Avanpost Web SSO

Продукт
Разработчики: Технологии развития бизнеса (Avanpost) Аванпост
Дата премьеры системы: 2017/03/20
Дата последнего релиза: 2018/10/23
Технологии: ИБ - Аутентификация

Содержание

Avanpost Web SSO — система управления аутентификацией пользователей в корпоративных ресурсах, SaaS-сервисах и облачных продуктах. Продукт позволяет реализовать в масштабах как крупной территориально распределенной организации, так и сети взаимодействующих предприятий (деловые сети, корпоративные, региональные, отраслевые и проектные кластеры) полный комплекс функций обычной и многофакторной аутентификации пользователей информационных систем (ИС), а также безопасного входа последних во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO).

2019: Поддержка мультиязычности

3 сентября 2019 года стало известно, что компания Аванпостроссийский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — встроила универсальный механизм локализации в последние версии своих программных продуктов Avanpost IDM и Avanpost WebSSO, что сделало их пользовательские интерфейсы мультиязычными. Подробнее здесь.

2018

Avanpost SSO 2.0

23 октября 2018 года компания Аванпост объявила о выпуске Avanpost SSO 2.0 — этапного релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).

Изменения, включенные в данный релиз, по словам разработчика, расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также позволили одинаково эффективно реализовать аутентификацию как для современного ПО, так и для унаследованных систем.

Интерфейс пользователя Avanpost Web SSO

Avanpost Web SSO — это системообразующее ПО, позволяющее крупной территориально распределенной организации или сети взаимодействующих предприятий (кластеру, деловой сети, расширенной цепочке поставок и др.) реализовать полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации. Построенная на базе Avanpost Web SSO единая система аутентификации охватывает все средства взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные веб-ресурсы, страницы которых динамически обращаются к информационным системам одной или нескольких организаций. При этом Avanpost WebSSO способен эффективно поддерживать ИС с миллионами пользователей, утверждают в Аванпост.

Среди изменений Avanpost Web SSO 2.0 разработчик отметил поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. В релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.

Идентификация пользователей

Множественные идентификаторы пользователей позволяют им входить в систему не только по логину, но и по любым другим разрешенным заказчиком уникальным ключам, например, по номеру телефона, e-mail, СНИЛС и др. Под каким бы индикатором ни вошел в систему пользователь, ему будет доступен один и тот же набор приложений. Кроме того, каждому приложению Avanpost Web SSO 2.0 передаёт именно тот идентификатор и в том формате, который оно ожидает. Это позволяет подключать к единой системе аутентификации приложения, использующие разные варианты идентификации пользователей и имеющие собственные базы идентификаторов, которые надо сохранить. Такая ситуация характерна для унаследованного ПО, отметил разработчик.

Система аутентификации и SSO для нового и унаследованного ПО

Для эффективной работы корпоративной системы аутентификации как с современным ПО принципиальное значение имеет поддержка в Web SSO 2.0 двух совершенно разных способов аутентификации. Начиная с первого релиза, в Avanpost Web SSO была реализована аутентификация через identity provider. В такой схеме система Web SSO участвует только в самом процессе аутентификации, по завершении которого никакого взаимодействия с прикладным ПО больше не происходит. Соответственно, система аутентификации, использующая эту схему, наиболее устойчива и наименее нагружена.

Avanpost Web SSO 2.0 получила также возможность работать и в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное, подчеркнул разработчик.

Возможность совместного использования обеих схем, предоставляемая Avanpost Web SSO 2.0, позволяет заказчикам эффективно работать как с новыми, так и с унаследованными приложениями, поддерживая оптимальный жизненный цикл корпоративной системы аутентификации и SSO. В Avanpost считают, что использовать одну технологическую платформу проще и удобнее, чем комбинировать и развивать независимые системы аутентификации.

Система управления данными

Ещё одно изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.

Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила подобные проблемы без побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.

Другие изменения

В релизе Avanpost Web SSO разработчиком отмечены и менее масштабные изменения, влияющие на удобство использования и функциональность продукта. В представленной версии поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.

Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.

При подготовке Avanpost Web SSO 2.0 компания Аванпост применила собственные методики дозирования изменений, включаемых в этапные и минорные обновления своих продуктов. Это изменение, введенное в связи с переходом на технологии Agile, упрощает освоение новых версий пользователями и администраторами продуктов линейки Avanpost, считает разработчик.

Описание продукта

Особенности (на сентябрь 2018 года):

  • Прозрачная аутентификация в унаследованных приложениях
    • Автоматическая подстановка аутентификационных данных в окна и веб-страницы приложений позволяет организовать прозрачную аутентификацию.

  • Многофакторная аутентификация в ОС и приложениях

    • Решение позволяет организовать многофакторную аутентификацию с использованием различных факторов: токенов, смарт-карт, RFID-меток, сканеров отпечатков, SMS и других факторов.

  • Повышение безопасности пользовательских аккаунтов в ИС.

    • Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.

Список поддерживаемых средств аутентификации:

На сентябрь 2018 года в Avanpost SSO поддерживаются различные факторы аутентификации, такие как:

  • USB-токены и смарты-карты известных производителей (ruToken, eToken, ESMART, MS Key и другие);
  • одноразовые пароли по SMS;
  • биометрия на базе продуктов BioLink;
  • карты с RFID-метками (чаще всего применяются в системах СКУД).

Механизм изменения и распространения пароля

Avanpost SSO интегрируется с целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Включение в реестр российского ПО

В январе 2018 года компания Аванпост объявила о том, что программный продукт Avanpost Web SSO включен в единый реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер 4049). Теперь в него входят все программные продукты Avanpost (Web SSO, IDM, PKI и SSO), что позволяет, соблюдая требования действующего законодательства РФ, применять их по отдельности и в любых сочетаниях в государственных структурах (включая ФОИВы), силовых ведомствах, госкорпорациях и муниципальных образованиях. Включение Web SSO в реестр российского ПО важно и для коммерческих организаций, которые формируют свои технологические платформы с учетом политики импортозамещения.

2017: Анонс Avanpost Web SSO

20 марта 2017 года компания Аванпост объявила о продвижении на рынок Avanpost Web SSO - комплекса функций обычной и многофакторной аутентификации пользователей ИС. Продукт ориентирован на предприятия с крупной территориально распределенной организацией или деловой сетью.

Единая система аутентификации и SSO, созданная посредством Avanpost WebSSO, охватывает все механизмы взаимодействия пользователей с современными ИС:

  • тонкие клиенты,
  • мобильные приложения,
  • SaaS-сервисы,
  • настольные приложения традиционного типа
  • сложно-организованные веб-ресурсы, страницы которых открывают доступ к информационным системам одной или нескольких организаций.

Avanpost WebSSO ориентирован на поддержку ИС с миллионами пользователей.

Разработка «из коробки» поддерживает три сценария аутентификации и реализации SSO в крупных ИС:

  • общий сервис аутентификации для множества приложений крупной централизованной организации;
  • федеративная аутентификация, когда пользователи находятся в нескольких взаимодействующих организациях, а сервис аутентификации предоставляет одна из них;
  • аутентификация в SaaS-приложениях, необходимая организациям, переводящим свои ИС на инфраструктуру частных облаков.

В первом сценарии упрощается разработка приложений (т.к. в них не нужно запускать подсистемы управления информацией о пользователях), сохраняется управляемость при осознанной децентрализации ИС, вводимой для повышения гибкости.

Во втором случае повышается уровень безопасности взаимодействия больших групп компаний и крупных деловых сетей. Это связано с тем, что организация федеративной аутентификации сложна.

При переходе на SaaS-архитектуру организация может создавать внутренние приложения в частном облаке и безопасно использовать услуги хостинг-провайдеров, не передавая вовне свои данные о пользователях. Взаимодействие внешних и внутренних SaaS-приложений с сервисом Avanpost WebSSO основано на открытых стандартах (SAML, OAuth и др.).

Avanpost WebSSO обеспечивает комплекс сервисов аутентификации. Использование этого ПО в связке с программным продуктом Avanpost IDM позволяет автоматизировать управление каталогом учетных данных системы WebSSO, связанной с ней посредством LDAP-коннектора. При аутентификации Avanpost WebSSO может получать атрибуты авторизации непосредственно из IDM-системы. Кроме того, из IDM может передаваться и информация о ролях (для этой информации в SAML есть стандартный протокол). Всё это позволяет не хранить в системе WebSSO информацию о пользователях (включая атрибуты аутентификации). Это упрощает администрирование функций аутентификации, исчезает возможность ошибок и злоупотреблений.

Avanpost WebSSO обеспечивает комплекс функций аутентификации и SSO как для информационных систем на основе технологий и продуктов зарубежных вендоров, так и для импортонезависимых ИТ-решений.

Технологический стек платформы Avanpost WebSSO, включая язык программирования, дополнительные библиотеки и фреймворки имеет реализации для Linux и Windows. Исходный код Avanpost WebSSO может переноситься между этими платформами. Однако, заявили разработчики, на 20 марта 2017 года предпочтительная среда исполнения Avanpost WebSSO — Linux.

ПО доступно по двум схемам лицензирования: по числу пользователей и процессорным ядрам.

Единая точка аутентификации и управления аутентификационными данными, созданная с помощью Web SSO, дает преимущества представителям всех целевых сегментов. В случае крупных государственных и муниципальных структур происходит унификация обслуживания внутренних пользователей, подведомственных учреждений и подрядчиков. Крупные коммерческие организации повышают безопасность и удобство своих ИС для пользователей на фоне расширяющегося набора каналов коммуникации (через Web-сайты, мобильные приложения, веб-сервисы и др.), роста популярности предоставления услуг через интерактивные Web-сайты и мобильные приложения, усложнения портфеля услуг (например, в банковской сфере), а также передачи различных функций на аутсорсинг и необходимости встраивать механизмы доступа к ИС партнеров в свои коммуникационные инструменты. А крупным муниципальным образованиям, развивающим мощные порталы-агрегаторы услуг, важны все вышеперечисленные преимущества.





Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год