Avanpost FAM (Federated Access Manager)

Продукт
Разработчики: Avanpost (Аванпост)
Дата премьеры системы: 2020/06/16
Дата последнего релиза: 2024/07/02
Технологии: ИБ - Аутентификация

Содержание

2024

Avanpost FAM/MFA+ 1.12

2 июля 2024 года компания Avanpost, российский вендор в области безопасности идентификационных данных, сообщила о выпуске обновлённой версии системы многофакторной аутентификации Avanpost FAM/MFA+ 1.12 для защиты любых корпоративных систем и приложений.

Avanpost FAM/MFA+ 1.12

По информации компании, релиз Avanpost FAM/MFA+ включил в себя изменения, направленные на обеспечение корректной работы и повышение эргономики продукта при работе с криптооперациями. Добавлен ряд возможностей для сбора данных об устройствах пользователей и управления сценариями аутентификации. Расширены возможности настройки адаптивных сценариев аутентификации, настройки и отладки OIDC-приложений. Оптимизирован и расширен функционал работы с LDAP-каталогами. Изменен функционал настройки фактора аутентификации SMS OTP. Расширены возможности отладки интеграций с прикладными системами.

В обновленной версии системы реализована функциональность регистрации и идентификации устройств, позволяющая собирать обширный перечень информации об устройствах, используемых версиях ПО, агентах, с которых выполняется аутентификация, при работе сотрудников со смартфонов, стационарных компьютеров, ноутбуков, рабочих станций и серверов. Эта информация может использоваться в функционале адаптивной аутентификации для оптимизации сценария аутентификации, а также для запрета аутентификации с недоверенных или скомпрометированных устройств.

Добавлена возможность выполнения криптоопераций по алгоритму ГОСТ через локально установленный КриптоПро CSP без установки отдельного сервиса подписи. Добавлена возможность выполнения подписи по алгоритму ГОСТ для OpenID Connect.

Одна из дополнительных возможностей Avanpost FAM/MFA+ 1.12 – запоминание идентификатора пользователя и закрепление его за конкретным устройством.

Механизм отладки интеграции для приложений, подключенных по протоколам OpenID Connect, SAML и RADIUS, дает возможность оптимизировать процесс аутентификации за счет консолидации отладочной информации и сообщений, передающихся при подключении прикладной системы.Метавселенная ВДНХ 3.3 т

За счет оптимизации механизма интеграции и синхронизации с LDAP-каталогами производительность системы была повышена более, чем в 10 раз. Скорость и быстродействие процесса синхронизации снижает нагрузку как на систему Avanpost FAM/MFA+, так и на конечные LDAP-каталоги, которые подключаются к продукту в том числе в режиме мультидоменной интеграции.

Проведена актуализация модуля Exchange ActiveSync (с поддерживаемыми почтовыми мобильными клиентами: Bluemail (Android), Outlook Mobile (Android), Gmail (Android), iOS (iPhone 11+): добавлена поддержка Avanpost Authenticator в качестве метода аутентификации в режиме Push, а также Telegram-бота.

Был разработан компонент ADFS Plugin, который устанавливается в систему Microsoft ADFS (Active Directory Federation Service) и обеспечивает аутентификацию с использованием всего арсенала доступных методов и сценариев аутентификации в продукте Avanpost FAM/MFA+ для всех приложений, подключенных к ADFS.

Кроме того, появилась функция сбора технических параметров конфигурации системы, позволяющая собирать актуальную конфигурацию системы и настроенные параметры при передаче запросов в техническую поддержку Avanpost. Эта функция дает возможность оптимизировать скорость воспроизведения проблем, выявленных в инфраструктуре заказчика при работе Avanpost FAM/MFA+, и в целом оптимизировать оперативность оказания технической поддержки.

Совместимость с «NGFW Континент 4»

10 апреля 2024 года компания Avanpost сообщила о том, что совместно с компанией «Код Безопасности» провела успешное испытание совместимости продуктов – NGFW Континент 4 и системы многофакторной аутентификации Avanpost FAM/MFA+.

На схеме изображены возможные взаимодействия компонента Avanpost FAM Server c другими компонентами системы

По информации компании, интеграция продуктов произведена с использованием компонента Avanpost FAM LDAP Proxy, позволяющего обеспечить решение задачи двухфакторной аутентификации для приложений с поддержкой доменной аутентификации.

Многофункциональный межсетевой экран Континент 4 от компании «Код Безопасности» представляет собой ключевой компонент системы защиты периметра. В свою очередь, решение компании Avanpost MFA+/FAM предоставляет технологичные методы двухфакторной аутентификации для обеспечения безопасности на рабочих местах как внутри локальной сети, так и на удаленных устройствах. При удаленном доступе к корпоративным ресурсам используются программные клиенты Континент АП или Континент ZTN-клиент: при подключении клиентов к серверу доступа Континент 4 Avanpost FAM/MFA+ запрашивает второй фактор аутентификации посредством push-методов, что практически исключает попытки несанкционированного доступа к корпоративным данным. Совместное решение даёт возможность получить комплексное средство защиты, реализуя шифрование конфиденциальной информации, усиленную аутентификацию и контроль устройств, подключаемых в системе.

Теперь при совместном использовании двух решений пользователи, как удаленные, так и локальные, получают возможность использовать удобное мобильное приложение Avanpost Authenticator или Telegram-клиент и выбирать второй фактор защиты, исходя из собственного удобства.

Сценарий аутентификации при использовании компонента Avanpost FAM LDAP Proxy выглядит следующим образом:

  • Пользователь проходит аутентификацию, вводя логин и пароль в интерфейс аутентификации Континент АП или Континент ZTN-клиент;
  • Пользователю приходит второй фактор по одному из выбранных администратором методов (либо push в Avanpost Authenticator, либо push в Telegram);
  • После успешной проверки второго фактора выполняется проверка логина и пароля в подключенном к LDAP Proxy LDAP-каталоге;
  • При успешной проверке пароля ответ от LDAP-каталога возвращается целевому приложению.

При совместном использовании NGFW Континент 4 и Avanpost FAM/MFA+ пользователи получают возможность подтверждения аутентификации в мобильном приложении Avanpost Authenticator с использованием push-уведомлений, в том числе в условиях ограниченности доступа в интернет.

Avanpost FAM LDAP Proxy разработан специально для приложений, которые поддерживают аутентификацию пользователя только через LDAP протокол. Компонент Avanpost FAM LDAP Proxy позволяет добавить дополнительный фактор аутентификации в приложения, тем самым подчеркивая универсальность платформы Avanpost FAM, обеспечивающей пользователям единые правила входа и использование одних и тех же учетных данных в корпоративной инфраструктуре.

Avanpost FAM представляет собой систему единой аутентификации сотрудников в корпоративных ресурсах организации. Avanpost MFA+ разработан на базе системы Avanpost FAM, при этом включает в себя облегчённый набор функций и рассчитан на быстрое развертывание для решения типовых задач.

Совместное решение Avanpost и компании «Код Безопасности» позволит оптимизировать риски несанкционированного доступа к учетным записям без дополнительных затрат.

«
За счет компонента Avanpost FAM LDAP Proxy мы расширили перечень поддерживаемых приложений, добавив те, которые поддерживают аутентификацию только через LDAP-каталог. Это позволило нам оптимизировать срок эксплуатации систем и сделать наши решения универсальными в части интеграции приложений.

прокомментировал Дмитрий Грудинин, владелец продуктовой линейки Avanpost FAM/MFA+
»

«
Как отмечается многими исследовательскими компании по анализу киберинцидентов, взлом пароля – это один из основных методов хакеров для проникновения в сеть предприятия. Многофакторная аутентификация позволяет усложнить этот процесс для злоумышленников. Поэтому результатом нашей совместной интеграции является снижение вероятности возникновения инцидентов ИБ, которые связаны с проникновением злоумышленников в корпоративную сеть через удаленных пользователей.

отметил Дмитрий Лебедев, ведущий эксперт "Код Безопасности"
»

Совместимость Avanpost MFA+/FAM Linux Logon 1.9 с Astra Linux Special Edition 1.7

Подтверждена совместимость ОС Astra Linux 1.7 и ПО Avanpost MFA+/FAM Linux Logon 1.9. Эксперты вендора провели комплексное тестирование и убедились, что программный стек работает корректно. Пользователи защищенной платформы могут без ограничений использовать совместное решение, чтобы обеспечить безопасную аутентификацию в своих инфосистемах. Об этом 18 марта 2024 года сообщила «Группа Астра».

Avanpost MFA+/FAM Linux Logon 1.9 – это клиентский компонент продуктов Avanpost MFA+ и FAM. Он поддерживает все реализованные в них методы аутентификации в Astra Linux Special Edition 1.7 и других Linux-подобных ОС, включая аутентификацию по электронной подписи на съемных ключевых носителях.

Avanpost MFA+ – это провайдер многофакторной аутентификации с поддержкой всех современных ее методов и возможностью гибко настраивать факторы в удобном интерфейсе администратора.

Avanpost FAM представляет собой современный единый центр управления многофакторной аутентификацией сотрудников в корпоративных приложениях с поддержкой федерации удостоверений.

Успешное завершение испытаний совместимости Avanpost MFA+/FAM Linux Logon 1.9 с ОС Astra Linux означает, что пользователи могут быть уверены, что продукт корректно работает на защищенной платформе, а с применением программного стека можно выстроить надежную систему аутентификации персонала и повысить уровень безопасности данных и инфраструктуры.

«
Обновленная версия компонента Avanpost Linux Logon позволила применять для аутентификации пользователей в Linux-системах обширный ассортимент методов, в том числе аутентификацию по электронной подписи на смарт-картах. Сотрудничество с «Группой Астра» направлено на расширение возможностей пользователей российского ПО, в том числе это касается аутентификации в самых требовательных к безопасности инфраструктурах как государственных, так и крупных коммерческих корпораций. Совместимость нашего компонента с Astra Linux позволяет обеспечить максимально быстрый, бесшовный переход на многофакторную аутентификацию в операционной системе, – отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost MFA+/FAM.
»

«
ИТ-отрасль развивается очень стремительно, и появляется все больше качественных и надежных технологий, способных в полной мере заместить зарубежные аналоги в самых разных нишах. Такой быстрый рост стал возможен благодаря тому, что вендоров объединяет общая цель — как можно скорее насытить рынок продуктами, которые позволяют сохранить работоспособность организаций и создать условия для дальнейшего развития экономики. То, что разработчики Avanpost, создавая новую версию ПО, реализовали в ней функционал, необходимый для корректной работы под Astra Linux, еще раз подтверждает: у нас действительно сформировалось единое понимание потребностей клиентов, — рассказал Алексей Трубочев, директор департамента сопровождения «Группы Астра».
»

2022

Возможность объединения сложных ИТ-инфраструктур в единую систему аутентификации

14 декабря 2022 года компания «Аванпост» представила обновленную версию системы централизованной корпоративной аутентификации Avanpost FAM. Обновленные функции продукта делают возможной поддержку мультидоменности и позволяют объединять сложные ИТ-инфраструктуры в единую систему аутентификации.

Возможность объединения сложных ИТ-инфраструктур в единую систему аутентификации. Иллюстрация: vo.plus.rbc.ru.

По информации компании, в Avanpost FAM появился ряд функций, предназначенных для интеграции доменов и каталогов пользователей в единую корпоративную систему идентификации и аутентификации. У холдинговых структур и организаций со сложной доменной инфраструктурой часто возникает проблема наличия разрозненных каталогов пользователей. Построение единого LDAP-каталога из нескольких разрозненных доменов является технически сложной и ресурсоёмкой задачей. Объединение каталогов пользователей при помощи Avanpost FAM не требует перестроения существующей LDAP-инфраструктуры и позволяет учесть потребности и особенности каждого имеющегося домена.

Также в обновленную версию Avanpost FAM добавлена функциональность идентификации пользователей из различных доменов при аутентификации в корпоративные информационные системы. В масштабных доменных инфраструктурах применяются разнообразные подходы к формированию доменных префиксов, при этом иногда пользователи в различных доменах пересекаются по логинам, что усложняет построение единого каталога пользователей. Кроме того, специфика работы одного конкретного приложения, подключенного к LDAP-каталогу, может потребовать пересмотра подходов к ведению данных пользователей в самом LDAP-каталоге. Avanpost FAM позволяет учесть специфику идентификации и определения домена пользователя для каждого корпоративного приложения без необходимости внесения изменений в существующую LDAP-инфраструктуру.

Еще одна дополнительная функция — идентификация пользователей по номеру телефона. Вместе с другими факторами, например, SMS, она позволяет использовать систему аутентификации для внештатных сотрудников или специалистов без доменной учётной записи. Как результат, сотрудники производственных подразделений, которым не нужно создавать отдельные учётные записи в LDAP, могут пользоваться веб-приложениями и сервисами, разрешенными администратором и подключенными к Avanpost FAM, используя для доступа мобильный номер телефона.

В обновленную версию добавлена поддержка мультидоменности при использовании Kerberos-аутентификации. Avanpost FAM позволяет зарегистрировать несколько keytab-файлов для разных, в том числе не связанных между собой, доменов. Сотрудники из различных доменов могут проходить аутентификацию, чтобы получить доступ к любой корпоративной информационной системе — как к веб-приложениям, так и десктопным. Процесс аутентификации при этом будет полностью прозрачен. Таким образом Avanpost FAM избавляет администраторов от необходимости объединять для этого не связанные между собой домены средствами LDAP-инфраструктуры.

Помимо этого, есть возможность централизованной установки и смены пароля пользователя в доменах. Часто для решения этой задачи используются не предназначенные для этого инструменты: Microsoft Exchange Outlook Web Access с возможностью смены пароля или ОС Windows, что ограничивает пользовательские сценарии управления паролем. Использование Avanpost FAM позволяет оптимизировать эту операцию для сотрудников и для администраторов.

В обновленной версии Avanpost FAM переработана и расширена функциональность парольных политик. Теперь система позволяет задавать неограниченное число парольных политик и привязывать их к различным группам пользователей. При этом администратор может отслеживать, какая парольная политика применяется для того или иного пользователя.

В системе также расширена функциональность восстановления пароля. Теперь в Avanpost FAM можно указывать для каких групп пользователей будет запрещено восстановление пароля. Например, отмечать, что запрет на восстановление пароля актуален для административных и технологических учётных записей, ведущихся в системе. Также для каждой группы пользователей можно определить перечень факторов, которые могут быть использованы для подтверждения желания сменить пароль.

Для RADIUS-приложений в обновленную версию Avanpost FAM добавлена функциональность предоставления информации в составе SAML Response посредством VSA (RADIUS Vendor-Specific Attributes). Это позволяет поддерживать сценарии авторизации и настройки RADIUS-клиентов, например, VPN и VDI-решений, подключаемых по RADIUS. При этом сохраняется возможность настраивать без ограничений произвольные словари VSA, которые предоставляются различными вендорами инфраструктурных сервисов и поставщиками оборудования.

Изменения коснулись и настройки процесса аутентификации — в нем появился режим идентификации, что поможет выстраивать более сложные сценарии аутентификации с предварительной идентификацией пользователя. К примеру, применять пароль для аутентификации после других средств, а не в качестве первоочередного инструмента.

«
Обновленная версия Avanpost FAM — важный шаг в части применения системы для сложных доменных инфраструктур холдинговых и территориально распределённых организаций. Реализованное в продукте решение позволяет построить единую корпоративную систему аутентификации с учётом потребностей каждого подключаемого к Avanpost FAM приложения и домена.

отметил Дмитрий Грудинин, системный архитектор компании «Аванпост»
»

Выполнение требований стандарта ФАПИ.СЕК

2 февраля 2022 года Компания «Аванпост», российский разработчик систем идентификации и управления доступом, сообщила о том, что внесла доработки в систему аутентификации сотрудников в корпоративных ресурсах Avanpost FAM и систему клиентской аутентификации Avanpost Web SSO. Теперь оба решения выполняют требования стандарта Банка России по безопасности банковских операций (СТО БР ФАПИ. СЕК-1.6-2020 – ФАПИ.СЕК, "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID").

ФАПИ.СЕК является одним из утвержденных Центральном Банком РФ рекомендательных стандартов банковских интерфейсов или Открытых API. Последние помогают банкам взаимодействовать между собой, с клиентами и с финтех-сервисами. Стандарт ФАПИ.СЕК предоставляет требования и рекомендации к системам аутентификации: они должны обеспечивать безопасный доступ к финансовым данным клиентов в финтех-сервисах с использованием механизмов OpenID Connect. Помимо прочего, стандарт способствует унификации требований к системе аутентификации, которую можно использовать для входа клиентов в финансовые приложения и подтверждения операций.

Для того чтобы Avanpost FAM и Avanpost Web SSO соответствовали стандарту, разработчики расширили возможности систем в части соблюдения требований аутентификации, авторизации и взаимодействия с пользователями. Помимо этого, проведена большая работа по развитию функций систем в части безопасной аутентификации взаимодействующих между собой API с целью передачи финансовых данных.

«
«Благодаря стандарту ФАПИ.СЕК работа финансовых сервисов и API становится безопаснее и прозрачнее. В документе, в том числе, много внимания уделяется процессу аутентификации, и это неудивительно: встречается мнение, что с него и начинается банкинг. Соответственно, финансовым организациям и финтех-компаниям необходимы инструменты для управления аутентификацией, поддерживающие подобные стандарты. Поэтому мы усовершенствовали ряд процессов в продуктах Avanpost FAM и Avanpost Web SSO, чтобы представители финансовой отрасли могли сразу же внедрить готовое решение в свои бизнес-процессы»,

отметил Дмитрий Грудинин, системный архитектор компании «Аванпост»
»

Avanpost FAM (Federated Access Manager) – платформа для единой аутентификации сотрудников в корпоративных приложениях, которая обладает функциональными возможностями на российском рынке. Система единого входа, созданная с помощью Avanpost FAM, позволяет организовать прозрачную и многофакторную аутентификацию в мобильных и веб-приложениях, приложениях с толстым клиентом, SaaS-сервисах и терминальных решениях. Продукты такого класса, в условиях удаленного режима работы, особенно востребованы.

Особенностью Avanpost FAM является поддержка обширного пула технологий аутентификации: Enterprise SSO (ESSO), IDP (Identity Provider, включая SAML и OAuth/OpenID Connect), Reverse Proxy (Web Access Manager), RADIUS, Credential Provider для Windows, PAM для Linux/UNIX. Это позволяет обеспечить «бесшовную» единую однократную аутентификацию в смешанных ИТ-инфраструктурах, где есть приложения как с «толстым», так и с «тонким» клиентом, рабочие станции, веб-интерфейсы, микросервисы и мобильные приложения.

Avanpost Web SSO — система единой аутентификации клиентов в порталах и внешних приложениях, российский продукт класса CIAM. Система в режиме Identity Federation позволяет сделать регистрацию клиентов простой и прозрачной, объединив в рамках одного клиентского мультиаккаунта в Avanpost Web SSO различные аккаунты от внешних Identity Provider. Функции самообслуживания обеспечивают клиентам прозрачное и простое управление своими аккаунтами, данными и параметрами безопасности.

2021

Сертификация ФСТЭК России

Компания «Аванпост» 28 декабря 2021 года объявила о сертификации своего решения Avanpost FAM по обновленным требованиям ФСТЭК России. Сертификат подтверждает, что продукт соответствует четвертому уровню доверия – максимальному для защиты конфиденциальной информации. Теперь он может применяться в организациях, к которым предъявляются повышенные требования в части безопасности данных. Кроме того, использование Avanpost FAM освобождает заказчика от необходимости самостоятельно сертифицировать свои системы, чтобы они соответствовали требованиями ФСТЭК к аутентификации и авторизации.

Для получения сертификата компания «Аванпост» реализовала множество новых функций безопасности, провела дополнительное масштабное тестирование Avanpost FAM, а также подготовила новую документацию. Помимо детального описания решения, она включает информацию о применяемых защитных мерах, процессах проектирования, разработки и тестирования системы, в том числе на устранение недостатков и наличие уязвимостей. Соответствие четвертому уровню доверия, установленному ФСТЭК России, позволяет применять Avanpost FAM в государственных информационных системах до первого класса защищенности включительно, в информационных системах персональных данных до первого класса защищенности включительно, в автоматизированных системах управления критически важными объектами (КВО) до первого класса защищенности включительно. Кроме того, систему теперь можно использовать в значимых объектах критических информационных инфраструктур (КИИ) до первой категории включительно.

Avanpost FAM является продуктом класса Single Sign-On (SSO), подходящим для всех типов корпоративных приложений и поддерживающим функционирование в гибридных ИТ-инфраструктурах. Отличительной особенностью решения является поддержка обширного перечня интеграционных интерфейсов. Это позволяет системам организации, подключаемым к Avanpost FAM, закрыть большую часть требований ФСТЭК в части аутентификации.

Еще одно важное качество продукта – наличие сертифицированной функциональности авторизации в рамках протоколов OAuth/OpenID Connect. Это позволяет не проводить затратную и сложную процедуру самостоятельной сертификации и аттестации функциональности компонента, ответственного за вычисление прав доступа пользователя, а опираться уже на сформированный набор прав конечного пользователя. В результате затраты на разработку функций авторизации во всех приложениях становятся ниже, как и расходы на самостоятельную сертификацию и аттестацию реализованных функций информационных систем в части авторизации и аутентификации.

«
Успешно справляясь с задачей корпоративной аутентификации, Avanpost FAM позволяет компаниям решать целый ряд проблем. Благодаря использованию данного решения проблема подключения информационных систем трансформируется в выбор наиболее подходящего способа интеграции из обширного арсенала методов, доступного в Avanpost FAM. Поэтому за счёт применения Avanpost FAM в качестве платформы для построения корпоративной системы аутентификации можно минимизировать риски несовместимости систем. Кроме того, Avanpost FAM помогает организациям централизованно контролировать все попытки доступа к системам, что важно в свете применения для этого SIEM-решений. Теперь благодаря сертификации по новым требованиям ФСТЭК Avanpost FAM может применяться для аутентификации и авторизации в наиболее критичных информационных системах, – отметил Олег Губка, директор по развитию компании «Аванпост».
»

Интеграция с Citrix Virtual Apps and Desktops и Citrix ADC

Компания «Аванпост» 18 ноября 2021 года сообщила о том, что интегрировала систему Avanpost FAM с корпоративными решениями Citrix для обеспечения защищённого удалённого доступа: Citrix Virtual Apps and Desktops и Citrix ADC.

Решения Citrix используются крупными компаниями для организации удалённого доступа к виртуальным рабочим столам и приложениям (Citrix Virtual Apps and Desktops, называвшийся ранее XenApp), а также для публикации веб-приложений (Citrix ADC/NetScaler). Avanpost FAM позволяет защитить удалённые рабочие столы и приложения, публикуемые через Citrix, обеспечивая многофакторную аутентификацию и централизованный контроль доступа сотрудников. При этом поддерживается как схема интеграции с использованием Citrix Gateway в качестве средства аутентификации, так и напрямую, без этого решения.

«
Благодаря Avanpost FAM подразделения бизнеса, связанные с информационными технологиями и информационной безопасностью, получают полный контроль над доступом сотрудников к корпоративным решениям Citrix, могут централизованно управлять сценариями аутентификации и политиками безопасности каждого приложения, – отметил Дмитрий Грудинин, системный архитектор компании «Аванпост».
»

Обеспечение биометрической аутентификации на носимых устройствах по стандарту WebAuthn

27 октября 2021 года компания «Аванпост», российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, сообщила, что две ее системы теперь поддерживают биометрическую аутентификацию в подключенных к ним приложениях, которая происходит с использованием биометрических считывателей на пользовательских устройствах и подключаемых веб-токенов WebAuthn/FIDO U2F.

В носимых устройствах биометрия уже стала привычным способом подтверждения платёжных операций, входа в приложения и разблокировки устройства. Начиная с 2019 года, принят и развивается стандарт WebAuthn от консорциума W3C, унифицирующий подходы к биометрической аутентификации на носимых устройствах.

Использование пользовательских устройств - ноутбуков, смартфонов, считывателей с поддержкой стандарта WebAuthn - и интеграционных возможностей Avanpost FAM позволит заказчикам получить универсальный механизм биометрической аутентификации и усилить защиту корпоративных веб-приложений, а также «тонких» и «толстых» клиентов. Благодаря достаточно широкому набору факторов аутентификации в Avanpost FAM и гибко настраиваемым сценариям аутентификации администраторы могут сочетать WebAuthn с другими методами для повышения удобства и защищённости аутентификации. Сотрудники могут использовать в качестве аутентификатора считыватель личного мобильного устройства (смартфона, ноутбука), что значительно упрощает процесс перехода на обновленный способ аутентификации.

Возможность использования пользовательской биометрии в Avanpost Web SSO позволит клиентам интернет-сервисов защитить свои учётные записи при помощи метода аутентификации, доступного и привычного для большинства пользователей смартфонов. Это повысит доверие к ресурсам, предоставляющим онлайн-услуги, особенно связанные с финансовыми операциями.

Метод аутентификации по WebAuthn, поддерживаемый Avanpost FAM и Avanpost Web SSO, не требует значительных затрат на приобретение специализированных биометрических считывателей для сотрудников. Также снижается нагрузка на подразделения ИТ и ИБ, поскольку им не требуется управлять биометрическими данными - пользователи самостоятельно выполняют эту процедуру.

«
«Считыватели биометрии на пользовательских устройствах с поддержкой WebAuthn работают "штатно" в большинстве операционных систем и поддерживаются браузерами без установки дополнительных драйверов и плагинов. Биометрические данные хранятся на устройстве пользователя под защитой операционной системы и не требуют передачи на сервер аутентификации. За счёт этого можно существенно снизить затраты на внедрение биометрии, уменьшить расходы на централизованное администрирование биометрических данных, а также обеспечить соответствие требованиям законодательства», –

поясняет Дмитрий Грудинин, системный архитектор компании «Аванпост».
»

Многофакторная аутентификация в ОС Linux и Windows

2 сентября 2021 года компания «Аванпост», российский разработчик систем идентификации и управления доступом, выпустила обновленную версию решения Avanpost FAM, предназначенного для единой аутентификации сотрудников в корпоративных ресурсах. Одной из возможностей является многофакторная аутентификация в операционные системы семейства Linux с помощью модуля PAM.

По информации компании, модуль PAM обеспечивает многофакторную и многошаговую аутентификацию в ОС Linux как при входе в графическую оболочку рабочих станций и серверов, так и при работе в терминале. При этом параметры сценария аутентификации управляются централизованно из административной консоли системы FAM.

В свою очередь, обновленная версия Credential Provider, поставляемая с Avanpost FAM, обеспечивает многофакторную и многошаговую аутентификацию в ОС Windows. Модуль использует полностью стандартные легковесные механизмы и API операционной системы Windows и поставляется стандартными средствами Microsoft-инфраструктуры. Кроме того, он может работать и с доменными пользователями, и с локальными учётными записями операционной системы. Модуль можно применять не только для многофакторной аутентификации и разблокировки сеанса в Windows, но также сброса и смены пароля.

Avanpost FAM позволяет обеспечить усиленную дополнительными факторами аутентификацию для отдельных групп специалистов с повышенными привилегиями, к примеру, администраторов, оставаясь при этом удобным и простым сервисом входа для остальных сотрудников. Достичь этого можно с помощью централизованных средств настройки сценариев аутентификации, доступных в административной консоли FAM обновленной версии.

Режим ESSO

Защитить корпоративные API и микросервисы можно за счет развитых средств протокола OAuth 2.0. FAM позволяет реализовывать сценарии с применением общего Access Token, разделяемого между системами, что оптимизирует администрирование средств аутентификации при наличии большого числа микросервисов. Для последних также была реализована встроенная функциональность авторизации, позволяющая получать набор полномочий субъекта в составе JWT-токена в соответствии с UMA. Это экономит затраты на самостоятельную авторизацию на стороне микросервисов.

В обновленной версии добавлена поддержка метрик работы системы в формате Prometheus. Метрики можно применять для автоматизации процессов в Kubernetes. Также они могут быть полезны для отображения оперативной информации о важных показателях работы системы в реальном времени, к примеру, при помощи дашбордов Grafana.

Чтобы оптимизировать интеграцию с приложениями в бизнес-сценариях, разработчики добавили в Avanpost FAM обновленный GraphQL API. Являясь более современным и удобным форматом для получения данных, чем классический REST API, он позволяет сократить затраты на реализацию интеграций корпоративных систем с FAM.

Используя Avanpost FAM, можно контролировать активные сеансы аутентификации сотрудников в различных приложениях и при необходимости блокировать доступ. Развитые средства самообслуживания сотрудников, доступные в данной версии системы, в том числе средства инициализации аутентификаторов, позволяют снизить нагрузку с администраторов и упростить ввод системы в эксплуатацию.

«
Обновленная версия поддерживает средства аутентификации для самых требовательных компонентов корпоративной инфраструктуры – микросервисов, при этом сохраняет все необходимые функции для классических корпоративных приложений. Механизмы управления аутентификацией, реализованные в Avanpost FAM, позволяют выстраивать многофакторные сценарии, исходя из критичности систем и привилегированности сотрудников.

отметил Дмитрий Грудинин, системный архитектор компании «Аванпост»
»

Avanpost FAM (Federated Access Manager) – платформа для единой аутентификации сотрудников в корпоративных приложениях. Система единого входа, созданная с помощью Avanpost FAM, позволяет организовать многофакторную аутентификацию в мобильных веб-приложениях, приложениях с толстым клиентом, SaaS-сервисах и терминальных решениях.

Отличительной особенностью Avanpost FAM является поддержка обширного пула технологий аутентификации: Enterprise SSO (ESSO), IDP (Identity Provider, включая SAML и OAuth/OpenID Connect), Reverse Proxy (Web Access Manager), RADIUS, Credential Provider для Windows, PAM для Linux/UNIX. Это позволяет обеспечить «бесшовную» единую однократную аутентификацию в смешанных ИТ-инфраструктурах, где есть приложения как с «толстым», так и с «тонким» клиентом, рабочие станции, веб-интерфейсы, микросервисы и мобильные приложения.

Ролевая модель для авторизации пользователей приложений

13 апреля 2021 года компания Аванпост, российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM), объявила о выпуске версии своего программного продукта для адаптивной аутентификации сотрудников в корпоративных ресурсах организации Avanpost FAM. В обновленной версии реализованы наиболее востребованные функции: ролевая модель аутентификации и авторизации пользователей в корпоративных мобильных, настольных и веб-приложениях; аутентификация в корпоративной ИС посредством мобильного приложения; также появились инструменты для многофакторной аутентификации.

Avanpost FAM

По информации компании, одним из ключевых изменений в данной версии продукта стала ролевая модель для авторизации пользователей приложений. Она позволяет реализовать сценарий сертифицированной делегированной авторизации для всех корпоративных приложений и расширяет перечень задач, решаемых системой аутентификации, за счёт возможности добавления прав подключенных к системе приложений.

В обновленной версии реализован механизм ограничения числа одновременных сессий работы пользователя с приложением с одного аккаунта на различных устройствах. Данная функция позволяет предотвратить неправомерное использование одной и той же учётной записи различными сотрудниками, а также может использоваться для ограничения возможности одновременного использования административных аккаунтов системы Avanpost FAM. Это предоставляет администраторам расширенные возможности по контролю активности пользователей в подключенных к FAM корпоративных системах.

Также в Avanpost FAM были добавлены расширенные возможности кастомизации интерфейсов системы, в том числе, административной консоли и личного кабинета пользователя FAM (через административную консоль). Теперь можно адаптировать все интерфейсы системы: установить логотип, настроить шрифты, цвета любых элементов, их размеры и расположение. При этом изменения будут распространены на всех пользователей данных интерфейсов сразу же после их сохранения, без необходимости пересборки интерфейсов.

Функция контроля источников и каналов поступления учётных записей (ручное создание администратором, через синхронизацию с внешними источниками учётных записей, при самостоятельной регистрации) может использоваться администратором для отслеживания их жизненного цикла, а в дальнейшем – для получения качественной характеристики при оценке уровня доверия в адаптивных сценариях аутентификации.

Также специалистами Аванпост был расширен ряд готовых интеграционных решений по многофакторной аутентификации для VDI и VPN-систем, среди которых: VPN Cisco ASA/ASAv (AnyConnect), OpenVPN, Microsoft VPN и Mikrotik VPN (Router OS). Помимо этого, реализована обновленная версия решения по интеграции Microsoft Remote Desktop Gateway (RD Gateway/RDGW) и сервисов RDP (в том числе при использовании фермы RDS) с Avanpost FAM без необходимости установки в инфраструктуру каких-либо агентов и других компонентов.

Avanpost FAM обеспечивает одно- и многофакторную аутентификацию как при внутриофисном, так и при удаленном доступе сотрудников. Avanpost FAM поддерживает технологии аутентификации, такие как IDP для любых приложений с поддержкой SAML и OpenID Connect, RADIUS для VPN/VDI/RDP-решений, Enterprise SSO (ESSO) для десктопных приложений и технологии IDP (Identity Provider) и Reverse Proxy для web-приложений. Кроме того, для всех интеграционных интерфейсов Avanpost FAM стала доступна аутентификация посредством мобильного приложения PayControl в качестве дополнительного фактора аутентификации (поддерживает аутентификацию в подключенных к Avanpost FAM мобильных приложениях на устройствах Android и iOS).

2020

Интеграция с PayControl

Продукты компании Аванпост для аутентификации пользователей в корпоративных ресурсах Avanpost FAM) и внешних приложениях (Avanpost Web SSO) расширили ассортимент доступных факторов аутентификации за счет интеграции с платформой мобильной электронной подписи PayControl. Об этом стало известно 22 декабря 2020 года. Подробнее здесь.

Включение в реестр отечественного ПО

29 июля 2020 года стало известно, что продукт компании Аванпост Avanpost FAM (Federated Access Manager) включен в единый реестр программ для электронных вычислительных машин и баз данных (реестр российского ПО) на основании заключения экспертного совета, утвержденного Минкомсвязью РФ. Регистрационный номер ПО 6824. Avanpost FAM пополнил список продуктов, рекомендованных к использованию в российских организациях, в котором уже присутствуют все остальные решения линейки Avanpost для управления доступом (IDM, PKI, Web SSO).

Avanpost FAM является продуктом класса SSO (Single Sign-On), подходящим для всех типов корпоративных приложений: размещаемые на собственных мощностях (on-premise) и «облачные» (SaaS) web-приложения, мобильные приложения, а также традиционное корпоративное ПО с устанавливаемыми десктопными клиентскими приложениями, унаследованное программное обеспечение любой архитектуры. Отличительной особенностью Avanpost FAM является поддержка сразу трех технологий аутентификации: Enterprise SSO (ESSO), IDP (Identity Provider) и Reverse Proxy. Это позволяет обеспечить по-настоящему «бесшовную» единую однократную аутентификацию в смешанных ИТ-инфраструктурах, где есть приложения как с «толстым», так и с «тонким» клиентом, включая мобильные приложения.

Включение Avanpost FAM в государственный реестр российского ПО является официальным подтверждением его соответствия всем установленным правилам и требованиям законодательства и рекомендации к приобретению государственными и муниципальными заказчиками в рамках своих закупок.

Avanpost FAM: Обзор решения для единой однократной аутентификации в корпоративных приложениях

В конце июня 2020 года вышел обзор решения для единой однократной аутентификации в корпоративных приложениях. Подробнее здесь.

Анонс Avanpost FAM

16 июня 2020 года компания Аванпост объявила о выпуске программного продукта Avanpost FAM (Federated Access Manager). Это ПО подходит для любых крупных организаций, включая министерства, ведомства и другие органы власти, госкомпании, муниципальные образования, вертикально-интегрированные предприятия, холдинговые структуры, компании, являющиеся центрами или участниками партнерских кластеров, обычные и сетевые коммерческие предприятия.

Avanpost FAM

По информации компании, на июнь 2020 года любой такой организации, каковы бы ни были масштаб и профиль ее деятельности, специфические требования к процессам аутентификации пользователей всех уровней полномочий в корпоративной ИС, а также особенности ИТ-ландшафта, необходима надежная, гибкая масштабируемая система единого входа (SSO), распространяющаяся на различные виды ПО. Avanpost FAM позволяет создавать такие системы, совмещая жесткие требования к ИБ с удобством для пользователей и повышением продуктивности их работы. При этом надобность в других решениях класса SSO отпадает.

Avanpost FAM обеспечивает однократную аутентификацию для ПО, предоставляемого как самой организацией, так и ее доверенными партнерами. В обоих случаях аутентификационные данные сотрудников не выходят за периметр организации.

Avanpost FAM — это импортонезависимое ПО, позволяющее организации-заказчику выполнить требования центральных и отраслевых регуляторов. В частности, исключить размещение персональных данных пользователей на зарубежных серверах при использовании иностранных SaaS-решений.

Система единого входа, созданная с помощью Avanpost FAM, охватывает все применяемые на июнь 2020 года архитектуры Enterprise-ПО, включая: размещаемые на собственных мощностях (on-premise) и «облачные» (SaaS) Web-приложения, мобильные приложения, а также традиционное корпоративное ПО с устанавливаемыми десктопными клиентскими приложениями (как с толстыми, так и с тонкими клиентами), унаследованное программное обеспечение любой архитектуры.

Инфраструктура SSO, на основе которой предприятие-заказчик предоставляет своим сотрудникам единый сервис однократной аутентификации, бесшовно вписывается в ИТ-ландшафт современных ИС, гладко взаимодействуя с системами управления каталогами MS Active Directory (AD) или аналогичными решениями на основе ПО Open Source. При этом Avanpost FAM повышает надежность аутентификации за счет совместного применения многофакторной аутентификации и сложных политик аутентификации. С помощью таких политик организация может решать множество задач, например, предусмотреть разные процедуры и наборы факторов аутентификации для разных категорий сотрудников, ввести корпоративные стандарты аутентификации и обеспечить их соблюдение, выполнить требования регуляторов и др.

Avanpost FAM умеет работать практически с любыми факторами аутентификации, включая: физические факторы (ключевые носители, смарт-карты считыватели биометрических данных, и считыватели меток); одноразовые коды (SMS, TOTP, HOTP, messengers); сертификаты и ЭП (электронную подпись); данные среды, полученные от сетевого окружения, СКУД и из других источников; и аутентификацию средствами домена (SPNEGO/Kerberos). Avanpost FAM позволяет компании внедрить единые пропуска сотрудников, которые можно использовать как для контроля прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративных ИС и в прикладном ПО.

До появления Avanpost FAM крупным организациям для реализации функций SSO приходилось создавать и сопровождать сложный набор ИБ-решений. В итоге, подавляющее большинство организаций останавливалось на уровне аутентификации с помощью домена MS AD. Применение многофакторной аутентификации на основе проприетарных западных ИБ-решений требовало неприемлемых для большинства российских организаций эксплуатационных расходов, а также приводило к размещению аутентификационных данных сотрудников за пределами РФ, что является грубым нарушением действующей нормативной базы РФ и неустранимым источником санкционных и иных рисков.

Avanpost FAM устраняет все эти проблемы. Один программный продукт дает организации-заказчику технологии аутентификации (для всех видов ПО), позволяет снизить расходы и устранить наиболее опасные уязвимости в системе SSO, а также выполнить требования регуляторов (ФСТЭК РФ, ФСБ РФ, ЦБ РФ и др.) в части парольных политик и аутентификации.

В Avanpost FAM функцию SSO для различных видов корпоративного ПО обеспечивает единое ядро аутентификации, использующее современные протоколы аутентификации (OpenID, OpenID Connect, OAuth и SAML) и архитектуру IdP (identity provider). В роли IdP Avanpost FAM принимает разрешающие или отклоняющие решения по запросам на аутентификацию, поступающих от всех видов ПО.

Современные корпоративные web-приложения и SaaS-сервисы изначально поддерживают архитектуру IdP и указанные протоколы аутентификации. В таком ПО просто указать Avanpost FAM в качестве IdP. Причем настроить аутентификацию через Avanpost FAM можно не только для ИС на базе ПО, размещенного на собственных серверах организации-заказчика, но и в SaaS-приложениях. Средствами Avanpost FAM можно обеспечить аутентификацию с должными уровнями защиты, контроля и гарантии в условиях распределенной инфраструктуры, часто предоставляемой сотрудникам организации-партнера и/или другими предприятиями, входящими в холдинговую структуру. Как при обычной, так и при федеративной аутентификации (два последних сценария) Avanpost FAM сделает необходимые проверки, применит принятые в организации политики ИБ, запросит от пользователя нужные в данном случае факторы аутентификации, проверит их и примет окончательное решение по поступившему запросу. Результат аутентификации пользователя будет возвращен той ИС, от которой поступил запрос на аутентификацию. И в зависимости от результата аутентификации, ИС будет принимать решение о предоставлении ресурсов ИС пользователю.

Корпоративное ПО, имеющее традиционную архитектуру, также зачастую использует инструменты аутентификации, пришедшие из Интернет. На июнь 2020 года это устойчивый тренд. Но если поддержки этих стандартов нет, ее нетрудно реализовать, доработав функцию аутентификации данного ПО с использованием библиотек, существующих для всех популярных языков программирования.

С помощью Avanpost FAM к системе единого входа не трудно подключить и унаследованное ПО. Здесь имеются две возможности. С унаследованными web-приложениями Avanpost FAM может работать в режиме Reverse Proxy – в этом случае система выступает в роли посредника, модифицирующего запросы от пользователя к приложению и обратно по настроенным для этого приложения сценариям. Для аутентификации в десктопной программе на АРМ используется легковесный Агент из состава Avanpost FAM. Агент позволяет обеспечить и реализовать многофакторную аутентификацию как при входе в ОС, так и при работе пользователя в сеансе ОС. При запуске десктопного приложения Агент идентифицирует и перехватит окно входа программы, которая подключена к Avanpost FAM, и проверит достаточность предоставленной пользователем цепочки факторов аутентификации. Если пользователь аутентифицирован по требуемому набору факторов в соответствии с политиками и может получить доступ к приложению – Агент безопасно загрузит и подставит данные в окно приложения за пользователя, тем самым выполнив аутентификацию. Для манипуляций с этим окном агент использует компактные шаблоны, настраиваемые для каждого приложения прямо в административном интерфейсе Avanpost FAM. Соответственно, подключение десктопного приложения обычно сводится к настройке шаблона и не требует программирования.



СМ. ТАКЖЕ (11)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (846)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  СэйфТек (SafeTech) (3)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Compliance Control (Комплаенс контрол) (3)
  Уральский центр систем безопасности (УЦСБ) (3)
  Другие (54)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Сканпорт АйДи (Scanport) (2)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (470, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Konica Minolta (Коника Минолта) (1, 1)
  Shenzhen Chainway Information Technology (1, 1)
  ГК ОТР (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Right line (Райт лайн) (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  3-D Secure (3D-Secure) - 23
  PayControl - 23
  Avanpost IDM Access System - 20
  Другие 270

  PayControl - 3
  МегаФон Мобильный ID - 2
  Multifactor Сервис многофакторной аутентификации - 1
  JaCarta Authentication Server (JAS) - 1
  Samsung Knox - 1
  Другие 3

  Indeed Access Manager (Indeed AM) - 6
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Indeed PAM - Indeed Privileged Access Manager - 2
  Avanpost IDM Access System - 1
  Solar webProxy Шлюз веб-безопасности - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  PayControl - 3
  Shenzhen Chainway C-серия RFID-считывателей - 2
  IT-Lite: IDM.Управление учетными данными - 1
  VK ID - 1
  ESMART Token - 1
  Другие 7