Разработчики: | Avanpost (Аванпост) |
Дата премьеры системы: | 2017/03/20 |
Дата последнего релиза: | 2022/02/15 |
Технологии: | ИБ - Аутентификация |
Содержание |
Основная статья: Identity and Access Management - определения
Avanpost Web SSO — система управления аутентификацией пользователей в корпоративных ресурсах, SaaS-сервисах и облачных продуктах. Продукт позволяет реализовать в масштабах как крупной территориально распределенной организации, так и сети взаимодействующих предприятий (деловые сети, корпоративные, региональные, отраслевые и проектные кластеры) полный комплекс функций обычной и многофакторной аутентификации пользователей информационных систем (ИС), а также безопасного входа последних во все необходимые приложения после однократной аутентификации (Single Sign-On, или SSO).
2022
Получение сертификата ФСТЭК
Компания «Аванпост» 15 февраля 2022 года сообщила о получении cертификата соответствия ФСТЭК на свое решение Avanpost Web SSO. Он подтверждает, что продукт полностью удовлетворяет актуальным требованиям безопасности данных и соответствует четвертому, максимальному уровню доверия для защиты конфиденциальной информации. Теперь Avanpost Web SSO может использоваться в организациях, к которым предъявляются повышенные требования в части применения сертифицированных средств защиты информации.
Для прохождения сертификации компания «Аванпост» реализовала в Avanpost Web SSO дополнительныее функции безопасности и провела дополнительные работы по тестированию продукта и подготовке необходимой документации. Она включает в себя информацию о реализованных защитных мерах, процессах проектирования и разработки, методах и результатах тестирования системы, в том числе на наличие уязвимостей и устранение недостатков.
Полученный сертификат удостоверяет, что решение Avanpost Web SSO может быть использовано в государственных информационных системах до первого класса защищенности включительно, в информационных системах персональных данных до первого класса защищенности включительно, в автоматизированных системах управления критически важными объектами (КВО) до первого класса защищенности включительно. Кроме того, систему можно использовать в значимых объектах критических информационных инфраструктур (КИИ) до первой категории включительно.
Важное качество решения Avanpost Web SSO в том, что оно помогает обеспечить единую аутентификацию в веб-приложениях большего числа внешних пользователей, предъявляя при этом сравнительно невысокие требования к аппаратной платформе. Наличие же сертификата ФСТЭК позволяет использовать Avanpost Web SSO при построении значимых государственных и социальных информационных сервисов, к которым предъявляются повышенные требования к безопасности информации как в части конфиденциальности, так и доступности. Теперь внедрение Avanpost Web SSO освобождает заказчиков от необходимости самостоятельно сертифицировать свои системы на соответствие требованиям ФСТЭК к аутентификации и авторизации, – сказал Олег Губка, директор по развитию компании «Аванпост». |
Выполнение требований стандарта ФАПИ.СЕК
2 февраля 2022 года Компания «Аванпост», российский разработчик систем идентификации и управления доступом, сообщила о том, что внесла доработки в систему аутентификации сотрудников в корпоративных ресурсах Avanpost FAM и систему клиентской аутентификации Avanpost Web SSO. Теперь оба решения выполняют требования стандарта Банка России по безопасности банковских операций (СТО БР ФАПИ. СЕК-1.6-2020 – ФАПИ.СЕК, "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID"). Подробнее здесь
2021: Обеспечение биометрической аутентификации на носимых устройствах по стандарту WebAuthn
27 октября 2021 года компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, сообщила, что две ее системы теперь поддерживают биометрическую аутентификацию в подключенных к ним приложениях, которая происходит с использованием биометрических считывателей на пользовательских устройствах и подключаемых веб-токенов WebAuthn/FIDO U2F. Подробнее здесь.
2020
Интеграция с PayControl
Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах (Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года. Подробнее здесь.
Avanpost Web SSO 2.5
23 сентября 2020 года компания Аванпост, российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), сообщила о выпуске этапного обновления системы однократного входа в корпоративную информационную систему Avanpost Web SSO, поддерживающей современные архитектуры прикладного ПО, включая мобильные приложения, ПО с Web-интерфейсом, а также унаследованное ПО, работа с которым реализована по принципу Reverse Proxy.
По информации компании, часть обновленных возможностей Avanpost Web SSO 2.5 связана с механизмом Reverse Proxy: помимо ранее существовавших способов аутентификации HTTP Basic и Web Form, добавлена поддержка сценариев аутентификации на языке JavaScript. Вследствие этого Avanpost Web SSO теперь поддерживает аутентификацию в веб-приложениях и порталах различной сложности, причём для этого не требуется перерабатывать унаследованное приложение, так как Avanpost Web SSO способен подстроиться под особенности веб-приложения.
Ещё одно важное изменение состоит в существенном расширении функциональности программной синхронизации, реализованной с помощью механизма очередей, а также с появлением поддержки шин Apache Kafka, NATS.io и компактного протокола gRPC. Эти инструменты доступны буквально «из коробки», что упрощает интеграцию Avanpost Web SSO в ИТ-инфраструктуру современных информационных систем. Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Улучшения внесены в функциональность и эргономику личного кабинета пользователя. Здесь обновленные возможности позволяют передать Avanpost Web SSO наиболее распространённые задачи самообслуживания, включая как управление безопасностью своего аккаунта, так и навигацию по доступным пользователю ресурсам и сервисам (прямо из пользовательского интерфейса личного кабинета). Возникающая при этом интеграция на уровне механизмов аутентификации упрощает взаимодействие Avanpost Web SSO с ИТ-ландшафтом и позволяет в кратчайшие сроки получить готовые к использованию ИТ-решения.
Кроме того, расширены границы самообслуживания при управлении паролями и другими факторами аутентификации, причём пользователи могут самостоятельно определять приемлемый уровень безопасности своего аккаунта в границах, заданных администратором системы.
Разработчики Avanpost Web SSO 2.5 повысили гибкость и адаптивность сценариев аутентификации, сохранив простоту и удобство использования функций. С помощью правил, которые можно определить для каждого шага процесса, стало несложно настраивать даже весьма сложные алгоритмы, где шаги аутентификации динамически выполняются или пропускаются на основании различных данных, включая параметры сетевого окружения пользователя. Avanpost Web SSO теперь поддерживает парольные политики, позволяющие задать минимальные и максимальные сроки действия паролей, а также требования к их длине, составу символов, истории изменений и др. Администраторы получили возможность формировать политики автоматической блокировки аккаунта, обработки попыток входа в аккаунт с определённого устройства, задавать реакцию на подбор данных идентификации и аутентификации. Исключить неправомерный доступ к административной консоли и личному кабинету позволяет опция автоматического завершения сессии при обнаружении открытого, но не активного интерфейса.
В Avanpost Web SSO 2.5 расширены возможности аудита работы системы. В частности, эта версия научилась автоматически фиксировать различные события безопасности, связанные с аутентификацией. При этом сообщения записываются сразу в нескольких форматах (syslog и JSON), что упрощает интеграцию с любыми системами журналирования и с SIEM-решениями.
2019: Поддержка мультиязычности
3 сентября 2019 года стало известно, что компания Аванпост — российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — встроила универсальный механизм локализации в последние версии своих программных продуктов Avanpost IDM и Avanpost WebSSO, что сделало их пользовательские интерфейсы мультиязычными. Подробнее здесь.
2018
Avanpost SSO 2.0
23 октября 2018 года компания Аванпост объявила о выпуске Avanpost SSO 2.0 — этапного релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).
Изменения, включенные в данный релиз, по словам разработчика, расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также позволили одинаково эффективно реализовать аутентификацию как для современного ПО, так и для унаследованных систем.
Avanpost Web SSO — это системообразующее ПО, позволяющее крупной территориально распределенной организации или сети взаимодействующих предприятий (кластеру, деловой сети, расширенной цепочке поставок и др.) реализовать полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации. Построенная на базе Avanpost Web SSO единая система аутентификации охватывает все средства взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные веб-ресурсы, страницы которых динамически обращаются к информационным системам одной или нескольких организаций. При этом Avanpost WebSSO способен эффективно поддерживать ИС с миллионами пользователей, утверждают в Аванпост.
Среди изменений Avanpost Web SSO 2.0 разработчик отметил поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. В релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.
Идентификация пользователей
Множественные идентификаторы пользователей позволяют им входить в систему не только по логину, но и по любым другим разрешенным заказчиком уникальным ключам, например, по номеру телефона, e-mail, СНИЛС и др. Под каким бы индикатором ни вошел в систему пользователь, ему будет доступен один и тот же набор приложений. Кроме того, каждому приложению Avanpost Web SSO 2.0 передаёт именно тот идентификатор и в том формате, который оно ожидает. Это позволяет подключать к единой системе аутентификации приложения, использующие разные варианты идентификации пользователей и имеющие собственные базы идентификаторов, которые надо сохранить. Такая ситуация характерна для унаследованного ПО, отметил разработчик.
Система аутентификации и SSO для нового и унаследованного ПО
Для эффективной работы корпоративной системы аутентификации как с современным ПО принципиальное значение имеет поддержка в Web SSO 2.0 двух совершенно разных способов аутентификации. Начиная с первого релиза, в Avanpost Web SSO была реализована аутентификация через identity provider. В такой схеме система Web SSO участвует только в самом процессе аутентификации, по завершении которого никакого взаимодействия с прикладным ПО больше не происходит. Соответственно, система аутентификации, использующая эту схему, наиболее устойчива и наименее нагружена.
Avanpost Web SSO 2.0 получила также возможность работать и в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное, подчеркнул разработчик.
Возможность совместного использования обеих схем, предоставляемая Avanpost Web SSO 2.0, позволяет заказчикам эффективно работать как с новыми, так и с унаследованными приложениями, поддерживая оптимальный жизненный цикл корпоративной системы аутентификации и SSO. В Avanpost считают, что использовать одну технологическую платформу проще и удобнее, чем комбинировать и развивать независимые системы аутентификации.
Система управления данными
Ещё одно изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.
Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила подобные проблемы без побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.
Другие изменения
В релизе Avanpost Web SSO разработчиком отмечены и менее масштабные изменения, влияющие на удобство использования и функциональность продукта. В представленной версии поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.
Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.
При подготовке Avanpost Web SSO 2.0 компания Аванпост применила собственные методики дозирования изменений, включаемых в этапные и минорные обновления своих продуктов. Это изменение, введенное в связи с переходом на технологии Agile, упрощает освоение новых версий пользователями и администраторами продуктов линейки Avanpost, считает разработчик.
Описание продукта
Особенности (на сентябрь 2018 года):
- Прозрачная аутентификация в унаследованных приложениях
- Автоматическая подстановка аутентификационных данных в окна и веб-страницы приложений позволяет организовать прозрачную аутентификацию.
- Многофакторная аутентификация в ОС и приложениях
- Решение позволяет организовать многофакторную аутентификацию с использованием различных факторов: токенов, смарт-карт, RFID-меток, сканеров отпечатков, SMS и других факторов.
- Повышение безопасности пользовательских аккаунтов в ИС.
- Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.
Список поддерживаемых средств аутентификации:
На сентябрь 2018 года в Avanpost SSO поддерживаются различные факторы аутентификации, такие как:
- USB-токены и смарты-карты известных производителей (ruToken, eToken, ESMART, MS Key и другие);
- одноразовые пароли по SMS;
- биометрия на базе продуктов BioLink;
- карты с RFID-метками (чаще всего применяются в системах СКУД).
Механизм изменения и распространения пароля
Avanpost SSO интегрируется с целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.
Включение в реестр российского ПО
В январе 2018 года компания Аванпост объявила о том, что программный продукт Avanpost Web SSO включен в единый реестр российских программ для электронных вычислительных машин и баз данных (регистрационный номер 4049). Теперь в него входят все программные продукты Avanpost (Web SSO, IDM, PKI и SSO), что позволяет, соблюдая требования действующего законодательства РФ, применять их по отдельности и в любых сочетаниях в государственных структурах (включая ФОИВы), силовых ведомствах, госкорпорациях и муниципальных образованиях. Включение Web SSO в реестр российского ПО важно и для коммерческих организаций, которые формируют свои технологические платформы с учетом политики импортозамещения.
2017: Анонс Avanpost Web SSO
20 марта 2017 года компания Аванпост объявила о продвижении на рынок Avanpost Web SSO - комплекса функций обычной и многофакторной аутентификации пользователей ИС. Продукт ориентирован на предприятия с крупной территориально распределенной организацией или деловой сетью.
Единая система аутентификации и SSO, созданная посредством Avanpost WebSSO, охватывает все механизмы взаимодействия пользователей с современными ИС:
- тонкие клиенты,
- мобильные приложения,
- SaaS-сервисы,
- настольные приложения традиционного типа
- сложно-организованные веб-ресурсы, страницы которых открывают доступ к информационным системам одной или нескольких организаций.
Avanpost WebSSO ориентирован на поддержку ИС с миллионами пользователей.
Разработка «из коробки» поддерживает три сценария аутентификации и реализации SSO в крупных ИС:
- общий сервис аутентификации для множества приложений крупной централизованной организации;
- федеративная аутентификация, когда пользователи находятся в нескольких взаимодействующих организациях, а сервис аутентификации предоставляет одна из них;
- аутентификация в SaaS-приложениях, необходимая организациям, переводящим свои ИС на инфраструктуру частных облаков.
В первом сценарии упрощается разработка приложений (т.к. в них не нужно запускать подсистемы управления информацией о пользователях), сохраняется управляемость при осознанной децентрализации ИС, вводимой для повышения гибкости.
Во втором случае повышается уровень безопасности взаимодействия больших групп компаний и крупных деловых сетей. Это связано с тем, что организация федеративной аутентификации сложна.
При переходе на SaaS-архитектуру организация может создавать внутренние приложения в частном облаке и безопасно использовать услуги хостинг-провайдеров, не передавая вовне свои данные о пользователях. Взаимодействие внешних и внутренних SaaS-приложений с сервисом Avanpost WebSSO основано на открытых стандартах (SAML, OAuth и др.).
Avanpost WebSSO обеспечивает комплекс сервисов аутентификации. Использование этого ПО в связке с программным продуктом Avanpost IDM позволяет автоматизировать управление каталогом учетных данных системы WebSSO, связанной с ней посредством LDAP-коннектора. При аутентификации Avanpost WebSSO может получать атрибуты авторизации непосредственно из IDM-системы. Кроме того, из IDM может передаваться и информация о ролях (для этой информации в SAML есть стандартный протокол). Всё это позволяет не хранить в системе WebSSO информацию о пользователях (включая атрибуты аутентификации). Это упрощает администрирование функций аутентификации, исчезает возможность ошибок и злоупотреблений.
Avanpost WebSSO обеспечивает комплекс функций аутентификации и SSO как для информационных систем на основе технологий и продуктов зарубежных вендоров, так и для импортонезависимых ИТ-решений.
Технологический стек платформы Avanpost WebSSO, включая язык программирования, дополнительные библиотеки и фреймворки имеет реализации для Linux и Windows. Исходный код Avanpost WebSSO может переноситься между этими платформами. Однако, заявили разработчики, на 20 марта 2017 года предпочтительная среда исполнения Avanpost WebSSO — Linux.
ПО доступно по двум схемам лицензирования: по числу пользователей и процессорным ядрам.
Единая точка аутентификации и управления аутентификационными данными, созданная с помощью Web SSO, дает преимущества представителям всех целевых сегментов. В случае крупных государственных и муниципальных структур происходит унификация обслуживания внутренних пользователей, подведомственных учреждений и подрядчиков. Крупные коммерческие организации повышают безопасность и удобство своих ИС для пользователей на фоне расширяющегося набора каналов коммуникации (через Web-сайты, мобильные приложения, веб-сервисы и др.), роста популярности предоставления услуг через интерактивные Web-сайты и мобильные приложения, усложнения портфеля услуг (например, в банковской сфере), а также передачи различных функций на аутсорсинг и необходимости встраивать механизмы доступа к ИС партнеров в свои коммуникационные инструменты. А крупным муниципальным образованиям, развивающим мощные порталы-агрегаторы услуг, важны все вышеперечисленные преимущества.
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Мосводоканал АО | Avanpost (Аванпост) | 2020.12 | |
- Кумертауское авиационное производственное предприятие (КумАПП) | Avanpost (Аванпост) | 2018.09 |
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (472, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
Мультифактор (Multifactor) (1, 1)
1IDM (АйТи Солюшнз) (1, 1)
Другие (9, 9)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 274
PayControl - 3
МегаФон Мобильный ID - 2
Shenzhen Chainway C-серия RFID-считывателей - 1
Konica Minolta Dispatcher Suite - 1
ОТР.Опора - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1