ИСПОЛЬЗОВАНИЕ RFID-КАРТ
ДЛЯ ДОСТУПА В ИНФОРМАЦИОННЫЕ СИСТЕМЫ

Применение единой карты доступа на базе пропуска сотрудника и интеграция логического доступа и СКУД

access manager

На большинстве современных предприятий сотрудники используют бесконтактные карты (пропуска) для получения физического доступа - в бизнес центр, в офис, на территорию завода и пр. Часто такие карты выполняют и роль служебного удостоверения - на них наносятся фото, ФИО и должность работника. Использование таких пропусков стало обыденной практикой и вполне логично распространить ее не только на физический, но и логический доступ в информационные системы компании.

Задачи

Для использования пропусков для аутентификации сотрудников можно сформулировать такие задачи:

  1. Необходимо обеспечить аутентификацию пользователей при доступе
      • в ОС Windows (доменный ПК)
      • в целевые приложения
  2. Решение должно поддерживать как однофакторный вариант аутентификации - только по карте, так и двухфакторный - по карте и PIN коду.
  3. Должна быть возможность заблокировать сессию пользователя, если он убирает карту со считывателя (покидает рабочее место).
  4. Возможность программной интеграции с системой контроля и управления физическим доступом (СКУД) для учета местоположения сотрудника в момент входа на ПК - не предоставлять доступ к ПК, если сотрудник не зарегистрирован в здании.

Решение

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием RFID-карт. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием своих пропусков разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed AM Windows Logon может работать в режиме однофакторной аутентификации по бесконтактной карте, когда для аутентификации достаточно приложить карту к считывателю, и в режиме двухфакторной аутентификации, когда для входа требуется приложить карту и ввести PIN-код. Дополнительно по запросу бесконтактная карта может быть объединена с другими факторами, например отпечатком пальца.

Indeed AM поддерживает следующие форматы бесконтактных карт:

    • Mifare
    • EM Marin
    • HID Prox
    • HID iClass

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (RFID-карты и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Indeed AM Windows Logon поддерживает штатную доменную политику “Поведение при извлечении смарт-карты”, которая может быть настроена на блокировку сессии Windows, когда пользователь убирает пропуск со считывателя. Таким образом можно усилить информационную безопасность, блокирую ПК при покидании пользователем своего рабочего места.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

Опционально для учета местоположения сотрудника при его аутентификации может быть выполнена интеграция с СКУД системой. Для этого потребуется разработка специализированного модуля, который позволит получать из СКУД данные о том, где сейчас зарегистрирован пропуск сотрудника (внутри какого помещения/периметра). Используя этот модуль, сервер Indeed Access Manager перед тем, как предоставить доступ к ПК, будет обращаться к СКУД и проверять местоположение сотрудника. Если окажется, что ПК, к которому происходит доступ, и пользователь зарегистрированы в разных помещениях/периметрах, пользователь не получит доступ, даже если предъявит верные аутентификационные данные.

Ниже приведена общая схема решения.

Схема работы двухфакторной аутентификации

В состав Indeed Access Manager входят следующие основные компоненты

Indeed AM Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонент и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Модуль интеграции со СКУД системой. Данный модуль обеспечивает взаимодействие со СКУД и получение данных о местоположении сотрудника.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»