Простая регистрация клиентов и вход в систему благодаря технологии федерации удостоверений (Identity Federation)
Решение Avanpost Web SSO в режиме Identity Federation позволяет сделать регистрацию клиентов по-настоящему простой и прозрачной, объединив в рамках одного клиентского мультиаккаунта в Avanpost Web SSO различные аккаунты от внешних Identity Provider. А личный кабинет позволит пользователям самостоятельно управлять связью между аккаунтами. Также для пользователей, которые одновременно обращаются к различным поставщикам учетных данных, можно настроить правило автоматической ассоциации аккаунтов в один мультиаккаунт, тем самым избежав дублирования клиентских учетных записей.
Поддержка множества источников учетных записей
В качестве источников данных об учетных записях Avanpost Web SSO может использовать:
- внешние SAML и OAuth/OpenID Connect в режиме федеративной аутентификации с использованием внешних IDP;
- решения класса Identity Management (IDM);
- витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle;
- любые источники данных, поставляющие данные по Swagger API/gRPC и шине данных Apache Kafka;
- встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления;
- LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap.
Единый личный кабинет самообслуживания для доступа в порталы и приложения с самостоятельным управлением защитой аккаунта
В личном кабинете Avanpost Web SSO клиент сразу же может перейти в необходимый ему портал из перечня доступных ему приложений. Ему не придется проходить аутентификацию в каждом из приложений – система прозрачно аутентифицирует пользователя в запрошенном приложении. Для контроля над защитой аккаунта и снижения нагрузки на службу технической поддержки клиент может самостоятельно восстанавливать доступ к аккаунту и управлять своими средствами защиты:
- факторами аутентификации, такими как пароли, приложения-аутентификаторы (TOTP/HOTP), смарт-карты (FIDO U2F), биометрия и сертификаты (ЭП);
- контактными данными для реализации беспарольных методов аутентификации и подтверждения операций посредством одноразовых кодов и одноразовых ссылок (посредством SMS и E-mail);
- сценариями восстановления доступа к аккаунту, сброса пароля и т.д.;
- персональными данными и другими параметрами аккаунта клиента.
Интерфейс личного кабинета пользователя
В состав Avanpost Web SSO входит интерфейс личного кабинета пользователя, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений с иконками. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация о его профиле с возможностью редактирования личных данных.
Управление сессиями клиентов во всех приложениях и отслеживание фактов и факторов аутентификации
Avanpost Web SSO позволяет завершить пользовательские сессии в приложениях в случае компрометации учетных данных или обнаружения неправомерного доступа к какому-либо ресурсу. Система журналирует все попытки аутентификации и фиксирует все факторы, которые были предъявлены при каждой попытке. Поэтому в случае обнаружения факта компрометации администратор может не только завершить сессии в требуемых приложениях, но и заблокировать скомпрометированные факторы. Решение может быть легко интегрировано с решениями SIEM и антифрод для автоматизации обнаружения инцидентов.
Поддержка всех современных факторов аутентификации
Avanpost Web SSO поддерживает весь арсенал современных факторов аутентификации, включая ключевые носители, биометрические считыватели и считыватели меток, работающие по технологиям FIDO U2F/UAF. Пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.
Поддерживаемые факторы аутентификации:
- аппаратные токены, смарт-карты, биометрические считыватели с поддержкой FIDO U2F/UAF (Рутокен, JaCarta, Feitian) и WebAuthn;
- сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП);
- одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link);
- рush-подтверждения в мессенджеры (Telegram);
- система PayControl (мобильное приложение Android/iOS).
Защита ресурсов за счет использования адаптивной многофакторной аутентификации
Avanpost Web SSO позволяет настроить использование дополнительных факторов аутентификации как для всех, так и для конкретных веб-приложений. Решение дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий клиентов, приложений и условий (например, задать особые правила для доступа с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на токене и т.п.).
TOTP
Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.
Поддержка аутентификации как в современных on-premise, SaaS и мобильных приложениях, так и в унаследованных веб-приложениях
Технологии аутентификации в составе Avanpost Web SSO:
- технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных мобильных и веб-приложений;
- технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности.
Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.