Описание решения
Задача
На большинстве современных предприятий сотрудники используют бесконтактные карты (пропуска) для получения физического доступа - в бизнес центр, в офис, на территорию завода и пр. Часто такие карты выполняют и роль служебного удостоверения - на них наносятся фото, ФИО и должность работника. Использование таких пропусков стало обыденной практикой и вполне логично распространить ее не только на физический, но и логический доступ в информационные системы компании.
Для использования пропусков для аутентификации сотрудников можно сформулировать такие задачи:
- Необходимо обеспечить аутентификацию пользователей при доступе:
- в ОС Windows (доменный ПК)
- в целевые приложения
- Решение должно поддерживать как однофакторный вариант аутентификации - только по карте, так и двухфакторный - по карте и PIN коду.
- Должна быть возможность заблокировать сессию пользователя, если он убирает карту со считывателя (покидает рабочее место).
- Возможность программной интеграции с системой контроля и управления физическим доступом (СКУД) для учета местоположения сотрудника в момент входа на ПК - не предоставлять доступ к ПК, если сотрудник не зарегистрирован в здании.
Решение
Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.
Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием RFID-карт. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием своих пропусков разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.
Indeed AM Windows Logon может работать в режиме однофакторной аутентификации по бесконтактной карте, когда для аутентификации достаточно приложить карту к считывателю, и в режиме двухфакторной аутентификации, когда для входа требуется приложить карту и ввести PIN-код. Дополнительно по запросу бесконтактная карта может быть объединена с другими факторами, например отпечатком пальца.
Indeed AM поддерживает следующие форматы бесконтактных карт:
- Mifare
- EM Marin
- HID Prox
- HID iClass
Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (RFID-карты и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.
Indeed AM Windows Logon поддерживает штатную доменную политику “Поведение при извлечении смарт-карты”, которая может быть настроена на блокировку сессии Windows, когда пользователь убирает пропуск со считывателя. Таким образом можно усилить информационную безопасность, блокирую ПК при покидании пользователем своего рабочего места.
Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.
Опционально для учета местоположения сотрудника при его аутентификации может быть выполнена интеграция с СКУД системой. Для этого потребуется разработка специализированного модуля, который позволит получать из СКУД данные о том, где сейчас зарегистрирован пропуск сотрудника (внутри какого помещения/периметра). Используя этот модуль, сервер Indeed Access Manager перед тем, как предоставить доступ к ПК, будет обращаться к СКУД и проверять местоположение сотрудника. Если окажется, что ПК, к которому происходит доступ, и пользователь зарегистрированы в разных помещениях/периметрах, пользователь не получит доступ, даже если предъявит верные аутентификационные данные.
Основные компоненты
В состав Indeed Access Manager входят следующие основные компоненты:
Indeed AM Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонент и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.
Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.
Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.
База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.
Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.
Модуль интеграции со СКУД системой. Данный модуль обеспечивает взаимодействие со СКУД и получение данных о местоположении сотрудника.