Централизованное управление аутентификацией

Indeed Access Manager централизует управление доступом через механизм политик AM. Политики определяют какие пользователи или группы пользователей имеют доступ к приложениям и сервисам. Централизация позволяет собрать информацию по всем доступным для пользователя информационным системам в одном месте, оперативно запрещать или разрешать доступ, а также вести централизованный журнал получения сотрудниками доступа к корпоративным ресурсам. Благодаря этому отдел информационной безопасности получает полный контроль над тем, кто и к каким системам имеет доступ в организации.

Политики AM позволяют гибко настраивать требования к аутентификации для каждого защищаемого ресурса. Администратор может определить, какие технологии аутентификации должны использоваться для входа в каждую информационную систему — от простого доменного пароля до многофакторной аутентификации с несколькими последовательными проверками. Например, для доступа к критичным финансовым системам можно потребовать смарт-карту и подтверждение через мобильное приложение, а для внутреннего портала — только одноразовый пароль. Это позволяет адаптировать систему аутентификации под требования безопасности и удобства в каждом конкретном сценарии.

Indeed Access Manager поддерживает широкий набор протоколов и технологий интеграции, что позволяет подключить к единой системе аутентификации практически любые корпоративные приложения. Для VPN, VDI, PAM используются модули NPS RADIUS Extension и FreeRADIUS Extension, обеспечивающие двухфакторную аутентификацию для решений Cisco, Check Point, С-Терра и других производителей. Терминальные серверы защищаются модулем RDP Windows Logon, который добавляет второй фактор при подключениях по протоколу RDP. Веб-приложения интегрируются через Identity Provider с поддержкой протоколов SAML, OIDC и OAuth, а также через модули ADFS Extension и IIS Extension для приложений на базе соответствующих технологий. Рабочие станции Windows и Linux защищаются модулями Windows Logon и Linux Logon, обеспечивающими многофакторную аутентификацию при входе в операционную систему.

Indeed AM предоставляет широкий набор технологий аутентификации, что позволяет выбрать оптимальный метод для каждого сценария использования. Поддерживаются push-уведомления через мобильное приложение Indeed Key, TOTP и HOTP - программные и аппаратные генераторы, отправка OTP через SMS, Email, Telegram, доступна аутентификация по бесконтактным RFID-картам, поддерживаются криптографические смарт-карты и USB-токены (Рутокен, eToken, JaCarta и другие). Дополнительно система позволяет интегрироваться с корпоративными каналами доставки сообщений через модуль Messages Proxy.

Indeed Key — мобильное приложение собственной разработки для аутентификации, доступное во всех основных магазинах приложений: App Store для iOS, Google Play и RuStore для Android и AppGallery для HarmonyOS. Приложение обеспечивает два режима работы: push-аутентификацию, когда пользователь получает уведомление и подтверждает вход одним нажатием, а также генерацию одноразовых паролей по протоколу TOTP. Во время push-аутентификации на экране смартфона отображаются детали операции, позволяя пользователю убедиться, в какую именно систему выполняется вход.

Indeed Access Manager поддерживает работу с различными каталогами пользователей. Помимо Microsoft Active Directory, платформа интегрируется с российскими и открытыми решениями: FreeIPA, ALD Pro, Samba DC, РЕД АДМ. Это позволяет организациям, переходящим на отечественное программное обеспечение, сохранить централизованное управление аутентификацией без необходимости менять систему аутентификации. Серверные компоненты Indeed AM могут быть развёрнуты на операционных системах семейства Linux.

Модуль Indeed AM Linux Logon обеспечивает двухфакторную аутентификацию для рабочих станций под управлением ОС Linux. Модуль интегрируется с инфраструктурой Pluggable Authentication Modules (PAM) и поддерживает все основные сценарии: локальный вход в систему, разблокировку сеанса, повышение привилегий пользователя (sudo), SSH-подключение, RDP-подключение и смену доменного пароля. Для аутентификации могут использоваться доменный пароль, самостоятельно заданный пароль, одноразовые пароли TOTP или их комбинации. В отличие от стандартных PAM-модулей, Linux Logon не требует развёртывания RADIUS-сервера, что упрощает архитектуру решения и снижает затраты на внедрение и поддержку.