JaCarta Authentication Server (JAS)

Продукт
Разработчики: Аладдин Р.Д. (Aladdin R.D.)
Дата премьеры системы: 2016/07/26
Дата последнего релиза: 2019/06/10
Технологии: ИБ - Аутентификация,  Серверные платформы

Содержание

JaCarta Authentication Server (JAS) - автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям.

2019: Добавление функции аутентификации

10 июня 2019 года компания "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, объявил о выпуске дополнительной опции в рамках продукта JaCarta Authentication Server (JAS).

В комплект поставки сервера аутентификации (JAS) добавлена функция аутентификации – JAS OTP Logon (JOL). Она расширяет стандартный набор поставщиков учётных данных (Credential Provider) ОС Windows, с помощью которых пользователь может открыть сеанс работы с Windows (отображаются как поля ввода аутентификационных данных на экране входа), а также аутентифицироваться в стандартных сервисах и приложениях Windows, например, в Web-приложениях IIS, для подключения к удалённому компьютеру средствами терминального сервиса Windows и т.п.

Данная функция обеспечивает усиленную двухфакторную аутентификацию (т.е. без использования смарт-карт или других криптографических средств аутентификации), где в качестве второго фактора в дополнение к основному паролю добавляется OTP-пароль, генерируемый с помощью стандартных OTP-токенов. Допускается также вариант использования популярных программных генераторов OTP, таких, как Яндекс.Ключ и Google Authenticator.

Аутентификация для входа в Windows c помощью JOL выполняется как в доменной среде (на базе Microsoft Active Directory), так и на внедоменных рабочих станциях. Это позволяет внедрять в организациях двухфакторную аутентификацию без развёртывания PKI-инфраструктуры. Продукт содержит встроенные средства для обеспечения централизованных установки и настройки через групповые политики Windows.

2016

Регистрация в Едином реестре российского ПО

В ноябре 2016 года "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, сообщила о регистрации продукта JaCarta Authentication Server (JAS) в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 2128 (Минкомсвязь России). Как известно, при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО.

JAS — автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP) при доступе к корпоративным системам (CRM, порталы, почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App, Web-сайтам и облачным сервисам, системам дистанционного банковского обслуживания, а также удалённым рабочим столам (VMware Horizon View и Citrix XenApp/XenDesktop). Применение JAS позволяет обеспечить надёжную защиту доступа к ресурсам и сервисам организации, в том числе с планшетов и смартфонов (поддерживаются Google Authenticator и отправка пароля по SMS), а также повысить лояльность и удовлетворённость пользователей, так как процесс аутентификации заметно упрощается.

Выпуск JaCarta Authentication Server

26 июля 2016 года компания Аладдин Р.Д. сообщила о выпуске сервера для усиленной аутентификации по одноразовым паролям JaCarta Authentication Server (JAS).

JAS предназначен для обеспечения усиленной аутентификации пользователей по одноразовым паролям (OTP - one time password) при доступе к корпоративным системам (CRM, порталам, почте и т.п.), сайтам, облачным сервисам, системам дистанционного банковского обслуживания (ДБО) и удалённым рабочим столам (Microsoft RDP, VMware Horizon View, Citrix XenApp/XenDesktop). Поддерживается аутентификация мобильных пользователей, работающих за пределами защищённого сетевого периметра организации.

Схема взаимодействия сервера JAS, (2016)
Схема взаимодействия сервера JAS, (2016)
«
При создании JAS нами был учтён многолетний опыт продаж продуктов других вендоров (Token Management System, SafeNet Authentication Manager) и разработки собственных токенов JaCarta. В результате мы можем предложить российскому рынку полностью отечественный продукт, ни в чём не уступающий западным аналогам, по значительно меньшей цене. Мы рассчитываем, что JAS будет интересен всем организациям, нуждающимся в усиленной аутентификации пользователей или ищущим замену иностранным решениям, а также разработчикам систем ДБО, корпоративного ПО и онлайн-сервисов. В дальнейшем мы планируем провести сертификацию JAS по требованиям ФСТЭК России, что позволит использовать его в системах защиты высокого класса и будет способствовать дальнейшему распространению нашей разработки.

Сергей Груздев, генеральный директор "Аладдин Р.Д"
»

Преимущество одноразового пароля по сравнению с обычным статическим паролем заключается в исключении возможности использовать OTP повторно. По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный пароль для получения доступа к защищаемой информационной системе.

JAS может использоваться для OTP-аутентификации:

  • в государственных и коммерческих организациях, нуждающихся в усилении аутентификации пользователей при доступе к внешним или внутрикорпоративным системам;
  • в системах ДБО;
  • разработчиками корпоративного ПО;
  • разработчиками онлайн-сервисов;
  • организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (прежде всего, SafeNet Authentication Manager).


JAS позволяет использовать разные режимы аутентификации для разных групп пользователей:

  • только OTP;
  • OTP + OTP PIN;
  • доменный пароль + OTP;
  • доменный пароль + OTP + OTP PIN.


Поддерживаемые модели токенов (режим генерации OTP "по событию"):

Для интеграции с прикладным ПО реализована поддержка протоколов:

  • Remote Authentication in Dial-In User Service (RADIUS);
  • Representational State Transfer (REST);
  • Windows Communication Foundation (WCF).


Свойства системы Автономность

Для работы JAS не требуется дополнительное ПО, в составе продукта:

  • сервис аутентификации, включающий средства мониторинга;
  • плагин для Microsoft Network Policy Server (NPS);
  • средства администрирования и управления токенами и пользователями.


Высокая производительность

  • один сервер JAS способен обеспечить до 1 000 аутентификаций в секунду;
  • вертикальная масштабируемость — прямая зависимость от производительности процессора.

  • Сервер аутентификации: реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service
  • OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса
  • Файл counters.dat:
    • хранение текущих значений счётчиков аутентификации;
    • файл обновляется при выполнении служебных операций через Консоль управления.

  • Консоль управления JAS (Агент JAS):

    • управление токенами и пользователями;
    • может быть установлена на отдельный компьютер;
    • режимы аутентификации и авторизации пользователя:
      • учётная запись Microsoft Windows + членство в группе;
      • аутентификация отключена.

  • Хранилище учётных записей: Microsoft SQL Server или Microsoft Active Directory/Microsoft Security Account Manager
  • База данных Microsoft SQL Server
  • Хранение информации о токенах и пользователях
  • Достаточно установить только один компонент — Microsoft SQL Server Database Engine
  • База данных создаётся автоматически в процессе настройки сервера JAS
  • Доступные режимы аутентификации пользователя базы данных:


Интеграция с прикладным ПО

  • RADIUS:
    • доступен для приложений, использующих для аутентификации пользователей RADIUS-протокол;
    • необходимо наличие сервера Microsoft NPS и установленного плагина;
    • плагин взаимодействует с сервером JAS через REST-интерфейс;
    • не требуется доработка прикладного ПО.

  • REST:
    • работает "поверх" HTTP;
    • доступен для любых приложений, на любых платформах;
    • требуется доработка прикладного ПО.

  • WCF:
    • работает "поверх" HTTP, либо TCP;
    • доступен только для .Net-приложений;
    • требуется доработка прикладного ПО.


Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby

  • Несколько серверов JAS:
    • синхронизация файла counters.dat;
    • необходимо сохранить пароль шифрования.

  • Несколько серверов Microsoft SQL Server:

    • репликация базы данных средствами Microsoft SQL Server.

Поддерживаемые алгоритмы вычисления OTP

  • RFC 4226 + HMAC-SHA-1 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (7 символов);
  • RFC 4226 + HMAC-SHA-256 (8 символов).



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Microsoft (3, 4)
  Quest Software (1, 1)
  IBM (2, 1)
  DEPO Computers (ДЕПО Электроникс) (2, 1)
  Другие (0, 0)

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год
Данные не найдены

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год