Централизованное
управление
аутентификацией

Решение на основе Indeed AM и Indeed Key интегрирует единый сценарий усиленной аутентификации между разными типами целевых ресурсов

Запланировать демонстрацию

Описание решения

Система централизованного управления доступом имеет особенности, которые существенно отличают ее от систем централизованного управления иными подпроцессами защиты информации. Например, чтобы реализовать подпроцесс защиты периметра, можно приобрести оборудование и программное обеспечение от одного разработчика и затем использовать одну консоль для управления и мониторинга. Это касается и иных процессов защиты информации, таких как защита от кибератак, антивирусная защита и выявление утечек: для всех этих процессов существуют отдельные решения с централизованным управлением.

Но если иные подпроцессы защиты информации в подавляющем большинстве случаев реализуются с помощью специализированных, отдельно приобретаемых программно-аппаратных комплексов, то компоненты управления доступом уже существуют в любой ИТ-инфраструктуре в виде подсистем авторизации для каждого отдельно взятого сервиса, приложения, веб-приложения и операционной системы.

Эти подсистемы не только являются самодостаточным с точки зрения реализации процедур идентификации, аутентификации и разграничения доступа, но и обладают собственными консолями управления и собственным журналом событий.

Процессы управления и мониторинга учетных записей в таком случае весьма разрозненны, поэтому внедрить единый подход к управлению доступом довольно сложно. Кроме того, каждый сервис или система могут иметь собственную нотацию имен, фиксировать свои отдельные события информационной безопасности. Это, в свою очередь, серьезно затрудняет расследование инцидентов, связанных с доступом, особенно если в организации отсутствует решение класса Security Information and Event Management (SIEM).

Когда нет возможности применять единые политики доступа, нет и единых политик управления аутентификаторами, в том числе паролями. Поэтому может возникнуть ситуация, когда компания применяет несколько сервисов с отдельными подсистемами авторизации, а пользователи вынуждены оперировать несколькими аутентификаторами (паролями).

Задачу централизации управления доступом и учетными записями можно решить с помощью продукта, относящегося к классу Identity Governance & Administartion (IGA). Однако внедрять такие решения крайне сложно, не говоря уже о том, что далеко не все из них включают в себя модули управления аутентификацией и поддерживают различные сценарии усиленной аутентификации. Главная задача подобных продуктов – обеспечивать управление жизненным циклом учетных записей и их полномочиями внутри целевых систем, устройств, сервисов, приложений и веб-приложений.

Сложности, возникающие при администрировании и эксплуатации разрозненных подсистем авторизации, чреваты потерями времени и финансовых средств, а также порождают угрозы в сфере информационной безопасности. Оптимальным решением в такой ситуации будет специализированный продукт класса Access Management, предназначенный для управления и защиты доступа.

Чтобы построить централизованную систему управления и защиты доступа, необходимо прежде всего интегрировать управляющую платформу решения, относящегося к классу Access Management, со всеми целевыми ресурсами.

Платформа Indeed AM поддерживает интеграцию со следующими типами целевых ресурсов:

  • рабочие места под управлением ОС Microsoft Windows;
  • серверы приложений (Microsoft Windows Remote Desktop Server или Citrix XenServer);
  • виртуальные рабочие столы (VDI);
  • VPN-шлюзы для удаленного доступа;
  • публичные и корпоративные веб-сервисы;
  • корпоративные локальные приложения на рабочих станциях и др.

Интеграция позволяет реализовать единые сценарии усиленной аутентификации:

  • биометрическую аутентификацию;
  • аутентификацию с использованием аппаратных устройств;
  • аутентификацию с помощью генераторов одноразовых паролей;
  • иные сценарии аутентификации (например, push-аутентификацию).

Платформа Indeed AM реализует несколько основных функций, предназначенных для централизованного управления доступом:

  • единый журнал событий с персонификацией каждого подключения, позволяющий свести к минимуму трудозатраты на расследование инцидентов, связанных с доступом;
  • единые политики управления аутентификацией и доступом к целевым системам, позволяющие свести к минимуму трудозатраты на управление аутентификацией при доступе к разным сервисам организации;
  • единый набор аутентификаторов, позволяющий настроить для каждой группы пользователей индивидуальный перечень аутентификаторов, необходимых для доступа ко всем корпоративным ресурсам компании как в удаленном, так и в локальном режиме.

Все параметры Indeed AM распространяются с помощью механизма политик. Необходимая политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из этой политики. Область действия политики можно задать с нужной точностью, создав пользовательские группы: когда на один объект организационной структуры назначаются несколько политик, пользователи разделяются между ними по группам.

Платформа Indeed AM поддерживает так называемый режим замещения для отдельных пользователей, который применяется в исключительных случаях. Например, один из сотрудников находится на больничном, но ему нужно ежедневно контролировать отправку важного отчета. Администратор Indeed AM может назначить другого сотрудника заместителем первого. Тогда второй сотрудник может авторизовать замещаемого коллегу на рабочей станции, используя свои аутентификаторы (что корректно отобразится в журнале), и выполнить все необходимые действия.

Поддержка интеграции с каталогом пользователей

  • Active Directory
  • СУБД (SQL)

Поддерживаемые целевые системы

  • Рабочие места с ОС Microsoft Windows
  • Microsoft Remote Desktop Server
  • Microsoft Internet Information Services
  • Настольные приложения Windows
  • Веб-приложения
  • VPN-серверы
  • Серверы приложений
  • Виртуальные рабочие столы (VDI)

Поддерживаемые механизмы интеграции с целевыми приложениями

  • RADIUS
  • ADFS
  • SAML
  • OpenID Connect
  • OAuth 2.0
  • Kerberos
  • Enterprise Single Sign-On

Поддерживаемые технологии аутентификации

  • Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
  • Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты
  • Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью SMS, Telegram и электронной почты
  • Приложение для push-аутентификации (Indeed Key)

Поддерживаемые типы операций управления доступом

  • Операции с аутентификаторами (присвоение и отзыв, блокировка и разблокировка)
  • Операции с целевыми системами (применение методов усиленной аутентификации, управление паролями, сквозная аутентификация)
  • Дополнительные операции (включение режима замещения сотрудников, применение политик на основе групп Active Directory, индивидуальные политики для каждой целевой системы, сервиса или приложения)
  • Ведение единого журнала событий аутентификации с персонификацией событий (привязка к пользователям из службы каталога)

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения