Единая аутентификация
для корпоративных
веб-приложений

Решение на основе Indeed AM позволяет создать единую точку доступа в веб-приложения

Запланировать демонстрацию

Описание решения

Современные организации стремятся как можно шире использовать возможности различных цифровых ресурсов. Для этого они, в частности, развивают внутренние сервисы, например создают корпоративные веб-ресурсы. Главное достоинство подобных ресурсов заключается в том, что получить доступ к ним можно с помощью любого браузера, причем они могут быть доступны как изнутри периметра ИТ-инфраструктуры, так и извне.

Кроме того, разрабатывать веб-приложения обычно проще, чем собственные «классические» приложения. Есть множество готовых шаблонов и сервисов, в которые нужно только ввести необходимые корпоративные данные. Это относится к оформлению и контенту. Многие современные технические средства и сервисы уже реализуют пользовательский интерфейс в основном именно в формате веб-приложения.

Но за удобство приходится платить: исследования показывают, что веб-приложения в среднем более уязвимы перед кибератаками, чем обычные приложения. И действительно, многие кибератаки сейчас проводятся через публичные и внутренние веб-ресурсы.

Одна из основных угроз для веб-приложений связана с тем, что в них применяется уязвимый механизм аутентификации по паролю – как при доступе из локальной сети, так и при удаленном доступе.

Парольная аутентификация при удаленном доступе имеет целый ряд недостатков:

  • существует высокий риск кражи пароля (путем перехвата вводимых данных, с помощью методов социальной инженерии и т. д.), создающий угрозу нелегитимного доступа к веб-ресурсу от лица реального сотрудника;
  • выявить факт кражи пароля весьма трудно, и этот фактор снижает эффективность противостояния кибератакам;
  • пользователи не всегда соблюдают требования к безопасности паролей, касающиеся их длины, используемых символов и периодичности смены;
  • если пользователь забудет пароль, то рабочий процесс может простаивать до тех пор, пока администратор ИТ/ИБ не сбросит пароль.

Эти недостатки можно исправить, используя средства усиленной аутентификации: цифровые сертификаты, одноразовые пароли, биометрические данные и т. п.

Но далеко не все веб-приложения поддерживают какие-либо иные методы аутентификации, кроме пароля. Если же такая поддержка все-таки обеспечивается, то она ограничивается аутентификацией по сертификату (индивидуальному для каждого веб-приложения) или с помощью внешних учетных записей (Google, Yandex, Microsoft и т. д.), однако подобные механизмы не всегда соответствуют политике организации.

Кроме того, зачастую веб-ресурсы имеют собственную базу пользователей и, как следствие, требуют отдельных учетных данных. Рядовым пользователям весьма трудно соблюдать все требования к безопасности паролей, особенно если у них несколько учетных записей от разных веб-сервисов. Следует отметить и неудобство, связанное с тем, что пользователи вынуждены проходить процедуру аутентификации при каждом входе на любой корпоративный веб-ресурс.

Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, организации применяют продукты, реализующие концепцию единой технологии входа в веб-приложения, также известной как Web Single Sign-On (Web SSO). Дополнительно применяется специализированное решение класса Two-Factor Authentication Provider (2FA provider). Использование подобного программного комплекса позволяет построить единую систему усиленной аутентификации для корпоративных веб-сервисов.

Чтобы построить централизованную систему управления доступом и защиты доступа, необходимо прежде всего интегрировать платформу Web Single Sign-On со всеми целевыми ресурсами.

Платформа Indeed AM поддерживает интеграцию с веб-приложениями на основе следующих протоколов:

  • SAML;
  • ADFS;
  • OpenID Connect.

Для указанных протоколов Indeed AM реализует технологию Web SSO. При использовании Web SSO пользователь может аутентифицироваться на одном веб-ресурсе, а затем получить доступ к персональной странице на другом корпоративном веб-ресурсе – без дополнительной аутентификации.

Кроме того, Indeed AM включает в себя специализированный модуль, который можно установить на сервер с веб-приложениями Microsoft Internet Information Services.

Для создания системы безопасного удаленного подключения можно использовать следующие средства усиленной аутентификации:

  • доставку одноразовых паролей с помощью электронной почты, SMS-сообщений, Telegram-бота;
  • push-аутентификацию;
  • мобильные приложения – генераторы одноразовых паролей;
  • аппаратные устройства – генераторы одноразовых паролей.

Indeed AM позволяет применять различные способы усиленной аутентификации в зависимости от группы пользователей или целевого веб-ресурса. Поэтому для каждой группы сотрудников можно подобрать оптимальный перечень средств аутентификации, определяемый уровнем критичности веб-приложений, к которым необходимо предоставить доступ.

Кроме того, платформа Indeed AM позволяет нейтрализовать атаки, имеющие целью саботировать деятельность организации. В ходе таких атак злоумышленники вводят заведомо некорректные пароли на публичной странице корпоративного веб-ресурса, и соответствующая доменная учетная запись блокируется. При попытке осуществления подобной атаки будет заблокирован только аутентификатор для доступа к веб-ресурсу, но не сама учетная запись.

Поддерживаемые каталоги пользователей

  • Active Directory
  • СУБД (SQL)

Поддерживаемые целевые системы

  • Microsoft Internet Information Services
  • ВWeb-приложения

Поддерживаемые механизмы интеграции с целевыми приложениями

  • ADFS
  • SAML
  • OpenID Connect

Поддерживаемые технологии усиленной аутентификации для удаленного доступа

  • Одноразовые пароли (TOTP/HOTP)
  • Push-аутентификация

Поддерживаемые средства усиленной аутентификации для удаленного доступа

  • Мобильные приложения – генераторы одноразовых паролей: Indeed Key, Google Authenticator, «Яндекс.Ключ» и другие, поддерживающие протокол HOTP/TOTP
  • Аппаратные брелоки – генераторы одноразовых паролей: eToken Pass и другие, поддерживающие протокол HOTP/TOTP
  • Собственное приложение Indeed Key для генерации одноразовых паролей и push-аутентификации
  • Доставка одноразовых паролей с помощью электронной почты, SMS-сообщений и Telegram-бота

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения