Система
централизованного
управления доступом

Решение на основе Indeed AM использует технологию единого входа пользователя для сквозной аутентификации сотрудника в корпоративных ИТ-системах

Запланировать демонстрацию

Описание решения

Задача

Несмотря на очевидные риски, пароли остаются самым распространенным способом аутентификации пользователя. Увеличение числа информационных систем, в которые пользователи должны иметь доступ, создает серьезную нагрузку на службу информационной безопасности в части управления паролями пользователей. Миграция на новые технологии аутентификации требует значительных усилий, часто бизнес критичные приложения являются унаследованными и не поддерживают современные технологии. Сотрудникам ИБ приходится решать проблему использования паролей в ожидании возможности перейти на новые технологии аутентификации. Системы класса Enterprise Single Sign-On облегчают данную задачу и предоставляют механизм централизованного управления паролями пользователей.

Риски использования паролей приводят как к прямым финансовым потерям, в результате кражи конфиденциальной информации, так и к снижению эффективности работы линейных сотрудников и службы ИТ. Можно выделить следующие основные негативные факторы использования паролей:

Высокая стоимость обслуживания паролей

Пользователи регулярно забывают свои пароли, теряя доступ к бизнес-приложениям и создавая нагрузку на службу ИТ, которая вынуждена тратить значительную часть рабочего времени на сброс паролей и восстановление доступа. Политики ИБ, ужесточающие требования к частоте смены и сложности паролей, только усугубляют положение. Решения по автоматическому сбросу паролей требуют дополнительных финансовых и временных затрат на выбор, приобретение дополнительного ПО, обучение администраторов и рядовых сотрудников.

Риски несанкционированного доступа в бизнес-приложения

Новые технологии, такие как SAML, OAuth, OpenID Connect и др. позволяют решить проблемы аутентификации, но их адаптация разработчиками бизнес-систем проходит медленно, дополнительно, обновление уже развернутых приложений затратный и длительный процесс. Компании вынуждены использовать гибридную инфраструктуру и унаследованные приложения, поддерживающие только пароли. Вследствие этого, в компаниях сохраняются риски подбора паролей злоумышленником.

Возможность получения несанкционированного доступа инсайдером

Сотрудники могут не только записывать сложные для запоминания пароли на рабочем месте, но и открыто сообщать их коллегам, например, с просьбой отправить отчет в их отсутствие. Это создает возможность для недобросовестных работников завладеть чужими учетными данными и получить несанкционированный доступ в приложения.

Основные требования к внедрению системы класса Enterprise Single Sign-On для решения парольной проблемы можно сформулировать таким образом:

  • Необходимо централизованное решение по хранению и управлению учетными данными пользователей.
  • Решение не должно требовать модификации используемых целевых приложений.
  • Решение должно позволять сохранить пароль учетной записи в секрете от сотрудника.
  • Решение должно поддерживать следующие операции с целевыми приложениями:

    • Вход в приложение
    • Разблокировка приложения (в результате простоя)
    • Смена пароля в приложении (по запросу приложения)
  • Возможность поддержки входа в приложения, работающие как по принципу “толстый” клиент, так и через браузер.
  • Возможность использования двухфакторной аутентификации при входе в приложение.
  • Возможность делегирования одному сотруднику доступа к учетным данным другого (с разрешения администратора).

Решение

Для решения описанных задач используется программный комплекс Indeed Access Manager (Indeed AM). За организацию единой точки доступа в составе комплекса отвечает компонент Indeed AM Enterprise Single Sign-On (ESSO).

Indeed AM Enterprise SSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений, требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология ESSO может быть применена для любых типов приложений (windows, web, .net), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.

Indeed AM Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.

ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и агент ESSO либо сразу автоматически заполняет форму входа, либо сначала требует от пользователя пройти процедуру аутентификации: ввести одноразовый код, приложить палец к сканеру отпечатков или др., после чего выполняет заполнение формы.

Работу Indeed AM Enterprise SSO обеспечивают следующие основные компоненты:

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

ESSO агент - клиентское ПО, устанавливаемое на рабочее место сотрудника. Агент получает с сервера Indeed Enterprise Server перечень систем и учетных данных, которые составляют персональный профиль доступа сотрудника. Как только сотрудник запускает ярлык приложения, требующего ввода пары логин-пароль, ESSO агент перехватывает регистрационное окно приложения, скрывает его от пользователя, автоматически заполняет (подставляет имя учетной записи и пароль полученные с сервера) и контролирует процедуру получения доступа в среду приложения. По результату операции в журнале событий системы фиксируется факт выполнения успешной или неуспешной попытки доступа.

База данных Indeed Access Manager. В базе хранятся настройки системы и данные для строгой аутентификации пользователей, а также ESSO-профили сотрудников. Данные в базе хранятся в зашифрованном виде.

Журнал доступа. Все события, возникающие в системе, сохраняются в журнале. Журнал фиксирует дату, время, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется с применением какой технологии аутентификации сотрудник получал доступ в приложение.

ESSO IDM Connector - Коннектор к Identity Management системам, позволяющий в автоматическом режиме синхронизировать учетные данные пользователей в базе данных ESSO. Учетные данные создаются при помощи IDM и тут же сохраняются в системе ESSO.

Особенности

Помимо непосредственно SSO-механизма и организации доступа в бизнес-приложения, решение Indeed AM ESSO обладает следующими полезными функциями.

Строгая аутентификация пользователей

Перед тем, как предоставить пользователю доступ в приложение, ESSO может потребовать от пользователя пройти процедуру аутентификации. Поддерживается широкий спектр технологий аутентификации: двухфакторная аутентификация, биометрия, смарт-карты, одноразовые пароли. Администратор имеет возможность для разных приложений назначить разные технологии аутентификации.

Режим замещения сотрудника

Данный режим позволяет предоставить заместителю доступ к ESSO-профилю замещаемого сотрудника. Такая возможность требуется, когда необходимо срочно получить доступ в систему от имени сотрудника, который недоступен (отпуск, болезнь). При этом в журнале явно указывается, какой именно сотрудник получал доступ в систему. Например, что пользователь Иванов вошел в 1С под учетной записью Сидровой. Это позволяет получить точную картину происходящего и избежать злоупотреблений. Администратор имеет возможность ограничить период замещения сотрудника (например, его отпуском).

Интеграция с IDM

Indeed AM ESSO поддерживает интеграцию с большинством популярных IDM-систем: Solar inRights, КУБ, 1IDM, Microsoft FIM, IBM Tivolli IDM. Интеграция позволяет получить следующие преимущества:

  • Повышение уровня информационной безопасности компании засчет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
  • Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.

Оффлайн режим работы

В случае необходимости, администратор ESSO может разрешить сотруднику работу в оффлайн режиме - когда сеть предприятия (и ESSO-сервер) недоступны (например, в командировке или в случае проблем с сетью). В этом режиме на ПК пользователя временно сохраняется его ESSO-профиль, который используется, когда не удается связаться с сервером. Период локальной жизни профиля задается администратором, по истечении заданного периода локальная копия профиля удаляется.

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Александр Лавров

начальник службы безопасности «СТС Медиа»

Внедрение многофакторной аутентификации сотрудников и контроль действий администраторов, подрядчиков и тех, кто работает в удаленном формате, – это этапы комплексной работы над повышением уровня информационной безопасности компании. Сейчас мы закрыли парольную брешь линейных сотрудников и пользователей, имеющих привилегированные права, то есть многократно снизили количество потенциальных несанкционированных точек входа в нашу систему извне и тем самым защитили расширяющиеся границы периметра информационной безопасности.

Подробнее
Николай Чуприн

руководитель отдела информационных систем Группы компаний ЕПК

PAM имеет в своей структуре компоненты для контроля действий сотрудников – администраторов системы. Теперь мы можем в любой момент самостоятельно расследовать любой инцидент, произошедший в информационной системе компании. Эффект роста самодисциплины распространился не только на тех, кому предоставлена возможность административного управления системой.

Подробнее
Владимир Солонин

директор по информационной безопасности, «СДМ-Банк»

Внедрение было комплексным. Внедрялось сразу несколько систем, отвечающих за создание новых пользователей при заведении в кадровую систему, а также за автоматизированную смену паролей, управление сертификатами пользователей, ограничение доступа в случае отпуска или ухода из офиса. Важный критерий выбора вендора – российское происхождение. Простота внедрения, опыт успешных внедрений в банках, качественная поддержка и открытость к пожеланиям заказчика – тоже важные факторы. Мы несем ответственность перед клиентами за то, чтобы системы защиты работали, а новые внедряемые системы не усложняли существующие процессы.

Подробнее
Анатолий Скородумов

начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»

Нам удалось убедить бизнес в экономической целесообразности внедрения системы биометрической аутентификации прежде всего из-за неотделимости аутентификаторов (пальцев) от пользователя. Передать аутентификатор физически нельзя, и подделать его при современном уровне сканеров отпечатков пальцев достаточно сложно. Ушли все риски, связанные с проблемами использования парольного доступа и компрометацией: с подбором пароля, с передачей пароля коллегам по работе, с записью паролей в блокнотах, на листочках календаря, на стикерах, приклеиваемых к монитору

Подробнее
Алексей Иванов

начальник управления информационной безопасности и контроля департамента информационной безопасности и охраны компании «КИТ Финанс»

Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.

Подробнее
Иван Чернокнижников

руководитель отдела информационных технологий компании ООО «Газпром сера»

Важными критериями для нас были: наличие полноценной технической поддержки для оперативного решения вопросов, возникающих в ходе внедрения и эксплуатации системы, а также простота и удобство использования системы, поскольку пользователи обладают различным уровнем знаний в области информационных технологий.

Подробнее

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

спросить эксперта

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ
спросить эксперта

другие решения

Биометрическая аутентификация сотрудников
Внедрение двухфакторной аутентификации и ЭЦП
Система централизованного управления доступом
Объединение логического и физического доступа
Защита удаленного доступа
Выполнение требований стандарта PCI DSS
Корпоративное удостоверение сотрудника
Выполнение требований Приказов ФСТЭК России