Единая аутентификация
для корпоративных
приложений

Решение на основе Indeed AM использует технологию единого входа пользователя для сквозной аутентификации сотрудника в корпоративных ИТ-системах

Запланировать демонстрацию

Описание решения

Современные организации во всех отраслях широко используют различные приложения и веб-приложения – как универсальные, так и специализированные.

На основе универсальных решений могут быть выстроены, например, системы электронного документооборота (СЭД), системы управления предприятием (ERP), бухгалтерские системы. В свою очередь, специализированные приложения зачастую представляют собой различные программные компоненты автоматизированных систем управления технологическими процессами (АСУ ТП), а также системы управления продажами (CRM) или складом. Причем среди специализированных приложений нередко встречается самописное программное обеспечение.

Все упомянутые сервисы помогают организациям решать стоящие перед ними задачи: предоставлять государственные услуги, контролировать исполнение законов или вести деятельность, приносящую прибыль. Чтобы начать работу почти в любом из перечисленных сервисов, необходимо пройти процедуру авторизации.

Важно отметить, что далеко не каждое программное обеспечение интегрируется с доменной службой каталогов (например, Active Directory). Часто подобные сервисы имеют собственную базу пользователей и, как следствие, требуют отдельной аутентификации. К сожалению, те приложения, которые поддерживают иные способы аутентификации, кроме пароля, до сих пор встречаются весьма редко.

Аутентификация по паролю имеет целый ряд известных недостатков:

  • факт компрометации пароля можно выявить только после возникновения инцидента, при том что злоумышленники до последнего стараются скрыть свое присутствие в ИТ-инфраструктуре организации;
  • при удаленной работе серьезно возрастает риск кражи и нелегитимного использования пароля для осуществления злонамеренных действий;
  • пароли уязвимы перед методами социальной инженерии, которые приводят к тому, что пользователи фактически сами – прямо или косвенно – позволяют злоумышленнику узнать пароль;
  • рядовым пользователям довольно трудно соблюдать все требования к безопасности паролей, особенно если у них есть несколько учетных записей на разных сервисах.

На фоне того, что широкополосный доступ в интернет получил огромное распространение, а пользователи все чаще подключаются к необходимым ресурсам дистанционно, указанные недостатки приобретают критическое значение для безопасности как самих приложений, так и организации в целом. Ведь если злоумышленнику удастся заполучить учетные данные одного из бухгалтеров, это может повлечь за собой весьма нежелательные последствия, вплоть до приостановки деятельности организации.

Даже в рамках одной отрасли используется огромное количество самых разных приложений и веб-приложений, поэтому очевидно, что разработать индивидуальные коннекторы (специальные модули для обеспечения сквозной аутентификации) к каждому целевому приложению крайне трудно. Эта задача отнюдь не проста, даже если речь идет о широко распространенных сервисах. При этом разработка коннекторов для самописных сервисов обойдется довольно дорого – такие затраты по силам далеко не каждой компании.

Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, организации применяют продукты, реализующие концепцию «технологии единого входа», также известную как Single Sign-On. Одноименный класс продуктов предназначен для реализации системы централизованной аутентификации и системы управления паролями (функционал схож с возможностями решений класса Password Manager).

Чтобы построить систему единой аутентификации, необходимо обеспечить поддержку различных целевых приложений и веб-приложений, используя продукт класса Single Sign-On.

Indeed Access Manager имеет в своем составе специализированный модуль – Enterprise Single Sign-On, который и осуществляет такую поддержку. Для реализации SSO-входа этот модуль перехватывает графические формы ввода логина и пароля и подставляет в них нужную информацию.

Систему обучают при помощи специальной утилиты; чаще всего это занимает не более двух дней. В результате поддерживается практически любое приложение и веб-приложение, имеющее собственную подсистему аутентификации. Сам модуль – это клиентский компонент, который можно установить как на рабочую станцию с ОС Microsoft Windows, так и на терминальный сервер Microsoft Remote Desktop Server.

Ниже описаны сценарии, которые можно реализовать при помощи Enterprise Single Sign-On.

  • Безопасное удаленное подключение к единой точке входа: применение MS RDS с установленным модулем ESSO позволяет реализовать сквозную аутентификацию во всех терминальных приложениях.
  • Управление сохраненными паролями для сквозной («прозрачной») аутентификации: логин и пароль запоминаются модулем и автоматически подставляются в соответствующие поля при запуске приложения или веб-приложения.
  • Исключение знания пароля пользователем: пароль может быть назначен администратором либо посредством решения, относящегося к классу Identity Governance & Administration (IGA).
  • Дополнение к предыдущему сценарию – перехват модулем ESSO графических форм ввода нового пароля: компонент самостоятельно подставляет старый пароль, генерирует новый, подставляет его в соответствующие поля и эмулирует нажатие кнопки «OK». Таким образом, пользователь не сможет пройти аутентификацию в приложении в обход Indeed AM.
  • Использование факторов усиленной аутентификации: в рамках всех сценариев можно включить использование различных методов усиленной аутентификации (от одноразовых паролей до биометрических данных). А вместе со сценарием исключения знания пароля можно реализовать систему усиленной аутентификации в корпоративных приложениях, что обеспечивает максимальный уровень защиты.

Следует отметить, что параметры работы ESSO распространяются с помощью механизма политик. Необходимая политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из данной политики. При этом можно индивидуально настроить параметры доступа для конкретного пользователя, а также для разных групп пользователей (например, установить принудительную усиленную аутентификацию при доступе руководителей).

Поддерживаемые каталоги пользователей

  • Active Directory

Поддерживаемые целевые системы

  • Microsoft Windows
  • Microsoft Remote Desktop Server

Поддерживаемые настройки защиты приложений и веб-приложений

  • Иерархия: политики на уровне всех приложений, на уровне конкретного приложения, на уровне группы пользователей
  • Управление паролями: только хранение паролей или исключение знания пароля с обновлением (через форму смены паролей самого приложения)
  • Аутентификация: усиленная аутентификация для запуска приложений или сквозная аутентификация (без использования дополнительных факторов аутентификации)

Поддерживаемые технологии аутентификации

  • Биометрия: отпечатки пальцев, рисунок вен ладони, геометрия лица (двухмерное и трехмерное изображение)
  • Аппаратные устройства: бесконтактные карты, USB-токены, iButton, RFID-карты
  • Одноразовые пароли: приложения TOTP/HOTP, брелоки OTP, доставка одноразовых паролей с помощью SMS, Telegram и электронной почты
  • Прочие способы: приложение для push-аутентификации (Indeed Key)

Поддержка интеграции с техническими средствами

  • Средства защиты рабочих станций: Secret Net Studio
  • Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager, Ankey IDM
  • Средства управления инфраструктурой открытых ключей: Indeed Certificate Manager
  • Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения