Indeed AM 9.4: усиленная защита, новые сценарии аутентификации и гибкое управление доступом
Компания «Индид» представила обновленную версию Indeed Access Manager 9.4 (Indeed AM) — системы для многофакторной аутентификации и управления доступом пользователей.
Главные улучшения в версии 9.4 расширяют сценарии аутентификации, усиливают безопасность доступа и делают работу с системой удобнее как для администраторов, так и для пользователей. Подробнее об этом читайте в статье.
Поддержка новых каталогов пользователей
Одно из ключевых обновлений Indeed Access Manager 9.4 — расширенный список поддерживаемых каталогов пользователей, включая ALD Pro, Samba DC, РЕД АДМ и FreeIPA. Это позволяет интегрировать решение в инфраструктуру заказчика без сложных доработок и при этом сохранять привычные процессы управления учетными записями, что особенно актуально для компаний в условиях импортозамещения. Настройка каталогов выполняется через мастер конфигурации, сокращая время развертывания решения. В результате администраторы получают централизованный контроль над пользователями и группами, а сотрудники — удобный и безопасный доступ к корпоративным ресурсам.
Поддержка FreeIPA в модуле FreeRADIUS Extension
Протестирована работа FreeIPA с модулем FreeRADIUS Extension. Благодаря этому пользователи учетных записей FreeIPA могут применять двухфакторную аутентификацию в RADIUS-совместимых сервисах и приложениях. Обновление расширяет сценарии использования Indeed Access Manager в инфраструктурах, где FreeIPA выступает в роли каталога пользователей.
Аутентификация через мессенджер eXpress
В модуле Identity Provider появилась возможность настраивать политики доступа на уровне отдельных бизнес-приложений. Это дает администраторам больше контроля и позволяет учитывать требования конкретных сервисов при управлении доступом. Провайдер работает через бот, который отправляет пользователю запрос на подтверждение входа. Также реализован сценарий смены доменного пароля при входе, что упрощает аутентификацию для пользователей, у которых нет прямого доступа к доменной рабочей станции.
Новый сервис Windows Authentication Reverse Proxy
В версии 9.4 добавлен сервис Windows Authentication Reverse Proxy (WARP). Он предназначен для сценариев, где требуется Windows-аутентификация в Linux-среде. С его помощью можно получать доступ к API Access Manager без явного ввода учетных данных, что упрощает взаимодействие между компонентами в смешанных инфраструктурах.
Обновленный мастер установки и конфигурации
Еще одним важным изменением в Indeed AM стало развитие мастера конфигурации.
Покомпонентная установка на нескольких хостах
Теперь с помощью мастера конфигурации можно устанавливать компоненты Indeed Access Manager сразу на несколько физических или виртуальных серверов. Для каждого хоста мастер формирует отдельный набор конфигурации, что позволяет разворачивать и обновлять программный комплекс сразу в продуктовой конфигурации, сокращая время его установки и объем ручных настроек.
Для оптимизации настройки предусмотрена возможность использовать общий сертификат для всех серверов или, при необходимости, задать отдельные сертификаты для каждого хоста. В мастере также можно указать адрес балансировщика нагрузки. В сочетании с покомпонентной установкой на разные хосты это повышает производительность и отказоустойчивость системы.
Установка Indeed Key Server через мастер
В мастере конфигурации также стала доступна установка Indeed Key Server. Это упрощает процесс развертывания и снижает вероятность ошибок при настройке, поскольку настройка сервера вынесена на отдельную страницу мастера. Indeed Key Server используется для аутентификации с помощью push-уведомлений и одноразовых паролей, таким образом, с выходом обновления этот функционал стал проще в подключении и использовании.
Автоматическое создание резервной копии
В мастере добавлена возможность автоматического создания резервной копии Indeed Access Manager при установке или изменении конфигурации. Конфигурация системы сохраняется в отдельной папке по указанному пути, что позволяет при необходимости быстро вернуться к предыдущему состоянию. Это обновление делает работу администраторов удобнее и снижает риски при внесении изменений в конфигурацию.
Добавление первичного администратора через мастер
Назначение первичного администратора также стало проще. Теперь достаточно указать логин и пароль учетной записи подходящего пользователя, после чего мастер конфигурации самостоятельно определит и подставит GUID на основе введенных данных. Функция доступна для всех поддерживаемых каталогов пользователей и помогает ускорить первичную настройку системы.
Разделение Docker-образов на отдельные tar-архивы
В новой версии 9.4 Docker-образы компонентов Indeed AM сохраняются в отдельных tar-архивах. Благодаря этому на конечный хост попадают только те архивы, которые действительно нужны для установки конкретных компонентов. Такой подход сокращает объем сохраняемых данных и позволяет оптимизировать время развертывания системы.
Проверка каталогов пользователей
В разделе «Каталоги пользователей» появилась проверка данных для подключения и LDAPS-соединения. Это помогает быстрее выявлять возможные ошибки на этапе настройки и снижает вероятность проблем при подключении к каталогам. Кроме того, перед началом автоматической установки мастер проверяет подключение к хосту по SSH. Администратор сразу видит, доступен ли нужный сервер, а результат проверки отображается вместе с возможностью изменить настройки конкретного хоста. Это ускоряет локализацию ошибок и делает процесс установки более прозрачным.
Загрузка данных из конфигурационных файлов
В сценарий установки Indeed Access Manager 9.4 добавлена возможность загружать конфигурационные данные из версий Indeed AM 8 и Indeed AM 9. Это упрощает миграцию с предыдущих версий и помогает в тех случаях, когда у пользователя нет резервной копии мастера конфигурации. После загрузки мастер автоматически заполняет данные каталогов пользователей и баз данных. При этом пользователь может изменить их как в сценарии установки, так и в сценарии изменения конфигурации.
Генерация клиентских сертификатов через мастер
Теперь с помощью мастера конфигурации можно генерировать клиентские сертификаты, необходимые для безопасного взаимодействия модулей интеграции с Core Server. Ранее для этого использовались отдельные скрипты, и сертификаты создавались для каждого модуля отдельно. Новое обновление сокращает время установки: сертификаты генерируются прямо в интерфейсе мастера, а их значения автоматически прописываются в конфигурационном файле Core Server.
Новые возможности в модулях интеграции
Обновления Identity Provider
В модуле Identity Provider появилась возможность настраивать бизнес-приложения на уровне политик. Теперь администратор может задавать собственные политики доступа для каждого приложения в Management Console, что делает управление доступом более гибким. Также добавлена поддержка сценария смены доменного пароля при входе в систему — например, если пароль истек или администратор установил требование изменить его при следующем входе. Благодаря этому сценарий аутентификации становится доступным и для тех пользователей, у которых нет прямого доступа к доменной рабочей станции.
Обновления Linux Logon
В модуле Linux Logon появилась поддержка многофакторной аутентификации с использованием RFID-карт и считывателя IronLogic Z-2 USB. В цепочке аутентификации с этим считывателем можно использовать доменный пароль, Passcode, Secured TOTP и Software TOTP. Аутентификация через Z-2 USB доступна при локальном входе в систему, разблокировке сессии и смене пользователя. Кроме того, в Linux Logon протестирована поддержка работы с Core Server через балансировщик нагрузки. Это позволяет распределять нагрузку при аутентификации пользователей на Linux-рабочих станциях и повышает отказоустойчивость системы.
Обновления Windows Logon
В модуле Windows Logon реализовано кеширование данных пользователя. Благодаря этому вход по кешированному аутентификатору возможен даже при отсутствии физического подключения к сети. Параметры кеширования настраиваются в Management Console. Там же можно задать срок действия аутентификаторов и срок хранения сессии в кеше. Дополнительно в Windows Logon также реализована аутентификация с помощью RFID-карт и считывателя IronLogic Z-2 USB.
Поддержка MS-CHAPv2 в FreeRADIUS
Модуль FreeRADIUS теперь поддерживает протокол аутентификации MS-CHAPv2. Это расширяет сценарии применения решения и упрощает интеграцию с системами, где используется данный протокол.
Добавление TLS 1.3 в LDAP Proxy
В модуле LDAP Proxy реализована поддержка современного протокола TLS 1.3, а также автоматическое определение версии TLS. За счет этого модуль стал более адаптивным к требованиям инфраструктуры и позволяет обеспечить более высокий уровень безопасности и совместимости защищенных соединений.
Поддержка модулей интеграции
NPS RADIUS Extension
В версии Access Manager 9.4 стал доступен NPS RADIUS Extension — модуль расширения Microsoft Network Policy Server, который позволяет реализовать защищенную аутентификацию для RADIUS-совместимых сервисов и приложений. Ранее этот модуль был доступен только в Indeed AM 8. В модуле поддерживаются различные аутентификаторы, включая Indeed Key, Telegram Provider, Email OTP, SMS OTP, Storage SMS OTP, Secured TOTP, Software OTP, Passcode, Hardware TOTP, Hardware OTP и MFA.
Mobile Device Provisioning
В релизе поддержана возможность управлять доступом зарегистрированных мобильных устройств с помощью модуля Mobile Device Provisioning (MDP). Эту версию модуля можно использовать также в Indeed AM версии 8, без перехода на Indeed AM 9. MDP позволяет выводить мобильное устройство из карантина или блокировать доступ для устройства, на котором был настроен почтовый аккаунт через Exchange ActiveSync. Дополнительно исправлена ошибка, связанная с некорректным отображением устройств с пустыми полями, — теперь такие устройства также можно вывести из карантина.
Сохранение событий Indeed Key Server в базу данных Core Server
В Access Manager 9.4 реализована возможность записывать события Indeed Key Server в базу данных событий Core Server. Теперь для Indeed Key Server больше не требуется отдельная база данных: все события можно хранить централизованно, в общей базе Core Server. При этом для пользователей, которым нужен прежний подход, сохранена и возможность записи событий в отдельную базу данных.
