Unified SSO — бесшовный вход во все корпоративные системы (от Web до Legacy), формирующий единую защищенную сессию. Технология E-Passport обеспечивает её криптографическую привязку к устройству, исключая перехват.
Unified SSO
Unified SSO
Технология E-Passport связывает доверенные устройства сотрудника (мобильный и десктоп) в единый контур через Avanpost Authenticator, обеспечивая безопасную передачу сессии между ними и исключая риск ее перехвата злоумышленниками.
Факторы риска
Почему защита цифровой идентичности сотрудников стала критичнее защиты периметра
Злоумышленники действуют под видом легитимного пользователя. Такие атаки невидимы для традиционных средств защиты и команды SOC — и в этом их главная опасность.
успешных атак начинаются
не со взлома инфраструктуры,
а с компрометации учетных данных*
*согласно исследованию Fortinet
Работа на личных устройствах (BYOD), которые находятся вне корпоративных политик безопасности
Отсутствие сквозной многофакторной аутентификации (MFA) для всех приложений, особенно legacy
Невозможность быстро завершить сессии пользователя во всех системах одновременно
Unifed SSO снижает вероятность взлома, даже при компрометации пароля
Сессия завешается централизованно сразу во всех приложениях одновременно.
Это можно сделать по завершению рабочего дня или по команде SOC.
Это можно сделать по завершению рабочего дня или по команде SOC.
Пользователь открывает любое приложение (Web или Legacy). Unified SSO распознает E-Passport и мгновенно предоставляет доступ, исключая избыточный ввод логина и пароля.
Single Logout
Прозрачный доступ
Пользователь проходит строгую верификацию в приложении Avanpost (2FA, проверка личности). После подтверждения личности на устройство устанавливается доверенный цифровой сертификат — E-Passport.
Старт сессии
Unified SSO
для пользователя
E-Passport — это цифровой идентификатор устройства, реализованный в виде криптографической пары ключей.
Технически E-Passport представляет собой цифровой сертификат, который выпускается доверенным Удостоверяющим Центром (Avanpost CA или Microsoft CA). Ключевая пара генерируется и неизвлекаемо сохраняется в защищенном аппаратном хранилище устройства (TPM, Secure Enclave, Keystore) под управлением операционных систем iOS, Android, Windows или Linux.
E-Passport
Как это устроено
Приложение Avanpost Authenticator (Mobile/Desktop) выполняет первичную верификацию пользователя. После успешного подтверждения личности инфраструктура автоматически генерирует E-Passport и устанавливает его на устройство, формируя криптографически стойкую привязку (Device Binding). С этого момента устройство считается доверенным.
Процесс выпуска
Unified SSO — Zero Trust Architecture решение
Приложение следует модели постоянного мониторинга активности и минимального доверия каждому запросу, пользователю, устройству, без влияния на удобство для пользователя.
Перечень приложений:
Сеанс операционной системы (Windows, Astra Linux, RedOS).
Веб-приложения и SaaS-сервисы (Yandex 360, VK WorkSpace, б/п Контур, Grafana, Zabbix, MaxPatrol SIEM).
Инфраструктурные/сетевые сервисы, подключаемые по RADIUS и SAML (VPN и VDI: Cisco, VMware, UserGate, С-Терра).
CRM и ServiceDesk, подключаемые
по SAML, OpenID Connect (Jira, Bitrix 24, Naumen).
Средства корпорати-вной коммуникации, подключаемые по SAML, OpenID Connect, EAS, MAPI, EWS (Yandex, Microsoft и т. д.).
Средства разработки, подключаемые по SAML, OpenID Connect, LDAP (Jira, GitLab, Confluence).
ERP-системы и ЭДО, подключаемые по OpenID Connect (1C, WSS Docs).
Legacy ERP-системы (1C, SAP, Oracle).
Инфраструктурные системы аутентификации (Keycloak, ADFS).
Любые десктопные приложения.
Unified SSO является Zero Trust Architecture решением:
Приложение следует модели постоянного мониторинга активности и минимального доверия каждому запросу, пользователю, устройству, при этом не создавая неудобств пользователям.
Пользователь реализует функции самообслуживания в приложениях:
Сессия имеет ограничение по времени действия, которое через политики определяет администратор. Приложение — аутентификатор непрерывно отслеживает состояние сессии и, в случае несоблюдения политик, требует выполнения дополнительной верификации или завершает текущую сессию.
Сессия хранится и обрабатывается экземпляром приложения — аутентификатора Avanpost Authenticator, который явно ассоциирован и связан с устройством и учетной записью пользователя. Подмена устройства и копирование/клонирование сессии Unified SSO на другое устройство исключены.
При блокировании устройства или завершении сессии Unified SSO обеспечивает централизованное завершение доступа ко всему множеству связанных приложений.
Unified SSO рекомендован компаниям с высокими рисками кибератак
Unified SSO — единый инструмент для решения задач бизнеса, ИТ и ИБ
Организациям, которые используют несколько информационных систем, включая веб- и десктоп-приложения
Бизнесу, нацеленному на повышение удобства сотрудников и снижению расходов на техподдержку
Субъектам КИИ и компаниям, для которых критична непрерывность бизнеса
Бизнесу, стремящемуся автоматизировать операции и исключить риски, связанные с человеческим фактором
Бизнес
Существенно снижает финансовые и репутационные риски, а также риски простоя бизнеса.
Обеспечивает безопасный вход во все корпоративные приложения с помощью E−passport. Как результат — нет необходимости помнить и вводить множество паролей.
Обеспечивает безопасный вход во все корпоративные приложения с помощью E−passport. Как результат — нет необходимости помнить и вводить множество паролей.
ИБ
Криптографическая защита от перехвата сессии и использования украденных учетных данных. Защищает от несанкционированного доступа, даже при краже пароля и перехвате сессии.
Обеспечивает реализацию стратегии Zero Trust через непрерывную проверку пользователя и устройства.
Контролирует доступ к legacy-системам/ десктоп-системам.
Реализует соответствие требованиям регуляторов.
Обеспечивает реализацию стратегии Zero Trust через непрерывную проверку пользователя и устройства.
Контролирует доступ к legacy-системам/ десктоп-системам.
Реализует соответствие требованиям регуляторов.
ИТ
Быстрое внедрение без построения сложной IAM-системы и лишних затрат.
Полностью автоматизирует управление доступом ко всем корпоративным приложениям.
Снижает нагрузку на Service Desk за счет уменьшения заявок на сброс пароля.
Полностью автоматизирует управление доступом ко всем корпоративным приложениям.
Снижает нагрузку на Service Desk за счет уменьшения заявок на сброс пароля.
Обычные SSO-решения не подходят для удобного использования и выполнения стандартов ИБ
Unified SSO
Веб-приложения и SaaS сервисы.
Инфраструктурные/сетевые сервисы, подключаемые по RADIUS и SAML.
CRM и ServiceDesk, подключаемые по SAML, OpenID Connect.
Средства корпоративной коммуникации, подключаемые по SAML, OpenID Connect, EAS, MAPI, EWS.
Средства разработки, подключаемые по SAML, OpenID Connect, LDAP.
ERP-системы и ЭДО, подключаемые по OpenID Connect.
Legacy ERP-системы: 1C, SAP, Oracle.
Инфраструктурные системы аутентификации.
Любые десктопные приложения.
Сеанс операционной системы: Windows, Astra Linux, RedOS.
Обычные SSO решения
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна (например, при работе 1С открывается дополнительное окно, где потребуется пройти полный цикл аутентификации).
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна.
Ограниченная работа в пределах браузера по умолчанию. Для LDAP функция не доступна.
Функция не доступна для большинства наиболее распространенных систем.
Функция не доступна.
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна.
Работает только при наличии контроллера домена в сетевой доступности.
Unified SSO - безопасность начитается со входа на рабочую станцию
Стандартные IdP SSO (OIDC/SAML)
Нет
Вход в ОС и вход в веб-приложения — это разные процессы.
Только на уровне веб-приложений.
Только в момент входа (выпуск токена).
Ограничено
Нужно ждать истечения токена.
Нет
Не поддерживают современные протоколы.
Требует MDM-решения.
Ограничено
Только отправка событий входа
в веб-приложения.
SSO Kerberos и штатные средства ОС
Частично
Работает только для доменных приложений (Kerberos), не работает для облаков.
Нет или требует сторонних плагинов.
Только в момент входа (Kerberos TGT).
Сложно
Требует принудительной блокировки в AD.
Нет
Нет
Сырые логи
Тысячи технических событий, которые требуют сложной настройки корреляции.
Avanpost Unified SSO
Через Windows Logon.
Проверка политик в течение всей работы.
Мгновенный разрыв доступа везде
ОС + Приложения + Веб.
Перехват окон входа.
Криптографически стойкая привязка сессии к устройству.
- Отправка обогащенных событий;
- API для команд реагирования.
Бесшовный вход
со старта работы ПК
Защита входа (MFA)
Управление сессией
Реакция на инциденты
(Kill Switch)
Работа с Legacy
Контроль устройства
(Device Trust)
Интеграция с SIEM, SOAR, IRP
Возможности:
- Отправка обогащенных событий;
- API для команд реагирования.
Жесткая привязка сессии к устройству.
Перехват окон входа.
Мгновенный разрыв доступа везде
ОС + Приложения + Веб.
Проверка политик в течение всей работы.
Через Windows Logon.
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
Avanpost Unified SSO
AVANPOST mob
Требует MDM-решения.
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
Стандартные IdP SSO (OIDC/SAML)
Нет
Вход в ОС и вход в веб-приложения — это разные процессы.
Только на уровне веб-приложений.
Только в момент входа (выпуск токена).
Ограничено
Нужно ждать истечения токена.
Нет
Не поддерживают современные протоколы.
Ограничено
Только отправка событий входа
в веб-приложения.
AVANPOST mob
Нет
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
SSO Kerberos и штатные средства ОС
Частично
Работает только для доменных приложений (Kerberos), не работает для облаков.
Нет или требует сторонних плагинов.
Только в момент входа (Kerberos TGT).
Сложно
Требует принудительной блокировки в AD.
Нет
Сырые логи
Тысячи технических событий, которые требуют сложной настройки корреляции.
AVANPOST mob
Сценарии использования
Unified SSO
Сценарий 1: Прозрачный вход
Сотрудник финансового отдела входит на свою рабочую станцию, на которой установлена ОС Windows. Он один раз проходит аутентификацию — Unified SSO автоматически выдает E-passport. Сотрудник запускает необходимые приложения (1С, СБИС, Р7-Офис, Диадок, внутренние CRM/ERP) и не вводит никаких паролей — агент сам подставляет данные в окна всех используемых приложений. В консоли подтверждается легитимный контекст устройства.
Сценарий 2: Попытка взлома
Хакер вводит украденный (верный) пароль на своем устройстве. Система запрашивает контекст, не находит E-passport и блокирует вход или прерывает сессию. Украденный пароля оказывается бесполезным.
Сценарий 3: Реакция SOC
Аналитик SOC видит аномалию в поведении сотрудника и мгновенно разрывает сессию централизованно на всех устройствах с помощью Unified SSO.
Кейсы Avanpost Unified SSO
02
Крупная e-Commerce компания
В результате реализации проекта Заказчик получил:
С помощью Avanpost FAM с функциями Unified SSO реализована двухфакторная аутентификация при входе на рабочую станцию Windows с контролем уровня доверия устройству, и последующая прозрачная аутентификация в подключенные корпоративные веб-порталы (как опубликованные в интернет, так и внутренние) по протоколам OpenID Connect и SAML, VPN для удалённых сотрудников по протоколу RADIUS. Часть корпоративных веб-приложений, которые ранее были тесно интегрированы с KeyCloak, защищены MFA и Unified SSO за счёт делегирования аутентификации в сторону FAM.
Усиленную аутентификацию в корпоративные системы для большинства сотрудников с подтверждением входа через мобильное приложение-аутентификатор;
Объединение пользователей из различных доменов в единой системе аутентификации с унификацией политик аутентификации и политик доступа ко всем подключенным ресурсам.
Прозрачный последующий вход после входа на АРМ во все приложения, подключенные к Avanpost FAM, за счёт уникальной на рынке технологии Unified SSO;
Строгую аутентификацию в наиболее критичные корпоративные системы и ресурсы, а также для привилегированных пользователей, с подтверждением аутентификации по ЭП на Рутокен ЭЦП с проверкой сертификатов через корпоративный УЦ;
03
Крупнейшая энергетическая компания
В рамках инфраструктуры, построенной полностью на отечественном ПО на базе Linux с использованием Avanpost Unified SSO:
Реализована верификация пользователей при входе на АРМ по ЭП на смарт-карте eSmart и Рутокен;
Прозрачный последующий вход в SAP Logon.
Прозрачный последующий вход во все приложения (веб-портал, внешний шлюз, внутренний шлюз);
01
Крупнейший розничный банк с биометрией и ЕБС
Решение реализует аутентификацию по биометрии распознавания лиц: Windows АРМ, Отечественный Linux АРМ, VDI Citrix Workspace, Веб-приложениях, подключённых как через KeyCloak, так и напрямую по лицевой биометрии;
Обеспечена прозрачная аутентификацию по биометрии распознавания лиц на АРМы и в информационные системы для того, чтобы подготовить инфраструктуру банка к подключению к ЕБС*.
Построен «мостик» между ЕБС и прикладом с использованием существующей системы распознавания лиц;
* ЕБС (Единая биометрическая система вместе с логином и паролем от Госуслуг (ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит.
В рамках проекта реализуется кастомный плагин аутентификации для обработки картинок с видео.
Больше о Unified SSO
Оставьте свои контакты
и мы свяжемся с вами!
