Cloudflare внедряет поддержку OpenID для SSH

Cloudflare анонсировала внедрение поддержки OpenID Connect (OIDC) для SSH-доступа, что открывает новые возможности для повышения безопасности и удобства использования при управлении удалёнными серверами. Этот шаг позволяет интегрировать современные протоколы аутентификации с уже существующей SSH-инфраструктурой.

Почему это важно?

Традиционные методы аутентификации через SSH часто зависят от использования ключей доступа, что может представлять угрозу при их компрометации. Интеграция с OpenID Connect позволяет применять многофакторную аутентификацию и централизованное управление доступом, минимизируя риски несанкционированного проникновения.

Как это работает?

С внедрением OpenID, администраторы смогут настроить SSH-доступ таким образом, чтобы пользователи проходили проверку через провайдера идентификации, поддерживающего OIDC, например, Google, Microsoft или любые другие сервисы, совместимые с протоколом. После успешной аутентификации пользователю предоставляется временный токен, который используется для подключения по SSH.

OpenID Provider (ОР) выдает ID токен, содержащий индентификационные данные (имя/название организации, адрес эл.почты), которые после подписываются цифровой подписью и тем самым ОР подтверждает их подлинность.

Несмотря на то, что такие токены включают в себя идентификационные данные, они не содержат открытый ключ пользователя. Но OpenID Connect может добавлять ключи к ID-токенам, что позволяет использовать их как SSH-сертификаты.

Будущее безопасности SSH

Cloudflare продолжает усиливать защиту критически важных сервисов, делая SSH-доступ более гибким и безопасным. Интеграция OpenID Connect — это шаг в сторону удобства для пользователей и администраторов.