Компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — официально объявляет о начале продвижения на российском рынке своего нового программного продукта — Avanpost Web SSO.
Это сиcтемообразующее ПО уровня предприятия позволяет реализовать в масштабах крупной территориально распределенной организации или сети взаимодействующих предприятий (деловой сети) полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO). При этом единая система аутентификации и SSO, созданная с помощью Avanpost Web SSO, охватывает все механизмы взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложноорганизованные Web-ресурсы, страницы которых открывают доступ к информационным системам одной или нескольких организаций.
Кроме того, применение Avanpost Web SSO значительно упрощает внедрение импортозамещающих ИТ-решений и управление их жизненным циклом.
По универсальности, набору функций, масштабируемости, простоте администрирования и разнообразию поддерживаемых видов ПО и информационных ресурсов новая разработка Аванпост не имеет аналогов на отечественном ИТ-рынке, превосходя как конкурирующие западные проприетарные продукты от ведущих мировых ИТ-компаний, так и разработки международного сообщества Open Source.
Avanpost Web SSO способен эффективно поддерживать ИС с миллионами пользователей. Так, независимое нагрузочное тестирование, проведенное у крупного федерального заказчика на инфраструктуре с пятью миллионами учетных записей, показало, что Avanpost Web SSO обеспечивает обработку потока запросов на уровне 1.5 тыс. аутентификаций в минуту со средним временем отклика менее трех секунд на конфигурации, состоящей из двух виртуальных серверов, в то время как конкурирующее решение от IBM (TFIM — Tivoli Federated Identity Manager) смогло обеспечить сопоставимые результаты на конфигурации, состоящей из 8 аналогичных виртуальных серверов и внешнего аппаратного балансировщика. При сопоставимой стоимости серверных лицензий на оба решения это означает, что заказчик, выбирая российскую разработку, по крайней мере втрое снижает свои расходы на закупку решения (выгода оказывается еще выше, если учесть и снижение расходов на серверное оборудование и операционные системы).
Особо подчеркнем, что новая разработка компании Аванпост прямо «из коробки» поддерживает три наиболее важных для современного российского ИТ-рынка сценария аутентификации и реализации SSO в крупных ИС: общий сервис аутентификации для множества приложений крупной централизованной организации; федеративная аутентификация, когда пользователи находятся в нескольких взаимодействующих организациях, а сервис аутентификации предоставляет одна из них; аутентификация в SaaS-приложениях, необходимая организациям, переводящим свои ИС на инфраструктуру частных облаков. При этом в первом сценарии резко упрощается разработка приложений (т. к. в них не нужно реализовывать подсистемы управления информацией о пользователях), а также сохраняется управляемость при осознанной децентрализации ИС, вводимой для повышения гибкости. Во втором случае существенно повышается уровень безопасности взаимодействия больших групп компаний и крупных деловых сетей. Это связано с тем, что сегодня федеративная аутентификация реализуется чрезвычайно сложно, а Avanpost Web SSO является управляемым, надежным и технически эффективным решением. Наконец, при переходе на SaaS-архитектуру организация может не только создавать внутренние приложения в частном облаке, но и безопасно использовать услуги хостинг-провайдеров, не отдавая им свои данные о пользователях. При этом взаимодействие внешних и внутренних SaaS-приложений с сервисом Avanpost WebSSO основано на открытых стандартах (SAML, OAuth и др.) [1].
Все это делает новый продукт Аванпост чрезвычайно актуальным для широкого спектра российских заказчиков: госструктур федерального и регионального масштаба, крупных муниципальных образований, госкорпораций, ведущих российских банков и финансовых организаций, интернет-компаний, а также коммерческих предприятий, корпораций и холдингов из верхней части сегмента Enterprise.
Востребованность функций Avanpost Web SSO различными категориями заказчиков
Для крупных государственных и муниципальных структур исключительно важна возможность иметь единую точку аутентификации и управления аутентификационными данными для внутренних пользователей, подведомственных учреждений и подрядчиков. Кроме того, при использовании Avanpost Web SSO (как самостоятельного решения или в связке с Avanpost IDM) резко упрощается администрирование каталога пользователей и снижаются затраты на этот процесс. При этом можно одинаково эффективно реализовать любой вариант управления — от полностью централизованной службы каталогов до федеративной аутентификации через множество каталогов, принадлежащих разным учреждениям. Особо отметим, что для этой категории заказчиков принципиальный характер имеет также значительное упрощение управления жизненным циклом информационных систем, претерпевающих длительный и сложный процесс перехода к импортонезависимым решениям. И новая разработка Avanpost Web SSO (как и Avanpost IDM) может в этом существенно помочь (см. ниже).
Для банков на первое место выходят единая точка аутентификации для расширяющегося множества каналов коммуникации с клиентами (через Web-сайты, мобильные приложения, веб-сервисы и др.), происходящего на фоне усложнения портфеля банковских услуг и растущей роли обслуживания частных и корпоративных клиентов через Интернет, повышения требований к системам мобильного банкинга. Большое значение в настоящее время и в перспективе имеют многофакторая аутентификация с применением механизмов SMS, одноразовых паролей с ограниченным временем жизни (Time-based One Time Password Algorithm, или TOTP) и электронной подписи (ЭП), а также простота реализации сценариев авторизации с использованием дополнительных факторов. Сложность таких ИТ-решений и высокие требования к их безопасности повышают роль упрощения и автоматизации администрирования учетных записей клиентов, также обеспечиваемого Avanpost Web SSO.
Для интернет-площадок (крупные интернет-магазины, провайдеры и агрегаторы информационных услуг и SaaS-приложений, платформы marketplace) сегодня важны такие возможности Avanpost SSO, как аутентификация с использованием внешних провайдеров (Google, Яндекс, Facebook и т. п.), а также организация единой точки аутентификации и управление каталогом учетных записей для портальных решений, состоящих из множества приложений, предоставляемых одним или несколькими провайдерами. Не меньшее значение для этой категории заказчиков имеет способность Avanpost SSO обслуживать большое число пользователей, справляясь как с пиковыми нагрузками, так и с длительной работой в высоконагруженном режиме.
Наконец, любым крупным компаниям Avanpost Web SSO дает аналог корпоративного SSO (со всеми его преимуществами) для их сотрудников (в интранет), партнеров (в экстранет) и клиентов (в Интернет). Кроме того, при использовании облачных решений не требуется ни дублирование каталога пользователей в облаке, ни предоставление аутентификационной информации третьей стороне. Весьма актуальна также технология многофакторной аутентификации. А для корпораций и холдингов, наряду с перечисленными функциями, чрезвычайно важна федеративная аутентификация, причем для этого нет необходимости поддерживать общий каталог пользователей.
Avanpost Web SSO в связке с IDM-системой
Avanpost Web SSO — это самодостаточный программный продукт, обеспечивающий весь комплекс сервисов аутентификации. Однако использование этого ПО в связке с программным продуктом Avanpost IDM позволяет полностью автоматизировать управление каталогом учетных данных системы Web SSO, являющимся для IDM одной из управляемых систем, связанной с ней через стандартный LDAP-коннектор. При аутентификации Avanpost Web SSO может получать аторизационные атрибуты непосредственно из IDM-системы. Кроме того, из IDM может передаваться и информация о ролях (для этой информации в SAML есть стандартный протокол). Всё это позволяет вообще не хранить в системе Web SSO информацию о пользователях (включая аутентификационные атрибуты). В результате не только упрощается администрирование функций аутентификации, но и исчезает сама возможность ошибок и злоупотреблений в этой области. А это критически важно для уровня информационной безопасности всей информационной системы.
Импортозамещение и жизненный цикл ИС
Особо подчеркнем, что Avanpost Web SSO одинаково эффективно обеспечивает весь комплекс функций аутентификации и SSO как для информационных систем, построенных на основе технологий и продуктов западных вендоров, так и для импортонезависимых ИТ-решений. Это позволяет существенно упростить управление функциями аутентификации и SSO, а также миграцию аутентификационных данных в течение всего переходного периода, когда замещаемые и замещающие решения (ОС, СУБД, другое инфраструктурное и прикладное ПО) должны гладко сосуществовать, а соотношение между ними постепенно меняется.
Наиболее сложна замена операционных систем уровня предприятия и службы каталогов, в Windows-инфраструктуре это Microsoft Active Directory (MS AD), аналогом которой в мире OpenSource является Samba DC. Avanpost Web SSO и Avanpost IDM нетрудно интегрировать как с этими службами каталогов (Samba DC и поддержка MS AD интегрированы в ОС АЛЬТ компании «Базальт СПО» — первую российскую ОС уровня предприятия), так и с решениями, применяемыми в других отечественных и зарубежных ОС на базе Linux. В итоге, при всех сценариях и при любом сочетании операционных систем Avanpost Web SSO остается единой точкой управления аутентификацией и SSO в продолжение всей миграции.
Технологический стек, на котором построено решение Avanpost Web SSO, включая язык программирования, дополнительные библиотеки и фреймворки имеет эффективные реализации для Linux и Windows. Исходный код Avanpost WebSSO, созданный разработчиками Аванпост, также полностью переносим между обеими платформами. В то же время, предпочтительная среда исполнения для Avanpost Web SSO — это Linux. В настоящее время для этого нового продукта в компании Аванпост разрабатывается методика интеграционного и нагрузочного тестирования для ОС АЛЬТ Сервер компании «Базальт СПО». В дальнейшем, аналогичные испытания могут быть проведены для других российских ОС.
Продвижение и развитие Avanpost Web SSO
В настоящее время приоритетными для продвижения Avanpost Web SSO являются две категории заказчиков: крупные федеральные ведомства и муниципальные структуры, с одной стороны, и ведущие российские банки из списка ТОП-20 — с другой. Цель Аванпост: к концу года запустить в каждом из этих сегментов по одному-два пилотных проекта с реальной перспективой перерастания в масштабные внедрения в 2018 году. На первом этапе, компания Аванпост, применяя технологию, хорошо зарекомендовавшую себя для других продуктов линейки Avanpost, будет самостоятельно генерировать лиды и проводить пресейл-мероприятия, а партнеры-интеграторы будут получать клиентов, готовых к обсуждению конкретных проектов или даже к подписанию контрактов. Одновременно Аванпост будет встраивать Web SSO в имеющий канал продвижения своих зрелых продуктов (IDM, PKI и SSO): обучать продавцов компаний-партнеров, готовить маркетинговые материалы, отрабатывать методики внедрения и сопровождения, создавать службу технической поддержки. Для других целевых сегментов Аванпост пока ограничится различными формами информационной работы, направленной на разъяснение сценариев применения и преимуществ Avanpost Web SSO.
Имеются две схемы лицензирования ПО Avanpost Web SSO: по числу пользователей и по процессорным ядрам. Первый вариант удобен, если число пользователей составляет несколько тысяч и легко поддается оценке. Второй вариант оптимален для крупных организаций с сотнями тысяч и миллионами пользователей, число которых может быть как фиксированным, так и непредсказуемым.
Все основные функции Avanpost Web SSO в настоящее время полностью реализованы. Дальнейшее развитие продукта идет по двум направлениям. Одно из них связано с добавлением механизмов аутентификации и упрощением их внедрения (в настоящее время подключение некоторых из них требует выполнения мини-проектов длительностью порядка одного месяца). Другое направление — повышение удобства использования (usability). В ближайших планах — создание удобного инструмента администрирования собственного LDAP-каталога, полная реализация стандартного стиля пользовательского интерфейса ПО Аванпост, создание простых механизмов кастомизации и брендирования GUI, а также улучшение usability с учетом опыта пресейла и пилотных проектов.
В ближайшее время будет подана заявка на включение Avanpost Web SSO в Единый реестр российских программ для электронных вычислительных машин и баз данных. Ранее в реестр были внесены другие программные продукты компании Аванпост — системы IDM, PKI и SSO.
________________________________________
[1] Поддержка большого числа пользователей, различных видов прикладного ПО и всех актуальных сценариев организации системы аутентификации принципиально отличают Avanpost Web SSO от другого программного продукта компании — Avanpost SSO. Последний ориентирован на ПО традиционного типа и внедрения с несколькими тысячами пользователей.