Одним из способов облегчить жизнь рядового пользователя является использование так называемых ID-провайдеров.
Что такое ID-провайдер
ID-провайдер (IdP, поставщик идентификационных данных) — это система, которая создает, хранит цифровые идентификаторы и управляет ими, а также выполняет для них аутентификацию.
ID-провайдер может обрабатывать данные таких субъектов (их еще называют принципалами [1]), как пользователи, устройства или сервисы. Он хранит идентификаторы (например, электронную почту или имя пользователя), учетные данные и данные профиля, а также предоставляет услуги аутентификации, которые приложения или сервисы могут вызывать вместо непосредственной аутентификации на своей стороне. После успешного входа ID-провайдер возвращает доверенный результат (например, подписанный токен или утверждение), который приложение или сервис используют для создания сессии и обеспечения авторизации.
Другими словами, ID-провайдер осуществляет аутентификацию и авторизацию пользователей (говорить в статье будем в основном про них) в различных приложениях, системах или на сайтах без повторной регистрации, обеспечивая тем самым безопасность данных и упрощая доступ к разным сервисам. Пользователю необходимо всего один раз зарегистрироваться у ID-провайдера, а затем уже использовать эти данные для входа на другие сайты.
Для чего нужны ID-провайдеры
Основными функциями ID-провайдеров являются:
Использование ID-провайдеров повышает удобство пользователей при получении доступа к нужному сервису: не нужно запоминать, записывать или хранить связку логин — пароль для каждого ресурса, экономится время на введении аутентификационных данных, не нужно повторно вводить имя, домашний адрес, номер телефона — можно сразу пользоваться ресурсом.
Компании, которые подключают ID-провайдеров, также получают важное преимущество: клиентам не требуется каждый раз вводить логин и пароль. В результате продажи внутри всей экосистемы приложений растут. К тому же через ID-провайдера компания получает данные для аналитики. Они помогают улучшать сервис, делать процессы эффективнее и запускать персонализированную рекламу.
Как показывают исследования, почти половина россиян использует аутентификацию и авторизацию через ID-провайдеров для получения различных услуг. В среднем один человек имеет три-четыре идентификатора различных ID-провайдеров: например, портал Госуслуг, банки, VK. При этом некоторые компании до сих пор используют только пары «логин/пароль» и рискуют потерять клиентов. Так, часть пользователей уходят с сайтов при предъявлении сложных требований к паролю.
Какие бывают ID-провайдеры
По состоянию на конец 2025 года больше половины (53%) 100 самых популярных российских интернет-ресурсов используют внешние ID-провайдеры.
При этом необходимо отметить, что с 1 декабря 2023 года в соответствии с поправками к закону № 149-ФЗ «Об информации, информационных технологиях и защите информации» запрещено использовать иностранные ID-провайдеры (Google, Apple и др.) для авторизации на российских ресурсах. К допустимым же методам авторизации закон относит:
Наиболее популярный ID-провайдер в России — это VK ID (62%). На втором месте по популярности — «Яндекс ID» (40%), а третье место разделили «Сбер ID», «Госуслуги» (ЕСИА, Единая система идентификации и аутентификации) и «Одноклассники» (ОК ID) — по 34%. Появляются и корпоративные системы федеративной аутентификации — CDEK ID, Ozon ID, MTS ID, которые объединяют проекты, принадлежащие одной холдинговой структуре, но их распространение не очень широкое — как правило, не больше десятка сайтов.
Таким образом, основные популярные ID-провайдеры в России:
Из приведенного перечня ID-провайдеров особого внимания заслуживает ЕСИА.
ЕСИА, по сути, является «цифровым пропуском», который открывает гражданам доступ более чем к 2000 различных государственных и коммерческих порталов. При этом ежедневно через ЕСИА проходят 14 млн пользователей, попадая на порталы госуслуг, сайты Росреестра и другие ведомственные ресурсы. Всего на конец 2025 года в ЕСИА были зарегистрированы 120 млн человек.
Еще одним интересным с точки зрения концепции, но не слишком распространенным ID-провайдером является так называемый Мобильный ID (Mobile ID).
Мобильный ID — это сервис авторизации, который развивают мобильные операторы МТС, «Мегафон», «Билайн», t2. В его основе лежит непосредственно номер мобильного телефона.
Технология позволяет безопасно подтверждать личность пользователя без ввода логинов, паролей или кодов из СМС.
C помощью Мобильного ID приложение подтверждает данные клиента через мобильного оператора (у которого информация об этом клиенте почти наверняка есть). Для пользователя это один из самых простых и интуитивнопонятных способов: чтобы авторизоваться, необходимо просто нажать «OK» на push-уведомлении. При этом уведомления инициируются оператором связи через SIM-карту, а не установленным на устройстве приложением. Это позволяет доставлять уведомления даже при заблокированном экране.
Как работают ID-провайдеры
Общий порядок аутентификации и авторизации с использованием ID-провайдера обычно выглядит следующим образом: приложение, к которому хочет получить доступ пользователь, передает этап аутентификации на аутсорсинг ID-провайдеру и затем доверяет его решению.
Типичная схема аутентификации и авторизации с помощью ID-провайдера представлена на рисунке 1.
Рисунок 1. Типичная схема аутентификации и авторизации с помощью ID-провайдера
Запрос. Пользователь пытается получить доступ к приложению (сервис-провайдеру). Приложение видит, что пользователь не аутентифицирован, и перенаправляет его к ID-провайдеру.
Проверка. ID-провайдер запускает свой процесс аутентификации — для этого может применяться пароль, биометрия, одноразовый пароль (OTP), вход через социальные сети или корпоративное подключение SSO. При этом если пользователь ранее уже был аутентифицирован этим ID-провайдером, то он сразу получает доступ к приложению.
Доступ. Если аутентификация прошла успешно, ID-провайдер отправляет подписанный ответ (это может быть токен или так называемое утверждение) обратно приложению, которое затем проверяет его, создает сессию и применяет правила авторизации.
К основным протоколам и технологиям, с помощью которых чаще всего реализуется приведенная выше схема, относятся:
От применяемого протокола зависит, как в ID-провайдере осуществляется аутентификация, авторизация (как формируются токены или утверждения), как устанавливается доверие между ID-провайдером и приложением и т. п.
OAuth 2.0
OAuth (Open Authorization) — это открытый протокол авторизации, позволяющий предоставить стороннему приложению ограниченный доступ к данным пользователя без передачи логина и пароля. Чаще всего используется современная версия OAuth 2.0.
Этот протокол используется, когда:
Функционирование OAuth обеспечивается с помощью JWT-токенов (JSON Web Tokens).
Токен — это закодированная строка, используемая для аутентификации и авторизации пользователя без передачи его логина/пароля.
Например, пользователь может поделиться фотографиями из своего профиля в соцсети с приложением для редактирования фотографий. При этом приложению будет предоставлен доступ только к отдельным фотографиям и не будет предоставлен к сообщениям или списку друзей пользователя. Токен разрешает доступ только к данным, которые утверждает пользователь. Кроме того, с помощью токена может быть разрешен разовый или повторяющийся доступ, а также определен срок, на который этот доступ предоставлен.
Основные типы токенов:
Доступ с помощью OAuth всегда можно отозвать из раздела безопасности в настройках сервиса, с помощью которого была проведена авторизация.
OIDC
OIDC (OpenID Connect) — это открытый протокол аутентификации, который является надстройкой над протоколом OAuth 2.0, предназначенной для проверки личности пользователя и получения информации о его профиле.
Протоколы OAuth 2.0 и OIDC тесно связаны и обычно используются вместе.
SAML
SAML — открытый протокол обмена данными аутентификации и авторизации между ID-провайдером и сервис-провайдером.
Своим названием протокол SAML обязан применяемому для аутентификации пользователей и выдачи утверждений сервис-провайдерам языку разметки утверждений безопасности (Security Assertion Markup Language). Утверждения SAML представляют собой XML-документы, которые содержат информацию о субъекте (аутентифицированном пользователе) и различные соответствующие ему атрибуты. SAML широко используется в корпоративных системах SSO, и его поддержка является распространенным требованием при интеграции приложений B2B.
Mobile Connect
Работа ID-провайдера Мобильный ID основывается на технологии Mobile Connect.
Mobile Connect — это глобальный протокол безопасной аутентификации, разработанный Ассоциацией GSM (GSMA), который заменяет логины и пароли входом через номер мобильного телефона. Технология позволяет пользователям авторизовываться на сайтах и в приложениях, подтверждая личность через SIM-карту.
В основе работы протокола лежат OIDC и OAuth 2.0.
Преимущества и недостатки использования ID-провайдеров
К преимуществам использования ID-провайдеров для пользователей и бизнеса можно отнести следующие.
Снижение сложности работы с паролями. Клиенты часто сталкиваются с трудностями при создании учетных записей, сбросе паролей и управлении множеством учетных данных в разных приложениях. При делегировании аутентификации ID-провайдеру появляется единая точка входа во все подключенные приложения.
Единые политики аутентификации. Когда каждое приложение само отвечает за аутентификацию (проверку паролей, настройку двухфакторной аутентификации и т. д.), очень сложно добиться единых стандартов безопасности. ID-провайдер позволяет задать правила безопасности один раз, и они автоматически будут работать для всех приложений. Это делает аутентификацию предсказуемой и уменьшает поверхность атаки.
Повышение конверсии. Сложная регистрация на сайте или в интернет-магазине часто становится причиной отказа от покупки. Клиент может «бросить» корзину и уйти на другой сервис. Чем короче путь пользователя от посещения сайта до покупки, тем выше маркетинговая эффективность. Использование ID-провайдера для аутентификации помогает бизнесу увеличивать продажи во всех приложениях экосистемы.
Вместе с тем использование ID-провайдеров имеет и свои недостатки.
Единая точка компрометации. Если учетная запись пользователя в ID-провайдере будет скомпрометирована (например, через фишинг или вредоносное ПО), то станет возможным получение несанкционированного доступа не к одному, а сразу ко всем приложениям, которые доверяют этому провайдеру.
Единая точка отказа. Выход из строя ID-провайдера (или интернет-канала до него) или DDoS-атака на него могут привести к тому, что пользователи потеряют доступ ко всем своим приложениям одновременно.
На практике бояться ID-провайдеров не стоит: если подойти к вопросу ответственно, выбрать проверенного провайдера и обязательно включить двухфакторную аутентификацию, то такой способ входа станет не только удобнее, но и надежнее, чем использование множества разных паролей.
[1] Принципал — субъект (пользователь, устройство, сервис), чью подлинность необходимо подтвердить.
.jpg)
.png)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
