Federated
Access Manager

На 36% быстрее доступ к приложениям

На 42% снижаются расходы
на администрирование

В 5 раз меньше
нагрузка на Service Desk
по смене паролей

Поддерживаемые технологии аутентификации для корпоративных приложений

Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:

Технология аутентификации в ОС Windows через FAM при помощи Microsoft Credential Provider;

Технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности;

Технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений;

Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;

Технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений;

Технология аутентификации в ОС Linux через FAM при помощи PAM Linux.

С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей — теперь все приложения начнут работать по единым правилам, управляемым из одного окна.

Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.

TOTP

Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.

Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т. п.).

Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.

Поддерживаемые факторы аутентификации:

Доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя;

Сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП);

Одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link). • Push-подтверждения в мессенджеры (Telegram);

Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;

Аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2 °F, доверенные устройства;

LDAP-аутентификация.

В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия).

Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.

Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.

Система PayControl (мобильное приложение Android/iOS);

Современный технологический стек и удобство интеграции

Десктопные ОС Microsoft Windows Desktop 7/8/10 для работы Агента FAM.

Средство автоматизации развертывания и контейнеризации Docker.

Серверные ОС CentOS, RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП.

Решение работает в следующих средах:

Поддерживает работу на базе высокопроизводительной и надежной СУБД PostgreSQL.

Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.

Работа с различными источниками учетных записей

Решения класса Identity Management;

Витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle;

Встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления;

Любые источники данных, поставляющие данные по API и шине данных;

LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap;

Внешние SAML и OAuth IDP.

Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т. д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.

В качестве источников данных об учетных записях Avanpost FAM может использовать:

Личный кабинет пользователя

Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия.

Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.

Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.

Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.

Механизм изменения и распространения пароля для унаследованных приложений

Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи.

Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).

Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т. е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.

Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.