О проекте
Характеристики проекта
//
- Проектная команда Аванпоста
- Насыщенный ИТ-ландшафт
- Более 15 разнородных доменов
- 60 000 пользователей
Ключевые задачи проекта. Требования к промышленному внедрению
//
- Объединение более 15 доменов компании в единый каталог пользователей систем аутентификации;
- Унификация процессов идентификации и аутентификации во всем информационном ландшафте организации за счет использования современных протоколов и методов интеграции приложений;
- В 2022—2023 годах реализовано управление УЗ в прикладных системах Заказчика (Система автоматизированного проектирования, Электронный архив и др.);
- Построение адаптивных сценариев аутентификации с учетом множества различных категорий сотрудников;
- Максимальное использование настраиваемых функций информационной безопасности в продукте (блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ);
- Повышение качества работы и возможностей контроля и управления администраторов;
- Внедрение самообслуживания пользователей в части управления учетными записями и аутентификаторами.
Решение
Описание проекта
//
Пилотный некоммерческий проект
Познакомил Заказчика с возможностями Avanpost FAM, помог разработать требования к промышленному внедрению. В рамках двухмесячного пилотирования продукта выполнена Kerberos-аутентификация с двумя независимыми доменами и интеграция Creatio по протоколу SAML 2.0 с фактором SMS.
Интеграция с ИС реализована через следующие протоколы аутентификации:
Подтверждение аутентификации в ИС реализовано с набором факторов аутентификации с учетом гибкой настройки под различные категории сотрудников:
При использовании мобильного приложения Avanpost Authenticator настроены факторы:
Внедрение административной консоли
Позволяющей аутентифицировать администраторов с использованием их учетных записей в Active Directory и выполнять подключение ИС в веб-приложении без использования конфигурационных файлов.
Аутентификация пользователей
Как внутренних, так и внешних реализована через удобный портал самообслуживания в режиме единого окна с использованием их учетных записей в Active Directory.
Элементы бизнес-логики
Разработаны адаптивные сценарии аутентификации для различных категорий сотрудников; выполнен уход от паролей в сторону современных методов аутентификации (QR-кода, push-уведомления), автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.
Познакомил Заказчика с возможностями Avanpost FAM, помог разработать требования к промышленному внедрению. В рамках двухмесячного пилотирования продукта выполнена Kerberos-аутентификация с двумя независимыми доменами и интеграция Creatio по протоколу SAML 2.0 с фактором SMS.
Интеграция с ИС реализована через следующие протоколы аутентификации:
- OpenID Connect;
- SAML 2.0, в том числе через AD FS;
- Kerberos.
Подтверждение аутентификации в ИС реализовано с набором факторов аутентификации с учетом гибкой настройки под различные категории сотрудников:
- Avanpost Authenticator;
- SMS;
- E-mail-уведомления;
- Push-уведомления.
При использовании мобильного приложения Avanpost Authenticator настроены факторы:
- QR-код;
- Push-уведомления;
- TOTP.
Внедрение административной консоли
Позволяющей аутентифицировать администраторов с использованием их учетных записей в Active Directory и выполнять подключение ИС в веб-приложении без использования конфигурационных файлов.
Аутентификация пользователей
Как внутренних, так и внешних реализована через удобный портал самообслуживания в режиме единого окна с использованием их учетных записей в Active Directory.
Элементы бизнес-логики
Разработаны адаптивные сценарии аутентификации для различных категорий сотрудников; выполнен уход от паролей в сторону современных методов аутентификации (QR-кода, push-уведомления), автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.
Результаты внедрения
//
Единая система из более чем 15 разнородных доменов
Более 15 разнородных доменов со своей спецификой в части идентификации пользователей и аутентификации Kerberos объединены в единую систему аутентификации.
Современные методы аутентификации
Сотрудники переведены на современные методы аутентификации, предоставляемые, в том числе мобильным приложением Avanpost Authenticator (беспарольный вход по QR-коду, вход посредством push-запросов).
Внедрение мобильного приложения Avanpost Authenticator
Внедрено технологичное мобильное приложение Avanpost Authenticator c контролем безопасности устройства и суперспособностью работы в изолированных инфраструктурах.
Больше удобства для администраторов
Настройка параметров интеграции с приложениями выполняется через административную консоль и не требует установки и ручной настройки конфигурационных файлов бесчисленного множества адаптеров и агентов в инфраструктуре.
Avanpost MFA+ может быть установлен в любой современной ОС
Поддержка контейнеров позволяет использовать его в Docker и Kubernetes. Автоматизированная установка через deb и rpm пакеты позволяет максимально упростить процесс.
Реализованы функции безопасности
Такие как автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.
Более 15 разнородных доменов со своей спецификой в части идентификации пользователей и аутентификации Kerberos объединены в единую систему аутентификации.
Современные методы аутентификации
Сотрудники переведены на современные методы аутентификации, предоставляемые, в том числе мобильным приложением Avanpost Authenticator (беспарольный вход по QR-коду, вход посредством push-запросов).
Внедрение мобильного приложения Avanpost Authenticator
Внедрено технологичное мобильное приложение Avanpost Authenticator c контролем безопасности устройства и суперспособностью работы в изолированных инфраструктурах.
Больше удобства для администраторов
Настройка параметров интеграции с приложениями выполняется через административную консоль и не требует установки и ручной настройки конфигурационных файлов бесчисленного множества адаптеров и агентов в инфраструктуре.
Avanpost MFA+ может быть установлен в любой современной ОС
Поддержка контейнеров позволяет использовать его в Docker и Kubernetes. Автоматизированная установка через deb и rpm пакеты позволяет максимально упростить процесс.
Реализованы функции безопасности
Такие как автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.
