Типичные сценарии применения
Аутентификация с сертификатами подходит, если:
• конфиденциальность защищаемых данных считается высокой и вам нужно очень безопасное решение;
• требуется взаимная аутентификация;
• нужна возможность управления связью между сервером и владельцем
сертификата третьей стороной;
• требуется незаметное для клиента взаимодействие, например для автоматизированного обмена данными в В2В-решении.
Аутентификация с сертификатами не когда:
• издержки выдачи клиентских сертификатов и управления ими перевешивают выгоды от большей
Прочие соображения
Выбирая аутентификацию с сертификатами, примите во внимание следующие соображения.
Развертывание
Вы должны установить клиентские сертификаты на клиентские компьютеры. Для этого существуют различные способы — от Web-развертывзния до установки с компакт-диска. Именно проблемы развертывания в основном и являются причиной того, сертификаты не так распространены, как другие способы аутентификации, применяемые в сочетании с SSL.
Сопоставление с учетными Windows
Сертификаты можно сопоставлять с учетными записями в домене или Active Directory. Если требуется аутентификация на индивидуальной основе, можно применить сопоставление типа «один колкому», при котором сертификат сопоставляется с конкретной учетной записью. Ограничений на такое сопоставление при использовании Active Directory нет.
Если же нужна аутентификация всех пользователей из некоей группы или
организации, применяйте сопоставление типа «многие к одному», при ко- тором все содержащие, например, название одной и той же компании, сопоставляются с одной учетной записью.
Для примера рассмотрим следующий В2В-сценарий.
1. Компания А разрешает сотрудникам партнерской компании В просматривать определенные разделы своего внутреннего Web-сайта.
