Защита удаленного
доступа

Получить решение

Описание решения

Публикуя свои ресурсы для удаленного доступа, компании значительно увеличивают риск несанкционированного доступа к бизнес-критичной информации. Обеспечить необходимый уровень защиты возможно только с использованием современных способов аутентификации пользователей. Решение Indeed Access Manager (Indeed AM) позволяет применять методы двухфакторной аутентификации (2FA) для широкого спектра корпоративных приложений, позволяя построить единую систему 2FA при доступе к ресурсам, доступным из-за пределов сети компании.

  • Обеспечить двухфакторную аутентификацию с применением одноразовых паролей в опубликованных корпоративных сервисах:

    • Web-приложения
    • VPN-сервер
    • VDI

  • Реализовать Web Single Sign-On для сквозного доступа в web-приложения.

2FA в web-приложениях IIS

Для аутентификации в web-приложениях, использующих Internet Information Services (IIS), нами разработан специализированный модуль интеграции IIS Extension. Данный модуль позволяет обеспечить двухфакторную аутентификацию в приложениях без вмешательства в их программный код. После ввода имени и пароля, пользователь перенаправляется на отдельную страницу аутентификации, где должен подтвердить себя с помощью одноразового пароля. IIS Extension может использоваться для любых web-приложений, например Outlook Web Access, Sharepoint, Skype for Business, RD Web Access и др. Для приложений, не использующих IIS, возможна интеграция с применением программного интерфейса (web API).

2FA в VPN

Интеграция со службами VPN выполняется с применением протокола RADIUS, поддерживаемого абсолютным большинством производителей VPN-решений, таких как Cisco ISE, Citrix Netscaler и др. Двухфакторная аутентификация реализуется с помощью механизма Challenge-Response, встроенного в RADIUS: на первом шаге пользователь вводит имя и пароль, после чего RADIUS сервер проверяет пользовательские данные и, в случае их верности, дозапрашивает у пользователя VPN сервиса второй фактор аутентификации - одноразовый пароль. RADIUS сервер выполнен на базе Microsoft Network Policy Server (служба доступна в составе Windows Server) и специализированного расширения для 2FA.

2FA в VDI

Для интеграции с системами виртуальных рабочих столов также применяется двухшаговая RADIUS-аутентификация по механизму Challenge-Response, которая поддерживается во многих VDI продуктах, например VMWare Horizon и Citrix XenDesktop. В случае использования технологий Microsoft, двухфакторная аутентификация может быть добавлена к службе удаленного доступа на сервере Remote Desktop Web Access (с использованием IIS Extension).

2FA в WebSSO (SAML IdP)

Организация сквозного доступа в web-приложения (web single sign-on) позволяет значительно повысить эффективность работы пользователей, позволяя прозрачно получать доступ в web-приложения после однократной аутентификации. Применение 2FA дает возможность сохранить высокий уровень информационной безопасности без снижения удобства использования. Для интеграции с целевыми решениями используется международный стандарт аутентификации SAML 2.0, что гарантирует совместимость с широким спектром систем. В контур WebSSO и 2FA могут быть включены не только корпоративные on-premise приложения, но и облачные сервисы, такие как Office 365 и G Suite (ранее Google Apps).

2FA в ADFS

Поддержка аутентификации пользователей по протоколу ADFS позволяет не только усилить безопасность целевых систем с применением 2FA, но и построить Single Sign-On (SSO) решение, избавив пользователей от необходимости многократно аутентифицироваться в рамках одной сессии. Сочетание 2FA и SSO подходов одновременно значительно усиливает уровень информационной безопасности компании и повышает эффективность работы ее сотрудников.

Высокий уровень безопасности

Применение двухфакторной аутентификации значительно повышает уровень защищенности корпоративных ресурсов компании. Использование технологии AK Cloud обеспечивает максимально удобный и безопасный способ аутентификации пользователей на базе криптографически защищенных push-уведомлений.

Гибкость решения

Компания может использовать любые совместимые с HOTP и TOTP генераторы одноразовых паролей без ограничений конкретного вендора приложений или устройств. В рамках одной инфраструктуры могут использоваться все поддерживаемые технологии OTP-аутентификации: мобильные приложения, OTP-брелоки разных вендоров, SMS и Email сообщения, AirKey Cloud. Поддержка различных механизмов интеграции с целевыми системами (RADIUS, SAML, ADFS, IIS Extension, Web API) обеспечивает возможность построения единой среды аутентификации во всех требуемых приложениях.

Online- и offline- аутентификация

Indeed Access Manager поддерживает аутентификацию как в онлайн-режиме, когда пользователю направляется SMS или email сообщение с одноразовым паролем или push-нотификация на смартфон, так и в оффлайн-режиме, когда пользователь может сгенерировать одноразовый пароль на своей стороне с использованием приложения на смартфоне или аппаратного брелока.

Поддержка OATH стандартов аутентификации TOTP и HOTP

Для генерации и проверки одноразовых паролей используются стандартизированные алгоритмы Time-based One-time Password Algorithm (TOTP) и HMAC-based one-time password (HOTP). Данные алгоритмы широко применяются в индустрии и гарантируют необходимый уровень безопасности и совместимости систем 2FA. Это позволяет использовать любое приложение или устройство, совместимое с TOTP или HOTP, для аутентификации с помощью Indeed Access Manager.

Push-уведомления

Для аутентификации пользователей может поддерживаться технология Indeed AirKey Cloud, которая позволяет отправлять на смартфон пользователя push-нотификацию для подтверждения операции входа. Технология основана на использовании асимметричной криптографии с применением закрытых и открытых ключей. Такой подход позволяет предоставить пользователям удобный и привычный способ подтверждения аутентификации и обеспечить при этом высокий уровень информационной безопасности клиент-серверной коммуникации.

Сервис самообслуживания пользователей

Для регистрации и управления доступными технологиями аутентификации пользователям предоставляется сервис самообслуживания, который выполнен в формате web-приложения. Это дает возможность предоставить пользователям удобный механизм управления аутентификацией, доступный с любого ПК.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения