Avanpost FAM

Avanpost FAM

Система единой аутентификации сотрудников в корпоративных ресурсах организации

На 36%
быстрее доступ
к приложениям

На 36% быстрее доступ к приложениям

На 42%
снижаются
расходы на администрирование

На 42% снижаются расходы на администрирование

В 5 раз меньше
нагрузка на
Service Desk по смене паролей

В 5 раз меньше нагрузка на Service Desk по смене паролей

Avanpost FAM

Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации

С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей – теперь все приложения начнут работать по единым правилам, управляемым из одного окна.

Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. За счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.

Поддерживаемые технологии аутентификации для корпоративных приложений

Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:   

• Технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений.
• Технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности.
• Технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений.
• Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений.


Адаптивная аутентификация с выбором подходящей цепочки проверок для различных сотрудников и данных среды

Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т.п.).

Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.

TOTP

Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.

Многофакторная аутентификация с применением смарт-карт, одноразовых кодов, сертификатов ЭП, окружения и домена

В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия). 

Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.

Поддержка всех современных факторов аутентификации

Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.

Поддерживаемые факторы аутентификации: 

• Аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2F, доверенные устройства.
• Сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП).
• Одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры (Telegram), Passwordless (Magic Link).
• Push-подтверждения в мессенджер (Telegram), push в мобильное приложение (PayControl).
• Доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя.
• LDAP-аутентификация.

Современный технологический стек и удобство интеграции

Решение работает в следующих средах: 

• Средство автоматизации развертывания и контейнеризации Docker.
• Серверные ОС CentOS, RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП.
• Десктопные ОС Microsoft Windows Desktop 7/8/10 для работы Агента FAM.

Поддерживает работу на базе надежных СУБД PostgreSQL, Tarantool.

Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.

Аутентификация в облачных/SaaS-приложениях с использованием единого удостоверения сотрудника

Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т.д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.

Работа с различными источниками учетных записей

В качестве источников данных об учетных записях Avanpost FAM может использовать: 

• LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap.
• Решения класса Identity Management.
• Внешние SAML и OAuth IDP.
• Витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle.
• Любые источники данных, поставляющие данные по API и шине данных. 
• Встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления.

Кросс-аутентификация сотрудников в доверенных ресурсах партнерских организаций за счет федерации удостоверений

Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия. 

Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.

Личный кабинет пользователя

Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.

Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.

Самообслуживание с управлением своими смарт-картами и сценариями восстановления  

Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи.

Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).

Механизм изменения и распространения пароля для унаследованных приложений

Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т.е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.

Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.

Маркетинговые материалы

Брошюра
Брошюра
Презентация
Презентация

Как работает продукт



Демонстрация решения

Для более детального знакомства с возможностями наших решений мы готовы провести презентацию интересующего Вас продукта.

Преимущества продуктов Avanpost

Российская разработка

Все наши продукты создаются на территории России и входят в Единый реестр отечественного ПО

Политика лицензирования

Гибкая модель лицензирования позволяет подобрать оптимальное решение для каждой компании

Лицензии и сертификаты

Все наши продукты соответствуют требованиям законодательных актов и руководящих документов ФСТЭК и ФСБ

Возможность кастомизации

Наши продукты легко масштабируются и кастомизируются с учетом требований и бизнес-задач заказчика

Интеграция решений

Все наши решения легко интегрируются друг с другом, образуя эффективную систему управления доступом

Партнерская сеть

Наши заказчики могут выбрать для реализации проекта одного из более чем 100 партнеров в России и СНГ

Истории успеха

Avanpost PKI

«РОСНАНО активно поддерживает общефедеральные программы импортозамещения в интересах ключевых отраслей экономики. Выбирая российское решение PKI Avanpost и отечественного интегратора ЭЛВИС-ПЛЮС, мы ориентируемся только на инновационные решения и профессиональный многолетний опыт компаний, веря в технологический потенциал страны»

- Представитель РОСНАНО
Avanpost PKI

«Мы очень тщательно подошли к выбору разработчика системы по управлению аутентификацией, сертификатами и ключевыми носителями. Российская разработка Аванпост полностью соответствовала нашим требованиям. С ее помощью нам удалось значительно автоматизировать многие рутинные операции, связанные с поддержкой PKI-инфраструктуры банка, и как результат, сократить трудозатраты персонала. В настоящее время Avanpost PKI обслуживает более 300 000 сертификатов ключей подписи. Отдельно хочу отметить, что концепция импортозамещения в области высоких технологий приносит свои результаты и способствует появлению и бурному развитию качественных российских ИТ систем, эффективно конкурирующих с западными аналогами по набору и полноте функций. И, что особенно актуально ввиду сложной экономической ситуации и значительного роста курсов валют, российские решения имеют разумный уровень стоимости. Мы полностью удовлетворены сотрудничеством с компанией «Аванпост» и серьезно рассматриваем возможности продолжения этого сотрудничества по другим продуктам компании»

- Геннадий Игоревич  Лаврешин начальник Управления информационной безопасности «Россельхозбанка» 
Avanpost IDM

«У нас крупный интернет-бизнес, тысячи сотрудников, многолетний бурный рост и высокие требования к уровню информационной безопасности. Решение Аванпост, внедренное ARinteg, позволяет нам обеспечить бизнес удобным и простым процессом управления полномочиями и при этом выполнять требования многочисленных регуляторов»

- Сергей Клиновенко руководитель департамента информационной безопасности Lamoda.
Avanpost IDM, PKI

«Создание принципиально новой АИС „Налог-3“ – важнейший ИТ-проект ФНС России. Учитывая его значимость и особую роль ИБ для нормальной работы АИС, мы установили очень высокую планку требований ко всем элементам СОБИ и, в частности, к технологической платформе подсистемы управления идентификационной информацией и электронными ключами. Проведенный отбор и проверка в условиях масштабного пилотного проекта показали, что победившая в конкурсе российская разработка в плане функциональности не уступает лучшим зарубежным решениям в области IDM и PKI, что она обеспечена качественной поддержкой и позволяет значительно снизить затраты, сэкономив бюджетные средства. Это свидетельствует о значительном прогрессе всей российской отрасли ИБ».

- Ковалев Олег Петрович начальник Центра безопасности информации
Avanpost IDM

«Наша компания проделала непростой путь трансформации базовых ИТ-сервисов при внедрении IDM-системы. В результате этой работы первичное подключение каждого нового сотрудника к базовым ИТ-системам сократилось с 2 рабочих дней до 4 часов. Специалисты компании Аванпост оказывали всестороннюю поддержку при внедрении продукта, своевременно отвечали на возникшие вопросы, предлагали варианты решений.  Хотелось бы отметить профессионализм внутренней команды проекта и специалистов компании Аванпост, непрерывное развитие и усовершенствование услуг IDM для пользователей ИТ-систем»

- Светлана Лукьянова руководитель проекта со стороны ПАО «Северсталь»
Avanpost IDM

«С помощью российского программного продукта мы не просто многократно ускорили процессы управления доступом, но перешли в качественно новое состояние, когда процессы информационной безопасности и другие технические моменты перестали сдерживать развитие основной деятельности банка. Технологии Avanpost IDM позволили сохранить информацию в прошлых наработках банка в сфере управления доступом и продвинуться вперед».

- Екатерина Романькова заместитель Председателя Правления Россельхозбанка
Avanpost IDM

«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»

- Валерий Филиппов директор по информационным и производственным технологиям

Заказать демонстрацию

Спасибо!

Ваша заявка принята! Очень скоро Вы получите письмо с дополнительной информацией.

Спасибо!

Ваш пароль изменен.

Ошибка!

Пожалуйста, заполните корректно все поля.

ок