Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации
С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.
Поддерживаемые технологии аутентификации для корпоративных приложений
Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:
- технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений;
- технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности;
- технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений;
- технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
- технология аутентификации в ОС Windows через FAM при помощи Microsoft Credential Provider;
- технология аутентификации в ОС Linux через FAM при помощи PAM Linux.
Адаптивная аутентификация с выбором подходящей цепочки проверок для различных сотрудников и данных среды
Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т.п.).
TOTP
Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.
Многофакторная аутентификация с применением смарт-карт, одноразовых кодов, сертификатов ЭП, окружения и домена
В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия).
Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.
Поддержка всех современных факторов аутентификации
Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.
Поддерживаемые факторы аутентификации:
- аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2F, доверенные устройства;
- сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП);
- одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link);
- рush-подтверждения в мессенджеры (Telegram);
- доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя;
- LDAP-аутентификация;
- система PayControl (мобильное приложение Android/iOS).
Аутентификация в облачных/SaaS-приложениях с использованием единого удостоверения сотрудника
Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т.д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.
Работа с различными источниками учетных записей
В качестве источников данных об учетных записях Avanpost FAM может использовать:
- LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap;
- решения класса Identity Management;
- внешние SAML и OAuth IDP;
- витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle;
- любые источники данных, поставляющие данные по API и шине данных;
- встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления.
Кросс-аутентификация сотрудников в доверенных ресурсах партнерских организаций за счет федерации удостоверений
Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия. Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.
Личный кабинет пользователя
Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.
Самообслуживание с управлением своими смарт-картами и сценариями восстановления
Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи. Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).
Механизм изменения и распространения пароля для унаследованных приложений
Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.
Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.