официальный блог компании индид

Тем, кто следит за разделом с демо видео наших продуктов, уже известно, что в ушедшем году мы активно работали над новым инструментом управления системами Indeed EA и Indeed ESSO. Первая версия Indeed Enterprise Management Console (Indeed EMC) была внедрена у нескольких наших клиентов еще осенью 2015 г. и получила много положительных отзывов. Мы учли пожелания клиентов и, начиная с данного релиза, включили Indeed EMC в состав дистрибутивов Indeed EA и Indeed ESSO в качестве основного инструмента управления системами.

Практически в каждой компании в определенный момент возникает необходимость в реструктуризации службы каталогов Active Directory путем миграции объектов из одного домена в другой при сохранении или изменении характеристик этих объектов. Миграция может происходить как в пределах одного леса доменов, так и между различными лесами.

Причинами подобной реструктуризации могут быть:

• Оптимизация расположения элементов в логической структуре Active Directory

• Оказание помощи в завершении бизнес слияния, поглощения или деления

Для обеспечения сохранности данных наших пользователей мы разработали удобный инструмент миграции. Утилита поддерживает продукты Indeed-Id Enterprise SSO и Indeed-Id Windows Logon, позволяя экспортировать и импортировать:

• Данные SSO приложений и SSO ролей

• Пароли, настройки, аутентификаторы, SSO аккаунты, черный список SSO пользователя

Наш новый инструмент может быть использован также для создания резервных копий и восстановления в случае повреждения данных в Acitve Directory.

Ещё с детства мы знаем принцип «чем больше, тем лучше». По большей части он работает, но с течением времени становится ясно, что как и в любом правиле, в нём бывают исключения. Взять хотя бы скидочные и дисконтные карты. Сегодня практический каждый гипермаркет, каждый фитнес-центр и т.п. стараются привязать клиентов к себе через различные программы лояльности. Как следствие, в вашем кошельке начинают оседать всевозможные карточки. Через некоторое время всё это перестаёт помещаться в кошелёк и приходится придумывать выход из ситуации. Но уже на этом этапе видна проблема – она заключается в количестве карточек с, по сути, одной и той же функцией. Логично было бы иметь одну «универсальную» скидочную карту, на которую магазины бы записывали свою информацию. То есть совершаете вы покупку в новом месте, а вам вместо очередного куска пластика просто добавляют «раздел» на существующую карту. Удобно, не правда ли? Тем не менее, подобные «пережитки шопинга» встречаются повсеместно, и в частности в средствах аутентификации. Возьмём для примера небольшую среднестатистическую компанию. Её сотрудник вынужден обвешаться различными аутентификаторами, как Рэмбо гранатами: смарт-картой для доступа в здание, ключами от офиса, токенами с ЭЦП, а также всевозможными паролями для доступа к компьютеру и различным программам. Проблема, как говорится, на лицо. Но есть выход.

Универсальная карта сотрудника (УКС) – это идея, которая прямо здесь и сейчас начинает воплощаться в жизнь. Суть её проста и о ней вы наверняка уже догадались – избавиться от многообразия аутентификаторов. К слову, сам принцип «витает в воздухе» уже давно и нашёл свой отражение, к примеру, в технологии NFC. Но давайте разберёмся, нужна ли вообще УКС. Сегодня популярным и «массовым» средством аутентификации для доступа в здание \ офис \ сад \ огород является RFID-карта. Этакий белый кусок пластика, важность которого редко понимает кто-то из обычных сотрудников. «Вась, дай карточку, я покурить схожу». И Вася даёт, потому что какая, казалось бы разница. Что у него это белый кусок пластика, что у 100 других человек. Поэтому первой отличительной чертой УКС становится её персонификация. К примеру, так:

С технической точки зрения преимуществ никаких, но вот с психологической… Карточка, на которой изображено лицо сотрудника, его ФИО, а в некоторых случаях и указание на хранение в карточке математической свёртки биометрии (хоть нарисован и «липовый» отпечаток пальца, но внутри хранятся данные о настоящем), уже приобретает личностную ценность для человека и воспринимается совсем иначе, нежели просто белый кусок пластика.

Теперь о технической стороне вопроса. Как уже говорилось выше, идея универсальной карты сотрудника в том, чтобы «собрать всё в одном месте». Только это не значит, что любая процедура аутентификации сведётся к использованию RFID карты (с которой в ряде случаев можно изготовить дубликат). Технический аспект заключается в том, что пресловутый «кусок пластика» может служить своеобразной «базой» для различных способов аутентификации. Пластиковая карта одновременно может содержать в себе RFID (причём сразу несколько меток различных стандартов: MIFARE, HID, EM-MARINE), Смарт-карту с функциями ЭЦП, биометрии, зарплатной карты, и многое другое.  К тому же, чтобы не доводить до предынфарктного состояния службу безопасности (ведь утеря УКС приведет к компрометации всего набора интегрированных в ней аутентификаторов), можно запретить возможность использования УКС без дополнительного шага идентификации. То есть просто «приложить карточку» будет недостаточно. Нужно будет пройти биометрическую аутентификацию. Таким образом, в итоге мы получаем универсальное средство доступа, которое сотрудник будет беречь не потому что так написано в должностной инструкции, а потому что он полностью и явно осознаёт, что это в его интересах. При этом безопасность решения увеличится за счёт того, что использовать УКС без биометрии нельзя, а подделывать и то, и другой крайне дорого. Стоимость взлома замка превысит стоимость «сокровищ».

Важно понимать. Описанная идея – не фантазия, а уже практически реальность. Сегодня мы умеем управлять каждым из описанных способов аутентификации. Умеем их комбинировать и использовать совместно. Остался лишь один шаг – объединить это в одном физическом объекте. Забегая вперёд, скажем, что первый проект такого рода в России осуществляется прямо сейчас. Результаты не заставят себя ждать, а мы не заставим ждать вас и расскажем, что из этого получилось.

Вслед за обновлением наших white papers мы актуализировали наши бизнесовые описания Indeed-Id (или, как мы их называем, продуктовые брошюры). Целевая аудитория этих брошюр — потенциальные клиенты и сейлы наших партнеров. Надеемся, эти документы станут катализатором для погружения в тему Indeed-Id и аутентификации пользователей в целом. Все они небольшого объема — всего две страницы. Они не перегружены технической информацией и дают общее представление о сфере применения Indeed-Id и преимуществах, которые дает его использование. В распечатанном виде они умещаются на одном листе и могут быть использованы как раздаточный материал.

Всего у нас получилось пять таких брошюр-листовок:

1. Надежная аутентификация в доменах Active Directory (indeed-id-lf-domain-authentication.pdf)
2. Управление доступом к информационным системам (indeed-id-lf-enterprise-sso.pdf) — описание нашего Single Sign-On продукта.
3. Интеграция с Microsoft Forefront Identity Manager (indeed-id-lf-fim-connector.pdf) — описание интеграции ESSO и IdM систем.
4. Интеграция логического и физического доступов (indeed-id-lf-rules-system.pdf) — описание нашего сценария интеграции с СКУД.
5. Интеграция с SafeNet Authentication Manager (indeed-id-lf-sam-tms-connector.pdf) — о
   Оставьте комментарий »

В связи с развитием наших продуктов, появилась необходимость обновить документы с их техническим описанием. Новая версия white papers с одной стороны, содержкит описание новых возможностей, с другой, учитывает направление развитие Indeed-Id и позиционирование конкретных продуктов. В результате, мы подготовили такие документы:

Поддержка технологий строгой аутентификации в Indeed-Id (indeed-id-wp-authentication.pdf )

Этот документ написан «с нуля», ранее аналогичного у нас не было. Во-первых, он содержит описание уже поддерживаемых нами технологий, во-вторых, в документе описан механизм поддержки различных технологий аутентификации. White paper объясняет тот факт, что Indeed-Id не привязан к какой-то одной конкретной технологии и позволяет понять, каким образом выполняется поддержка новых устройств аутентификации.

Строгая аутентификация в доменах Active Directory (indeed-id-wp-domain-authentication.pdf)

Данный документ отражает наше новое видение продукта Indeed-Id Windows Logon. Мы изменили направление развития данного продукта с «аутентификаци в Windows» на комплексную систему аутентификации в доменах AD. Это изменение нашло отражение в roadmap продукта, в который вошли такие модули как расширения RADIUS и IIS серверов. В результате, Indeed-Id позволит строить целостную систему аутентификации пользователей при доступе к доменным ресурсам из различных мест и с использованием различных устройств (в т.ч. мобильных).

Строгая и сквозная аутентификация в приложениях (indeed-id-wp-enterprise-sso.pdf)

Данный документ затронули стандартные изменнеия для всех white papers: были переработаны все схемы, обновлены системные требования, механизм лицензирования и контактные данные.

Интеграция с PKI (indeed-id-wp-pki.pdf)

Интеграция с инфраструктурой открытого ключа — объемная тема, заслуживающая отдельного документа. Документ описывает каким образом используется PKI в Indeed-Id и какие преимущества это дает. Так же в документ добавлены системные требования (в частности, мы поддерживаем работу с продуктами КриптоПро).

Управление доступом пользователей к информационным ресурсам компании на базе продуктов Indeed-Id (indeed-id-wp-overview.pdf)

Небольшой обзор наших продуктов, где вкратце описано что дает использование Indeed-Id и какие есть продукты в линейке. Документ будет полезен тем, кому лень читать полноценные white papers 🙂

Cилами наших специалистов подготовлен обзор “Сокращение риска несанкционированного доступа (НСД) к информационным ресурсам кредитной организации с помощью управления доступом и учетными данными”.

Данное видео показывает один из возможных сценариев работы сотрудника с использованием продуктов Indeed-Id. Сценарий содержит:

• Вход в Windows по карте СКУД.
• Блокировка системы при снятии карты со считывателя (при покидании сотрудником своего рабочего места).
• Аутентификации при вход в приложение 1С по карте.
• Подтверждение операции с помощью дополнительной аутентификации. Indeed-Id ESSO можно настроить таким образом, чтобы для выполнения критичных бизнес-операций в приложениях, от пользователя требовалось дополнительно подтвердить свою личность. В случае, если аутентификация не пройдена, текущая операция прерывается. Таким образом можно гарантировать что все критичные операции выполняются в присутствии и с согласия сотрудника.

В состав серверных компонентов Indeed-Id входит Indeed-Id Rules System, который расширяет базовые возможности сервера Indeed-ID Enterprise Server, предоставляя гибкий механизм настройки дополнительных правил управления и предоставления доступа за счет реализации коннекторов к внешним системам. Примерами внешних систем могут служить система СКУД, HR, DLP, RMS и т.д.

Интеграция Indeed-ID Rules System с СКУД позволяет

• Повысить уровень информационной безопасности компании за счет добавления нового фактора в схему предоставления доступа к информационным ресурсам (фактор местоположения сотрудника);
• Унифицировать процедуру получения доступа в здание и доступа к информационным ресурсам организации. Реализовать подход “Единая карта доступа сотрудника”.

Интеграция с СКУД может включать такие сценарии:

1. Предоставление доступа к информационным системам организации строго в период нахождения сотрудника в здании офиса; в определенной зоне/кабинете.
2. Автоматическое изменение параметров доступа к информационным системам в зависимости от физического местоположения сотрудника внутри или снаружи здания офиса; в зависимости от прибытия сотрудника в один из филиалов компании.
3. Дополнительный уровень аудита за счет записи в журнал событий причины отказа в доступе к данным с указанием состояния фактора местоположения сотрудника.
4. Автоматическая разблокировка/блокировка рабочего стола Windows в момент входа/выхода из кабинета. Принципиальная блокировка профиля доступа в момент выхода из здания офиса.

Приведенное ниже видео включает описание процесса установки и настройки Indeed-ID Rules System, а также демонстрацию функционала Indeed-ID Rules System на примере входа в Windows.

По итогам проведенных вебиранов с презентацией и демонстрацией продуктов Indeed-Id, мы решили, что было бы неплохо записать вебинар на видео, чтобы все желающие могли ознакомиться с решениями Indeed-Id в любое время, не дожидаясь очередного вебинара.  Собственно, предлагаю вашему вниманию получившееся видео.

Содержание ролика:

• Презентация «Эффективное управление доступом. Обзор решений Indeed-Id.»
  • Состав продуктов Indeed-Id и описание задач Identity and Access Management, которые они решают.
  • Поддерживаемые технологии аутентификации Indeed-Id.
  • Описание работы и преимущетсва Indeed-Id ESSO.
  • Интеграция Single Sign-On со сторонними системами.
  • Примеры реализованных проектов.
• Демонстрация работы продуктов Indeed-Id.
  • Доступ к рабочему столу с помощью Indeed-Id Logon for Windows.
  • Сквозная аутентификация в приложениях с Indeed-Id ESSO.
  • Инструменты администратора.

ОАО «ОКБМ Африкантов» («Опытное конструкторское бюро машиностроения им. И. И. Африкантова») — одна из ведущих конструкторских организаций атомного машиностроения России, крупный научно-производственный центр атомного машиностроения, располагающий многопрофильным конструкторским коллективом, собственной исследовательской, экспериментальной и производственной базой. Основанное в 1947 году, предприятие имеет развитую инфраструктуру с полным производственно-технологическим циклом: от проектирования, изготовления и тестирования до комплектной поставки заказчику и обеспечения сервисного сопровождения в течение всего периода эксплуатации реакторных установок высокой надежности. Заказчиками продукции ОАО «ОКБМ Африкантов» (далее ОКБМ) являются предприятия Госкорпорации «Росатом», атомного машиностроения, судостроительной промышленности, министерство обороны РФ , многие зарубежные компании.

Масштабность и сфера деятельности организации накладывают определенный требования на уровень информационной безопасности. Основной целью данного проекта стала минимизация рисков, связанных с временными и финансовыми затратами на ликвидацию последствий инцидентов. Первоочередной задачей и первым шагом к созданию централизованной системы управления доступом стало развертывание домена. Далее необходимо было обеспечить быстрый и удобный доступ сотрудников организации в созданную корпоративную информационную сеть. Внедрение программного продукта Indeed-ID Logon for Windows в среде Active Directory так же обеспечило службе информационной безопасности наличие доказательной базы для облегчения расследования инцидентов несанкционированного доступа в сеть. На следующем этапе была решена задача оптимизации доступа к информационным ресурсам компании. Использование продукта Indeed-ID Enterprise SSO не только избавило пользователей от необходимости запоминать и вводить каждый раз для каждого бизнес-приложения свой пароль, но и автоматизировало работу ИТ-службы по настройке доступа в те или иные приложения, в зависимости от бизнес-роли сотрудника.