Разработчики: | Аладдин Р.Д. (Aladdin R.D.) |
Дата премьеры системы: | 2016/07/26 |
Дата последнего релиза: | 2022/08/29 |
Технологии: | ИБ - Аутентификация, Серверные платформы |
JaCarta Authentication Server (JAS) - автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям.
2024: Совместимость с ViPNet PKI Service 2.3
Компания «ИнфоТеКС» и компания Аладдин 19 февраля 2024 года сообщили о достижении совместимости многофункционального программно-аппаратного комплекса (ПАК) ViPNet PKI Service 2.3 и сервера аутентификации JaCarta Authentication Server. Подробнее здесь.
2022: Совместимость с JaCarta Authentication Server (в составе JMS 3.7) с межсетевыми экранами UserGate
"Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, и UserGate, российский разработчик программного обеспечения и микроэлектроники, завершили проверку совместной работы сервера аутентификации JaCarta Authentication Server (JAS) и межсетевых экранов следующего поколения UserGate. Об этом сообщила компания "Аладдин Р.Д." 29 августа 2022 года.
Компании подписали сертификат совместимости продуктов, что расширит арсенал интегрируемых отечественных решений для обеспечения безопасности информационных систем (ИС).Витрина данных НОТА ВИЗОР для налогового мониторинга
За счёт интеграции сетевых устройств UserGate с сервером аутентификации JAS появляется возможность назначить дополнительные способы аутентификации пользователям VPN – ввести при подключении к информационным системам использование одноразового пароля (OTP) с помощью SMS или PUSH-уведомлений (с применением мобильного приложения Aladdin 2FA).
В основе работы межсетевых экранов UserGate — особенная архитектура и собственная операционная система UGOS. Такой подход позволяет обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Линейка решений UserGate образует собственную экосистему безопасности UserGate SUMMA. Все компоненты экосистемы сертифицированы ФСТЭК России, совместимы между собой и обеспечивают защиту актуальной сетевой инфраструктуры от разнообразных интернет-угроз, связанных с внешними атаками, вредоносными приложениями, скриптами и другими рисками, а также позволяют применять различные политики к интернет-пользователям в отношении контроля трафика и используемых приложений.
UserGate NGFW поддерживает аутентификацию пользователей и применение к пользователям/группам пользователей правил межсетевого экранирования, контентной фильтрации, контроля приложений с поддержкой Active Directory, а также таких средств и протоколов аутентификации, как Kerberos, RADIUS, LDAP, Captive Portal, TACACS+, 2ФА.
Высокопроизводительный сервер аутентификации JaCarta Authentication Server (JAS) реализует усиленную двухфакторную аутентификацию с поддержкой как аппаратных токенов, так и программных OTP/SMS/PUSH аутентификаторов для обеспечения безопасности доступа к устройствам и ресурсам информационных систем. JAS – отечественный продукт, зарегистрированный в Едином реестре российского ПО, сертифицирован ФСТЭК России и реализован в составе платформы JaCarta Management System (JMS) 3.7. JMS 3.7 – это сертифицированная система учёта и централизованного управления средствами аутентификации и электронной подписи (ЭП), защищёнными носителями информации, а также средствами безопасной удалённой работы.
Продукты JMS 3.7 и JAS применяются в крупных корпоративных ИТ-системах и информационных сервисах для повышения уровня безопасности и автоматизации работы администраторов ИБ. В частности, JAS способен выполнять более 5000 аутентификаций в секунду.
Специалисты "Аладдин Р.Д." уделяют много внимания вопросам улучшения функционала продуктов JMS, JAS и расширения списка совместимых продуктов и устройств. В ходе проведённых работ была подтверждена совместимость JAS в составе JaCarta Management System 3.7 со следующими моделями сетевого оборудования UserGate: межсетевыми экранами следующего поколения UserGate C100, UserGate D200, D500, UserGate E1000, E3000, UserGate F8000, UserGate X1; виртуальный межсетевой экран UserGate, что гарантирует их корректную работу в ИТ-инфраструктурах различного масштаба и позволяет решать вопросы усиления процесса аутентификации пользователей ИС полностью на отечественных разработках.
2021: Использование при работе с сервисом VDI в OnCloud.ru
Компания «Онланта» (входит в группу ЛАНИТ) внедрила двухфакторную аутентификацию при работе с сервисом по предоставлению удаленных рабочих мест (VDI) в защищенном облаке OnCloud.ru. Авторизация осуществляется на основе решения JaCarta Authentication Server (JAS), разработанного компанией «Аладдин Р. Д.». Об этом ЛАНИТ сообщил 11 февраля 2021 года. Подробнее здесь.
2020: Спеццена на JaCarta Authentication Server
26 марта 2020 года компания "Аладдин Р.Д." запустила акцию для удаленных сотрудников, в рамках которой предлагает использовать решение JaCarta Authentication Server (JAS) по спеццене. Решение предназначено для защищённого удалённого доступа и усиленной аутентификации с использованием OTP (аутентификация пользователей по одноразовым паролям) на смартфоне в качестве дополнительного фактора аутентификации в VPN и VDI (VMware Horizon View, Citrix XenApp/XenDesktop). Специалисты компании предлагают помощь в дистанционной настройке серверных компонентов решения и готовы предоставить инструкции для "вынужденных" домашних пользователей. Для получения информации о реализации двухфакторной аутентификации (2FA) через OTP и спеццены необходимо сделать запрос на сайте разработчика.
2019: Добавление функции аутентификации
10 июня 2019 года компания "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, объявил о выпуске дополнительной опции в рамках продукта [1] Authentication Server (JAS).
В комплект поставки сервера аутентификации (JAS) добавлена функция аутентификации – JAS OTP Logon (JOL). Она расширяет стандартный набор поставщиков учётных данных (Credential Provider) ОС Windows, с помощью которых пользователь может открыть сеанс работы с Windows (отображаются как поля ввода аутентификационных данных на экране входа), а также аутентифицироваться в стандартных сервисах и приложениях Windows, например, в Web-приложениях IIS, для подключения к удалённому компьютеру средствами терминального сервиса Windows и т.п.
Данная функция обеспечивает усиленную двухфакторную аутентификацию (т.е. без использования смарт-карт или других криптографических средств аутентификации), где в качестве второго фактора в дополнение к основному паролю добавляется OTP-пароль, генерируемый с помощью стандартных OTP-токенов. Допускается также вариант использования популярных программных генераторов OTP, таких, как Яндекс.Ключ и Google Authenticator.
Аутентификация для входа в Windows c помощью JOL выполняется как в доменной среде (на базе Microsoft Active Directory), так и на внедоменных рабочих станциях. Это позволяет внедрять в организациях двухфакторную аутентификацию без развёртывания PKI-инфраструктуры. Продукт содержит встроенные средства для обеспечения централизованных установки и настройки через групповые политики Windows.
2016
Регистрация в Едином реестре российского ПО
В ноябре 2016 года "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, сообщила о регистрации продукта JaCarta Authentication Server (JAS) в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 2128 (Минкомсвязь России). Как известно, при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО.
JAS — автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP) при доступе к корпоративным системам (CRM, порталы, почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App, Web-сайтам и облачным сервисам, системам дистанционного банковского обслуживания, а также удалённым рабочим столам (VMware Horizon View и Citrix XenApp/XenDesktop). Применение JAS позволяет обеспечить надёжную защиту доступа к ресурсам и сервисам организации, в том числе с планшетов и смартфонов (поддерживаются Google Authenticator и отправка пароля по SMS), а также повысить лояльность и удовлетворённость пользователей, так как процесс аутентификации заметно упрощается.
Выпуск JaCarta Authentication Server
26 июля 2016 года компания Аладдин Р.Д. сообщила о выпуске сервера для усиленной аутентификации по одноразовым паролям JaCarta Authentication Server (JAS).
JAS предназначен для обеспечения усиленной аутентификации пользователей по одноразовым паролям (OTP - one time password) при доступе к корпоративным системам (CRM, порталам, почте и т.п.), сайтам, облачным сервисам, системам дистанционного банковского обслуживания (ДБО) и удалённым рабочим столам (Microsoft RDP, VMware Horizon View, Citrix XenApp/XenDesktop). Поддерживается аутентификация мобильных пользователей, работающих за пределами защищённого сетевого периметра организации.
При создании JAS нами был учтён многолетний опыт продаж продуктов других вендоров (Token Management System, SafeNet Authentication Manager) и разработки собственных токенов JaCarta. В результате мы можем предложить российскому рынку полностью отечественный продукт, ни в чём не уступающий западным аналогам, по значительно меньшей цене. Мы рассчитываем, что JAS будет интересен всем организациям, нуждающимся в усиленной аутентификации пользователей или ищущим замену иностранным решениям, а также разработчикам систем ДБО, корпоративного ПО и онлайн-сервисов. В дальнейшем мы планируем провести сертификацию JAS по требованиям ФСТЭК России, что позволит использовать его в системах защиты высокого класса и будет способствовать дальнейшему распространению нашей разработки. |
Преимущество одноразового пароля по сравнению с обычным статическим паролем заключается в исключении возможности использовать OTP повторно. По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный пароль для получения доступа к защищаемой информационной системе.
JAS может использоваться для OTP-аутентификации:
- в государственных и коммерческих организациях, нуждающихся в усилении аутентификации пользователей при доступе к внешним или внутрикорпоративным системам;
- в системах ДБО;
- разработчиками корпоративного ПО;
- разработчиками онлайн-сервисов;
- организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (прежде всего, SafeNet Authentication Manager).
JAS позволяет использовать разные режимы аутентификации для разных групп пользователей:
- только OTP;
- OTP + OTP PIN;
- доменный пароль + OTP;
- доменный пароль + OTP + OTP PIN.
Поддерживаемые модели токенов (режим генерации OTP "по событию"):
- JaCarta WebPass;
- eToken PASS;
- eToken NG-OTP (Java);
- Google Authenticator.
Для интеграции с прикладным ПО реализована поддержка протоколов:
- Remote Authentication in Dial-In User Service (RADIUS);
- Representational State Transfer (REST);
- Windows Communication Foundation (WCF).
Свойства системы
Автономность
Для работы JAS не требуется дополнительное ПО, в составе продукта:
- сервис аутентификации, включающий средства мониторинга;
- плагин для Microsoft Network Policy Server (NPS);
- средства администрирования и управления токенами и пользователями.
Высокая производительность
- один сервер JAS способен обеспечить до 1 000 аутентификаций в секунду;
- вертикальная масштабируемость — прямая зависимость от производительности процессора.
- Сервер аутентификации: реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service
- OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса
- Файл counters.dat:
- хранение текущих значений счётчиков аутентификации;
- файл обновляется при выполнении служебных операций через Консоль управления.
- Консоль управления JAS (Агент JAS):
- управление токенами и пользователями;
- может быть установлена на отдельный компьютер;
- режимы аутентификации и авторизации пользователя:
- учётная запись Microsoft Windows + членство в группе;
- аутентификация отключена.
- Хранилище учётных записей: Microsoft SQL Server или Microsoft Active Directory/Microsoft Security Account Manager
- База данных Microsoft SQL Server
- Хранение информации о токенах и пользователях
- Достаточно установить только один компонент — Microsoft SQL Server Database Engine
- База данных создаётся автоматически в процессе настройки сервера JAS
- Доступные режимы аутентификации пользователя базы данных:
- средствами Microsoft Windows;
- средствами Microsoft SQL Server.
Интеграция с прикладным ПО
- RADIUS:
- доступен для приложений, использующих для аутентификации пользователей RADIUS-протокол;
- необходимо наличие сервера Microsoft NPS и установленного плагина;
- плагин взаимодействует с сервером JAS через REST-интерфейс;
- не требуется доработка прикладного ПО.
- REST:
- работает "поверх" HTTP;
- доступен для любых приложений, на любых платформах;
- требуется доработка прикладного ПО.
- WCF:
- работает "поверх" HTTP, либо TCP;
- доступен только для .Net-приложений;
- требуется доработка прикладного ПО.
Отказоустойчивость
Microsoft Failover Cluster, модель Active/Standby
- Несколько серверов JAS:
- синхронизация файла counters.dat;
- необходимо сохранить пароль шифрования.
- Несколько серверов Microsoft SQL Server:
- репликация базы данных средствами Microsoft SQL Server.
Поддерживаемые алгоритмы вычисления OTP
- RFC 4226 + HMAC-SHA-1 (6 символов);
- RFC 4226 + HMAC-SHA-256 (6 символов);
- RFC 4226 + HMAC-SHA-256 (7 символов);
- RFC 4226 + HMAC-SHA-256 (8 символов).
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Инфосистемы Джет | Аладдин Р.Д. (Aladdin R.D.) | 2023.06 | |
- Астра Группа компаний | Аладдин Р.Д. (Aladdin R.D.) | 2023.05 | |
- Сибур Холдинг, ПАО | Аладдин Р.Д. (Aladdin R.D.) | 2021.02 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (89)
X-Com (Икс ком) (57)
Крок (35)
Инфосистемы Джет (34)
Астерос (34)
Другие (1093)
X-Com (Икс ком) (10)
Softline (Софтлайн) (6)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5)
Крок (4)
Инфоматика (3)
Другие (53)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
Мобильные ТелеСистемы (МТС) (3)
Почта России (2)
Селектел (Selectel) (2)
Аквариус (Aquarius) (1)
Другие (24)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Lenovo (1, 6)
Lenovo Data Center Group (1, 6)
SOTI (1, 3)
КНС Групп (Yadro) (1, 3)
Bull (Atos IT Solutions And Services) (2, 2)
Другие (18, 20)
Селектел (Selectel) (1, 2)
Lenovo Data Center Group (1, 1)
Базальт СПО (BaseALT) ранее ALT Linux (1, 1)
КРУГ НПФ (1, 1)
Ситроникс (Sitronics) (1, 1)
Другие (7, 7)
Аладдин Р.Д. (Aladdin R.D.) (1, 2)
Lenovo (1, 1)
Red Hat (1, 1)
КРУГ НПФ (1, 1)
Dell EMC (1, 1)
Другие (8, 8)
Content AI (Контент ИИ) (1, 2)
TrueConf (Труконф) (1, 2)
КНС Групп (Yadro) (1, 2)
Селектел (Selectel) (1, 1)
Сбербанк-Технологии (СберТех) (1, 1)
Другие (2, 2)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft Active Directory - 32
Oracle Exadata Database Machine - 21
Oracle WebLogic Server - 20
Microsoft System Center Operations Manager (SCOM) - 18
Lenovo ThinkSystem - 17
Другие 366
Lenovo ThinkSystem - 6
Soti Mobicontrol - 3
Yadro Сервер - 3
Ngenix Облачная платформа - 2
Dell EMC PowerEdge - 2
Другие 15
Selectel Выделенные серверы - 2
Aerodisk Machine Серверы - 1
Серверы Ситроникс - 1
Альт Сервер - 1
Gagarin Серверы - 1
Другие 5
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (470, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Samsung Electronics (1, 1)
Аладдин Р.Д. (Aladdin R.D.) (1, 1)
Konica Minolta (Коника Минолта) (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
СэйфТек (SafeTech) (1, 1)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
RooX Solutions (Рукс Солюшенс) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
IT-Lite (АйТи Лайт) (1, 1)
АТ бюро (ESMART) (1, 1)
КИТ (EPlat4m) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
Shenzhen Chainway C-серия RFID-считывателей - 1
Konica Minolta Dispatcher Suite - 1
ОТР.Опора - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1