Разработчики: | RooX Solutions (Рукс Солюшенс) |
Дата премьеры системы: | 2022/03/10 |
Дата последнего релиза: | 2024/11/18 |
Технологии: | ИБ - Аутентификация |
2024
Возможность астомизировать сценарий входа в операционные системы на базе Linux
В системе управления доступом RooX UIDM появилась возможность кастомизировать сценарий входа в операционные системы на базе Linux. Теперь можно реализовать дополнительные шаги проверки при входе, например, второй фактор по OTP. Об этом разработчик сообщил 18 ноября 2024 года.
Вход в операционную систему только по логину и паролю – такая мера защиты не отвечает требованиям информационной безопасности. Компании могут хотеть применять многофакторную аутентификацию и другие проверки при входе сотрудников в Linux. При этом, в базовой поставке ОС такой возможности нет.
Данная функция RooX UIDM позволяет добавить при входе запрос второго и последующих факторов (через SMS, TOTP, push и др.), таким образом делая аутентификацию усиленной. Кроме того, можно реализовать дополнительные проверки, в частности, на наличие у пользователя ограничений доступа или любых внешних блокировок.
Функция разработана на базе библиотек Linux PAM и реализуется через подключение PAM-модуля RADIUS. Все необходимые проверки делегируются в RADIUS-сервер, который производит их согласно настроенному сценарию. Запрос ввода дополнительных факторов производится с помощью механизма Challenge. RADIUS-сервер входит в поставку RooX UIDM.
Обновление RooX UIDM будет полезно корпоративным заказчикам, которые пользуются Linux-подобными операционными системами и хотят повысить степень защиты инструментами адаптивной аутентификации. Ранее мы уже реализовали такую функцию для пользователей ОС Windows, — сказал директор по безопасной разработке RooX Константин Корсаков. |
Добавление протокола RADIUS
В систему управления доступом RooX UIDM добавлена поддержка протокола RADIUS. Это позволяет расширить спектр устройств и ПО, подключенных к единой учетной записи сотрудника. В рамках обновления появилась возможность подключать, в частности, VPN, Wi-Fi, FTP-сервера, Linux-машины и RPD-сервера. Об этом RooX Solutions сообщил 11 ноября 2024 года.
Большинство IAM-систем хорошо решают задачу централизации управления доступами в случае, когда доступ к системам осуществляется через web-протоколы (например, OAuth2.0, OIDC, SAML). Однако кроме таких систем у бизнеса, как правило, есть сетевая инфраструктура и сервисы, которые работают по другим протоколам. Михаил Рожков, PARMA TG: Большинство наших BPM-проектов выходят за рамки отдельных процессов и организаций
Возможности кастомизации сценариев входа в указанное ПО и устройства остаются почти такими же широкими, как и любых других сценариев, реализованных в RooX UIDM. Сценарии настраиваются согласно корпоративным политикам доступа, которые могут опираться на множество параметров (например, быть как организационными, так и риск-ориентированными). Единственное ограничение накладывает сам протокол RADIUS - для настройки многофакторной аутентификации можно использовать только способы, основанные на вводе текстовой информации (пароль, одноразовый код, ответ на секретный вопрос и так далее).
В данной функции поддержано подключение множества сетевых устройств доступа.
Поддержка протокола RADIUS в RooX UIDM позволит компаниям быстрее и эффективнее реализовать стратегию ZTNA. Благодаря использованию централизованной учетной записи для входа в большее число приложений и устройств, будет проще соблюдать ИБ-политики и можно будет сэкономить на поддержке, — сказал директор по безопасной разработке RooX Константин Корсаков. |
Возможность кастомизировать сценарий входа в Windows
В системе управления доступом RooX UIDM появилась возможность кастомизировать сценарий входа в Windows. Теперь в него можно добавлять факторы аутентификации и дополнительные проверки. Также можно добавить на форму входа логотип компании. Об этом RooX Solutions (Рукс Солюшенс) сообщил 18 сентября 2024 года.
Ввода логина и пароля становится недостаточно для защиты данных. Эксперты рекомендуют использовать многофакторную аутентификацию и множество приложений и сервисов уже дают возможность включать и настраивать ее. Однако в базовой поставке Windows форма входа по-прежнему предполагает только ввод логина и пароля.
С помощью добавленной функциональности в системе управления доступом RooX UIDM можно повысить безопасность входа в популярную операционную систему. Теперь стало возможным добавить в сценарий аутентификации шаги с запросом второго и последующих факторов (OTP SMS, TOTP, push и другие). Кроме того, можно осуществлять дополнительные проверки: например, блокировать доступ на некоторое время после нескольких неудачных попыток входа или обрабатывать события из SIEM. Добавлять шаги в сценарии входа в Windows можно с учетом различных условий (доверенное устройство, версия Windows, наличие критичных обновлений и так далее), то есть можно делать аутентификацию адаптивной. Функция разработана на базе WinAPI путем реализации кастомного Credential Provider.
Также данная функциональность позволяет добавить на форму входа логотип компании.
Возможность брендирования интерфейса входа в Windows способствует развитию корпоративной культуры и позволяет сотрудникам крупных компаний работать в привычной визуальной среде, — сказал технический директор RooX Егор Крутихин. |
Возможность автоматически выбирать LDAP-сервер с данными пользователя в зависимости от домена
В системе управления доступом RooX UIDM появилась возможность автоматически выбирать LDAP-сервер с данными пользователя в зависимости от домена. Функция обеспечивает единый вход сотрудников из разных подразделений и компаний-партнеров без необходимости мигрировать данные из нескольких источников в общее хранилище. Об этом разработчик сообщил 28 августа 2024 года.
Как правило, компании используют службы каталогов для хранения учетных данных пользователей внутренних систем (используются сервера Active Directory или аналоги). По разным причинам в компании может быть несколько доменов пользователей, которые обслуживаются разными серверами. Например, пользователи могут быть сотрудниками разных филиалов или работать в компании-партнере.
Если компания стремится обеспечить единый вход пользователей в различные системы, то перед ней встает задача, как объединить разные источники учетных данных в момент входа пользователя в систему.
Добавленная функция в системе управления доступом RooX UIDM решает эту задачу. При входе через форму входа или с использованием Kerberos RooX UIDM определяет домен пользователя и в зависимости от домена выбирает, какое подключение к LDAP-серверу использовать в данном случае.
С помощью этой функции можно реализовать единую форма входа для всех пользователей, независимо от источника учетных данных. В этом случае нет необходимости мигрировать данные из нескольких источников в единое хранилище доступа.
Обновление расширило возможности существующей в RooX UIDM функции объединенной аутентификации пользователей из нескольких служб каталогов, которая облегчает вход в различные корпоративные сервисы, когда в компании развернут так называемый «мультилес».
Это обновление RooX UIDM подходит для крупных и средних компаний, стремящихся упростить и унифицировать процесс входа для своих пользователей, обеспечивая при этом высокий уровень безопасности.
Функция создания порталов приложений
В системе управления доступом RooX UIDM появилась функция создания порталов приложений, объединяющих доступ к множеству систем и сервисов в едином интерфейсе. Политики доступа к приложениям можно строить на основе как ролевой (RBAC), так и атрибутной (ABAC) модели. Об этом разработчик сообщил 11 июля 2024 года.
Порталы приложений — это инструмент для компаний из различных отраслей, позволяющий объединить в едином интерфейсе собственные и сторонние сервисы, которые часто требуются сотрудникам в работе.
Например, преподавателям вузов нужен доступ в платформу для создания обучающих курсов, сервис по проверке текстов на оригинальность, в библиотечное приложение и другие. Сотруднику компании из сегмента HoReCa могут понадобиться приложение бронирования, обучающая платформа, сервис электронных чаевых и так далее.
Портал приложений RooX UIDM консолидирует доступ к приложениям, необходимым пользователю. Это поможет упростить поиск приложений и вход в них, снизить время на выполнение задач, а также повысить уровень комфорта пользователя и информационной безопасности.
Портал приложений — это то, с чего сотрудники многих компаний начинают каждый рабочий день. Мы добавили эту функцию в RooX UIDM, чтобы упростить и одновременно обезопасить вход в корпоративные приложения, — сказал Алексей Хмельницкий, генеральный директор RooX. |
Портал приложений RooX UIDM может существовать как самостоятельно, так и бесшовно встраиваться в текущие цифровые сервисы (веб, PWA, десктопные приложения), например, личный кабинет сотрудника. Перечень доступных приложений формируется автоматически и индивидуально для каждого пользователя в зависимости от его полномочий. Политики доступа можно строить согласно как ролевой (RBAC), так и атрибутной (ABAC) модели доступа. Пользователь может добавить в избранное наиболее важные из доступных ему сервисов и тогда эти сервисы будут показаны ему выше остальных.
В RooX UIDM можно настраивать доступ в приложения на основании полноценной атрибутной модели, — отметил Константин Корсаков, главный архитектор RooX. — Эта модель позволяет учитывать любые атрибуты пользователя, сессии, контекста и так далее, что значительно снижает риски несанкционированного доступа. |
Портал приложений, как и остальные функциональные возможности RooX UIDM, сделан по принципу API first. «Из коробки» поставляется white label дизайн, также можно подключить свой дизайн без каких-либо ограничений.
Комплексное решение для управления доступом
RooX UIDM — российское комплексное решение для управления аутентификацией и авторизацией, которое объединяет аутентификацию и управление доступом в единой системе. Подробнее здесь.
Защита от перехвата токенов доступа
В системе управления авторизацией и аутентификацией RooX UIDM появилась защита от перехвата токенов доступа. Она позволит бизнесу усилить защиту приложений от несанкционированных действий. Об этом разработчик сообщил 4 июня 2024 года.
Токен доступа — это специально генерируемый код, который используется для аутентификации и авторизации пользователя или приложения. Такой токен формируется в момент успешной аутентификации и используется для проверки подлинности пользователя каждый раз, когда тот совершает действие, например, просматривает баланс счета, данные профиля, переводит деньги, совершает покупку и т.д. Он позволяет избежать повторного ввода учетных данных при каждом таком действии пользователя.
Однако токен может быть перехвачен злоумышленниками из-за недостаточной защиты данных или ошибки в коде, что даст возможность совершать несанкционированные действия от лица пользователя. Поэтому важно регулярно обновлять токены и внедрять дополнительные меры безопасности.
Добавленная функция в RooX UIDM является одной из таких мер безопасности. Она проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа.
Функция работает на основе асимметричной криптографии. Сначала на устройстве, с которого пользователь входит в приложение, генерируется пара криптографических ключей: закрытый и открытый. В момент аутентификации выданный токен связывается с ключом. Далее при каждом запросе на действие на сервер передается не только токен доступа, но и дополнительная информация о действии, подписанная закрытым ключом. Сервер, получивший запрос, использует открытый ключ клиента для проверки подписи. Если подпись подтверждается, сервер может быть уверен, что запрос исходит от того же устройства.
Использование асимметричной криптографии позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.
Механизмы подобных проверок постепенно становятся базовым требованием информационной безопасности при операциях с персональными данными. Эту тенденцию подтверждают крупнейшие технологические компании мира. Так, недавно Google встроил в браузер Google Chrome похожий инструмент. Мы следим за развитием рынка и дополняем RooX UIDM актуальными и востребованными функциями, — сказал Константин Корсаков, главный архитектор RooX. |
Совместимость с Astra Linux 1.7
Завершены испытания совместимости системы управления доступом RooX UIDM с ОС Astra Linux 1.7. Корректную работу программного стека подтверждает сертификат, выданный «Группой Астра». Для конечных пользователей это означает, что у них появились возможности для создания и развития ИБ-контуров, отвечающих их индивидуальным потребностям. Об этом 27 марта 2024 года сообщила «Группой Астра».
Получению сертификата предшествовало комплексное тестирование работоспособности программного стека. Для этого эксперты RooX использовали стенд с СУБД Postgres PRO Standard, ОС Astra Linux, а также созданной в VK платформой in-memory вычислений Tarantool, предназначенной для хранения токенов и другой оперативной информации. На этом стенде специалисты проверили все пользовательские сценарии регистрации, аутентификации, авторизации и самообслуживания и убедились, что RooX UIDM корректно работает в связке с российским ПО, а функционал для вычисления политик доступа, авторизации пользователей и аутентификации, в том числе федеративной, доступен в полном объеме.
RooX UIDM и раньше был совместим с ОС на базе Linux. Мы доработали дистрибутивы, чтобы система устанавливалась и запускалась на Astra Linux так же удобно, как и на других импортонезависимых платформах, , — прокомментировал главный архитектор RooX Константин Корсаков. |
Одна из первоочередных задач импортозамещения — обеспечить полную совместимость отечественных программных продуктов из разных сегментов. Пользователям должна быть доступна максимально широкая экосистема решений, которые корректно и стабильно работают в связке. Сейчас, когда успешно завершены тесты и подтверждена работоспособность RooX UIDM в среде Astra Linux, у организаций появились возможности для выстраивания и модернизации ИБ-систем, — отметил Алексей Трубочев, директор департамента сопровождения «Группы Астра». |
Напомним, что сейчас на уровне министерства обсуждается вопрос об обязательном обеспечении совместимости с Linux-подобными платформами продуктов, входящих в реестр Минцифры.
Совместимость с «Ред ОС»
RooX и Ред Софт подтвердили совместимость системы аутентификации и авторизации RooX UIDM с операционной системой Ред ОС. Теперь бизнесу доступно совместное решение для безопасного управления доступом, а также для построения импортонезависимых ИТ-экосистем. Об этом Ред Софт сообщил 27 февраля 2024 года.
Операционная система используется у государственных и коммерческих заказчиков. Партнёрство с таким разработчиком и подтверждение совместимости наших решений — стратегический шаг для нашей компании, который позволит предложить ещё большему количеству отечественных бизнес-пользователей надежные инструменты для управления доступом, — сказал Константин Корсаков, главный архитектор RooX. |
РЕД СОФТ постоянно расширяет партнёрскую сеть, включая в неё востребованные решения для обеспечения информационной безопасности. Мы благодарим команду RooX за активное и плодотворное сотрудничество, — отметил Рустам Рустамов, заместитель генерального директора РЕД СОФТ. |
2023
Добавление API Gateway
В систему управления доступом RooX UIDM добавлен API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. API Gateway облегчит переход на единую систему аутентификации (Single Sign-On), усилит безопасность приложений и API, снизит затраты на безопасность. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков. Об этом RooX Solutions (Рукс Солюшенс) сообщил 21 декабря 2023 года.
При внедрении единой системы аутентификации в крупной компании могут встретиться следующие обстоятельства, усложняющие цифровую трансформацию: необходимо обеспечить единообразной авторизацией десятки и даже сотни приложений и API, которые созданы в рамках различных технологических стеков, и среди которых могут быть легаси-приложения и облачные сервисы.
При этом выделенный ресурс на доработки в части функций управления доступом органичен, а доступ к исходным кодам приложений может быть затруднен или невозможен.
Кроме того, защищенность приложений может быть недостаточна или не соответствовать актуальным стандартам и нормативам безопасности (например, может отсутствовать поддержка мультифакторной аутентификации).
API Gateway в RooX UIDM облегчит внедрение Single Sign-On: избавит от необходимости дорабатывать функциональность авторизации в каждом приложении или API, предоставит возможность простой настройки подключения новых приложений. Также он обеспечит надежный уровень защиты приложений благодаря применению единых современных правил авторизации.
В рамках микросервисной архитектуры RooX UIDM мы отделяем вопросы безопасности от бизнес-логики. Такой подход позволяет обеспечивать более высокий уровень защиты, — сказал главный архитектор RooX Константин Корсаков. |
API Gateway в RooX UIDM работает по принципу обратного прокси, прерывая входящие HTTP-запросы. Он анализирует данные пользовательской сессии, URL, заголовки и фрагменты тела запроса, IP-адрес источника, данные из HTTPS-сертификата и другие параметры.
Подключение приложений и API и настройка правил доступа для них может осуществляться без участия разработчиков. Для каждого URL можно задать критерии отбора запроса и перечень необходимых действий при удовлетворении этому критерию. Среди доступных действий проверка прав доступа, переадресация на форму аутентификации или ввода OTP-кода, видоизменение, маршрутизация или блокировка запроса и другие.
В целях безопасности API Gateway в RooX UIDM осуществляет регистрацию событий обработки запросов, а также может ограничить информацию, передаваемую в приложение.
Для легаси-приложений API Gateway может скрытно запустить сессию, поддерживать ее и предоставлять многопользовательский доступ к этому приложению.
API Gateway в RooX UIDM рассчитан на высокую нагрузку, поддерживает трассировку запросов, централизованное логирование и мониторинг.
Добавление аутентификации пользователей из нескольких служб каталогов
В RooX UIDM появилась объединенная аутентификация пользователей из нескольких служб каталогов. Об этом 14 ноября 2023 года сообщила компания RooX Solutions (Рукс Солюшенс).
Данная функция системы управления доступом RooX UIDM облегчит аутентификацию в различные корпоративные сервисы, когда в компании развернут так называемый «мультилес», а также обеспечит единую аутентификацию в приложения, которые не поддерживают подключение к нескольким службам каталогов.
Служба каталогов — это распространённый компонент ИТ-инфраструктуры, который позволяет обеспечить авторизацию и аутентификацию пользователей во внутренние домены. Она имеет древовидную структуру и хранит всю информацию о подразделениях компании, пользователях сети, группах, в которые они входят, и др.
Самым популярным продуктом этого класса в российский кампаниях до недавнего времени был Microsoft Active Directory (AD) на базе Windows Server. Примерами open source решений являются Samba DC и FreeIPA. Среди российских служб каталогов можно назвать ALD Pro от ГК «Астра», РЕД АДМ от РЕД СОФТ, модуль, встроенный в «Альт Рабочая станция» и Avanpost Directory Service.
Крупные компании могут использовать несколько серверов служб каталогов по разным причинам. Такой подход распространен среди холдингов с множеством филиалов и дочерних организаций. Несколько служб каталогов также применяет бизнес, проходящий процедуру слияния. Иногда группы пользователей размещаются в отдельных хранилищах в соответствии с политикой ИБ компании. Наконец, и это актуальный паттерн в последнее время, компании могут одновременно использовать несколько служб каталогов – старую и новую – в процессе миграции на отечественное ПО.
В то же время необходимость поддерживать несколько разных форм входа в одинаковые приложения для разных групп пользователей усложняет управление, повышает риски для безопасности и приводит к неудобству для пользователей. Кроме того, некоторые приложения в принципе не поддерживают подключение к нескольким службам каталогов и для входа в них нужен механизм единой учетной записи.
Данная функция в системе управления доступом RooX UIDM обеспечивает объединенную аутентификацию пользователей из нескольких служб каталогов.
С помощью нее можно настроить поиск пользователя сразу в нескольких службах каталогов с заданными настройками приоритетов. Параметры подключения к каждому серверу службы каталогов при этом настраиваются независимо с учётом особенностей его структуры. Так, в RooX UIDM можно задать адрес сервера каталогов, учетную запись для подключения, а также ряд фильтров для поиска пользователя — например, в каких группах, в каком поддереве или по каким условиям его искать. Кроме того, можно настроить правила определения атрибутов учетной записи (маппинга).
Указанные настройки можно применять как к разным каталогам, так и к одному и тому же. Несколько подключений с различными настройками к одному и тому же каталогу позволят запрашивать данные пользователей из разных поддеревьев по разным шаблонам и по-разному их фильтровать. Это может потребоваться, если данные в службе каталогов не гармонизированы.
С обновлением в RooX UIDM также стала доступна аутентификация пользователей из нескольких каталогов по протоколу Kerberos.
Возможность подключения к нескольким службам каталогов доступна всем клиентам RooX в рамках продуктового roadmap RooX UIDM. Также мы консультируем по вопросам настроек под конкретную задачу клиента — например, в каком порядке лучше приоритизировать выбор деревьев при поиске данных или по каким параметрам прав искать пользователей, — сказал главный архитектор RooX Константин Корсаков. |
Добавление функции «Идентификация устройствами»
Компания RooX 4 сентября 2023 года сообщила о том, что добавила в систему управления доступом RooX UIDM возможность адаптивной аутентификации устройств. Функция «Идентификация устройствами» («device identification») позволит определить, с каких гаджетов осуществлен вход в систему, а также контролировать права доступа с этих устройств. Это поможет защитить пользователей массовых сервисов от несанкционированных действий.
Ежедневно люди используют десятки цифровых сервисов — они входят в интернет-банки, совершают покупки, смотрят кино, регистрируются на приём к врачу и выполняют другие операции. И когда речь заходит об аутентификации, обычно имеется в виду аутентификация пользователя. То есть аутентификация человека с помощью таких методов, как логин/пароль, многофакторная аутентификация, вход по биометрии и так далее. Однако для повышения уровня безопасности также необходимо аутентифицировать устройство, с которого пользователь входит в сервис.
При правильной реализации аутентификация устройства может обеспечить надежную защиту от таких распространенных векторов атак, как социальная инженерия, использование скомпрометированных учетных данных, перехват сессии, использование скомпрометированного устройства.
В рамках функции «Идентификация устройств» в RooX UIDM можно настроить уведомления пользователя о входе в сервис, а также дать возможность администрировать возможность беспарольного входа с того или иного устройства.
Уведомление о каждом входе, скорее всего, станет для пользователя "белым шумом" и только ослабит бдительность. Поэтому в RooX UIDM можно настроить уведомления только о необычных входах: вход с незнакомого ранее устройства, необычное использование старого устройства, например, "невозможное перемещение", смена операционной системы или браузера и другие», — сказал Константин Корсаков, главный архитектор RooX UIDM. |
Кроме того, функция позволяет администрировать устройства и сессии входа. Пользователь может просмотреть список устройств, с которых когда-либо производился вход в сервис, проанализировать историю аутентификаций на них, просмотреть список текущих сессий и прервать неактуальные, а также отозвать возможность беспарольного входа на определенном устройстве или удалить неиспользуемые девайсы.
Чтобы уведомления и администрирование были возможны, RooX UIDM собирает информацию о всех устройствах, с которых происходит вход в приложение или онлайн-сервис. Разметка устройств защищена от подделки с помощью асимметричной криптографии. Благодаря этой защите невозможно замаскировать одно устройство под другое, например, компьютер злоумышленника под компьютер легального пользователя.
Возможность регулировать сценарии аутентификации в зависимости от параметров устройств
В российской системе управления доступом RooX UIDM реализована возможность регулировать сценарии аутентификации в зависимости от параметров устройств, с которых осуществляется вход. С помощью этой функции, в том числе, можно ограничить вход в системы и сервисы с устройств Apple. Об этом 25 июля 2023 года сообщила компания RooX Solutions (Рукс Солюшенс).
В июле 2023 г. несколько государственных ведомств запретили сотрудникам использовать технику Apple при выполнении должностных обязанностей. По мнению экспертов рынка, тенденция на ограничение использования устройств этого производителя в дальнейшем может распространиться и на другие крупные ведомства.
Система управления доступом RooX UIDM помогает компаниям выстраивать безопасные сценарии аутентификации с учетом подобных ограничений. RooX UIDM определяет ряд параметров устройства, с которого пользователь пытается зайти в систему, в том числе производителя. Сценарии входа можно настроить с учетом значений этих параметров, в частности, можно ограничить вход с устройств конкретного производителя или, наоборот, разрешить вход только с доверенных устройств.
Помимо этого, в RooX UIDM реализована функция логирования попыток входа. Это поможет внутренним службам безопасности предприятия проводить оперативный мониторинг всех событий аутентификации.
Возможность ограничения входа в цифровые сервисы, корпоративные порталы и приложения с определенных устройств – важная часть корпоративной информационной безопасности. RooX UIDM поможет закрыть такую потребность бизнеса и госкомпаний, а также проконтролировать процесс введения подобных ограничений. При необходимости решение можно кастомизировать под специфические задачи компаний, — сказал Алексей Хмельницкий, генеральный директор RooX. |
Совместимость с Java Axiom JDK Pro
19 июня 2023 года компания RooX сообщила о том, что обеспечила совместимость отечественной системы управления аутентификацией и авторизацией RooX UIDM со средой разработки и исполнения Java Axiom JDK Pro. Совместимость этих решений позволит применять RooX UIDM в ИТ-ландшафтах, развёрнутых на российском Java-стеке.
По информации компании, технологически среда исполнения Java Axiom JDK Pro является необходимым связующим звеном при запуске системы RooX UIDM на отечественных ОС и СУБД. Тесты подтвердили корректность совместной работы решений. Это дает возможность рекомендовать систему управления аутентификацией и авторизацией RooX UIDM для использования в сертифицированном отечественном Java-окружении при реализации проектов импортозамещения.
RooX UIDM — это IAM-система, предназначенная для управления доступом пользователей к бизнес-приложениям, веб-порталам и цифровым сервисам. Решение обеспечивает аутентификацию физических и юридических лиц, а также предоставляет широкие возможности интеграции. RooX UIDM входит в Реестр российского программного обеспечения и соответствует стандартам безопасности ГОСТ и ЦБ.
Axiom JDK Pro — российская платформа Java, которая применяется в системах, требующих высокого уровня безопасности, критических информационных инфраструктурах (КИИ), а также в сложных ИТ-ландшафтах банковских, биржевых и других систем, требовательных к высокой пропускной способности Java-приложений. Это кроссплатформенное решение для облачных, серверных и десктопных систем, соответствующее стандарту Java SE. Axiom JDK Pro входит в реестр Минцифры России и поддерживает множество системных конфигураций, включая отечественные ОС и СУБД, аппаратные и процессорные платформы, приложения и облака.
Платформа Axiom JDK Pro, созданная на базе открытых технологий и поддерживаемая российскими инженерами, выступает достойной альтернативой проприетарным продуктам Oracle, IBM и других западных вендоров, что вызывает интерес среди наших клиентов из финансового сектора и ритейла, планирующих миграцию на отечественное ПО. рассказал Константин Корсаков, главный архитектор RooX |
Мы приветствуем RooX UIDM в экосистеме отечественной Java и рады, что все больше поставщиков ИБ-решений обеспечивают совместимость с Axiom JDK Pro. Это способствует формированию безопасного и суверенного Java-стека, стимулируя практическое импортозамещение и минимизируя ИБ-риски. Мы инвестируем в совместимость со всеми популярными платформами и планомерно расширяем функциональность наших профессиональных продуктов. поведал Алексей Кузнецов, директор по работе с партнерами Axiom JDK |
Совместимость с платформой Tarantool
Компания RooX 29 мая 2023 года сообщила об обновлении системы управления аутентификацией и авторизацией RooX UIDM. Теперь решение совместимо с ПО промежуточного слоя для обработки данных Tarantool. Это позволит клиентам обрабатывать информацию о сессиях и профилях пользователей в оперативной памяти, что существенно ускоряет процесс без дополнительных расходов на вычислительные мощности.
Аутентификация и авторизация являются неотъемлемой частью почти любой ИТ-системы. Они необходимы для корректного доступа и использования приложений. Поэтому мы постоянно улучшаем RooX UIDM и работаем над расширением сети партнерских программных продуктов. Совместимость с Tarantool является важным шагом в стратегическом развитии системы, — прокомментировал Константин Корсаков, главный архитектор RooX. |
Команда RooX имеет большой опыт в построении сложной ИТ-инфраструктуры, отвечающей высоким требованиям информационной безопасности. Поэтому совместимость ее системы управления доступом с программным обеспечением Tarantool позволит упростить создание гибких и безопасных ИТ-решений, — сообщил Александр Виноградов, руководитель направления Tarantool компании VK. |
Запуск технологии проверки паролей по базам словарных и утёкших паролей
Компания RooX реализовала в системе управления доступом RooX UIDM технологию проверки паролей по базам словарных и утёкших паролей. Это позволит компаниям в банковском секторе, ритейле, e-commerce и других отраслях ещё больше обезопасить аккаунты пользователей.
По данным разных исследований от 50% до 75% пользователей устанавливают простые пароли, а также используют повторяющиеся комбинации логина и пароля на разных сервисах. Как следствие, ежегодно огромное количество взломов становится возможным просто потому, что хакеры автоматизируют перебор известных утекших паролей. Например, берут базу логинов и паролей сервиса доставки и проверяют их на интернет-банке.
Данная функциональность в системе управления аутентификацией и авторизацией RooX UIDM поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях.
Злоумышленники регулярно выкладывают в открытый доступ базы паролей. Например, в 2021 был выложен файл объемом около 100 ГБ, содержащий 8,4 млрд паролей. Мировое сообщество специалистов по информационной безопасности регулярно проводит мониторинг утечек и добавляет данные из них в специализированные базы. RooX UIDM использует эти базы для проверок паролей. Кроме того, наши клиенты имеют возможность подключать для проверок свои собственные базы "плохих" паролей, — сообщил Константин Корсаков, главный архитектор RooX. |
В RooX UIDM проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей в следующие точки: установка пароля, его восстановление или смена, вход в сервис, выполнение действия, для которого требуется дополнительная авторизация.
Кроме этого есть возможность запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.
Насколько жесткой будет реакция системы при обнаружении скомпрометированного пароля, определяется настройками. Система может просто уведомить пользователя о том, что пароль перестал быть надёжным, предоставить возможность сразу его сменить или даже запретить выполняемое действие, пока пароль не будет сменен на безопасный.
Совместимость с СУБД PostgreSQL и Postgres Pro
Компания RooX 24 апреля 2023 года объявила о совместимости системы управления аутентификацией и авторизацией RooX UIDM с открытой СУБД PostgreSQL и ее сборкой Postgres Pro от российской компании Postgres Professional. Текущее обновление RooX UIDM позволит расширить перечень доступных баз данных и дополнить их безопасным импортонезависимым ПО.
СУБД Postgres Pro является одной из наиболее востребованных баз данных среди крупных корпоративных клиентов, которых мы обслуживаем в рамках комплексных проектов по построению систем управления доступом пользователей. Включение СУБД в реестр Минцифры гарантирует полное соответствие требованиям информационной безопасности и отсутствие уязвимостей. Помимо этого, для наших клиентов важно, что решение полностью адаптировано для работы на российском рынке. Так, все варианты СУБД Postgres Pro имеют полную техническую документацию и системные сообщения на русском языке. Мы продолжим обеспечивать совместимость с будущими сборками этой СУБД и развивать наше сотрудничество с компанией Postgres Professional, — сказал Константин Корсаков, главный архитектор RooX. |
Бизнес нуждается в безопасных отечественных ИТ-решениях по авторизации и аутентификации, поэтому тестирование и обеспечение совместимости с СУБД Postgres Pro стало закономерным этапом развития RooX UIDM. Мы рады видеть компанию RooX в числе своих партнеров и готовы оказывать команде разработчика всю необходимую консультационную помощь и техническую поддержку, — отметил Иван Панченко, заместитель генерального директора Postgres Professional. |
2022
В основе решения по защите приложении от удаления из сторов
Компания RooX 9 августа 2022 года представила ИТ-решение, которое позволяет обезопасить крупные компании от потери клиентов вследствие удаления мобильных приложений из сторов. В основе решения лежат веб-приложение в виде Progressive Web App (PWA) и система аутентификации и авторизации RooX UIDM. Решение помогает сохранить привычный для клиентов интерфейс, а также обеспечить простоту и безопасность доступа. При этом скачивать на смартфон ничего не нужно.
Данное решение RooX предназначено для компаний, которые могут потерять клиентов из-за удаления мобильных приложений из популярных магазинов: для банков, страховых и медицинских компаний, государственных и новостных порталов, телеком-операторов, e-commerce, образовательных платформ и других организаций. Предпосылкой к разработке решения стали санкции США и ЕС, которые привели к удалению приложений российских банков и других компаний из AppStore, Google Play и Huawei AppGallery.
Российская аудитория привыкла к удобству мобильных приложений. Если им не предложить хорошую замену, пользователи могут начать переходить к конкурирующим поставщикам услуг.
Популярный выход — миграция на APK — требует больших организационных и рекламных затрат, так как необходимо убедить клиентов выполнить непривычные шаги — скачать приложение с сайта и разобраться с настройками безопасности смартфона. Кроме того, этот выход не подходит владельцам устройств с iOS, так как без взлома установить сторонние программы на iPhone невозможно.
Личный кабинет или интернет-банк, даже адаптированный под мобильные устройства, также не может полностью заменить нативное приложение. Сайты проигрывают приложениям по UX — по скорости, плавности и эргономике интерфейса. Им недоступны некоторые функции, например, современные виды биометрической аутентификации, такие как Touch ID, Face ID и их аналоги для Android, — рассказал Никита Евгенов, директор по развитию бизнеса компании RooX. |
Решить задачу поможет перевод сайтов на технологию прогрессивных веб-приложений (PWA) в связке с системой авторизации и аутентификации RooX UIDM. Такое приложение работает в браузере и на iOS, и на Android, ему не требуется установка на устройство, оно быстро загружается даже при нестабильном интернете, может работать офлайн, а обновления происходят автоматически.
Для пользователя оно выглядит как мобильное приложение. В него можно входить, в том числе, по Touch ID, Face ID или их аналогам для Android, можно использовать внутри него камеру и определение местоположения. Бизнесу такой апгрейд сайта даст экономию на транзакциях, ведь для входа в PWA-приложение и подтверждения операций можно использовать биометрию, а это бесплатно для компании, в отличие от подтверждения по смс. Кроме того, PWA-приложение можно поддерживать и развивать силами той же команды, которая занимается сайтом. Это сократит затраты на поддержку канала мобильных устройств.
В переходе на PWA+RooX UIDM есть плюсы и для маркетинга. Например, конверсия посетителей сайта в использование PWA выше по сравнению с конверсией в использование мобильных приложений, так как PWA не нужно устанавливать на телефон. Также Roox UIDM интегрируется с системами веб-аналитики, это дает дополнительные возможности сквозного анализа маркетинговых акций, — отметила Наталия Леднева, директор по маркетингу RooX. |
Команда RooX вложила в данное решение свой опыт разработки сложных веб-приложений и экспертизу в области аутентификации и авторизации. Наши PWA-приложения максимально близки к нативным по удобству. Мы можем реализовать любые сценарии аутентификации — логин/пароль, через соцсети, через IDP, с помощью OTP или TOTP, через привычную для мобильных приложений биометрию и так далее. При этом доступ будет защищен по стандартам безопасности OWASP, NIST, ГОСТ и ЦБ, — добавил Никита Евгенов, директор по развитию бизнеса компании RooX. |
Появление функционала для сквозной веб-аналитики
7 июня 2022 года компания RooX, разработчик системы аутентификации и авторизации RooX UIDM, сообщила, что добавила интеграцию с системами веб-аналитики. RooX UIDM может обогащать Яндекс.Метрику и Google Analytics данными о пути пользователя. Интеграция будет особенно полезна для сквозного анализа маркетинговых акций, рассчитанных на привлечение клиентов или заявок. Она позволит департаментам маркетинга лучше проанализировать привлеченные лиды и избежать их двойного учета.
В некоторых отраслях регистрация нового клиента предполагает не просто заполнение формы с контактными данными. Регистрация может быть многошаговым бизнес-процессом с асинхронными проверками. Например, банки могут проверять пользователей в ЕСИА и на присутствие в «черных» списках (в частности, человек находится в розыске или не подтверждён его паспорт, компания проходит процедуру ликвидации или у нее отозвана лицензия).
Ранее путь такого пользователя по данным систем веб-аналитики заканчивался на нажатии кнопки «Отправить заявку на регистрацию». Собрать данные о дальнейших этапах обработки заявки было невозможно или трудоемко. После внедрения интеграции в RooX UIDM можно отследить все этапы, так как результаты проверок в процессе регистрации и многие другие события, касающиеся пользователя, фиксируются в специальной базе данных событий аудита. В рамках интеграции обезличенные, но ассоциированные с трекинг-идентификаторами данные об этих событиях через специальный адаптер транслируются в Яндекс.Метрику или Google Analytics. Система веб-аналитики достраивает из этих данных воронку конверсии. Так интеграция RooX UIDM c системами веб-аналитики позволяет получить более полную информацию о пути пользователя.
Кроме события создания пользователя подобным образом могут обрабатываться и другие события системы аудита RooX UIDM.
«Наши клиенты стремятся не просто массово предлагать своим пользователям (покупателям, поставщикам, партнерам) скидку, продукт или тариф, а сделать каждому актуальное индивидуальное предложение, основанное на анализе данных. Также и мы развиваем RooX UIDM как систему, обеспечивающую персонализированный пользовательский опыт в задачах аутентификации и авторизации. Интеграция аутентификации и веб-аналитики дает более полную информацию для анализа пути пользователя», |
Усиление защиты доступа к корпоративным системам
20 апреля 2022 года компания RooX сообщила, что обновила российскую CIAM-систему RooX UIDM. Для выездных, аутсорсинговых и внештатных сотрудников крупных компаний реализован адаптивный сценарий аутентификации, в котором усилена защита доступа к корпоративным системам.
Многие компании привлекают к работе аутсорсинговых сотрудников, например, агентов по продажам, сотрудников колл-центров, курьеров. Кроме того, штатные сотрудники могут выполнять свои обязанности «в поле» - экипажи помощи при ДТП, выездные медслужбы, аудиторы сетевых магазинов и так далее.
В RooX UIDM теперь есть адаптивный безопасный сценарий входа для этих категорий сотрудников, который учитывает особенности удаленной работы.
Такие сотрудники обычно работают на мобильном гаджете. К интернету они подключаются через «чужую» сеть - мобильный интернет, публичные точки доступа, сеть клиента. На выезде у них меньший набор функций, чем в офисе, а иногда этот набор жестко ограничен функционалом специализированного приложения.
«Использовать доменную учетную запись в недоверенных сетях и устройствах опасно. В ряде случаев «полевым» сотрудникам вообще нежелательно знать свой логин и пароль в домене, так как они не должны иметь доступ ни к каким другим корпоративным ресурсам, кроме специализированного приложения. Кроме того, имеет смысл разграничить привилегии «мобильной» и «офисной» роли. Тогда даже если злоумышленник зайдет в систему через украденный гаджет, у него не будет полного доступа ко всем внутренним сервисам», - рассказывает Константин Корсаков, архитектор систем аутентификации и авторизации компании RooX. |
Дополнительные функции RooX UIDM
В RooX UIDM ранее уже были реализованы управление ролями и возможности многофакторной аутентификации. В систему добавлены две функции - проверка подсети, из которой работает пользователь, и хранение дополнительных данных для аутентификации.
Первая функция позволяет различать недоверенные сети и ограничивать доступ из них к ресурсам компании. Вторая дает возможность привязывать к пользователю номер мобильного телефона в стандартизованном виде, УКЭП, идентификатор учетной записи стороннего IDP и так далее. Важно отметить, что практика использования номеров мобильных телефонов, указанных в домене, ненадежна. Данные в нем редко приведены к единому стандарту записи, могут быть неактуальны, невалидны, повторяться для разных сотрудников или попросту отсутствовать
С помощью указанных функций в RooX UIDM настраивается адаптивный безопасный сценарий входа, который охватывает все этапы взаимодействия с сотрудником.
Как настраивается адаптивный безопасный сценарий входа
Подключение сотрудника к возможностям удаленной работы происходит внутри корпоративной сети. Сотрудник логинится со своей доменной учетной записью и привязывает к ней данные для аутентификации «в поле». Если это номер мобильного телефона, он подтверждается с помощью одноразового пароля по SMS. В сценарии установки номера телефона могут быть предусмотрены варианты уведомлений и действий на случай, если этот номер использовался ранее другим сотрудником.
Если сотрудник ограничен в правах доступа к домену, привязку производит администратор.
Далее, когда сотрудник начинает работу в «чужой» сети, активируется ветка сценария с использованием альтернативного входа. При этом права на использование функций автоматически урезаются до «мобильной» роли. Эту ветку сценария можно дополнительно усилить использованием второго фактора.
Анонс RooX UIDM
10 марта 2022 года компания RooX представила в России отечественную систему управления аутентификацией и авторизацией RooX UIDM.
По информации компании, RooX UIDM разработана для защиты доступа к финансам и чувствительным данным клиентов и партнеров средних и крупных организаций. Система учитывает российскую специфику и требования законодательства, соответствует стандартам безопасности и быстро разворачивается.
RooX UIDM включает в себя несколько десятков готовых пользовательских методов аутентификации и авторизации, из которых собираются сценарии любой сложности, в том числе многофакторные. Среди доступных методов - логин-пароль, сертификаты КЭП, ЕСИА, биометрия, цифровой отпечаток, OTP (one-time password), TOTP, QR-код и другие.
RooX UIDM развивался как часть веб-решений, которые мы разрабатываем и внедряем, — интернет-банков, порталов поставщиков, личных кабинетов и других. В 2021 году мы провели работу по выделению этой функциональности в отдельный продукт и представляем его российскому рынку. рассказал Алексей Хмельницкий, генеральный директор RooX |
В RooX подчеркивают, что система не зависит от сторонних компаний и продуктов других вендоров. Она спроектирована с пониманием требований к архитектуре и сценариям, специфичным для больших компаний. Так, «из коробки» доступны механизмы интеграции с системами антифрода, возможность кастомизации пользовательского UI, в том числе встраивание в SPA, интеграция с мобильными приложениями. Есть поддержка machine-2-machine интеграции для подключения партнерских сервисов или автоматизированных систем корпоративных клиентов. Решение поддерживает модель организаций и позволяет управлять доступами пользователей в зависимости от департамента или организации, к которой они принадлежат.
Мы понимаем, что в enterprise-решениях важно сохранять преемственность. Поэтому в RooX UIDM предусмотрены разнообразные механизмы работы с легаси (унаследованными) системами для плавной миграции к управлению доступом на базе единой учётной записи. добавил Алексей Хмельницкий |
RooX UIDM входит в реестр отечественного ПО, запись в реестре №10504 от 06.05.2021.
Техподдержка осуществляется в России на русском языке.
Решение соответствует стандартам безопасности OWASP, NIST, ГОСТ, ЦБ и обеспечивает надлежащую производительность и отказоустойчивость.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (471, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
JaCarta Authentication Server (JAS) - 1
ОТР.Опора - 1
Multifactor Сервис многофакторной аутентификации - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1