систему аутентификации для корпоративных систем с использованием технологии единого входа single sign-on.
Предпосылки проекта
Разнородный набор информационных систем
Поддерживают различные протоколы аутентификации.
Расширение функционала в части увеличения ассортимента используемых факторов аутентификации (SMS, Avanpost Authenticator) и подключаемых систем.
Техническая поддержка системы от компании Аванпост.
Разрастание IT ландшафта Компании привело к усложнению архитектуры системы управления аутентификацией.
В различных корпоративных приложениях из-за разнородного набора логинов и паролей сотрудников.
При частой выдаче доменных паролей сотрудникам компании.
Описание проекта
Единая система аутентификации
Построение и внедрение единой системы аутентификации, использующий современный стек протоколов и факторов аутентификации;
Разработка сценариев аутентификации
Периодическая смена паролей
Для разных категорий сотрудников, отказ от использования паролей в сторону современных методов аутентификации (push-уведомления, OTP, SMS);
Расширение функционала внедренной системы
Безопасность установленного компонента
Результаты внедрения
Значимый экономический эффект
Внедрение продукта по аутентификации с современной технологичной архитектурой и автоматизация управления паролями позволила получить значимый экономический эффект.
Повышение уровня информационной безопасности
За счет использования линейки Avanpost FAM и реализации современных подходов к аутентификации в корпоративных приложениях:
Удобство пользования и администрирования
За счет внедрения современной консоли администратора и единого интерфейса самообслуживания работников компании.
Центральный сервис аутентификации в инфраструктуре компании
Ключевые задачи проекта. Требования
к промышленному внедрению
Характеристики проекта
Обеспечение прозрачной аутентификации в корпоративных приложениях без необходимости использования нескольких логинов и выдачи паролей сотрудникам компании;
Система SSO запущена в промышленную
эксплуатацию.
Автоматическая периодическая смена паролей внедренной системой без участия сотрудника компании;
Более 10 000 пользователей;
Создание простой и эффективной архитектуры системы управления аутентификацией;
Использование второго фактора при аутентификации на АРМ (windows logon, linux logon); при аутентификации привилегированных сотрудников в PAM Бастион.
Необходимость упорядочить процесс по контролю и периодической смене паролей.
В частности, использование второго фактора при аутентификации.
Logon provider (Windows logon, Linux logon);
Обеспечена применением программного токена, автоматически формируемого на основе домена и доменной учетной записи сотрудника компании;
Реализовано использование современных факторов аутентификации
С учетом наличия различных категорий работников:
Сотрудников компании делегирована на сторону внедренной системы аутентификации;
Интеграция с корпоративными приложениями
Реализована с использованием компонента, устанавливаемого на АРМ сотрудников компании, по перехвату окна аутентификации на базе ESSO;
Позволило существенно увеличить перечень корпоративных систем в контуре аутентификации за счет использования стандартных протоколов и технологий аутентификации:
Применения современных протоколов OpenID Connect, SAML, OAuth 2.0.
Avanpost Authenticator (Push-уведомления);
Внедрена административная консоль
Консоль позволяет аутентифицировать администраторов с использованием их учётных записей в Active Directory и выполнять подключение ИС в веб-приложении без использования конфигурационных файлов;
Аутентификация сотрудников компании
Реализована через удобный портал самообслуживания в режиме единого окна с использованием их учетных записей в Active Directory;
Сотрудникам доступно мобильное приложение Avanpost Authenticator
позволяет использовать в будущем современных факторы аутентификации:
Настройка автоматической смены паролей;
Настройка современных сценариев аутентификации с различным набором фактором применительно к разным категориям сотрудников.