Корпоративное
удостоверение
сотрудника

Получить решение

Описание решения

В современной модели угроз очевидно, что предприятиям необходимо применять современные технологии аутентификации. Главная задача, стоящая перед предприятиями при переходе к надежной двухфакторной аутентификации (2FA), — выбор и адаптация конкретных технологий аутентификации к IT-инфраструктуре компании. Кроме этого, нужно учитывать, что IT-инфраструктура не существует в вакууме, сотрудники также должны подтверждать себя при доступе в помещения и обращении в различные отделы предприятия.

Решением является применение устройства, сочетающего в себе несколько технологий и факторов аутентификации, позволяющие закрыть все необходимые сценарии.

Можно сформулировать следующий общий список задач для такого единого устройства верификации сотрудника:

  • Удостоверение сотрудника с отпечатанными на нем фотографией, ФИО и должностью
  • Единый способ доступа к ПК и во все корпоративные информационные системы.
  • Средство электронной подписи документов, защиты корпоративной почты и шифрования данных.
  • Карта доступа на территорию предприятия.

Решением описанных задач является применение гибридных смарт-карт, сочетающих в себе несколько технологий:

PKI чип

Криптографический чип позволяет выполнять операции подписи и шифрования данных и использовать инфраструктуру открытых ключей (Public Key Infrastructure - PKI) для решения задач.

  • Аутентификации на ПК и приложениях
  • Электронной подписи документов и транзакций
  • Защиты электронной почты (подпись и шифрование писем)

Smart card чип

Для приложений, не поддерживающих механизм PKI применяется подход Enterprise Single Sign-On (ESSO), который позволяет применять смарт-карту для доступа к ESSO-профилю для входа в бизнес-приложения. Такой подход не требует модификации целевых приложений и при этом использует надежную аутентификацию по смарт-картам.

NFC/RFID

Для система контроля и управления доступом (СКУД) на смарт-карту добавляется RFID или NFC чип. Это дает возможность с помощью той же пластиковой карты проходить через турникеты на входе в здание и помещения компании.

Персонализация

Используя специализированные принтеры на карты можно наносить необходимое изображение (персонализацию), которое может включать:

  • Фото сотрудника
  • ФИО
  • Должность

Такой подход превращает карту в корпоративное удостоверение сотрудника, котором можно применять в сценариях подтверждения личности сотрудника.

Двухфакторная аутентификация пользователей Active Directory на ПК

В этом варианте для двухфакторной аутентификации пользователей применяются смарт-карты и цифровые сертификаты. Такой тип аутентификации “из коробки” поддерживается в доменной инфраструктуре Active Directory, что позволяет использовать встроенные механизмы Windows.

Данный подход требует развертывания и сопровождения инфраструктуры открытых ключей (PKI). Это порождает спектр специфических задач: контроль сроков действия цифровых сертификатов, управление ключевыми носителями и сертификатами (выдача, замена и разблокировка устройств, выпуск, обновление сертификатов), своевременный отзыв сертификатов уволенных сотрудников и др. Indeed Certificate Manager (Indeed CM) решает перечисленные задачи и сокращает издержки на обслуживание инфраструктуры PKI. Indeed CM реализует следующие функции:

  • Управление жизненным циклом ключевых носителей и сертификатов на базе централизованных политик
  • Журналирование действий администраторов и пользователей с ключевыми носителями
  • Предоставление сотрудникам механизма самообслуживания для регистрации/выпуска/обновления/разблокировки устройств
  • Отправка почтовых уведомлений на любые события системы
  • Резервное копирование ключевой информации
  • Интеграция с системами класса Identity Management (системы разграничения прав доступа) для автоматического отзыва сертификатов уволенных сотрудников
  • Пакетный выпуск смарт-карт с помощью специализированного принтера (в т.ч. печать на картах данных сотрудников)

Indeed CM позволяет работать одновременно с несколькими доменами Active Directory в качестве каталога пользователей и с несколькими удостоверяющими центрами (например, с Microsoft CA для выпуска сертификатов аутентификации и КриптоПро УЦ для выпуска квалифицированных сертификатов). Это обеспечивает гибкость при работе в распределенной инфраструктуре.

Двухфакторная и сквозная аутентификация в бизнес-приложениях

Для информационных систем, которые не поддерживают интеграцию с Active Directory и PKI для сквозного доступа используется программный комплекс Indeed Access Manager. В состав Indeed AM входит модуль Indeed AM Enterprise Single Sign-On (Indeed AM ESSO), который обеспечивает необходимые функции. Indeed AM ESSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология Indeed AM Enterprise SSO может быть применена для любых типов приложений (windows, web, .net, SAP GUI), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.

Решения Indeed AM и Indeed CM интегрированы между собой, что позволяет автоматически регистрировать смарт-карты и USB-ключи, выпускаемые в Indeed CM в базе данных Indeed AM. Зарегистрированные таким образом ключевые носители применяются для двухфакторной аутентификации пользователей перед предоставлением им доступа в целевые приложения с помощью Indeed AM ESSO.

Для работы в системах контроля и управления доступом в карту встраивается бесконтактный RFID чип. Это позволяет работать со всеми современными СКУД системами. Кроме того, возможна поддержка протокола NFC.

Многие СКУД имеют возможность подключения модуля контроля рабочего времени, позволяющего получать отчеты о проведенном сотрудниками времени в помещениях организации.

Для персонализации смарт-карт применяется специализированный принтер. Такой принтер позволяет

  • выполнять печать изображений на картах
  • выполнять выпуск цифровых сертификатов

Кроме того, описанные операции могут выполняться в пакетном режиме, что значительно сокращает время на персонализацию и выпуск большого количества смарт-карт сотрудникам.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения