Система единой аутентификации сотрудников в корпоративных ресурсах организации

Federated
Access Manager

На 36% быстрее доступ к приложениям
На 42% снижаются расходы
на администрирование
В 5 раз меньше
нагрузка на Service Desk
по смене паролей

Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации

Поддерживаемые технологии аутентификации для корпоративных приложений
Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:
Технология аутентификации в ОС Windows через FAM при помощи Microsoft Credential Provider;
Технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности;
Технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений;
Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
Технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений;
Технология аутентификации в ОС Linux через FAM при помощи PAM Linux.
С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей — теперь все приложения начнут работать по единым правилам, управляемым из одного окна.

Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.

Адаптивная аутентификация с выбором подходящей цепочки проверок для различных сотрудников и данных среды

TOTP
Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.
Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т. п.).

Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.

Многофакторная аутентификация с применением смарт-карт, одноразовых кодов, сертификатов ЭП, окружения и домена

Поддерживаемые факторы аутентификации:
Доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя
Сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП).
Одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link). • Push-подтверждения в мессенджеры (Telegram).
Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
Аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2 °F, доверенные устройства.
LDAP-аутентификация.
В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия).

Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.

Поддержка всех современных факторов аутентификации

Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.
Система PayControl (мобильное приложение Android/iOS).
Современный технологический стек и удобство интеграции
Десктопные ОС Microsoft Windows Desktop 7/8/10 для работы Агента FAM.
Средство автоматизации развертывания и контейнеризации Docker.
Серверные ОС CentOS, RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП.
Решение работает в следующих средах:
Поддерживает работу на базе высокопроизводительной и надежной СУБД PostgreSQL.

Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.

Аутентификация в облачных/SaaS-приложениях с использованием единого удостоверения сотрудника

Работа с различными источниками учетных записей
Решения класса Identity Management;
Витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle;
Встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления;
Любые источники данных, поставляющие данные по API и шине данных;
LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap;
Внешние SAML и OAuth IDP.
Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т. д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.
В качестве источников данных об учетных записях Avanpost FAM может использовать:

Кросс-аутентификация сотрудников в доверенных ресурсах партнерских организаций за счет федерации удостоверений

Личный кабинет пользователя
Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия.

Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.
Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.

Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.

Самообслуживание с управлением своими смарт-картами и сценариями восстановления

Механизм изменения и распространения пароля для унаследованных приложений
Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи.

Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).
Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т. е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.

Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.
Маркетинговые материалы
Демонстрация
Для более детального знакомства с возможностями наших решений мы готовы провести презентацию интересующего
вас продукта.

Как работает продукт

Заказать демонстрацию

Телефон
E-mail
Ваше имя
Сообщение
Компания
Отправить
Сообщение об успешной отправке!

Истории успеха

«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»
Валерия
директор по информационным и производственным технологиям
Возможность кастомизации
Наши продукты легко масштабируются и кастомизируются с учетом требований и бизнес-задач заказчика
Российская разработка
Все наши продукты создаются на территории России и входят в Единый реестр отечественного ПО:
Avanpost IDM (рег. № 1288),
Avanpost PKI (рег. № 1287);
Avanpost FAM (рег. № 6824);
Avanpost Web SSO (рег. № 4049) и др.:
Лицензии и сертификаты
Все наши продукты соответствуют
требованиям законодательных актов
и руководящих документов ФСТЭК и ФСБ
Партнерская сеть
Наши заказчики могут выбрать для реализации проекта одного из более чем 100 партнеров в России и СНГ
Интеграция решений
Все наши решения легко интегрируются друг с другом, образуя эффективную систему управления доступом
Политика лицензирования
Гибкая модель лицензирования 
позволяет подобрать оптимальное
 решение для каждой компании

Преимущества продуктов Avanpost