Объединение
логического
и физического доступа

Получить решение

Описание решения

На большинстве современных предприятий сотрудники используют бесконтактные карты (пропуска) для получения физического доступа - в бизнес центр, в офис, на территорию завода и пр. Часто такие карты выполняют и роль служебного удостоверения - на них наносятся фото, ФИО и должность работника. Использование таких пропусков стало обыденной практикой и вполне логично распространить ее не только на физический, но и логический доступ в информационные системы компании.

Для использования пропусков для аутентификации сотрудников можно сформулировать такие задачи:

  • Необходимо обеспечить аутентификацию пользователей при доступе:
    • в ОС Windows (доменный ПК)
    • в целевые приложения
  • Решение должно поддерживать как однофакторный вариант аутентификации - только по карте, так и двухфакторный - по карте и PIN коду.
  • Должна быть возможность заблокировать сессию пользователя, если он убирает карту со считывателя (покидает рабочее место).
  • Возможность программной интеграции с системой контроля и управления физическим доступом (СКУД) для учета местоположения сотрудника в момент входа на ПК - не предоставлять доступ к ПК, если сотрудник не зарегистрирован в здании.

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием RFID-карт. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием своих пропусков разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed AM Windows Logon может работать в режиме однофакторной аутентификации по бесконтактной карте, когда для аутентификации достаточно приложить карту к считывателю, и в режиме двухфакторной аутентификации, когда для входа требуется приложить карту и ввести PIN-код. Дополнительно по запросу бесконтактная карта может быть объединена с другими факторами, например отпечатком пальца.

Indeed AM поддерживает следующие форматы бесконтактных карт:

  • Mifare
  • EM Marin
  • HID Prox
  • HID iClass

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (RFID-карты и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Indeed AM Windows Logon поддерживает штатную доменную политику “Поведение при извлечении смарт-карты”, которая может быть настроена на блокировку сессии Windows, когда пользователь убирает пропуск со считывателя. Таким образом можно усилить информационную безопасность, блокирую ПК при покидании пользователем своего рабочего места.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

Опционально для учета местоположения сотрудника при его аутентификации может быть выполнена интеграция с СКУД системой. Для этого потребуется разработка специализированного модуля, который позволит получать из СКУД данные о том, где сейчас зарегистрирован пропуск сотрудника (внутри какого помещения/периметра). Используя этот модуль, сервер Indeed Access Manager перед тем, как предоставить доступ к ПК, будет обращаться к СКУД и проверять местоположение сотрудника. Если окажется, что ПК, к которому происходит доступ, и пользователь зарегистрированы в разных помещениях/периметрах, пользователь не получит доступ, даже если предъявит верные аутентификационные данные.

В состав Indeed Access Manager входят следующие основные компоненты:

Indeed AM Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонент и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Модуль интеграции со СКУД системой. Данный модуль обеспечивает взаимодействие со СКУД и получение данных о местоположении сотрудника.

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения