Unified SSO
Avanpost Unified SSO — персональный хаб защищённой аутентификации в рамках рабочего места сотрудника.
Обеспечивает полный контроль над действиями привилегированных пользователей, минимизирует риски, связанные с их доступом, гарантирует прозрачность и ответственность при работе с критически важными системами.
Позволяет обеспечить прозрачную однократную аутентификацию между различными протоколами, компонентами с передачей сессии и признаков сессии между входом на рабочую станцию, десктопом и вебом через браузер.
Ведущий разработчик систем
аутентификации и управления доступом
Применение Avanpost Unified SSO
01
02
04
03
05
Прозрачная аутентификация в пределах рабочей станции за счёт использования агента между десктопом и вебом
Комплексный подход к SSO вместо фокуса на отдельных типах приложений и особенностях инфраструктуры
Возможность включить в SSO десктопные и любые веб-приложения
Централизованное завершение сессии пользователя в АРМе и всех приложениях
Больше о Unified SSO
Оставьте свои контакты
и мы свяжемся с вами!
Современный ИТ-ландшафт любой организации состоит из большого числа разнородных информационных систем, интеграция которых с системами аутентификации для обеспечения полноценного Zero Trust выполняется по целому ассортименту механизмов и протоколов, которые выходят за рамки классического браузерного SSO для веб-приложений и инфраструктурного SSO на базе Kerberos:
Применительно к корпоративным приложениям и рабочему месту сотрудника предполагает интеграцию максимально широкого числа приложений с системой аутентификации с 2FA/MFA.
Инструменты на рабочей станции сотрудника разнообразны:
Сотрудники получат идеальный баланс между простотой и безопасностью аутентификации при работе с любого BYOD-устройства (личный ноутбук, смартфон, планшет и т. п.)
упрощает работу сотрудников и снижает нагрузку на ИТ и администраторов.
аутентификация ещё безопаснее за счёт точной идентификации доверенных устройств, контроля среды и функций безопасности;
масштабируется на любой парк устройств;
Почтовые клиенты по SAML/WS-Federation и EAS-протоколам и т. д.
VPN/VDI по RADIUS;
ERP-системы посредством механизма OIDC/SAML/Enterprise SSO или Reverse Proxy;
ВКС и др.
десктопные клиенты ERP-систем;
почтовый клиент;
инструменты (VPN, VDI);
веб-приложения;
Проблематика Unified SSO
Прозрачный вход в веб-приложение
Прозрачный вход в веб-приложение, подключённое по Reverse Proxy, с автоматической установкой и обновлением пароля через механизм коннекторов IDM.
Прозрачный вход в веб-приложение (OIDC, SAML, Reverse Proxy) с получением сессии от агента в двустороннем режиме, включая вход в агент по сессии из веба.
Прозрачный вход в веб-приложение, подключённое по ReverseProxy, без ввода учётных данных от пользователя или при указании учётных данных пользователем вручную.
Прозрачный вход в десктопное приложение
Прозрачный вход в десктопное приложение, подключённое по технологии Enterprise SSO, с получением сессии от Windows Logon без использования Kerberos.
Прозрачный вход в десктопное приложение, подключённое по Enterprise SSO, с автоматической установкой и обновлением пароля через механизм коннекторов IDM.
Прозрачный вход в десктопное приложение под Windows, без ввода учётных данных от пользователя или при указании учётных данных пользователем вручную.
Прозрачный вход в агент
Прозрачный вход в агент с получением сессии от Windows Logon/Linux Logon.
прозрачный вход в элемент корпоративной сетевой инфраструктуры
Условно-прозрачный (без автоматической идентификации) вход в элемент корпоративной сетевой инфраструктуры (VPN/VDI), подключённый по RADIUS, и между приложениями в рамках временного окна/интервала.
Бесшовный вход для ОС, десктопных и веб-приложений, VPN, VDI
Функционал Unified SSO
Unified SSO позволяет существенно расширить границы применения SSO за рамки браузера и ИТ-инфраструктуры, предоставляя опыт однократной и прозрачной аутентификации на все приложения в рамках рабочего места сотрудника
Запрос аппаратного второго фактора
Запрос аппаратного второго фактора (Рутокен ЭЦП, Рутокен MFA) при входе в LDAP-приложения, RADIUS-приложения, OIDC и SAML-приложения при помощи агента.
Запрос аппаратного второго фактора (Рутокен ЭЦП, Рутокен MFA) при входе в LDAP, RADIUS-приложения, OIDC и SAML-приложенияпри помощи мобильного приложения-аутентификатора.
Запрос программного второго фактора
Запрос программного второго фактора, требующего обратной связи для методов интеграции без обратной связи (RADIUS без Access-Challenge, LDAP Proxy), при помощи агента.
Запрос программного второго фактора, требующего обратной связи для методов интеграции без обратной связи (RADIUS без Access-Challenge, LDAP Proxy).
ЦЕНТРАЛИЗОВАННОЕ ЗАВЕРШЕНИЕ СЕАНСА В ОС И ВСЕХ ПРИЛОЖЕНИЯХ ПО ЗАПРОСУ SIEM И АДМИНИСТРАТОРА
Автоматическое завершение сеанса в ОС по запросу SIEM.
Завершение сеанса по факту извлечения токена / ключевого носителя.
Запрос второго фактора аутентификации через доверенный агент и мобильное приложение-аутентификатор
Преимущества для компаний
Увеличение производительности сотрудников
Универсальная совместимость
Снижение операционных затрат
Улучшение пользовательского опыта
Повышение безопасности
Масштабируемость и надежность
Увеличение производительности сотрудников
Унифицированный единый вход (SSO):
Сокращает время на аутентификацию до 80%, позволяя сотрудникам сразу получать доступ ко всем необходимым приложениям после единичной авторизации.
Сокращает время на аутентификацию до 80%, позволяя сотрудникам сразу получать доступ ко всем необходимым приложениям после единичной авторизации.
Минимизация прерываний работы:
Автоматическое продление сессий и адаптивная MFA уменьшают количество запросов второго фактора, сохраняя непрерывность рабочего процесса.
Автоматическое продление сессий и адаптивная MFA уменьшают количество запросов второго фактора, сохраняя непрерывность рабочего процесса.
Самообслуживание учётных записей:
Пользователи могут самостоятельно сбрасывать пароли и управлять своими учётными данными, не обращаясь в службу поддержки.
Пользователи могут самостоятельно сбрасывать пароли и управлять своими учётными данными, не обращаясь в службу поддержки.
Универсальная совместимость
Кросс-протокольная интеграция:
True cross-protocol SSO между RADIUS, OIDC, SAML, Reverse Proxy и Enterprise SSO объединяет все корпоративные системы в единое пространство аутентификации.
True cross-protocol SSO между RADIUS, OIDC, SAML, Reverse Proxy и Enterprise SSO объединяет все корпоративные системы в единое пространство аутентификации.
Гибридная работа:
Полная поддержка как локальных, так и облачных ресурсов обеспечивает бесшовную работу в современных гибридных средах.
Полная поддержка как локальных, так и облачных ресурсов обеспечивает бесшовную работу в современных гибридных средах.
Снижение операционных затрат
Редукция нагрузки на Service Desk:
- Уменьшение обращений за помощью с забытыми паролями на 70% благодаря функции самообслуживания;
- Автоматическая синхронизация паролей через IDM-коннекторы снижает необходимость ручного управления учетными записями.
Оптимизация IT-ресурсов:
- Лёгкий кроссплатформерный агент с минимальным потреблением ресурсов (<10 MB RAM, <1% CPU) снижает нагрузку на работу сотрудника на любых компьютерах и устройствах;
- Централизованное управление всеми аспектами аутентификации упрощает администрирование и снижает стоимость владения.
Улучшение пользовательского опыта
Прозрачный вход:
Автоматическая передача сессий между ОС, браузером и десктопными приложениями делает процесс аутентификации практически незаметным для пользователя.
Автоматическая передача сессий между ОС, браузером и десктопными приложениями делает процесс аутентификации практически незаметным для пользователя.
Единый интерфейс:
Все методы аутентификации объединены в единую систему, что исключает путаницу и упрощает использование.
Все методы аутентификации объединены в единую систему, что исключает путаницу и упрощает использование.
Мобильность:
Поддержка мобильных устройств и возможность выполнения MFA через мобильное приложение-аутентификатор обеспечивают удобство работы удаленно.
Поддержка мобильных устройств и возможность выполнения MFA через мобильное приложение-аутентификатор обеспечивают удобство работы удаленно.
Повышение безопасности
Адаптивная MFA:
- Динамическая оценка рисков при каждом входе позволяет применять дополнительные уровни защиты только тогда, когда это действительно необходимо;
- Возможность использования аппаратных токенов (FIDO2, PKI) для любых типов систем обеспечивает максимальную защиту критически важных данных.
Защита от session hijacking:
- Повышение оперативности контроля за всеми процедурами аутентификации со стороны ИБ;
- Уникальные механизмы проверки целостности сессии предотвращают несанкционированный доступ даже при компрометации сессии.
Концепция Zero Trust:
- Поддержка условно-прозрачного входа для RADIUS-сервисов (VPN/VDI) позволяет реализовать строгие политики безопасности без ущерба для пользовательского опыта.
Масштабируемость и надежность
Горизонтальное масштабирование:
Возможность работы с тысячами одновременных пользователей без потери производительности.
Возможность работы с тысячами одновременных пользователей без потери производительности.
Высокая доступность:
Архитектура решения обеспечивает непрерывную работу даже при высоких нагрузках.
Архитектура решения обеспечивает непрерывную работу даже при высоких нагрузках.
Детальная аналитика:
Встроенные средства мониторинга и анализа позволяют оперативно выявлять и реагировать на потенциальные угрозы.
Встроенные средства мониторинга и анализа позволяют оперативно выявлять и реагировать на потенциальные угрозы.
Унифицированный единый вход (SSO):
Сокращает время на аутентификацию до 80%, позволяя сотрудникам сразу получать доступ ко всем необходимым приложениям после единичной авторизации.
Минимизация прерываний работы:
Автоматическое продление сессий и адаптивная MFA уменьшают количество запросов второго фактора, сохраняя непрерывность рабочего процесса.
Самообслуживание учётных записей:
Пользователи могут самостоятельно сбрасывать пароли и управлять своими учётными данными, не обращаясь в службу поддержки.
Сокращает время на аутентификацию до 80%, позволяя сотрудникам сразу получать доступ ко всем необходимым приложениям после единичной авторизации.
Минимизация прерываний работы:
Автоматическое продление сессий и адаптивная MFA уменьшают количество запросов второго фактора, сохраняя непрерывность рабочего процесса.
Самообслуживание учётных записей:
Пользователи могут самостоятельно сбрасывать пароли и управлять своими учётными данными, не обращаясь в службу поддержки.
Редукция нагрузки на Service Desk:
Оптимизация IT-ресурсов:
- Уменьшение обращений за помощью с забытыми паролями на 70% благодаря функции самообслуживания;
- Автоматическая синхронизация паролей через IDM-коннекторы снижает необходимость ручного управления учетными записями.
Оптимизация IT-ресурсов:
- Лёгкий кроссплатформерный агент с минимальным потреблением ресурсов (<10 MB RAM, <1% CPU) снижает нагрузку на работу сотрудника на любых компьютерах и устройствах;
- Централизованное управление всеми аспектами аутентификации упрощает администрирование и снижает стоимость владения.
Адаптивная MFA:
- Динамическая оценка рисков при каждом входе позволяет применять дополнительные уровни защиты только тогда, когда это действительно необходимо;
- Возможность использования аппаратных токенов (FIDO2, PKI) для любых типов систем обеспечивает максимальную защиту критически важных данных.
- Повышение оперативности контроля за всеми процедурами аутентификации со стороны ИБ;
- Уникальные механизмы проверки целостности сессии предотвращают несанкционированный доступ даже при компрометации сессии.
- Поддержка условно-прозрачного входа для RADIUS-сервисов (VPN/VDI) позволяет реализовать строгие политики безопасности без ущерба для пользовательского опыта.
Кросс-протокольная интеграция:
True cross-protocol SSO между RADIUS, OIDC, SAML, Reverse Proxy и Enterprise SSO объединяет все корпоративные системы в единое пространство аутентификации;
Гибридная работа:
Полная поддержка как локальных, так и облачных ресурсов обеспечивает бесшовную работу в современных гибридных средах.
True cross-protocol SSO между RADIUS, OIDC, SAML, Reverse Proxy и Enterprise SSO объединяет все корпоративные системы в единое пространство аутентификации;
Гибридная работа:
Полная поддержка как локальных, так и облачных ресурсов обеспечивает бесшовную работу в современных гибридных средах.
Прозрачный вход:
Автоматическая передача сессий между ОС, браузером и десктопными приложениями делает процесс аутентификации практически незаметным для пользователя.
Единый интерфейс:
Все методы аутентификации объединены в единую систему, что исключает путаницу и упрощает использование.
Мобильность:
Поддержка мобильных устройств и возможность выполнения MFA через мобильное приложение-аутентификатор обеспечивают удобство работы удаленно.
Автоматическая передача сессий между ОС, браузером и десктопными приложениями делает процесс аутентификации практически незаметным для пользователя.
Единый интерфейс:
Все методы аутентификации объединены в единую систему, что исключает путаницу и упрощает использование.
Мобильность:
Поддержка мобильных устройств и возможность выполнения MFA через мобильное приложение-аутентификатор обеспечивают удобство работы удаленно.
Горизонтальное масштабирование:
Возможность работы с тысячами одновременных пользователей без потери производительности.
Высокая доступность:
Архитектура решения обеспечивает непрерывную работу даже при высоких нагрузках.
Детальная аналитика:
Встроенные средства мониторинга и анализа позволяют оперативно выявлять и реагировать на потенциальные угрозы.
Возможность работы с тысячами одновременных пользователей без потери производительности.
Высокая доступность:
Архитектура решения обеспечивает непрерывную работу даже при высоких нагрузках.
Детальная аналитика:
Встроенные средства мониторинга и анализа позволяют оперативно выявлять и реагировать на потенциальные угрозы.
Кейсы Avanpost Unified SSO
02
Крупная e-Commerce компания
В результате реализации проекта Заказчик получил:
С помощью Avanpost FAM с функциями Unified SSO реализована двухфакторная аутентификация при входе на рабочую станцию Windows с контролем уровня доверия устройству, и последующая прозрачная аутентификация в подключенные корпоративные веб-порталы (как опубликованные в интернет, так и внутренние) по протоколам OpenID Connect и SAML, VPN для удалённых сотрудников по протоколу RADIUS. Часть корпоративных веб-приложений, которые ранее были тесно интегрированы с KeyCloak, защищены MFA и Unified SSO за счёт делегирования аутентификации в сторону FAM.
Усиленную аутентификацию в корпоративные системы для большинства сотрудников с подтверждением входа через мобильное приложение-аутентификатор;
Объединение пользователей из различных доменов в единой системе аутентификации с унификацией политик аутентификации и политик доступа ко всем подключенным ресурсам.
Прозрачный последующий вход после входа на АРМ во все приложения, подключенные к Avanpost FAM, за счёт уникальной на рынке технологии Unified SSO;
Строгую аутентификацию в наиболее критичные корпоративные системы и ресурсы, а также для привилегированных пользователей, с подтверждением аутентификации по ЭП на Рутокен ЭЦП с проверкой сертификатов через корпоративный УЦ;
03
Крупнейшая энергетическая компания
В рамках инфраструктуры, построенной полностью на отечественном ПО на базе Linux с использованием Avanpost Unified SSO:
Реализована верификация пользователей при входе на АРМ по ЭП на смарт-карте eSmart и Рутокен;
Прозрачный последующий вход в SAP Logon.
Прозрачный последующий вход во все приложения (веб-портал, внешний шлюз, внутренний шлюз);
01
Крупнейший розничный банк с биометрией и ЕБС
Решение реализует аутентификацию по биометрии распознавания лиц: Windows АРМ, Отечественный Linux АРМ, VDI Citrix Workspace, Веб-приложениях, подключённых как через KeyCloak, так и напрямую по лицевой биометрии;
Обеспечена прозрачная аутентификацию по биометрии распознавания лиц на АРМы и в информационные системы для того, чтобы подготовить инфраструктуру банка к подключению к ЕБС *.
Построен «мостик» между ЕБС и прикладом с использованием существующей системы распознавания лиц;
* ЕБС (Единая биометрическая система вместе с логином и паролем от Госуслуг (ЕСИА) позволяет банкам без личного присутствия гражданина открыть ему счет, вклад или предоставить кредит.
В рамках проекта реализуется кастомный плагин аутентификации для обработки картинок с видео.
Функциональные сценарии для компаний
Функциональные сценарии для компаний Админ в центре событий
Avanpost USSOповышает уровень управляемости для администратора, предоставляя ему возможность централизованно отслеживать факты входа, контролировать пользовательские сессии и при необходимости автоматически реагировать — например, завершать сеанс по команде из SIEM-системы.
Свобода в выборе аутентификации
Avanpost USSOснимает технологические ограничения: теперь любые приложения могут работать с любыми методами аутентификации. Это даёт гибкость — использовать усиленные и строгие методы там, где это критично, и облегчённые там, где это допустимо, без ущерба для безопасности и удобства.
Без рутины и ошибок
Avanpost USSO упрощает жизнь сотрудников, избавляя их от множества лишних действий. Больше не нужно тратить время на рутинные входы в разные системы — это снижает количество ошибок, срывов сроков и потерь фокуса.
Исполнение требований регуляторов
Работа с Avanpost USSOполностью соответствует требованиям Указа Президента Р Ф от 31.03.2023 г., который с 1 января 2025 года запрещает использование зарубежного ПО на объектах критической информационной инфраструктуры.
Функциональные сценарии для компаний Админ в центре событий
Avanpost USSOповышает уровень управляемости для администратора, предоставляя ему возможность централизованно отслеживать факты входа, контролировать пользовательские сессии и при необходимости автоматически реагировать — например, завершать сеанс по команде из SIEM-системы.
Свобода в выборе аутентификации
Avanpost USSOснимает технологические ограничения: теперь любые приложения могут работать с любыми методами аутентификации. Это даёт гибкость — использовать усиленные и строгие методы там, где это критично, и облегчённые там, где это допустимо, без ущерба для безопасности и удобства.
Без рутины и ошибок
Avanpost USSO упрощает жизнь сотрудников, избавляя их от множества лишних действий. Больше не нужно тратить время на рутинные входы в разные системы — это снижает количество ошибок, срывов сроков и потерь фокуса.
Исполнение требований регуляторов
Работа с Avanpost USSOполностью соответствует требованиям Указа Президента РФ от 31.03.2023 г., который с 1 января 2025 года запрещает использование зарубежного ПО на объектах критической информационной инфраструктуры.
Функциональные сценарии для компаний Админ в центре событий
Avanpost USSOповышает уровень управляемости для администратора, предоставляя ему возможность централизованно отслеживать факты входа, контролировать пользовательские сессии и при необходимости автоматически реагировать — например, завершать сеанс по команде из SIEM-системы.
Свобода в выборе аутентификации
Avanpost USSOснимает технологические ограничения: теперь любые приложения могут работать с любыми методами аутентификации. Это даёт гибкость — использовать усиленные и строгие методы там, где это критично, и облегчённые там, где это допустимо, без ущерба для безопасности и удобства.
Без рутины и ошибок
Avanpost USSO упрощает жизнь сотрудников, избавляя их от множества лишних действий. Больше не нужно тратить время на рутинные входы в разные системы — это снижает количество ошибок, срывов сроков и потерь фокуса.
Исполнение требований регуляторов
Работа с Avanpost USSOполностью соответствует требованиям Указа Президента РФ от 31.03.2023 г., который с 1 января 2025 года запрещает использование зарубежного ПО на объектах критической информационной инфраструктуры.
Категории пользователей Avanpost USSO
Для бизнес-пользователей
Unified SSO превращает процесс аутентификации из рутинной процедуры в seamless-опыт, избавляя от запоминания паролей и повторной MFA.
Решение обеспечивает беспрепятственный доступ ко всем необходимым инструментам — от веб-приложений до сложных ERP-систем — с любого устройства, будь то офисный ПК или мобильный гаджет.
Решение обеспечивает беспрепятственный доступ ко всем необходимым инструментам — от веб-приложений до сложных ERP-систем — с любого устройства, будь то офисный ПК или мобильный гаджет.
Решение объединяет аутентификацию в единую систему, поддерживая RADIUS, OIDC, SAML, Reverse Proxy и Enterprise SSO. Гибкие механизмы MFA защищают критические данные, а централизованное управление упрощает контроль безопасности.
Для ИБ-специалистов
Unified SSO совместимо с любыми приложениями, от десктопных до облачных, поддерживает FIDO, PKI, OTP и минимизирует нагрузку на поддержку. Гибкая архитектура адаптируется под бизнес-требования, обеспечивая высокую производительность.
Для ИТ-специалистов
Federated Access Manager
Перейти
Федеративное управление идентификацией
Современный центр управления многофакторной аутентификацией в корпоративных приложениях с поддержкой федерации удостоверений.
FAM
Federated Access Manager
Перейти
Федеративное управление идентификацией
Современный центр управления многофакторной аутентификацией в корпоративных приложениях с поддержкой федерации удостоверений.
Multi-factor Authentication+
Перейти
Многофакторная аутентификация
Провайдер многофакторной аутентификации с поддержкой всех современных методов аутентификации, гибкой настройкой факторов через удобный интерфейс администратора.
MFA+
Multi-factor Authentication+
Перейти
Многофакторная аутентификация
Провайдер многофакторной аутентификации с поддержкой всех современных методов аутентификации, гибкой настройкой факторов через удобный интерфейс администратора.
Другие решения по аутентификации Avanpost
129085, г. Москва ул. Годовикова, д. 9, стр. 17
Форма
для вопросов
для вопросов
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.
Все права защищены, © Avanpost 2025
Контакты
Сообщение об успешной отправке!