Web sso что это
Что такое SAML аутентификация и кому она нужна?
Управление доступом пользователей к облачным ресурсам представляет собой одну из основных проблем для безопасного использования облачных приложений в корпоративном окружении. С распространением многочисленных сервисных концепций SaaS, PaaS и IaaS управление политиками доступа, в том числе организация строгой аутентификации для каждого приложения создает определенную нагрузку на ИТ-подразделения предприятий. Пользователям приходится держать в памяти многочисленные логины и пароли, что неизбежно приводит к утере паролей, снижению продуктивности и раздражает пользователей. До 20% всех обращений в службу поддержки связано с восстановлением утраченных или забытых паролей.
Более того, ИТ-подразделения зачастую не владеют информацией о том, с какими именно приложениями работают конкретные пользователи, и как часто осуществляется доступ к этим приложениям, что фактически приводит к формированию теневых ИТ и снижает эффективность управления ресурсами. С точки зрения контроля доступа возникает также следующий вопрос: каким образом вы можете гарантировать, что в случае ухода сотрудника из компании он перестанет пользоваться корпоративными приложениями? Наконец, даже несмотря на наличие возможности обезопасить доступ к облачным ресурсам средствами многофакторной аутентификации, ИТ-подразделения зачастую не располагают информацией, кто из сотрудников все же позаботился об использовании такой аутентификации. В результате повышается вероятность компрометации данных, угроза фишинга, перебора паролей, взлома облачных баз данных и прочих угроз.
В отсутствие централизованных инструментов управления доступом использование облачных приложений в корпоративном окружении часто не предусматривает механизмов эффективного масштабирования, что приводит к появлению брешей безопасности, увеличению административной нагрузки, раздражению пользователей и снижению эффективности работы организации.
Управление доступом к облачным ресурсам: удостоверения в роли нового периметра безопасности
Аутентификация с использованием SAML
Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML, который предназначен для обмена данными аутентификации и авторизации между сторонами процесса. Ставший стандартом с 2002 года, SAML является разработкой Технического комитета по сервисами безопасности (Security Services Technical Committee), который работает при организации OASIS, занимающейся продвижением стандартов для работы со структурированной информацией. С помощью протокола SAML пользователи могут получать доступ ко множеству своих облачных приложений, указывая всего один логин и пароль. Такой подход получил название «федерации удостоверений», поскольку вместо запоминания целого множества логинов и паролей к каждому приложению, пользователю необходимо помнить лишь одну такую пару. При федерации удостоверений единая система, поддерживающая протокол SAML и получившая название доверенного поставщика удостоверений (Identity Provider, IdP), проводит аутентификацию пользователей, при этом облачные приложения «перекидывают» процесс аутентификации на эту IdP систему всякий раз при попытке пользователя получить к ним доступ.
Федерация удостоверений на базе протокола SAML
Федерация удостоверений и система единого входа позволяет избавиться от множества сложностей и проблем, связанных с необходимостью раздельного управления логинами и паролями для доступа к многочисленным веб-приложениям, не важно, реализованы ли они внутри организации, или являются внешними. Федерация стала возможной благодаря применению стандартов, и протокол SAML выступает в роли краеугольного камня в архитектуре и является основным стандартом для федерации удостоверений. Кроме того, широкое распространение этого протокола и рост его популярности также стали важными преимуществами SAML.
Поскольку в основе стандарта лежит язык разметки XML, SAML отличается исключительной гибкостью. Одного внедрения SAML достаточно, чтобы поддерживать подключение сервиса единого входа (single sign-on, SSO) для множества различных партнеров по федерации. Эта совместимость обеспечивает SAML определенные преимущества над другими, закрытыми механизмами единого входа, в частности, SAML позволяет организациям не ограничивать себя решениями какого-либо отдельного поставщика, дает возможность переходить с одной платформы SAML аутентификации на другую.
Чтобы продемонстрировать гибкость и совместимость SAML, в рамках инициативы Kantara была реализована программа тестирования на взаимосовместимость, когда поставщики SAML решений подтверждали возможность взаимодействия своих стандартных коробочных решений с проектами SAML других поставщиков. На сегодняшний день в списке Kantara Trust Registry представлено более 80 сертифицированных решений от многочисленных поставщиков и организаций со всего мира.
Каким образом устроена SAML аутентификация?
Аутентификация средствами SAML предусматривает возможность обмена данными учетных записей между доверенным поставщиком удостоверений (IdP) и облачными или веб-приложениями. Модель SAML аутентификации включает в себя поставщика удостоверений, который выдает ‘SAML подтверждения’ (SAML assertions) – в роли такого поставщика может выступать, например, SafeNet Authentication Service – и поставщика услуг, который принимает эти подтверждения, например, Google Apps, Office 365 или любое другое облачное приложение, поддерживающее SAML. Подтверждения SAML обычно подписываются с помощью подписи PKI, которая служит доказательством того, что подтверждение является подлинным.
Сервис аутентификации, выступающий в качестве поставщика удостоверений, получает пользовательские учетные данные и возвращает ответ тому облачному приложению, к которому осуществляется доступ. Этот ответ получил название SAML подтверждения. В зависимости от содержимого SAML подтверждения облачное приложение либо принимает, либо отказывает пользователю в доступе. Если SAML подтверждение содержит положительный ответ, то пользователь входит в систему.
Ключевым аспектом в реализации федерации удостоверений средствами SAML является привязка (mapping) пользователей к поставщику удостоверений (IdP) и поставщикам услуг, чтобы при обращении пользователя к сервисам вроде Office 365, эти сервисы понимали, на какого поставщика удостоверений им нужно перенаправить пользователя, чтобы он мог пройти процедуру строгой аутентификации.
Федерация удостоверений для централизованного управления доступом пользователей
SAML позволяет распространить сферу применения имеющихся корпоративных учетных записей пользователей и на облачные приложения. Благодаря федеративной системе проверки подлинности удостоверений пользователи могут полностью обойтись без запоминания многочисленных логинов и паролей. Они смогут получать доступ ко всем своим облачным приложениям, используя одну и ту же корпоративную учетную запись, то есть ту же самую учетную запись, указывая которую они каждое утро входят в сеть.
С точки зрения пользователей федеративная система проверки удостоверений на базе SAML работает максимально органично и незаметно. В SAML используются cookie-файлы, благодаря чему после входа в Office 365 пользователю не требуется проходить повторную аутентификацию при входе в другие облачные приложения в новых вкладках браузера, например в Dropbox, WordPress, Salesforce и т.д.
Преимущества федерации удостоверений на базе протокола SAML
Помимо того, что SAML аутентификация помогает избавить пользователей от необходимости запоминания множества логинов и паролей, эта технология позволяет ИТ-администраторам управлять лишь одной парой учетных данных на пользователя для всех приложений. Поэтому при увольнении сотрудника из организации, ИТ-подразделению достаточно аннулировать лишь одну пару логина и пароля. При этом учетную запись можно аннулировать без необходимости входа в каждое отдельное облачное приложение. Автоматизированные скрипты позволяют минимизировать административную нагрузку на ИТ-подразделения за счет синхронизации с системами хранения учетных записей пользователей, такими как MS SQL или Active Directory.
Если представить ИТ-инфраструктуру в виде офисного здания, то федеративная система проверки подлинности удостоверений с помощью SAML могла бы обеспечить сотрудникам компании более простой и удобный доступ к различным зонам этого здания – к кабинетам, конференц-залу, зоне отдыха, столовой и т.д. – с помощью всего одной карты доступа вместо того, чтобы иметь отдельные карты на каждую комнату.
Представляем интеграцию единого входа через веб (Web SSO) и объединения удостоверений (identity federation)
Недавно компания Red Hat выпустила новый сервер единой идентификации на основе технологий Keycloak. Теперь вы можете пользоваться готовым и полностью поддерживаемым поставщиком удостоверений на основе SAML 2.0 или OpenID Connect, который связывает корпоративный каталог пользователей или стороннего поставщика удостоверений с вашими приложениями при помощи стандартных маркеров. Keycloak — это система нового поколения, которая заменяет технологию PicketLink связующего программного обеспечения JBoss. В будущем Keycloak обеспечит единый вход в Red Hat Cloud Suite и такие системы управления, как Red Hat Satellite.
Обзор возможностей
По сути, Keycloak — это поставщик удостоверений на основе SAML 2.0 или OpenID Connect; его возможности и настройка подробно описаны на портале для пользователей.
Поддержка клиентов
В состав Keycloak входит центральный сервер идентификации, к которому клиенты, имеющие соответствующий адаптер или модуль, подключаются с помощью конфигурации управления удостоверениями.
Keycloak поддерживает множество различных клиентов, в числе которых:
● Red Hat JBoss Enterprise Application Platform версий 6.4 и 7.0;
● Red Hat JBoss Fuse 6.2 (в виде ознакомительной технической версии);
● Red Hat Enterprise Linux 7.2 (с помощью модуля mod_auth_mellon для SAML 2.0).
Интеграция удостоверений
Keycloak можно использовать для интеграции пользователей с помощью служб каталогов на основе LDAP, в числе которых:
● Microsoft Active Directory;
● RHEL Identity Management.
Keybloak также поддерживает Kerberos на основе SPNEGO при использовании Microsoft Active Directory и RHEL Identity Management.
Работа с посредниками по авторизации
Keycloak интегрируется с поставщиками входа в системы через социальные сети, в том числе:
● Facebook;
● Google;
● Twitter.
Интерфейсы администрирования
Управлять сервером Keycloak, областями идентификации и клиентами можно с помощью веб-интерфейса или набора REST API. Это позволяет решать весь комплекс задач при проектировании среды идентификации, в том числе назначать роли пользователям, регистрировать клиентов, интегрировать пользователей и обеспечивать авторизацию через посредников.
Цикл подписки и поддержки
На текущий момент единая идентификация пользователей доступна в составе пакета JBoss Core Services Collection с 3-летним циклом поддержки. Мы планируем предлагать систему единой идентификации пользователей на основе Keycloak в виде службы платформы контейнеров Red Hat OpenShift Container Platform и платформы приложений Red Hat Mobile Application Platform, а также в виде интегрированного поставщика удостоверений для платформы Red Hat OpenStack Platform.
В долгосрочной перспективе Keycloak станет центральным компонентом идентификации пользователей и клиентов, а также интеграции поставщиков удостоверений. Он охватит существующую инфраструктуру, в том числе внутренние каталоги пользователей или внешних облачных поставщиков удостоверений (например, социальные сети) и обеспечит единый вход в продукты Red Hat и интеграцию удостоверений.
Принцип единого входа (Single sign-on)
Начнем с представления более строгого определения SSO :
Это определение взято с Web-сайта компании The Open Group по адресу:
Ключевым моментом здесь является то, что пользователю требуется войти в систему (пройти аутентификацию) для подключения к приложению только один раз, причем в контексте этой же сессии нет необходимости проходить аутентификацию повторно при доступе к другому приложению или серверу.
Этот подход предполагает появление определенного количества важных преимуществ, но имеет также и некоторые недостатки. Преимуществами для конечных пользователей являются следующие положения:
Преимущества для администраторов безопасности включают:
Потенциальные недостатки SSO :
7.1 Методы SSO
Все методы SSO должны быть направлены на решение трех проблем:
В этом разделе мы обсудим четыре основных метода, используемых для поддержки SSO со стороны различных серверов и приложений. Для каждого из методов SSO мы опишем технические функции, а также специфические проблемы и зависимости, связанные с каждым отдельным методом.
7.1.1 Единый пароль или SSO
Чтобы иметь единый пароль несмотря на то, что каждое приложение использует специализированное хранилище для ID и пароля ( credentials store ), идентификаторы ( ID ) пользователей и пароли должны быть каким-то образом синхронизированы. Так как же можно синхронизировать пароли в различных хранилищах (каталогах)? Самый простой ответ, это пользователи могут вручную поддерживать идентичность своих logon-имен и паролей для различных систем, если у них есть на это соответствующие полномочия. Конечно, это без сомнения, самый недружелюбный к пользователю подход, потому что нагрузка в этом случае полностью ложится на него. Могут ли пароли быть синхронизированы программно? В некоторых случаях могут, хотя на самом деле процесс синхронизации представляет из себя одновременную смену паролей.
Одновременные изменения паролей
Большинство процессов «синхронизации» паролей технически являются процессом одновременного изменения паролей, происходящим в фоновом режиме. К примеру, если вы разрешили синхронизацию паролей Notes и Windows, то при изменении вами своего пароля в Notes введенный новый пароль временно сохраняется в буфере, после чего автоматически передается процессу изменения пароля Windows в фоновом режиме. Процесс очень похож на процесс синхронизации пароля Notes и Domino интернет-паролей. Одновременное изменение эффективно там, где вам необходимо набрать пароль только один раз, и он автоматически будет передан второй парольной системе.
Синхронизация паролей
С точки зрения обеспечения безопасности, возможность синхронизации значения пароля из хранилища, непременно связано с возникновением очень нежелательных слабых мест в системе безопасности. Слабым местом в этом случае была бы возможность извлечения версии пароля пользователя в виде открытого текста для того, чтобы его можно было записать в другой каталог. Безопасные хранилища входных данных не хранят пароль в виде открытого текста, скорее они хранят хеш или зашифрованную версию пароля. Алгоритм хеширования не должен быть реверсивным. Так, чтобы у нас не было возможности прочитать из каталога значение хеша и конвертировать его в текст. А если мы просто перепишем хешированый пароль из одного каталога в другой, то второй каталог будет иметь «хеш»-значение пароля, которое не сможет быть воспроизведено в исходный пароль, и поэтому никогда не пройдет процесс аутентификации или «связывания» ( «bind» ).
Если каталог предусматривает доступ администратора или программы для получения пароля в виде открытого текста, это не является безопасным.
Avanpost Web SSO
Содержание
Avanpost Web SSO — система управления аутентификацией пользователей в корпоративных ресурсах, SaaS-сервисах и облачных продуктах. Продукт позволяет реализовать в масштабах как крупной территориально распределенной организации, так и сети взаимодействующих предприятий (деловые сети, корпоративные, региональные, отраслевые и проектные кластеры) полный комплекс функций обычной и многофакторной аутентификации пользователей информационных систем (ИС), а также безопасного входа последних во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO).
2021: Обеспечение биометрической аутентификации на носимых устройствах по стандарту WebAuthn
27 октября 2021 года компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, сообщила, что две ее системы теперь поддерживают биометрическую аутентификацию в подключенных к ним приложениях, которая происходит с использованием биометрических считывателей на пользовательских устройствах и подключаемых веб-токенов WebAuthn/FIDO U2F. Подробнее здесь.
Интеграция с PayControl
Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах (Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года. Подробнее здесь.
Avanpost Web SSO 2.5
23 сентября 2020 года компания Аванпост, российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), сообщила о выпуске этапного обновления системы однократного входа в корпоративную информационную систему Avanpost Web SSO, поддерживающей современные архитектуры прикладного ПО, включая мобильные приложения, ПО с Web-интерфейсом, а также унаследованное ПО, работа с которым реализована по принципу Reverse Proxy.
По информации компании, часть обновленных возможностей Avanpost Web SSO 2.5 связана с механизмом Reverse Proxy: помимо ранее существовавших способов аутентификации HTTP Basic и Web Form, добавлена поддержка сценариев аутентификации на языке JavaScript. Вследствие этого Avanpost Web SSO теперь поддерживает аутентификацию в веб-приложениях и порталах различной сложности, причём для этого не требуется перерабатывать унаследованное приложение, так как Avanpost Web SSO способен подстроиться под особенности веб-приложения.
Ещё одно важное изменение состоит в существенном расширении функциональности программной синхронизации, реализованной с помощью механизма очередей, а также с появлением поддержки шин Apache Kafka, NATS.io и компактного протокола gRPC. Эти инструменты доступны буквально «из коробки», что упрощает интеграцию Avanpost Web SSO в ИТ-инфраструктуру современных информационных систем.
Улучшения внесены в функциональность и эргономику личного кабинета пользователя. Здесь обновленные возможности позволяют передать Avanpost Web SSO наиболее распространённые задачи самообслуживания, включая как управление безопасностью своего аккаунта, так и навигацию по доступным пользователю ресурсам и сервисам (прямо из пользовательского интерфейса личного кабинета). Возникающая при этом интеграция на уровне механизмов аутентификации упрощает взаимодействие Avanpost Web SSO с ИТ-ландшафтом и позволяет в кратчайшие сроки получить готовые к использованию ИТ-решения.
Кроме того, расширены границы самообслуживания при управлении паролями и другими факторами аутентификации, причём пользователи могут самостоятельно определять приемлемый уровень безопасности своего аккаунта в границах, заданных администратором системы.
Разработчики Avanpost Web SSO 2.5 повысили гибкость и адаптивность сценариев аутентификации, сохранив простоту и удобство использования функций. С помощью правил, которые можно определить для каждого шага процесса, стало несложно настраивать даже весьма сложные алгоритмы, где шаги аутентификации динамически выполняются или пропускаются на основании различных данных, включая параметры сетевого окружения пользователя. Avanpost Web SSO теперь поддерживает парольные политики, позволяющие задать минимальные и максимальные сроки действия паролей, а также требования к их длине, составу символов, истории изменений и др. Администраторы получили возможность формировать политики автоматической блокировки аккаунта, обработки попыток входа в аккаунт с определённого устройства, задавать реакцию на подбор данных идентификации и аутентификации. Исключить неправомерный доступ к административной консоли и личному кабинету позволяет опция автоматического завершения сессии при обнаружении открытого, но не активного интерфейса.
В Avanpost Web SSO 2.5 расширены возможности аудита работы системы. В частности, эта версия научилась автоматически фиксировать различные события безопасности, связанные с аутентификацией. При этом сообщения записываются сразу в нескольких форматах (syslog и JSON), что упрощает интеграцию с любыми системами журналирования и с SIEM-решениями.
2019: Поддержка мультиязычности
3 сентября 2019 года стало известно, что компания Аванпост — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — встроила универсальный механизм локализации в последние версии своих программных продуктов Avanpost IDM и Avanpost WebSSO, что сделало их пользовательские интерфейсы мультиязычными. Подробнее здесь.
Avanpost SSO 2.0
23 октября 2018 года компания Аванпост объявила о выпуске Avanpost SSO 2.0 — этапного релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).
Изменения, включенные в данный релиз, по словам разработчика, расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также позволили одинаково эффективно реализовать аутентификацию как для современного ПО, так и для унаследованных систем.
Avanpost Web SSO — это системообразующее ПО, позволяющее крупной территориально распределенной организации или сети взаимодействующих предприятий (кластеру, деловой сети, расширенной цепочке поставок и др.) реализовать полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации. Построенная на базе Avanpost Web SSO единая система аутентификации охватывает все средства взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные веб-ресурсы, страницы которых динамически обращаются к информационным системам одной или нескольких организаций. При этом Avanpost WebSSO способен эффективно поддерживать ИС с миллионами пользователей, утверждают в Аванпост.
Среди изменений Avanpost Web SSO 2.0 разработчик отметил поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. В релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.
Множественные идентификаторы пользователей позволяют им входить в систему не только по логину, но и по любым другим разрешенным заказчиком уникальным ключам, например, по номеру телефона, e-mail, СНИЛС и др. Под каким бы индикатором ни вошел в систему пользователь, ему будет доступен один и тот же набор приложений. Кроме того, каждому приложению Avanpost Web SSO 2.0 передаёт именно тот идентификатор и в том формате, который оно ожидает. Это позволяет подключать к единой системе аутентификации приложения, использующие разные варианты идентификации пользователей и имеющие собственные базы идентификаторов, которые надо сохранить. Такая ситуация характерна для унаследованного ПО, отметил разработчик.
Система аутентификации и SSO для нового и унаследованного ПО
Для эффективной работы корпоративной системы аутентификации как с современным ПО принципиальное значение имеет поддержка в Web SSO 2.0 двух совершенно разных способов аутентификации. Начиная с первого релиза, в Avanpost Web SSO была реализована аутентификация через identity provider. В такой схеме система Web SSO участвует только в самом процессе аутентификации, по завершении которого никакого взаимодействия с прикладным ПО больше не происходит. Соответственно, система аутентификации, использующая эту схему, наиболее устойчива и наименее нагружена.
Avanpost Web SSO 2.0 получила также возможность работать и в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное, подчеркнул разработчик.
Возможность совместного использования обеих схем, предоставляемая Avanpost Web SSO 2.0, позволяет заказчикам эффективно работать как с новыми, так и с унаследованными приложениями, поддерживая оптимальный жизненный цикл корпоративной системы аутентификации и SSO. В Avanpost считают, что использовать одну технологическую платформу проще и удобнее, чем комбинировать и развивать независимые системы аутентификации.
Система управления данными
Ещё одно изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.
Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила подобные проблемы без побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.
В релизе Avanpost Web SSO разработчиком отмечены и менее масштабные изменения, влияющие на удобство использования и функциональность продукта. В представленной версии поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.
Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.
При подготовке Avanpost Web SSO 2.0 компания Аванпост применила собственные методики дозирования изменений, включаемых в этапные и минорные обновления своих продуктов. Это изменение, введенное в связи с переходом на технологии Agile, упрощает освоение новых версий пользователями и администраторами продуктов линейки Avanpost, считает разработчик.
Описание продукта
Особенности (на сентябрь 2018 года):
Список поддерживаемых средств аутентификации:
На сентябрь 2018 года в Avanpost SSO поддерживаются различные факторы аутентификации, такие как:
Механизм изменения и распространения пароля
Avanpost SSO интегрируется с целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.
Включение в реестр российского ПО
В январе 2018 года компания Аванпост объявила о том, что программный продукт Avanpost Web SSO включен в единый реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер 4049). Теперь в него входят все программные продукты Avanpost (Web SSO, IDM, PKI и SSO), что позволяет, соблюдая требования действующего законодательства РФ, применять их по отдельности и в любых сочетаниях в государственных структурах (включая ФОИВы), силовых ведомствах, госкорпорациях и муниципальных образованиях. Включение Web SSO в реестр российского ПО важно и для коммерческих организаций, которые формируют свои технологические платформы с учетом политики импортозамещения.
2017: Анонс Avanpost Web SSO
Единая система аутентификации и SSO, созданная посредством Avanpost WebSSO, охватывает все механизмы взаимодействия пользователей с современными ИС:
Avanpost WebSSO ориентирован на поддержку ИС с миллионами пользователей.
Разработка «из коробки» поддерживает три сценария аутентификации и реализации SSO в крупных ИС:
В первом сценарии упрощается разработка приложений (т.к. в них не нужно запускать подсистемы управления информацией о пользователях), сохраняется управляемость при осознанной децентрализации ИС, вводимой для повышения гибкости.
Во втором случае повышается уровень безопасности взаимодействия больших групп компаний и крупных деловых сетей. Это связано с тем, что организация федеративной аутентификации сложна.
При переходе на SaaS-архитектуру организация может создавать внутренние приложения в частном облаке и безопасно использовать услуги хостинг-провайдеров, не передавая вовне свои данные о пользователях. Взаимодействие внешних и внутренних SaaS-приложений с сервисом Avanpost WebSSO основано на открытых стандартах (SAML, OAuth и др.).
Avanpost WebSSO обеспечивает комплекс сервисов аутентификации. Использование этого ПО в связке с программным продуктом Avanpost IDM позволяет автоматизировать управление каталогом учетных данных системы WebSSO, связанной с ней посредством LDAP-коннектора. При аутентификации Avanpost WebSSO может получать атрибуты авторизации непосредственно из IDM-системы. Кроме того, из IDM может передаваться и информация о ролях (для этой информации в SAML есть стандартный протокол). Всё это позволяет не хранить в системе WebSSO информацию о пользователях (включая атрибуты аутентификации). Это упрощает администрирование функций аутентификации, исчезает возможность ошибок и злоупотреблений.
Avanpost WebSSO обеспечивает комплекс функций аутентификации и SSO как для информационных систем на основе технологий и продуктов зарубежных вендоров, так и для импортонезависимых ИТ-решений.
Технологический стек платформы Avanpost WebSSO, включая язык программирования, дополнительные библиотеки и фреймворки имеет реализации для Linux и Windows. Исходный код Avanpost WebSSO может переноситься между этими платформами. Однако, заявили разработчики, на 20 марта 2017 года предпочтительная среда исполнения Avanpost WebSSO — Linux.
ПО доступно по двум схемам лицензирования: по числу пользователей и процессорным ядрам.
Единая точка аутентификации и управления аутентификационными данными, созданная с помощью Web SSO, дает преимущества представителям всех целевых сегментов. В случае крупных государственных и муниципальных структур происходит унификация обслуживания внутренних пользователей, подведомственных учреждений и подрядчиков. Крупные коммерческие организации повышают безопасность и удобство своих ИС для пользователей на фоне расширяющегося набора каналов коммуникации (через Web-сайты, мобильные приложения, веб-сервисы и др.), роста популярности предоставления услуг через интерактивные Web-сайты и мобильные приложения, усложнения портфеля услуг (например, в банковской сфере), а также передачи различных функций на аутсорсинг и необходимости встраивать механизмы доступа к ИС партнеров в свои коммуникационные инструменты. А крупным муниципальным образованиям, развивающим мощные порталы-агрегаторы услуг, важны все вышеперечисленные преимущества.