В современном мире цифровых решений и SaaS-платформ интеграция разных сервисов в единую экосистему является важнейшим фактором успеха. Особенно это актуально для компаний, управляя различными продуктами, стремящимися обеспечить своим пользователям максимально удобный и безопасный доступ. Ярким примером решения такой задачи является опыт Shiftmove — компании, образованной в 2023 году в результате слияния Vimcar и Avrios. Оба эти игрока занимались разработкой программного обеспечения для управления автопарками с разным фокусом: Vimcar специализировалась на телематических решениях, таких как геолокация и автоматизация ведения журналов, в то время как Avrios предлагала полноценную административную платформу для менеджеров автопарков. Слияние дало возможность объединить сильные стороны компаний, но пошло дальше и потребовало интегрировать их системы пользователей и аутентификации в одну общую структуру.
Выбор и внедрение эффективного решения для унифицированной аутентификации стало одной из самых сложных и важных задач в рамках этого процесса. Вывести пользователей обеих компаний на единый уровень, предоставив им доступ к разным продуктам через единую точку входа, — именно эта стратегическая цель определила выбор Shiftmove в пользу FusionAuth. Данное решение позволило создать фундамент для будущей платформы Shiftmove с общей системой идентификации, которая одновременно удобна для масштабирования с появлением новых продуктов, таких как присоединившаяся в конце 2024 года Optimum Automotive. Кроме того, с помощью FusionAuth удалось значительно повысить уровень безопасности благодаря внедрению многофакторной аутентификации и другим современным методам защиты. До внедрения FusionAuth обе компании имели разрозненные решения для управления пользователями и аутентификацией.
Avrios использовал AWS Cognito, которое напрямую выдаёт JWT-токены, позволяющие клиентам обращаться к backend-сервисам с необходимыми правами. В Avrios также применялась интеграция с внешними SAML-провайдерами для корпоративного входа и выделение различных типов пользователей, таких как водители и системные пользователи, в отдельные сущности. Vimcar, напротив, полагался на собственный внутренний сервис идентификации с поддержкой единой точки входа и сессии, аутентифицируя пользователей через OpenID Connect и выдавая собственные непрозрачные токены, которые затем использовались для проверки прав доступа. При выборе нового провайдера Shiftmove оценивал различные варианты с точки зрения стоимости, функционала и трудоемкости внедрения. FusionAuth был выбран за оптимальное сочетание этих факторов и готовность работать в модели SaaS, предоставляя гибкие инструменты настройки и расширения.
Решение размещать FusionAuth на стороне провайдера (а не хостить самостоятельно) было принято ради использования их экспертизы в области безопасности и удобства, а также благодаря возможностям кастомизации внешнего вида и функций через серверные шаблоны. Архитектурно в FusionAuth был построен единый источник правды для глобальных полей пользователей — таких как имя и пароль. При этом мелкие настройки и специфичные разрешения для каждого продукта остались в ведении самих продуктов, что оставляло возможность расширять систему по мере появления новых функциональностей. Так в FusionAuth создавалась структура, где пользователи регистрировались и получали базовые права, а детали обрабатывались на продуктах Vimcar и Avrios. Для каждого окружения — производственного, стендового и тестового — создавали отдельные инстансы FusionAuth с единым тенантом на всех пользователей Shiftmove.
Пользователи могли быть зарегистрированы в разных приложениях в зависимости от принадлежности к продукту. Управление инстансами реализовывали при помощи Terraform, интегрированного в CI/CD-пайплайны AWS, что обеспечивало стабильность и повторяемость развертывания и конфигурации. Для локальной разработки применялся docker-compose с локальными инстансами FusionAuth и пользовательскими базами, настроенными также через Terraform. Переход от AWS Cognito на FusionAuth для Avrios состоял из двух этапов. В первом варианте аутентификация была делегирована FusionAuth, но AWS Cognito продолжал выдавать JWT и управлять доступом, что несколько сократило объем новых разработок, но оставляло технический долг и высокие затраты.
На втором этапе Cognito был полностью снят, а функциональность, связанная с выдачей обновленных JWT с кастомными правами доступа, перенесена в FusionAuth при помощи Lambdas — настраиваемых серверных функций, вызываемых при выдаче токена. Эти Lambdas обращаться к сервисам прав внутри Avrios, добавляя необходимые разрешения непосредственно в токены, которые затем использовались для авторизации клиентов. В Vimcar архитектура сохранилась прежней: аутентификация делегирована FusionAuth, но Identity-сервис Vimcar продолжает управлять сессионными токенами и проверять права доступа по мере запросов к backend. Такой подход обеспечил плавный переход без сбоев и необходимость менять клиентские приложения минимизировалась. Особенности миграции пользователей вызывали разные требования для каждого продукта: Vimcar шел по пути нулевого времени простоя, в то время как в Avrios временное отключение систем и интерфейсов было допустимо.
Для миграции создавались скрипты, которые экспортировали пользователей из старых систем и импортировали их в FusionAuth. В случаях дублирования пользователей, например, когда клиент пользовался обеими платформами, происходило слияние аккаунтов с регистрацией пользователей в разных приложениях FusionAuth, что обеспечивало целостность данных и единство идентификации. Система была построена с учетом возможности отката: все изменения внедрялись за флагами функций, и при необходимости можно было вернуть прежнюю схему, при этом пользователи, создавшие учетные записи после миграции, могли бы быть обработаны повторно. Благодаря тщательной подготовке миграции прошли гладко, и откат не потребовался. Одним из ключевых преимуществ новой системы стала возможность улучшить безопасность.
FusionAuth поддерживает внедрение многофакторной аутентификации (MFA) через почту или приложения-генераторы кодов. Такая защита особенно важна для администраторов и внутренних пользователей, а клиентские компании могут включать MFA по желанию. Новая система также расширяет возможности входа, предоставляя социальные логины через Google, Apple и корпоративные провайдеры вроде Okta с поддержкой современных и более надежных методов — например, пассключей (passwordless). К тому же пользователям доступна функция предупреждений о скомпрометированных паролях и авторизация по «магическим ссылкам» — что упрощает вход без необходимости запоминать пароль. Однако внедрение FusionAuth сопровождалось и некоторыми трудностями.
Разработка на основе FreeMarker-шаблонов FusionAuth оказалась далеко не интуитивной, так как документация и примеры были ограничены, а опыт работы с современными JavaScript-фреймворками сложен к переносу. Terraform-интеграция в CI/CD вызвала проблемы с синхронизацией состояний, особенно при неудачных деплоях. Также первоначально выбранный тариф FusionAuth позволял лишь один кастомный домен, что усложняло работу в нескольких средах (продакшн, тест, staging) и потребовало пересмотра условий сотрудничества. Несмотря на сложности, итоговый опыт Shiftmove с FusionAuth показал, что интеграция единой системы аутентификации не только объединила пользователей различных продуктов, но и заложила основу для дальнейшего роста и повышения безопасности всей экосистемы. Опыт работы с FusionAuth и его расширяемость позволяет оперативно внедрять новые методы аутентификации, социальные и корпоративные входы, улучшать пользовательский опыт и управлять доступом централизованно.
