3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf' 838 |
Службы федерации Active Directory |
Глава 17 |
Легенда Доверие лесов
Рис. 17-1. Реализация доверительных связей между множеством лесов может представлять очень сложную задачу
Использование доверительных о т н о ш е н и й не всегда я в л я е т с я о п т и м а л ь н ы м методом реализации партнерства.
Назначение брандмауэра
Хотя доверительные связи лесов б ы в а ю т |
о ч е н ь с л о ж н ы м и , о н и т а к ж е в л и я ю т |
|||
н а механизмы защиты. Например, если т р а ф и к A D D S п р о х о д и т через T C P / I P - |
||||
порт389, используется протокол L D A P ( L i g h t w e i g h t |
D i r e c t o r y |
Access |
P r o t o c o l ) |
|
или (рекомендуется) безопасный п р о т о к о л L D A P ( L D A P / S ) |
ч е р е з |
п о р т 636. |
||
Кроме того, при необходимости п е р е с ы л а т ь т р а ф и к |
г л о б а л ь н о г о к а т а л о г а п р и - |
|||
меняется порт 3268 или ( р е к о м е н д у е т с я ) |
п о р т 3 2 6 9 |
с L D A P / S . |
|
|
Однако брандмауэры п р е д н а з н а ч е н ы |
д л я б л о к и р о в а н и я |
н е ж е л а т е л ь н о г о |
||
трафика. И х перфорирование путем о т к р ы т и я бесконечного ч и с л а п о р т о в T C P / |
||||
IP не решает проблему. В т р а д и ц и о н н ы х |
с е т я х по |
п е р и м е т р у |
п р е д у с м о т р е н ы |
|
два уровня защиты. Сам периметр обеспечивает м н о ж е с т в о т а к и х сервисов, к а к службы сертификации Active Directory ( A c t i v e D i r e c t o r y C e r t i f i c a t e Services,
AD CS), службы управления п р а в а м и Active D i r e c t o r y ( A c t i v e |
D i r e c t o r y |
R i g h t s |
|||||
Management Services, AD R M S ) |
и |
в н е к о т о р ы х с л у ч а я х — |
с л у ж б ы |
A c t i v e |
|||
Directory |
облегченного доступа |
к |
к а т а л о г а м |
( A c t i v e D i r e c t o r y L i g h t w e i g h t |
|||
Directory |
Services, A D L D S ) . С л у ж б ы A D D S |
п р е д н а з н а ч е н ы |
и с к л ю ч и т е л ь н о |
||||
для |
внутренних сетей. И д е а л ь н ы й |
в н е ш н и й |
б р а н д м а у э р и с п о л ь з у е т |
т о л ь к о |
|||
один набор ключевых портов. |
|
|
|
|
|
||
• |
Порт |
5 3 д л я т р а ф и к а D N S |
( D o m a i n T r a n s f e r P r o t o c o l ) |
Т р а ф и к D N S |
|||
|
обычно предоставляется только |
д л я ч т е н и я . |
|
|
|||
• |
Порт 80 для передачи д а н н ы х H T T P ( H y p e r t e x t T r a n s f e r P r o t o c o l ) |
П о р т |
|||||
|
80 обычно применяется с целыо предоставления доступа т о л ь к о д л я чтения, |
||||||
|
поскольку он не защищен . |
|
|
|
|
|
|
Глава 17 |
|
|
|
|
|
илужвБГрЗДерацИи Active uirectory |
- щ - |
|
л |
П о р т 4 4 3 д л я S e c u r e H T T P и л и H T T P S ( H y p e r t e x t T r a n s f e r P r o t o c o l |
|||||||
|
S e c u r e ) |
К о м м у н и к а ц и и на порте 443 з а щ и щ е н ы с помощью протокола SSL |
||||||
|
( S e c u r e Sockets |
L a y e r ) и л и T L S |
(Transport Layer Security). Д л я шифрования |
|||||
|
д а н н ы х |
оба |
п р о т о к о л а |
и с п о л ь з у ю т с е р т и ф и к а т ы и з центра сертификации |
||||
|
( C e r t i f i c a t e |
A u t h o r i t y ) , |
п о э т о м у |
к о м м у н и к а ц и и на порте 443 поддерживают |
||||
|
о п е р а ц и и ч т е н и я / з а п и с и и л и безопасного чтения данных . |
|
||||||
• |
П о р т 2 5 д л я п е р е д а ч и д а н н ы х S M T P (Simple Mail T r a n s f e r P r o t o c o l ) |
Этот |
||||||
|
п о р т н е о б х о д и м о о т к р ы т ь , п о с к о л ь к у н и к т о не сможет работать без доступа |
|||||||
|
к э л е к т р о н н о й |
почте . |
|
|
|
|||
|
В с е о с т а л ь н ы е |
п о р т ы в и д е а л е д о л ж н ы быть закрыты . Внутренний бранд- |
||||||
м а у э р о т к р ы в а е т б о л ь ш е |
— в з а в и с и м о с т и от технологий, используемых по |
|||||||
п е р и м е т р у |
( р и с . |
17 - 2) . Н а п р и м е р , |
е с л и в п е р и м е т р е с целыо предоставления |
|||||
с л у ж б п р о в е р к и |
п о д л и н н о с т и д л я |
в е б - п р и л о ж е н и й используется A D LDS, т о |
||||||
д л я |
п р е д о с т а в л е н и я у ч е т н ы х з а п и с е й в а ш и х пользователей наверняка потребу- |
|||||||
е т с я о д н о с т о р о н н я я с и н х р о н и з а ц и я из внутреннего каталога AD DS, а в случае |
||||||||
п р и м е н е н и я IIS |
( I n t e r n e t |
I n f o r m a t i o n Services) — перемещение данных в веб- |
||||||
с а й т ы по п е р и м е т р у . К р о м е того, э л е к т р о н н ы е сообщения S M T P в периметре |
||||||||
н у ж н о п е р е д а в а т ь во |
в н у т р е н н ю ю сеть. В этом состоит принцип проектирова- |
|
н и я б е з о п а с н о г о п е р и м е т р а . |
|
|
-Интернет |
Сеть по периметру |
Внутренняя: сеть |
|
DNS AD LDS |
|
25 —( .SMTP
Ретрансляция UgJ^J SMTP
Рис. 17-2. Основой безопасного периметра является набор безопасных брандмауэров
Службы федерации Active Directory
С л у ж б ы ф е д е р а ц и и |
A c t i v e D i r e c t o r y ( A c t i v e |
D i r e c t o r y Federation |
Services) |
в ы п о л н я ю т ф у н к ц и и |
р а с ш и р е н и я п о л н о м о ч и й |
внутренней сети в о |
внешний |
м и р ( р и с . 17-3), а н а л о г и ч н ы е д о в е р и ю лесов или явному доверию, но не через т р а д и ц и о н н ы е T C P / I P - п о р т ы LDAP, а через порты HTTP . В частности, исполь- з у е т с я п о р т 443, п о с к о л ь к у все д о в е р и т е л ь н ы е к о м м у н и к а ц и и AD FS являются б е з о п а с н ы м и и з а ш и ф р о в а н н ы м и и, т а к и м образом, задействуют технологию AD CS д л я п р е д о с т а в л е н и я с е р т и ф и к а т о в каждому серверу в структуре AD FS,
8 4 0 |
Службы федерации Active Directory |
Глава 17 |
|
служб федерации для |
у п р а в л е н и я и н т е л л е к т у а л ь н о й |
с о б с т в е н н о с т ь ю среди |
|
партнеров, а также для |
расширения р а з в е р т ы в а н и я AD |
R M S . |
|
Легенда
Интеграция технологий Active Directory Потенциальные связи
Рис. 17-3. Службы AD FS расширяют полномочия внутреннего каталога AD DS
С целыо расширения внутренних полномочий т е х н о л о г и я AD FS обеспечивает расширения для внутренних лесов и позволяет о р г а н и з а ц и я м создавать партнерские связи, не открывая на своих брандмауэрах д о п о л н и т е л ь н ы е Порты. С целыо предоставления возможностей проверки п о д л и н н о с т и д л я с л у ж б экстрасети и периметра технология AD FS и с п о л ь з у е т в н у т р е н н и й к а т а л о г AD DS каждого партнера. Когда пользователь пытается п р о й т и проверку подлинности в приложении, интегрированном в AD FS, д в и ж о к AD FS в ы п о л н и т
опрос внутреннего каталога для получения д а н н ы х |
п р о в е р к и п о д л и н н о с т и . |
|||
Если внутренний каталог предоставляет доступ, этот |
п о л ь з о в а т е л ь п о л у ч и т j |
|||
доступ |
и к внешнему приложению . Главное п р е и м у щ е с т в о |
т а к о й |
м е т о д и к и |
|
состоит |
в том, что каждой партнерской о р г а н и з а ц и и |
н е о б х |
о д и м о |
у п р а в л я т ь |
лишь данными проверки подлинности во внутренней сети — всю остальную часть работы выполняют службы федерации AD FS.
Короче говоря, AD FS следует использовать для р е а л и з а ц и и партнерства с организациями, которые работают с внутренними каталогами AD DS. Если же нужно предоставить службы проверки подлинности в сети по периметру, но пользователи или организации, с к о т о р ы м и нужно взаимодействовать, не
8 4 2 |
Службы федерации Active Directory |
Глава 17 |
Отметим, что для создания среды AD FS можно использовать меньше компьютеров, как описано в руководстве «Microsoft Step-by-Step Guide for AD FS»
no |
адресу |
http://xmtw.mkrosoftxom/downloads/deUiik.aspx?familyid-062F7382- |
A82F-4428-9BBD-A103B9F27654&displaylang-en, однако AD FS не рекомендует-
ся устанавливать иа контроллере домена AD DS, поэтому такой тип установки не описан в данной книге.
История из жизни
Даниэль Реет и Нельсон Реет
В 2005 году одному из наших клиентов, солидной организации в сфере здравоохранения, потребовалось решение для проверю! подлинности. Необходимо было создать систему, объединяющую докторов, фармацевтов, работников социальных служб, больниц, частных клиник и т. д. в едином интегрированном решении идентификации и доступа IDA (Identity and Access). Поскольку для проверки подлинности и сетевого доступа большинство этих организаций использовали внутренние каталоги Active Directory, за основу были взяты технологии Windows.
Цель заключалась в том, чтобы все члены системы могли проходить проверку подлинности внутри нее. Это была довольно непростая задача. Хотя многие крупные партнеры содержали собственные внутренние леса Active Directory, большинство мелких партнеров не располагали такими возможностями. Например, нельзя было объединить аптеки для единой проверки подлинности, а частные клиники и врачи вообще не использовали такую технологию.
Первоначальное решение состояло п создании множества доверительных связей между всеми существующими лесами Active Directory. Затем для поддержки членов системы без собственной службы каталогов планировалось создать абсолютно новый каталог и локализовать его в сети по периметру, управляемой хостннгооой организацией. Эта организация должна была выполнять роль внешней службы провайдера услуг здравоохранения и поддерживать службу каталога.
У клиента возникло несколько вопросов относительно потенциального решения. Во-первых, более половины из 500 тыс. пользователей не содержали службу каталога, а поддержка пнешнего каталога для них обходилась очень дорого. Во-вторых, клиент не хотел перфорировать брандмауэры и поддерживать всс порты, необходимые для доверия между лесами, тогда как стоимость частной сети вообще не подлежала обсуждению. В-третьих, клиент не хотел нести ответственность за все учетные записи в новом решении, несмотря на то, что не возражал против того, чтобы все члены системы взаимодействовали через единое решение для идентификации и доступа IDA.
Версии Windows Server 2008 тогда еще не было, и мы порекомендовали Windows Server 2003 R2, поскольку в этом выпуске появился исходный релиз служб федерации Microsoft. Кроме того, два года назад корпорация Microsoft разработала технологию ADAM (Active Directory Application Mode), и этот набор казался идеальным для интеграции трех технологий. Мы предложили следующее:
•для того чтобы связать все существующие службы каталогов и централизации приложений в Веб, использовать службы федерации;
•разрешить каждому партнеру управлять своими внутренними службами каталогов без вмешательства извне;
Занятие 1 |
Концепция служб федерации Active Directory |
843 |
•чтобы предоставить службы проверки подлинности в сети по периметру, применять экземпляры ADAM; клиент даже мог создать портал для самообслуживания, позволяющий членам обновлять свои записи, менять пароли и т. д.;
•оставить на брандмауэре лишь уже открытые, чаще всего используемые порты.
Это предложение соответствовало потребностям клиента, а его реализация не требовала больших затрат, к тому же можно было начать с пилотного проекта, включающего один-два ключевых приложения, а затем постепенно добавлять новых членов системы. В выпуске Windows Server 2008 корпорация Microsoft объединила все предложенные нами технологии в Active Directory.
Занятие 1. Концепция служб федерации Active Directory
Если г о в о р и т ь в целом, AD FS |
представляет собой |
единое ядро механизма |
|||
с к в о з н о й |
п р о в е р к и |
подлинности |
SSO |
(Single Sign-On), позволяющего поль- |
|
з о в а т е л я м |
в н е ш н и х |
в е б - п р и л о ж е н и й |
получать доступ |
и проходить проверку |
|
п о д л и н н о с т и с п о м о щ ь ю браузера. Это решение немного похоже на принцип
и с п о л ь з о в а н и я в н е ш н е г о х р а н и л и щ а каталогов AD |
LDS, связанного с внут- |
р е н н и м каталогом . О д н а к о ключевой принцип AD |
FS состоит в том, что для |
п р о в е р к и п о д л и н н о с т и клиентов технология AD FS задействует внутреннее х р а н и л и щ е д а н н ы х проверки подлинности собственного домена пользователя
и не с о д е р ж и т собственного хранилища . |
Кроме того, она проходит исходную |
|
п р о в е р к у п о д л и н н о с т и , |
к о т о р у ю клиент |
проходит в своей сети, и передает |
п о л у ч е н н ы е д а н н ы е всем |
веб-приложениям, интегрированным в AD FS. |
|
П р е и м у щ е с т в а этой технологии очевидны. Организациям нужно управлять |
|
л и ш ь о д н и м х р а н и л и щ е м данных проверки подлинности своих пользователей. |
|
В случае п р и м е н е н и я каталога AD LDS для проверки подлинности в экстрасети |
|
д о б а в л я е т с я а д м и н и с т р а т и в н а я нагрузка, поскольку |
организации нужно уп- |
р а в л я т ь не только своим внутренним хранилищем, но |
и внешним хранилищем |
и л и х р а н и л и щ а м и , так что пользователям приходится запоминать несколько кодов доступа и паролей. Технология AD FS, осуществляющая федерирование в н у т р е н н и х удостоверений пользователей AD DS во внешний мир, упрощает эти задачи, так что пользователям необходимо пройти проверку подлинности т о л ь к о одни раз — при входе в свою сеть.
С п о м о щ ь ю AD FS без труда формируются партнерские коммерческие от-
н о ш е н и я В2В (business-to-business) |
. Организации делятся иа две категории. |
• О р г а н и з а ц и я р е с у р с о в Когда |
организации с такими открытыми ресур- |
сами, как веб - сайты д л я электронной коммерции или совместного сотрудничества, п р и н и м а ю т решение использовать AD FS с целью упрощения процесса проверки подлинности и предоставления доступа к этим ресурсами, они ф о р м и р у ю т партнерские отношения с другими организациями — поставщиками, партнерами и т. д. Организация, формирующая такое партнерство, является организацией ресурсов, поскольку управляет общими ресурсами в сети по периметру.
. g 4 4 |
Службы федерации Active Directory |
|
|
|
Глава 17 |
|||||
• |
Организация |
учета |
Когда |
о р г а н и з а ц и и |
с т а н о в я т с я п а р т н е р а м и |
AD FS |
||||
|
организаций |
ресурсов, они |
называются |
о р г а н и з а ц и я м и учета, п о с к о л ь к у |
||||||
|
управляют учетными |
записями, и с п о л ь з у е м ы м и д л я п о л у ч е н и я |
доступа |
|||||||
|
к общим ресурсам в решении SSO . |
|
|
|
|
|
||||
|
Технология AD FS поддерживает дополнительный р е ж и м проверки подлин - |
|||||||||
ности. В решении SSO, предназначенном д л я веб - службы AD FS, в ы п о л н я ю т |
||||||||||
проверку подлинности пользователей в Интернете, после чего с л у ж б ы |
AD FS |
|||||||||
анализируют пользовательские атрибуты в каталогах AD DS и л и AD |
L D S д л я |
|||||||||
идентификации |
утверждений, |
с п о м о щ ь ю |
к о т о р ы х п о л ь з о в а т е л и п р о х о д я т |
|||||||
проверку подлинности н |
приложении . Д л я |
поддержки этой ф е д е р а ц и и удос- |
||||||||
товерений в AD |
FS применяются четыре с л у ж б ы ролей . |
|
|
|||||||
• |
Служба |
ф е д е р а ц и и |
( F e d e r a t i o n S e r v i c e ) |
Ф о р м и р у е т с я с е р в е р а м и , со- |
||||||
|
вместно |
использующими политику доверия . С е р в е р ф е д е р а ц и и |
м а р ш р у - |
|||||||
|
тизирует запросы проверки |
подлинности |
в с о о т в е т с т в у ю щ и й и с х о д н ы й |
|||||||
|
каталог для генерирования |
маркеров безопасности п о л ь з о в а т е л е й , |
запра - |
|||||||
|
шивающих доступ. |
|
|
|
|
|
|
|
||
• |
Прокси - агент с л у ж б ы ф е д е р п ц н н ( F e d e r a t i o n S e r v i c c P r o x y ) |
|
Ч т о б ы |
|||||||
|
получить запросы проверки |
подлинности |
от |
п о л ь з о в а т е л я , с е р в е р |
феде - |
|||||
|
рации использует локализованный в сети по |
п е р и м е т р у п р о к с и - с е р в е р , |
||||||||
|
который собирает данные проверки подлинности с браузера п о л ь з о в а т е л я с |
|||||||||
|
помощью протоколов WS - Fcderation Passive Requestor Profile ( W S - F P R P ) |
|||||||||
|
веб-службы AD FS и передает их службе ф е д е р а ц и и . |
|
|
|||||||
• |
Агент, |
поддерживающий у т в е р ж д е н и я |
( C l a i m s - A w a r e A g e n t ) |
Р а с п о л а - |
||||||
|
гается на веб-сервере и инициирует запросы |
с л у ж б ы ф е д е р а ц и и |
утверж - |
|||||||
|
дениями маркеров безопасности, каждое из которых п р и м е н я е т с я д л я пре- |
|||||||||
|
доставления |
или отказа в доступе к д а н н о м у |
п р и л о ж е н и ю . П р и л о ж е н и я |
|||||||
|
ASP.NET, которые могут анализировать различные у т в е р ж д е н и я в маркере |
|||||||||
|
безопасности AD FS пользователя, относятся |
к п р и л о ж е н и я м , п о д д е р ж и - |
||||||||
|
вающим утверждения. Эти приложения обычно п р и м е н я ю т у т в е р ж д е н и я , |
|||||||||
|
чтобы определить доступ пользователя к приложению . В качестве примеров |
|||||||||
|
приложений, |
поддерживающих утверждения, |
м о ж н о п р и в е с т и A D R M S |
|||||||
|
и Microsoft Office SharePoint Server 2007, |
|
|
|
|
|||||
• |
Агент Windows на основе мпркеров ( W i n d o w s Token-Bnsed A g e n t ) |
Альтер- |
||||||||
|
нативный агент, преобразующий маркер безопасности AD FS в маркер |
|||||||||
|
доступа |
на уровне олицетворения Windows NT д л я п р и л о ж е н и й , |
исполь- |
|||||||
|
зующих механизм проверки подлинности Windows, а не методы проверки |
|||||||||
|
подлинности в Веб. |
|
|
|
|
|
|
|
||
|
Поскольку технология AD |
FS основана па стандартной веб - службе, для |
||||||||
поддержки удостоверений федерации нет необходимости ограничиваться только службами AD DS. Участие и федерации удостоверений AD FS принимает любая служба каталога, поддерживающая стандарт W S - F e d e r a t i o n .
Службы федерации появились в выпуске W i n d o w s Server 2 0 0 3 R2, а в Windows Server 2008 было значительно улучшено все, что касается установки н администрирования. Кроме того, AD FS поддерживает больше веб-приложсииИ. чем предыдущая версия служб федерации.
Занятие |
1 |
Концепция служб федерации Active Directory |
8 4 5 |
К С В Е Д Е Н И Ю |
AD FS |
|
|
Более подробная информация о технологии AD FS содержится по адресу hup://technct2. niicrnsnfl..coni/mi!ulowssr'Ji)er200S/cn/sriniernia)Higer/nctivKdir(u:t.onjfedernl.innscnncs.
тнрх.
Изучив материал этого занятия, вы сможете:
JПонимать принцип процесса проверки подлинности AD FS.
^Понимать принципы работы компонентов, составляющих реализацию AD FS. s Установить AD FS.
Продолжительность занятия — около 40 мин.
Процесс проверки подлинности AD FS
П о с л е р е а л и з а ц и и п а р т н е р с т в а AD FS пользователи могут входить во внешние п е б - п р и л о ж е п и я , в к л ю ч е н н ы е в это партнерство. В типичном сценарии AD FS п р и в х о д е п о л ь з о в а т е л я в п р и л о ж е н и е с поддержкой утверждений в экстрассти с л у ж б ы A D F S а в т о м а т и ч е с к и п р е д о с т а в л я ю т учетные данные пользователя и с о с т а в л я ю т у т в е р ж д е н и я , в к л ю ч а е м ы е в атрибуты учетных записей пользо- в а т е л е й A D D S ( р и с . 17-4).
Маркер безопасности
Jg, Атрибуты AD OS
Фильтруемое идентификационное утверждение Фильтруемое утверждение на группу Фильтруемые настраиваемые утверждения
Маркер безопасности Атрибуты AD DS
' Идентификационное утверждение
•Утверждение на группу
•Настраиваемое утверждение
Рис. 17-4. Использование AD FS для предоставления доступа к веб-приложениям в эстрасети посредством сквозной проверки подлинности SSO с федерацией в Веб
45 |
Службы федерации Active Directory |
Глава 17 |
г1. П о л ь з о в а т е л ь , локализованный во внутренней сети или Интернете, который хочет получить доступ к веб-прнложеншо с поддержкой утверждений
вэкстрасети, принадлежит к одной из организаций учета, участвующих
впартнерстве AD FS.
2.Агент с поддержкой утверждений на веб-сервере обращается к серверу федерации ресурсов RFS (Resource Federation Server), локализованному в организации ресурсов, чтобы проверить предоставление доступа пользователю. Поскольку запрос должен пройти через брандмауэр, агенту необходимо обратиться к прокси-агенту службы федерации FSP (Federation Service Proxy), который затем связывается с внутренним сервером федерации.
3.Поскольку сервер федерации не содержит учетную запись для этого пользователя, но располагает связью федерации с хранилищем каталогов в организации учета (так называемое доверие федерации), для идентификации прав доступа этого пользователя сервер федерации в организации ресурсов обращается через прокси к серверу федерации учетных записей AFS (Account Federation Server) во внутренней сети организации учета. Эти права доступа перечислены в форме утверждений, представляющих собой атрибуты, которые привязаны к объекту учетной записи пользователя в AD DS.
4.Сервер федерации в организации учетных записей напрямую связан с внутренней структурой AD DS организации и получает права доступа из каталога с помощью запроса LDAP. Отметим, что учетная запись этого пользователя также может располагаться в хранилище AD LDS.
5.Сервер федерации в организации учета конструирует маркер безопасности AD FS пользователя. Этот маркер содержит идентификатор пользователя, список утверждений, включенных в учетную запись AD DS пользователя, а также цифровой сертификат сервера федерации учетных записей (AFS).
6.Сервер федерации учетных записей отсылает в ответ серверу федерации ресурсов права доступа клиента, содержащиеся в подписанном маркере безопасности (через прокси-сервер). Этот маркер представляет собой исходящее утверждение.
7.Сервер федерации ресурсов выполняет расшифровку маркера и из входящего утверждения извлекает утверждения для пользователя. Затем прикрепляет эти утверждения к утверждениям организации, которую поддерживает, и применяет политику фильтрации для специфики запросов веб-приложения.
8.Фильтруемые утверждения вновь пакуются в подписанный маркер безопасности, который передается на веб-сервер в экстрасети организации ресурсов путем пересылки по URL-адресу, включенному в исходный запрос веб-приложения. В этом случае для подписи маркера используется цифровой сертификат сервера федерации ресурсов или сеансовый ключ Kerberos, поскольку системы расположены в одной сети.
9.Веб-сервер производит расшифровку маркера безопасности пользователя с помощью своего агента с поддержкой утверждений, выполняет просмотр утверждений пользователя, а затем на основе утверждений в маркере предоставляет доступ к приложению.