Крупнейшая российская металлургическая компания

Продукты

Multi-factor authentication

Система многофакторной аутентификации
для корпоративных систем с поддержкой
стандартных протоколов.

В рамках проекта реализован функционал адаптивной многофакторной аутентификации
с учетом сложной распределенной архитектуры, особенностей множества информационных
систем, различных категорий сотрудников компании.

Проектная команда Аванпоста

Все работы выполнены командой,
состоящей из 5 человек.

Насыщенный ИТ-ландшафт

ERP, электронная почта, терминальные
сервера, системы удаленного доступа,
корпоративные порталы, и др. с большим
разнообразием протоколов интеграции.

Более 15 разнородных доменов

Со своей спецификой в части
идентификации пользователей
и аутентификация Kerberos.

60 000 пользователей

Отсутствие единой системы

Распределённая мультидоменная инфраструктура компании не объединена в единую систему.

Множество ИС

С разными видами авторизации, в том числе часть из них с устаревшими протоколами (NTLM, LDAP).

Нет возможности реализации
разных сценариев

Отсутствует возможность реализации
в неоднородном окружении различных сценариев для разных категорий сотрудников.

Пилотный некоммерческий проект

Познакомил Заказчика с возможностями Avanpost FAM, помог разработать требования к промышленному внедрению. В рамках двухмесячного пилотирования продукта выполнена Kerberos-аутентификация с двумя независимыми доменами
и интеграция Creatio по протоколу SAML 2.0 с фактором SMS.

Интеграция с ИС реализована через следующие протоколы аутентификации:

Подтверждение аутентификации в ИС реализовано с набором факторов аутентификации с учетом гибкой настройки под различные категории сотрудников:

OpenID Connect;

При использовании мобильного приложения Avanpost Authenticator настроены факторы:

Внедрение административной консоли

Аутентификация пользователей

Единая система из более чем 15 разнородных доменов

Более 15 разнородных доменов со своей спецификой в части идентификации пользователей
и аутентификации Kerberos объединены в единую систему аутентификации.

Современные методы аутентификации

Сотрудники переведены на современные методы аутентификации, предоставляемые, в том числе мобильным приложением Avanpost Authenticator (беспарольный вход по QR-коду, вход посредством push-запросов).

Внедрение мобильного приложения Avanpost Authenticator

Внедрено технологичное мобильное приложение Avanpost Authenticator c контролем безопасности устройства и суперспособностью работы в изолированных инфраструктурах.

Больше удобства для администраторов

Настройка параметров интеграции с приложениями выполняется через административную консоль и не требует установки и ручной настройки конфигурационных файлов бесчисленного множества адаптеров и агентов в инфраструктуре.

mfa+

Federated Access Manager

fam

Современный адаптивный центр управления
многофакторной аутентификацией.
В корпоративных приложениях с поддержкой
мультидоменных инфраструктур, федерации
удостоверений, нестандартных интеграций.

Объединение более 15 доменов компании в единый каталог пользователей систем аутентификации;

Унификация процессов идентификации и аутентификации во всем информационном ландшафте организации за счет использования современных протоколов и методов интеграции приложений;

В 2022-2023 годах реализовано управление УЗ в прикладных системах Заказчика (Система
автоматизированного проектирования, Электронный архив и др.);

Построение адаптивных сценариев аутентификации с учетом множества различных категорий сотрудников;

Максимальное использование настраиваемых функций информационной безопасности
в продукте (блокирование неиспользуемых УЗ, временная блокировка аккаунта
при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ);

Повышение качества работы и возможностей контроля и управления администраторов;

Внедрение самообслуживания пользователей в части управления учетными записями
и аутентификаторами.

2022 год

Система FAM запущена в промышленную
эксплуатацию.

2023 год

Выполнено расширение.

Текущий статус

Система находится на поддержке Аванпост.

Отдельные корпоративные системы

Не все корпоративные системы включены в контур единого входа.

Нет единого окна

Отсутствие единого окна для смены пароля в разных доменах и ИС.

Проблема в парольной политике

Отсутствие порядка и контроля
в парольной политике.

SAML 2.0, в том числе через AD FS;

Kerberos.

Avanpost Authenticator;

SMS;

E-mail-уведомления;

Push-уведомления.

QR-код;

Push-уведомления;

TOTP.

Позволяющей аутентифицировать администраторов с использованием их учетных записей в Active Directory и выполнять подключение ИС в веб-приложении
без использования конфигурационных файлов.

Как внутренних, так и внешних реализована через удобный портал
самообслуживания в режиме единого окна с использованием их учетных записей
в Active Directory.

Элементы бизнес-логики

Разработаны адаптивные сценарии аутентификации для различных категорий сотрудников; выполнен уход от паролей в сторону современных методов аутентификации (QR-кода, push-уведомления), автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.

Avanpost MFA+ может быть установлен в любой современной ОС

Поддержка контейнеров позволяет использовать его в Docker и Kubernetes. Автоматизированная установка через deb и rpm пакеты позволяет максимально упростить процесс.

Реализованы функции безопасности

Такие как автоматическое блокирование неиспользуемых УЗ, временная блокировка аккаунта при обнаружении попыток подбора пароля/фактора, установка срока действия пароля, ограничение количества активных сессий на одну УЗ.