Программный комплекс Indeed Access Manager (Indeed AM) представляет собой платформу для построения системы централизованного управления доступом пользователей к информационным ресурсам компании.
Система помогает решать следующие вопросы:
- Замена паролей на биометрическую аутентификацию сотрудников. Организация доступа в Windows и бизнес-приложения;
- Организация единой точки доступа в ИТ-системы компании, применение Enterprise SSO и двухфакторной аутентификации;
- Защита опубликованных корпоративных приложений, двухфакторная аутентификация и одноразовые пароли в VDI, VPN и Web-приложениях;
- Использование RFID-карт для доступа в информационные системы;
- Двухфакторная аутентификация по смарт-картам в ОС и приложениях.
Indeed AM реализует возможность использования технологий строгой и многофакторной аутентификации пользователей при доступе к информационным ресурсам. Такие технологии сокращают риски информационной безопасности, дополняя или заменяя пароли. Поддерживаются различные способы аутентификации, за счет этого Indeed AM адаптируется к требуемым сценариям доступа и в каждом конкретном случае предлагает пользователям оптимальную технологию аутентификации.
Помимо различных технологий аутентификации, Indeed AM использует широкий спектр технологий интеграции, которые позволяют подключить целевые приложения к системе аутентификации. Такие технологии включают реализацию подхода Single Sign-On (web и enterprise sso), стандартизированные протоколы аутентификации и агентские модули. Indeed Access Manager позволяет организовать контролируемый доступ к информационным ресурсам как из внутренней сети компании, так и к системам, доступным из внешней сети, таким как почта, VPN, VDI и web-порталы.
Такой подход позволяет построить централизованную систему предоставления доступа, которая охватывает все используемые целевые системы, минимизирует количество обращений пользователей в службу help desk, сокращает расходы на сопровождение инфраструктуры и повышает эффективность работы пользователей.
В основе платформы лежат базовые модули, которые обеспечивают функционирование серверной инфраструктуры и инструментов управления. К базовым модулям Indeed AM относятся:
Сервер аутентификации и управления Indeed AM. Сервер является ядром системы и обеспечивает функционирование всей системы, он выполняет аутентификацию пользователей и реализуют бизнес-логику решения. Сервер представляет собой ASP .Net приложение и поддерживает установку в режиме кластера, позволяя обеспечить высокий уровень производительности и отказоустойчивости вне зависимости от масштабов внедрения.
Хранилище данных. Все данные системы хранятся в едином хранилище, к которому напрямую обращается только сервер. Хранение и передача данных к/от сервера производится в зашифрованном виде. Хранилище может быть расположено либо в каталоге Active Directory (расширение схемы не производится), либо в SQL СУБД.
Журнальный сервер. Все события изменения настроек и получения доступа фиксируются в едином журнале, который расположен на выделенном сервере. Журнал может хранится в формате Windows Event Log, либо в собственном формате Indeed AM в SQL СУБД, кроме этого, поддерживается отправка событий в торонний журнал по протоколу syslog.
Консоль администратора выполнена в формате web-приложения, в котором можно посмотреть и изменить параметры системы и настройки пользователей, а также просмотреть журнал системы.
Сервис самообслуживания дает возможность пользователям зарегистрировать или изменить аутентификационные данные (смарт-карты, генераторы одноразовых паролей, отпечатки и др.).
Провайдеры аутентификации обеспечивают Indeed AM возможность работы с технологиями аутентификации пользователей. Провайдер аутентификации предоставляет системе унифицированный интерфейс для выполнения операций по работе с конкретной технологией аутентификации: получение аутентификационных данных для хранения и проверки, а также верификацию (проверку) данных. Indeed Access Manager поддерживает следующие технологии аутентификации:
- Криптографические смарт-карты и USB носители, такие как Рутокен, eToken, JaCarta и др.
- Бесконтактные RFID карты (используемые в качестве пропуска в СКУД системах) форматов EM-Marin, HID iClass, HID Proximity, Mifare.
- Аппаратные и программные токены генерации одноразовых паролей по протоколам OATH TOTP и HOTP.
- Одноразовые коды, высылаемые по SMS или Email.
- Биометрические технологии - отпечатки пальцев, рисунок вен ладони, изображение лица.
- Out-of-band аутентификация с использованием мобильного приложения и push-уведомлений на базе продукта Indeed AirKey Cloud (Indeed AKC).
- Различные технологии можно объединять в один способ аутентификации, реализуя таким образом мультифакторную аутентификацию (MFA).
Политики доступа определяют какие технологии и для каких систем должны быть использованы, а также какие права есть у операторов и администраторов системы.
Каждый модуль интеграции может использоваться отдельно и предназначен для решения конкретной задачи по защите доступа и аутентификации пользователей. Модули спроектированы для совместной работы, что позволяет создавать любые конфигурации системы аутентификации, адаптируя ее под текущие нужды и ландшафт информационных систем предприятия.
Программный комплекс Indeed Access Manager включает в себя следующие модули интеграции с целевыми информационными системами:
Indeed AM Windows Logon
Indeed AM Windows Logon (Windows Logon) представляет возможность получать доступ в Windows с использованием технологий строгой аутентификации в среде Microsoft Active Directory. Для этого на рабочие места пользователей устанавливается агент Windows Logon. Инсталлятор агента реализован как стандартный пакет установщика MSI (Microsoft Windows Installer). Это позволяет оперативно производить установку и обновление системы в массовом порядке с использованием различных инструментов, таких как групповые политики Active Directory, Microsoft System Center Configuration Manager (SCCM) и др.
Для интеграции с операционной систеомй Windows используются стандартный механизм для реализации собственного интерфейса аутентификации пользователей - Credentials Provider. Данная технология позволяет сторонним разработчикам интегрировать собственные технологии аутентификации с интерфейсом Windows, предоставляет возможность не только выполнять вход в Windows с помощью технологии Indeed AM, но и аутентифицироваться с помощью Indeed Access Manager внутри ОС, например, при доступе к доменным ресурсам, веб-приложениям и др.
В Windows Logon поддерживаются все технологии аутентификации, доступные в Indeed Access Manager (смарт-карты, RFID карты, ОТР, биометрия и др.).
Indeed AM RDP Windows Logon
Модуль Indeed AM RDP Windows Logon (RDP Windows Logon) используется для реализации двухфакторной аутентификации при подключениях по протоколу RDP. В этом случае первым фактором выступает доменный пароль, а вторым - одноразовый пароль (one-time password, OTP) или подтверждение входа в мобильном приложении Indeed AirKey Cloud. ОТР может быть либо сгенерирован на стороне пользователя в приложении на смартфоне или с помощью специального брелока (ОТР-токена), либо отправлен ему по SMS или Email.
RDP Windows Logon следует устанавливать на конечный терминальный сервер, куда выполняет вход пользователь. Установка каких либо компонент на клиентский ПК не требуется. Поддерживается конфигурация с Remote Desktop Gateway.
Indeed AM Enterprise Single Sign-On (Enterprise SSO)
Indeed AM Enterprise Single Sign-On (Enterprise SSO) реализует подход single sign-on для унаследованных приложений, которые не поддерживают механизмы SSO. Система централизованно хранит пароли пользователя от всех приложений, требующих ввода учетных данных и автоматически подставляет их в экранные формы, когда приложение того требует. Технология Enterprise SSO может быть применена для любых типов приложений (windows, java, web, .net), независимо от архитектуры: одно-звенная, двух-звенная, трех-звенная, “толстый” клиент, “тонкий” клиент, терминальные приложения.
Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.
Для этих целей на рабочей станции пользователя устанавливается Enterprise SSO агент, который отслеживает запуск приложений и выполняет перехват форм аутентификации, когда они появляются на экране. Агент также включает в себя расширения для популярных браузеров (Internet Explorer, Google Chrome, Mozilla Firefox), что позволяет работать с веб-приложениями
.Indeed AM SAML Identity Provider
Для организации многофакторной аутентификации и сквозного доступа в web-приложения (web single sign-on, WebSSO) используется модуль Indeed AM SAML Identity Provider (SAML IDP). Для интеграции с целевыми решениями этот модуль использует открытый международный стандарт аутентификации SAML 2.0 (Security Assertion Markup Language), что гарантирует совместимость с широким спектром коммерческих систем. Применение SAML избавляет пользователя от необходимости запоминать множество учетных данных, для доступа во все интегрированные системы требуется только один комплект учетных данных. Аутентификация выполняется централизованно на стороне SAML Identity Provider (IDP, поставщик удостоверений). Indeed AM SAML IDP выполнен в формате web-приложения и разворачивается в инфраструктуре заказчика. В процессе получения доступа, целевое приложение перенаправляет пользователя на страницу IDP для аутентификации, после чего, в случае успеха, пользователь перенаправляется обратно на целевое приложение с признаком “аутентифицирован”, где ему открывается его сессия.
Интеграция по протоколу SAML выполняется на серверной стороне, что дает возможность использовать MFA и WebSSO подход на любых устройствах, где есть браузер: ПК, смартфон или планшет.
Indeed AM SAML IDP поддерживает следующие технологии аутентификации пользователей в любых сочетаниях: доменный пароль, одноразовые пароли OATH TOTP и HOTP, одноразовые коды через SMS и EMail, out-of-band аутентификация с использованием мобильного приложения Indeed AirKey Cloud.
В контур WebSSO и MFA могут быть включены как корпоративные on-premise приложения, поддерживающие SAML (например, решения от компаний SAP, Citrix и др.), так и облачные сервисы, такие как Office 365, Salesforce, Slack, G Suite (ранее Google Apps) и другие.
Indeed AM ADFS Extension
Web-приложения на базе сервера Internet Information Services (IIS) могут быть интегрированы с программным комплексом Indeed AM с использованием механизма ADFS и компонента Indeed AM ADFS Extension. Компонент ADFS Extension реализует провайдер мультифакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор. Такой подход дает возможность интегрироваться с целевыми приложениями без их модификации: при входе в приложение пользователь перенаправляется на веб страницу аутентификации ADFS, где через провайдер аутентификации Indeed AM ADFS Extension у него запрашивается второй фактор, после успешной аутентификации пользователь возвращается в целевое приложение.
Технологию ADFS поддерживают веб-приложения Microsoft, такие как Outlook Web Access, Sharepoint, Skype for Business и др...
Indeed AM ADFS Extension в качестве второго фактора поддерживает аутентификацию с помощью одноразовых паролей OATH TOTP и HOTP, одноразовых кодов через SMS и EMail и out-of-band аутентификации с использованием мобильного приложения Indeed AirKey Cloud.
Indeed AM IIS Extension
Для аутентификации в web-приложениях, использующих Internet Information Services (IIS), и не поддерживающих механизм ADFS, нами разработан специализированный модуль интеграции Indeed AM IIS Extension. Данный модуль устанавливается на веб-сервер, где развернуто целевое приложение и позволяет обеспечить двухфакторную аутентификацию без вмешательства в его программный код. Модуль перехватывает попытки аутентификации и после ввода имени и пароля, пользователь перенаправляется на отдельную страницу, где должен подтвердить себя с помощью одноразового пароля.
Также поддерживается режим однофакторной аутентификации. Такой режим востребован для приложения Exchange ActiveSync (EAS) и позволяет исключить доменный пароль из схемы аутентификации. Для доступа к EAS в этом случае используется недоменный пароль, который по сути представляет собой так называемый application password, используемый только для EAS. Этот пароль вводится пользователем в мобильном клиенте для доступа к корпоративной почте.
IIS Extension может использоваться для любых web-приложений на базе IIS, например Outlook Web Access, RD Web Access, Exchange ActiveSync и др.
Indeed AM NPS RADIUS Extension
Indeed AM NPS RADIUS Extension (RADIUS Extension) представляет собой модуль расширения Microsoft Network Policy Server (NPS, входит в состав Windows Server) и позволяет реализовать для RADIUS-совместимых сервисов и приложений технологию двухфакторной аутентификации. Для этого требуется:
- Развернуть в сети предприятия NPS сервер, который предоставляет возможность аутентификации по протоколу RADIUS с использованием учетных данных пользователей каталога Active Directory.
- Настроить целевое приложение на аутентификацию пользователей по RADIUS протоколу на сервере NPS.
- Установить на NPS сервер расширение Indeed AM NPS RADIUS Extension, которое будет обрабатывать запросы на аутентификации и требовать от пользователя второй фактор аутентификации. Аутентификация по второму фактору выполняется на сервере Indeed Access Manager и результат проверки через NPS сервер транслируется в целевое приложение.
Аутентификация по второму фактору выполняется на сервере Indeed Access Manager и результат проверки через NPS сервер транслируется в целевое приложение.
Indeed AM NPS RADIUS Extension в качестве второго фактора поддерживает аутентификацию с помощью одноразовых паролей OATH TOTP и HOTP, одноразовых кодов через SMS и EMail и out-of-band аутентификации с использованием мобильного приложения Indeed AirKey Cloud.
Аутентификация по RADIUS протоколу может быть использована во многих VPN и VDI решениях, например, в программных продуктах компаний Cisco, Citrix, Check Point, VMWare, С-Терра.
Indeed AM API
Indeed AM API представляет собой программный интерфейс формата REST API для интеграции со сторонними системами и приложениями. API может быть использован для двух целей:
Реализация двухфакторной аутентификации. В случае, когда целевое приложение не поддерживает ни один из стандартов аутентификации, двухфакторная аутентификация может быть добавлена в него путем встраивания вызовов Indeed AM API. Такой подход может быть использован для приложений собственной или заказной разработки, когда есть возможность их доработки.
Интеграция со смежными системами. Такая интеграция позволяет реализовать дополнительные сценарии по автоматизации работы с учетными данными или контролю доступа пользователей. Примерами таких сценариев являются интеграция с системами управления правами и учетными данными пользователей (Identity Management, IDM) и системами контроля физического доступа (СКУД).
Интеграция с Identity Management системами
Интеграция позволяет в автоматическом режиме создавать и наполнять профиль доступа пользователя для модуля Indeed AM Enterprise SSO. Коннектор к IDM системе позволяет в автоматическом режиме синхронизировать учетные данные пользователей в базе данных Enterprise SSO. Учетные данные создаются при помощи IDM-коннекторов к целевым системам и тут же сохраняются в подсистеме Indeed AM Enterprise SSO, избавляя сотрудника от запоминания и ручного ввода паролей. Интеграция позволяет получить такие преимущества:
- Повышение уровня информационной безопасности компании за счет полной автоматизации жизненного цикла паролей пользователей (пароли создаются, изменяются и вводятся полностью в автоматическом режиме, без участия пользователей и администраторов)
- Минимизация шагов в предоставлении и получении доступа сотрудниками. После занесения нового пользователя в исходную систему (например, HR-систему) и выполнения синхронизации (в автоматическом режиме), пользователь получает беспарольный доступ во все необходимые ему системы.
Интеграция с СКУД
Интеграция с системами контроля и управления физическим доступом (СКУД) дает возможность Indeed AM учитывать местоположение сотрудника в момент его аутентификации. Это позволяет реализовывать, например, такие сценарии доступа:
- Разрешить доступ только при нахождении сотрудника внутри периметра здания (например, вход через проходную №1, №2 и №3);
- Разрешить доступ только в определенном кабинете (например, только в кабинете №5, не имеет значения, каким маршрутом сотрудник в него попал);
- С любого компьютера определенной зоны (например, к любому компьютеру 3 этажа).