Бесшовный доступ ко всем корпоративным системам (от Web до Legacy) в рамках единой защищенной сессии. В основе лежит технология E−Passport, которая жестко привязывает сессию к доверенным устройствам, исключая риск её перехвата.
Unified SSO
Unified SSO
Технология E-Passport связывает доверенные устройства сотрудника (мобильный и десктоп) в единый контур через Avanpost Authenticator, обеспечивая безопасную передачу сессии между ними и исключая риск ее перехвата злоумышленниками.
Факторы риска
Почему защита цифровой идентичности сотрудников стала критичнее защиты периметра
Злоумышленники действуют под видом легитимного пользователя. Такие атаки невидимы для традиционных средств защиты и команды SOC — и в этом их главная опасность.
успешных атак начинаются
не со взлома инфраструктуры,
а с компрометации учетных данных*
*согласно исследованию Fortinet
Работа на личных устройствах (BYOD), которые находятся вне корпоративных политик безопасности
Отсутствие сквозной многофакторной аутентификации (MFA) для всех приложений, особенно legacy
Невозможность быстро завершить сессии пользователя во всех системах одновременно
Unifed SSO снижает вероятность взлома, даже при компрометации пароля
Старт сессии
Пользователь проходит аутентификацию. Avanpost Authenticator проверяет, что доверенные устройства находятся рядом, и генерирует E-passport.
Прозрачный доступ
В рамках единой защищенной сессии E−passport перехватывает окна входа во всех приложениях (Web, Desktop, Legacy), исключая ручной ввод паролей.
Single Logout
Сессия завершается централизованно. Выход из ОС или команда SOC (Kill Switch) закрывает доступ ко всем приложениям одновременно.
Unified SSO
для пользователя
Пользователи проходят аутентификацию один раз
В момент аутентификации Avanpost Authenticator проверяет, что устройства доверенные и находятся рядом. Только после успешной проверки формируется E-Passport и стартует единая защищенная сессия.
После этого сессия прозрачно транслируется во все необходимые ресурсы (Web, Desktop, Legacy), избавляя сотрудника от повторного ввода учетных данных.
Unified SSO — Zero Trust Architecture решение
Приложение следует модели постоянного мониторинга активности и минимального доверия каждому запросу, пользователю, устройству, без влияния на удобство для пользователя.
Перечень приложений:
Сеанс операционной системы (Windows, Astra Linux, RedOS).
Веб-приложения и SaaS-сервисы (Yandex 360, VK WorkSpace, б/п Контур, Grafana, Zabbix, MaxPatrol SIEM).
Инфраструктурные/сетевые сервисы, подключаемые по RADIUS и SAML (VPN и VDI: Cisco, VMware, UserGate, С-Терра).
CRM и ServiceDesk, подключаемые
по SAML, OpenID Connect (Jira, Bitrix 24, Naumen).
Средства корпорати-вной коммуникации, подключаемые по SAML, OpenID Connect, EAS, MAPI, EWS (Yandex, Microsoft и т. д.).
Средства разработки, подключаемые по SAML, OpenID Connect, LDAP (Jira, GitLab, Confluence).
ERP-системы и ЭДО, подключаемые по OpenID Connect (1C, WSS Docs).
Legacy ERP-системы (1C, SAP, Oracle).
Инфраструктурные системы аутентификации (Keycloak, ADFS).
Любые десктопные приложения.
Cессия Unified SSO — это безопасный электронный паспорт сотрудника
Сессия действует ограниченное время
Его определяет администратор через политики безопасности.
Состояние сессии непрерывно отслеживает приложение-аутентификатор
Если оно фиксирует несоблюдение политик безопасности, то требует выполнения дополнительной верификации или завершает текущую сессию.
Сессия хранится и обрабатывается экземпляром приложения-аутентификатора Avanpost Authenticator. Оно явно ассоциировано и связано с устройством и учетной записью пользователя. Подмена устройства, копирование или клонирование сессии Unified SSO на другое устройство исключены.
При блокировании устройства или завершении сессии Unified SSO централизованно завершает доступ ко всем связанным приложениям.
Unified SSO рекомендован компаниям с высокими рисками кибератак
Unified SSO — единый инструмент для решения задач бизнеса, ИТ и ИБ
Организациям, которые используют несколько информационных систем, включая веб- и десктоп-приложения
Бизнесу, нацеленному на повышение удобства сотрудников и снижению расходов на техподдержку
Субъектам КИИ и компаниям, для которых критична непрерывность бизнеса
Бизнесу, стремящемуся автоматизировать операции и исключить риски, связанные с человеческим фактором
Бизнес
Существенно снижает финансовые и репутационные риски, а также риски простоя бизнеса.
Обеспечивает безопасный вход во все корпоративные приложения с помощью E−passport. Как результат — нет необходимости помнить и вводить множество паролей.
Обеспечивает безопасный вход во все корпоративные приложения с помощью E−passport. Как результат — нет необходимости помнить и вводить множество паролей.
ИБ
Защищает от несанкционированного доступа, даже при краже пароля и перехвате сессии.
Обеспечивает реализацию стратегии Zero Trust через непрерывную проверку пользователя и устройства.
Контролирует доступ к legacy-системам/ десктоп-системам.
Реализует соответствие требованиям регуляторов.
Обеспечивает реализацию стратегии Zero Trust через непрерывную проверку пользователя и устройства.
Контролирует доступ к legacy-системам/ десктоп-системам.
Реализует соответствие требованиям регуляторов.
ИТ
Быстрое внедрение без построения сложной IAM-системы и лишних затрат.
Полностью автоматизирует управление доступом ко всем корпоративным приложениям.
Снижает нагрузку на Service Desk за счет уменьшения заявок на сброс пароля.
Полностью автоматизирует управление доступом ко всем корпоративным приложениям.
Снижает нагрузку на Service Desk за счет уменьшения заявок на сброс пароля.
Обычные SSO-решения не подходят для удобного использования и выполнения стандартов ИБ
Unified SSO
Веб-приложения и SaaS сервисы.
Инфраструктурные/сетевые сервисы, подключаемые по RADIUS и SAML.
CRM и ServiceDesk, подключаемые по SAML, OpenID Connect.
Средства корпоративной коммуникации, подключаемые по SAML, OpenID Connect, EAS, MAPI, EWS.
Средства разработки, подключаемые по SAML, OpenID Connect, LDAP.
ERP-системы и ЭДО, подключаемые по OpenID Connect.
Legacy ERP-системы: 1C, SAP, Oracle.
Инфраструктурные системы аутентификации.
Любые десктопные приложения.
Сеанс операционной системы: Windows, Astra Linux, RedOS.
Обычные SSO решения
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна (например, при работе 1С открывается дополнительное окно, где потребуется пройти полный цикл аутентификации).
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна.
Ограниченная работа в пределах браузера по умолчанию. Для LDAP функция не доступна.
Функция не доступна для большинства наиболее распространенных систем.
Функция не доступна.
Ограниченная работа в пределах браузера по умолчанию.
Функция не доступна.
Работает только при наличии контроллера домена в сетевой доступности.
Unified SSO - безопасность начитается со входа на рабочую станцию
Стандартные IdP SSO (OIDC/SAML)
Нет
Вход в ОС и вход в веб-приложения — это разные процессы.
Только на уровне веб-приложений.
Только в момент входа (выпуск токена).
Ограничено
Нужно ждать истечения токена.
Нет
Не поддерживают современные протоколы.
Требует MDM-решения.
Ограничено
Только отправка событий входа
в веб-приложения.
SSO Kerberos и штатные средства ОС
Частично
Работает только для доменных приложений (Kerberos), не работает для облаков.
Нет или требует сторонних плагинов.
Только в момент входа (Kerberos TGT).
Сложно
Требует принудительной блокировки в AD.
Нет
Нет
Сырые логи
Тысячи технических событий, которые требуют сложной настройки корреляции.
Avanpost Unified SSO
Через Windows Logon.
Проверка политик в течение всей работы.
Мгновенный разрыв доступа везде
ОС + Приложения + Веб.
Перехват окон входа.
Жесткая привязка сессии к устройству.
- Отправка обогащенных событий;
- API для команд реагирования.
Бесшовный вход
со старта работы ПК
Защита входа (MFA)
Управление сессией
Реакция на инциденты
(Kill Switch)
Работа с Legacy
Контроль устройства
(Device Trust)
Интеграция с SIEM, SOAR, IRP
Возможности:
- Отправка обогащенных событий;
- API для команд реагирования.
Жесткая привязка сессии к устройству.
Перехват окон входа.
Мгновенный разрыв доступа везде
ОС + Приложения + Веб.
Проверка политик в течение всей работы.
Через Windows Logon.
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
Avanpost Unified SSO
AVANPOST mob
Требует MDM-решения.
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
Стандартные IdP SSO (OIDC/SAML)
Нет
Вход в ОС и вход в веб-приложения — это разные процессы.
Только на уровне веб-приложений.
Только в момент входа (выпуск токена).
Ограничено
Нужно ждать истечения токена.
Нет
Не поддерживают современные протоколы.
Ограничено
Только отправка событий входа
в веб-приложения.
AVANPOST mob
Нет
Интеграция с SIEM, SOAR, IRP
Контроль устройства
(Device Trust)
Работа с Legacy
Реакция на инциденты
(Kill Switch)
Управление сессией
Защита входа (MFA)
Бесшовный вход
со старта работы ПК
SSO Kerberos и штатные средства ОС
Частично
Работает только для доменных приложений (Kerberos), не работает для облаков.
Нет или требует сторонних плагинов.
Только в момент входа (Kerberos TGT).
Сложно
Требует принудительной блокировки в AD.
Нет
Сырые логи
Тысячи технических событий, которые требуют сложной настройки корреляции.
AVANPOST mob
Сценарии использования
Unified SSO
Сценарий 1: Прозрачный вход
Сотрудник финансового отдела входит на свою рабочую станцию, на которой установлена ОС Windows. Он один раз проходит аутентификацию — Unified SSO автоматически выдает E-passport. Сотрудник запускает необходимые приложения (1С, СБИС, Р7-Офис, Диадок, внутренние CRM/ERP) и не вводит никаких паролей — агент сам подставляет данные в окна всех используемых приложений. В консоли подтверждается легитимный контекст устройства.
Сценарий 2: Попытка взлома
Хакер вводит украденный (верный) пароль на своем устройстве. Система запрашивает контекст, не находит E-passport и блокирует вход или прерывает сессию. Украденный пароля оказывается бесполезным.
Сценарий 3: Реакция SOC
Аналитик SOC видит аномалию в поведении сотрудника и мгновенно разрывает сессию централизованно на всех устройствах с помощью Unified SSO.
Материалы
Скачать даташит
Смотреть распаковку
Кейсы Avanpost Unified SSO
02
Крупная e-Commerce компания
В результате реализации проекта Заказчик получил:
С помощью Avanpost FAM с функциями Unified SSO реализована двухфакторная аутентификация при входе на рабочую станцию Windows с контролем уровня доверия устройству, и последующая прозрачная аутентификация в подключенные корпоративные веб-порталы (как опубликованные в интернет, так и внутренние) по протоколам OpenID Connect и SAML, VPN для удалённых сотрудников по протоколу RADIUS. Часть корпоративных веб-приложений, которые ранее были тесно интегрированы с KeyCloak, защищены MFA и Unified SSO за счёт делегирования аутентификации в сторону FAM.
Усиленную аутентификацию в корпоративные системы для большинства сотрудников с подтверждением входа через мобильное приложение-аутентификатор;
Объединение пользователей из различных доменов в единой системе аутентификации с унификацией политик аутентификации и политик доступа ко всем подключенным ресурсам.
Прозрачный последующий вход после входа на АРМ во все приложения, подключенные к Avanpost FAM, за счёт уникальной на рынке технологии Unified SSO;
Строгую аутентификацию в наиболее критичные корпоративные системы и ресурсы, а также для привилегированных пользователей, с подтверждением аутентификации по ЭП на Рутокен ЭЦП с проверкой сертификатов через корпоративный УЦ;
03
Крупнейшая энергетическая компания
В рамках инфраструктуры, построенной полностью на отечественном ПО на базе Linux с использованием Avanpost Unified SSO:
Реализована верификация пользователей при входе на АРМ по ЭП на смарт-карте eSmart и Рутокен;
Прозрачный последующий вход в SAP Logon.
Прозрачный последующий вход во все приложения (веб-портал, внешний шлюз, внутренний шлюз);
01
Крупнейший розничный банк с биометрией и ЕБС
Решение реализует аутентификацию по биометрии распознавания лиц: Windows АРМ, Отечественный Linux АРМ, VDI Citrix Workspace, Веб-приложениях, подключённых как через KeyCloak, так и напрямую по лицевой биометрии;
Обеспечена прозрачная аутентификацию по биометрии распознавания лиц на АРМы и в информационные системы для того, чтобы подготовить инфраструктуру банка к подключению к ЕБС*.
Построен «мостик» между ЕБС и прикладом с использованием существующей системы распознавания лиц;
* ЕБС (Единая биометрическая система вместе с логином и паролем от Госуслуг (ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит.
В рамках проекта реализуется кастомный плагин аутентификации для обработки картинок с видео.
Больше о Unified SSO
Оставьте свои контакты
и мы свяжемся с вами!
