Организация единой точки доступа
в информационные системы компании

Применение Enterprise SSO и двухфакторной аутентификации для доступа пользователей к ИТ-ресурсам компании вместо устаревшей и ненадежной аутентификации по паролю

Несмотря на очевидные риски, пароли остаются самым распространенным способом аутентификации пользователя. Увеличение числа информационных систем, в которые пользователи должны иметь доступ, создает серьезную нагрузку на службу информационной безопасности в части управления паролями пользователей. Миграция на новые технологии аутентификации требует значительных усилий, часто бизнес критичные приложения являются унаследованными и не поддерживают современные технологии. Сотрудникам ИБ приходится решать проблему использования паролей в ожидании возможности перейти на новые технологии аутентификации. Системы класса Enterprise Single Sign-On облегчают данную задачу и предоставляют механизм централизованного управления паролями пользователей.

Риски использования паролей приводят как к прямым финансовым потерям, в результате кражи конфиденциальной информации, так и к снижению эффективности работы линейных сотрудников и службы ИТ. Можно выделить следующие основные негативные факторы использования паролей:

Высокая стоимость обслуживания паролей

Пользователи регулярно забывают свои пароли, теряя доступ к бизнес-приложениям и создавая нагрузку на службу ИТ, которая вынуждена тратить значительную часть рабочего времени на сброс паролей и восстановление доступа. Политики ИБ, ужесточающие требования к частоте смены и сложности паролей, только усугубляют положение. Решения по автоматическому сбросу паролей требуют дополнительных финансовых и временных затрат на выбор, приобретение дополнительного ПО, обучение администраторов и рядовых сотрудников.

Риски несанкционированного доступа в бизнес-приложения

Новые технологии, такие как SAML, OAuth, OpenID Connect и др. позволяют решить проблемы аутентификации, но их адаптация разработчиками бизнес-систем проходит медленно, дополнительно, обновление уже развернутых приложений затратный и длительный процесс. Компании вынуждены использовать гибридную инфраструктуру и унаследованные приложения, поддерживающие только пароли. Вследствие этого, в компаниях сохраняются риски подбора паролей злоумышленником.

Возможность получения несанкционированного доступа инсайдером

Сотрудники могут не только записывать сложные для запоминания пароли на рабочем месте, но и открыто сообщать их коллегам, например, с просьбой отправить отчет в их отсутствие. Это создает возможность для недобросовестных работников завладеть чужими учетными данными и получить несанкционированный доступ в приложения.

Описание задачи

Основные требования к внедрению системы класса Enterprise Single Sign-On для решения парольной проблемы можно сформулировать таким образом:

  1. Необходимо централизованное решение по хранению и управлению учетными данными пользователей.
  2. Решение не должно требовать модификации используемых целевых приложений.
  3. Решение должно позволять сохранить пароль учетной записи в секрете от сотрудника.
  4. Решение должно поддерживать следующие операции с целевыми приложениями:
      • Вход в приложение
      • Разблокировка приложения (в результате простоя)
      • Смена пароля в приложении (по запросу приложения)
  5. Возможность поддержки входа в приложения, работающие как по принципу “толстый” клиент, так и через браузер.
  6. Возможность использования двухфакторной аутентификации при входе в приложение.
  7. Возможность делегирования одному сотруднику доступа к учетным данным другого (с разрешения администратора).

Решение

Для решения описанных задач используется программный комплекс Indeed Access Manager (Indeed AM). За организацию единой точки доступа в составе комплекса отвечает компонент Indeed AM Enterprise Single Sign-On (ESSO).

Indeed AM Enterprise SSO реализует подход single sign-on в масштабе предприятия. Система централизованно хранит пароли пользователя от всех приложений, требующих аутентификации и автоматически подставляет, когда приложение того требует. Технология ESSO может быть применена для любых типов приложений (windows, web, .net), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.

Indeed AM Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.

ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и агент ESSO либо сразу автоматически заполняет форму входа, либо сначала требует от пользователя пройти процедуру аутентификации: ввести одноразовый код, приложить палец к сканеру отпечатков или др., после чего выполняет заполнение формы.

Ниже приведена общая схема решения.

Схема работы единой точки доступа

Работу Indeed AM Enterprise SSO обеспечивают следующие основные компоненты:

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

ESSO агент - клиентское ПО, устанавливаемое на рабочее место сотрудника. Агент получает с сервера Indeed Enterprise Server перечень систем и учетных данных, которые составляют персональный профиль доступа сотрудника. Как только сотрудник запускает ярлык приложения, требующего ввода пары логин-пароль, ESSO агент перехватывает регистрационное окно приложения, скрывает его от пользователя, автоматически заполняет (подставляет имя учетной записи и пароль полученные с сервера) и контролирует процедуру получения доступа в среду приложения. По результату операции в журнале событий системы фиксируется факт выполнения успешной или неуспешной попытки доступа.

База данных Indeed Access Manager. В базе хранятся настройки системы и данные для строгой аутентификации пользователей, а также ESSO-профили сотрудников. Данные в базе хранятся в зашифрованном виде.

Журнал доступа. Все события, возникающие в системе сохраняются в журнале. Журнал фиксирует дату, время, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется с применением какой технологии аутентификации сотрудник получал доступ в приложение.

ESSO IDM Connector - Коннектор к Identity Management системам, позволяющий в автоматическом режиме синхронизировать учетные данные пользователей в базе данных ESSO. Учетные данные создаются при помощи IDM и тут же сохраняются в системе ESSO.

Особенности Indeed AM ESSO

Помимо непосредственно SSO-механизма и организации доступа в бизнес-приложения, решение Indeed AM ESSO обладает следующими полезными функциями

Строгая аутентификация пользователей

Перед тем, как предоставить пользователю доступ в приложение, ESSO может потребовать от пользователя пройти процедуру аутентификации. Поддерживается широкий спектр технологий аутентификации: двухфакторная аутентификация, биометрия, смарт-карты, одноразовые пароли. Администратор имеет возможность для разных приложений назначить разные технологии аутентификации.

Режим замещения сотрудника

Данный режим позволяет предоставить заместителю доступ к ESSO-профилю замещаемого сотрудника. Такая возможность требуется, когда необходимо срочно получить доступ в систему от имени сотрудника, который недоступен (отпуск, болезнь). При этом в журнале явно указывается, какой именно сотрудник получал доступ в систему. Например, что пользователь Иванов вошел в 1С под учетной записью Сидровой. Это позволяет получить точную картину происходящего и избежать злоупотреблений. Администратор имеет возможность ограничить период замещения сотрудника (например, его отпуском).

Интеграция с IDM

Indeed AM ESSO поддерживает интеграцию с большинством популярных IDM-систем: Solar inRights, КУБ, 1IDM, Microsoft FIM, IBM Tivolli IDM. Интеграция позволяет получить следующие преимущества:

  • Повышение уровня информационной безопасности компании за счет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
  • Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.

Оффлайн режим работы

В случае необходимости, администратор ESSO может разрешить сотруднику работу в оффлайн режиме - когда сеть предприятия (и ESSO-сервер) недоступны (например, в командировке или в случае проблем с сетью). В этом режиме на ПК пользователя временно сохраняется его ESSO-профиль, который используется, когда не удается связаться с сервером. Период локальной жизни профиля задается администратором, по истечении заданного периода локальная копия профиля удаляется.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»