Обзор Indeed Enterprise Single Sign-On

Обзор Indeed Enterprise Single Sign-On



В обзоре рассматривается система Indeed Enterprise Single Sign-On, разработанная российской компанией Indeed ID. Предназначенная для решения задач, связанных с аутентификацией и управлением доступом к информационным ресурсами компании, система реализует технологии строгой аутентификации и единого входа.

Сертификат AM Test Lab

Номер сертификата: 147

Дата выдачи: 25.05.2015

Срок действия: 25.05.2020

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Возможности Indeed Enterprise Single Sign-On

3. Состав Indeed Enterprise Single Sign-On

4. Принцип работы Indeed Enterprise Single Sign-On

5. Поддерживаемые технологии аутентификации

6. Поддерживаемые приложения

7. Системные требования

8. Установка Indeed Enterprise Single Sign-On

9. Работа с системой

10. Лицензирование системы

11. Выводы

 

Введение

Деятельность современной компании уже невозможно представить без использования большого количества бизнес-приложений и сервисов, доступ к каждому из которых требует от пользователей подтверждения личности.

При традиционном подходе к организации информационной безопасности это означает необходимость запоминания, ввода и периодической смены многочисленных паролей, которые, согласно требованиям безопасности, к тому же должны быть достаточно «стойкими». Учитывая количество приложений, с которыми работают сотрудники, эта задача становится трудновыполнимой (а в реальности, пожалуй, невозможной). Поэтому пользователи стараются использовать несложные парольные комбинации, дополнительно записывая их на бумажках и часто небрежно относясь затем к их хранению.

Однако несмотря на это сотрудники все равно забывают свои пароли и специалистам ИТ- и ИБ-служб приходится тратить время на восстановление заблокированных учетных записей.

Еще одной головной болью, связанной с учетными данными, для администраторов является управление доступом к данным и ресурсам компании. Кадровые изменения требуют от них постоянного изменения информации о правах доступа, которая, как показывает практика, часто неструктурирована, а потому управлять ей сложно. При таком подходе велика вероятность возникновения ошибок в правах доступа, что создает серьезные «дыры» в безопасности, увеличивая риск несанкционированного доступа, и не позволяет оперативно управлять доступом к данным (например, если необходимо блокировать доступ).

Эффективным решением этих проблем является использование технологии единого входа (Single Sign-On, SSO), которая обеспечивает возможность использования одного идентификатора для доступа ко всем разрешенным ресурсам и системам.

SSO-решения автоматически обрабатывают запросы аутентификации по требованию приложений и систем. Таким образом, чтобы получить доступ к приложению, пользователю не нужно знать свои логин и пароль. Достаточно предоставить аутентификационные данные, выполнив действие, соответствующее применяемой технологии аутентификации (вставить смарт-карту, приложить палец к считывателю и т. п.).

В результате пользователи освобождаются не только от необходимости запоминания множества логинов и паролей, но и от необходимости их ручного ввода при аутентификации, что существенно упрощает доступ к приложениям и снижает нагрузку на ИТ- и ИБ-службы.

В концепции SSO также реализуется компонент управления правилами и политиками доступа ко множеству приложений и систем, что делает процесс управления учетными данными пользователей прозрачным. В результате у администратора появляется возможность оперативно получать информацию о доступе пользователей к различным ресурсам и мгновенно ограничивать доступ сразу ко всем системам в случае такой необходимости.

К числу продуктов, реализующих технологию SSO, на российском рынке относится решение Indeed Enterprise Single Sign-On (Indeed Enterprise SSO), разработанное компанией Indeed ID и позволяющее организовать доступ ко всем корпоративным ИТ-системам без многократного ввода логинов и паролей.

 

Возможности Indeed Enterprise Single Sign-On

Indeed Enterprise Single Sign-On значительно упрощает процедуру аутентификации в приложениях и процесс управления учетными данными пользователей, предоставляя следующие возможности:

  • хранение паролей пользователей и их автоматическая смена согласно принятым в компании политикам безопасности;
  • строгая аутентификация при доступе к приложениям (в том числе при работе с приложением в терминальной среде);
  • сквозная аутентификация в приложениях;
  • поддержка любых типов приложений;
  • поддержка широкого спектра технологий аутентификации и возможность использования их любых комбинаций;
  • управление доступом как для отдельных сотрудников, так и для структурных единиц компании (отделов, подразделений и проч.);
  • журналирование событий системы Indeed Enterprise Single Sign-On и аудит действий администраторов и пользователей;
  • интеграция с системами управления ключевыми носителями (Card Management System, CMS);
  • интеграция с системами управления жизненным циклом и правами учетных записей пользователей (Identity Management, IdM);
  • интеграция с системами контроля и управления физическим доступом (СКУД).

Управление пользователями и параметрами системы Indeed Enterprise Single Sign-On выполняется централизованно с помощью консоли управления Indeed Enterprise Management Console, которая предоставляет администратору полный набор инструментов для работы с системой.

 

Состав Indeed Enterprise Single Sign-On

Indeed Enterprise Single Sign-On состоит из серверной и клиентской частей, в состав каждой из которых входят отдельные модули. Общая компонентная схема системы приведена на рисунке 1.

 

Рисунок 1. Общая компонентная схема IndeedEnterpriseSingleSign-On

Общая компонентная схема Indeed Enterprise Single Sign-On

 

Централизованное хранение и защиту данных пользователей, а также процедуру аутентификации пользователей выполняет серверный компонент Indeed Enterprise Server, или сервер Indeed. Сервер принимает и обрабатывает запросы со стороны клиентской части системы и со стороны инструментов администраторов, гарантируя пользователю доступность данных с любого доменного ПК и предоставляя администратору возможность создавать, модифицировать или блокировать профили и параметры доступа сотрудников (или групп сотрудников), вносить глобальные изменения в систему.

Все данные и настройки решения хранятся в каталоге Microsoft Active Directory (AD), что обеспечивает резервирование и доступность данных для всех узлов системы. Для хранения используется структура, локализованная в одном контейнере, поэтому нет необходимости модифицировать схему AD (что в ряде случае бывает нежелательно).

Для обеспечения конфиденциальности и контроля целостности информации получаемые и отправляемые сервером данные всегда передаются в защищенных «капсулах», распаковка и запаковка которых происходит внутри процесса Indeed Enterprise Server. Для защиты данных в системе используются алгоритмы криптографического преобразования, входящие в состав криптопровайдера (Cryptography Service Provider, CSP), установленного на сервере. По умолчанию система использует алгоритмы CSP, встроенного в ОС Microsoft Windows Server. Но в случае необходимости можно настроить использование альтернативных CSP (например, «КриптоПро»).

На рабочие места сотрудников устанавливается клиентский компонент Indeed Enterprise SSO Агент (ESSO Агент), осуществляющий перехват и автоматическое заполнение регистрационный форм приложений необходимыми данными.

Коммуникация ESSO Агента с сервером Indeed Enterprise Server осуществляется по стандартному протоколу Encrypted RPC (Remote Procedure Call) , обеспечивающему защиту и контроль целостности передаваемого по сети трафика за счет встроенных в него алгоритмов. Encrypted RPC входит в состав систем Windows и, как правило, не требует дополнительных действий по настройке брандмауэров на ПК сотрудников.

Для управления настройками системы, параметрами и правилами доступа пользователей в состав решения входит консоль управления Indeed Enterprise Management Console.

Все события системы, связанные с предоставлением доступа, действиями пользователей и изменением параметров системы, фиксируются в журнале Indeed Enterprise Single Sign-On. Посмотреть журнал можно с помощью стандартной оснастки Windows Event Log, а также в интерфейсе консоли управления Indeed Enterprise Management Console, который позволяет осуществлять поиск событий системы с учетом различных фильтров.

При необходимости интеграции с другими классами систем (CMS, IdM) рассматриваемое решение может комплектоваться дополнительными компонентами, расширяющими возможности и функциональность решения.

 

Принцип работы Indeed Enterprise Single Sign-On

Принципиально работа системы основана на взаимодействии Indeed Enterprise SSO Агента и сервера Indeed. При этом система реализует различные сценарии работы. Рассмотрим основные из них.

Аутентификация в приложениях

ESSO Агент запрашивает с сервера Indeed Enterprise Server перечень систем, требующих аутентификации пользователя, и соответствующих учетных данных. Эти данные составляют персональный профиль доступа сотрудника. Как только сотрудник запускает приложение из своего профиля доступа, ESSO Агент перехватывает регистрационное окно этого приложения, скрывает его от пользователя, автоматически заполняет необходимыми данными, полученными с сервера (подставляет имя учетной записи и пароль) и контролирует процедуру получения доступа в среду приложения. По результату выполнения операции в журнале событий системы фиксируется факт выполнения успешной или неуспешной попытки доступа.

Для определения и перехвата регистрационных форм приложения используется так называемый шаблон приложения, который представляет собой файл определенной xml-структуры, содержащий данные для определения и обработки окна (или окон) приложения.

ESSO Агент сопоставляет данные, указанные в шаблоне, с данными приложения и таким образом «распознает» нужное приложение среди прочих, с которыми работает пользователь (рисунок 2).

Данные для обработки окон приложения описывают реакцию ESSO Агента на это приложение  — она может включать в себя повторный запрос аутентификации пользователя, заполнение полей регистрационными данными (скажем, логин и пароль), нажатие необходимых элементов управления (например, нажатие кнопки «Вход») и т. п.

 

Рисунок 2. Обработка окна приложения 

Обработка окна приложения

Автоматическая смена пароля

С целью обеспечения безопасного доступа во многих ИТ-системах требуется смена пароля при выполнении первого входа. Обрабатывая данную ситуацию, Indeed Enterprise SSO Агент в автоматическом режиме (прозрачно для пользователя) блокирует на этот момент доступ пользователя к окну смены пароля, генерирует новое значение, заполняет поля формы, предназначенные для ввода нового пароля и его подтверждения, и нажимает кнопку ОК. Когда ESSO Агент получает уведомление об удачной смене пароля, новое значение синхронизируется на сервере Indeed. С этого момента пароль неизвестен ни администратору, ни самому пользователю, а потому вход в приложение становится возможен только через ESSO Агент.

Аналогичным образом система выполняет смену устаревшего пароля, когда истек срок его действия.

Удобно, что все описанные возможности (несмотря на их очевидные плюсы), являются опциональными и при необходимости могут быть выключены, за счет чего систему можно легко настроить под конкретные задачи и условия работы компании.

Работа в терминальной среде

Рассматриваемое решение адаптировано к работе в терминальной среде и позволяет избавить сотрудников от явного использования своих паролей в моменты, когда работа с приложением происходит внутри терминальной сессии. Для этого на терминальном сервере нужно установить Indeed Enterprise SSO Агент.

При этом, если технология предполагает использование внешнего оборудования, подключенного к ПК сотрудника (например, сканера отпечатка пальца), между Indeed Enterprise SSO Агентом терминального сервера и оборудованием возникает коммуникация, которая осуществляется по протоколам Microsoft RDP или Citrix ICA. Это означает, что на стороне ПК сотрудника не требуется установка дополнительного программного обеспечения за исключением драйвера и набора runtime-библиотек, необходимых для работы оборудования.

Кроме того, в составе решения есть ряд технологий надежной аутентификации пользователей, специально адаптированных под использование в терминальной среде. Некоторые из них не предполагают наличия дополнительного оборудования. Таким образом, сотрудники не ограничены в перемещении и могут работать даже с «неподготовленного» компьютера. При этом вместо традиционного ПК можно использовать тонкий клиент Windows CE, Linux, Wyse и т. п.

Работа в offline-режиме

Работа системы возможна не только в online-режиме, когда пользователь работает из офиса и Indeed Enterprise Server доступен, но и в offline-режиме, когда связь с сервером Indeed отсутствует (например, при работе сотрудника в командировке). При активации offline-режима для конкретного сотрудника, Indeed Enterprise SSO Агент запрашивает с сервера и сохраняет копию профиля пользователя на локальном ПК, обеспечивая защиту уязвимых данных с использованием технологии Microsoft Protected Storage.

 

Поддерживаемые технологии аутентификации

Indeed Enterprise Single Sign-On поддерживает работу с достаточно широким спектром технологий аутентификации, благодаря чему систему аутентификации можно гибко адаптировать под ИТ-среду компании и решаемые задачи.

Система поддерживает следующие технологии:

  • смарт-карты и USB-ключи различных производителей;
  • биометрия: отпечаток пальца, рисунок вен ладоней;
  • RFID-карты: Mifare, EM Marin, HID Prox, HID iClass;
  • одноразовые пароли: SMS, OTP-брелок, приложение на смартфоне.

При этом все поддерживаемые технологии могут функционировать совместно в единой среде. Благодаря этому можно, во-первых, подобрать для каждой категории пользователей собственную оптимальную технологию аутентификации. Во-вторых, успешно решить проблемы доступа в ситуациях, когда сотрудникам может быть разрешено использование нескольких технологий аутентификации. Администратор может разрешить применение резервной технологии (на случай отказа основного способа аутентификации) или технологии, адаптированной для работы в удаленном режиме, включить временный способ аутентификации с ограниченным сроком действия.

 

Поддерживаемые приложения

Indeed Enterprise SSO подходит для организации доступа как в «коробочные» приложения, так и в приложения, разработанные на заказ. При этом работать можно с любым типом приложений: Windows, Java, .Net, Web-приложения с использованием браузеров Internet Explorer, Mozilla Firefox.

Решение поддерживает наиболее популярные системы: 1C Предприятие, Банк-Клиенты, IBM Lotus Notes, IBM Tivoli, Novell Клиент, Дело CSBI Банкир, Microsoft Outlook и др.

Однако можно легко добавить поддержку любого другого приложения. Для этого необходимо создать шаблон приложения, который представляет собой файл определенной xml-структуры. Этот файл описывает окна приложения, на которые необходимо определить реакцию.

Для упрощения процедуры создания шаблонов в состав решения входит специальный инструмент Indeed Enterprise SSO Шаблонизатор, выполненный в виде визуального редактора. Инструмент достаточно прост в использовании. Создание шаблона для типовой формы авторизации с его помощью занимает несколько минут.

 

Системные требования

Поскольку в состав системы Indeed Enterprise Single Sign-On входит комплекс программных и аппаратных средств, технические требования системы определяются набором требований для отдельных компонентов решения и требованиями для ИТ-инфраструктуры компании.

Требования для ИТ-инфраструктуры компании

  • домен Microsoft Active Directory 2003/2008/2012 (Native режим);
  • уровень функциональности леса и домена не ниже Windows Server 2003.

Требования для установки компонента Indeed Enterprise Server

Аппаратные требованияТребования к окружениюПоддерживаемые ОС
Минимальные:
  • Intel Pentium D 2.5 ГГц
  • 1ГБ RAM
  • 100 МБ свободного пространства на системном диске
 Рекомендуемые:
  • Intel Core 2 Duo 2.5 ГГц
  • 2 ГБ RAM
  • 50 ГБ свободного пространства на системном диске
  •  Контроллер домена (уровень функциональности леса и домена не ниже Windows Server 2003)
  • Cлужба Глобального каталога на каждом Контроллере домена.
  • DNS-сервер (необходимо добавление Reverse lookup zones).
  •  Windows Server 2003 Standard/Enterprise SP2 32/64bit
  • Windows Server 2003 R2 Standard/Enterprise SP2 32/64bit
  • Windows Server 2008 Standard/Enterprise SP2 32/64bit
  • Windows Server 2008 R2 Standard/Enterprise SP0/SP1
  • Windows Server 2012 Standard/Datacenter 32/64bit
  • Windows Server 2012 R2 Standard/Datacenter

Разработчик поясняет заметную разницу в минимальных и рекомендуемых требованиях к размеру свободного пространства на системном диске возможностью включения сбора отладочных логов, которые применяются в случае возникновения проблемной ситуации для диагностики.

Требования для установки компонента Indeed ESSO Агент

Аппаратные требованияТребования к окружениюПоддерживаемые ОС
Минимальные:
  • Intel Celeron 500 МГц
  • 256 Мб RAM
  • 30 Мб свободного места на жестком диске
  • Internet Explorer 8 и выше или Mozilla Firefox 4 и выше (для работы с web-приложениями)
  • USB 2.0 порт для подключения устройства аутентификации
Рекомендуемые:
  • Intel Pentium 4 1.5 ГГц
  • 1 Гб RAM
  • 30 Мб свободного места на жестком диске
  • Internet Explorer 8 и выше или Mozilla Firefox 4 и выше (для работы с web-приложениями)
  • USB 2.0 порт для подключения устройства аутентификации
  • DNS-сервер (необходимо добавление Reverse lookup zones). Параметры DNS-сервера необходимо указать в настройках сетевого подключения на каждой рабочей станции.
  • Windows XP SP2 64 bit, SP3 32bit
  • Windows Vista SP2 32/64bit
  • Windows 7 SP1 32/64bit
  • Windows 8.1 32/64bit
  • Windows Server 2003/2003 R2 Standard/Enterprise SP2 32/64bit
  • Windows Server 2008 Standard/Enterprise SP2 32/64bit
  • Windows Server 2008 R2 Standard/Enterprise SP0/SP1
  • Windows Server 2012 Standard/Datacenter 32/64bit
  • Windows Server 2012 R2 Standard/Datacenter

 

Установка Indeed Enterprise Single Sign-On

Установка системы Indeed Enterprise Single Sign-On состоит из нескольких этапов.

Подготовительный этап

Перед началом установки компонентов решения в Active Directory необходимо создать хранилище данных системы Indeed. Для этого в состав дистрибутива входит специальная утилита, которая автоматически создает локализованный контейнер с определенной структурой вложенных элементов и необходимые группы безопасности.

Установка серверной части

После создания хранилища данных выполняется непосредственно установка серверного компонента Indeed Enterprise Server.

Для повышения доступности и отказоустойчивости системы в качестве сервера Indeed рекомендуется использовать выделенный сервер в составе целевой ИТ-инфраструктуры. С этой же целью предлагается рассмотреть возможность развертывания нескольких серверов Indeed, определив их необходимое количество в соответствии с индивидуальными требованиями компании к масштабируемости и отказоустойчивости.

Процесс установки Indeed Enterprise Server довольно прост и выполняется согласно инструкциям инсталлятора.

После установки сервера необходимо выполнить его настройку, которая включает активацию сервера, генерацию ключа шифрования, регистрацию и применение серверной лицензии и, наконец, запуск сервера.

Завершающим шагом является установка компонента/компонентов для взаимодействия с выбранными устройствами аутентификации (в терминологии данного решения такие компоненты называются провайдерами).

Процедура установки и настройки дополнительных серверов Indeed аналогична установке основного сервера с незначительными отличиями в их настройке.

Установка клиентской части

Установка клиентской части выполняется на рабочих местах пользователей и включает в себя установку компонента Indeed ESSO Агент и необходимых провайдеров, соответствующих выбранной технологии аутентификации.

Для успешной установки этих компонентов достаточно следовать указаниям инсталлятора.

Поскольку инсталляторы компонентов клиентской части реализованы в виде стандартных пакетов MSI (Microsoft Windows Installer), их установку на любое количество рабочих станций можно выполнить с помощью групповых политик Microsoft Active Directory или других средств управления ИТ-инфраструктурой (например, Microsoft System Center Configuration Manager).

 

Работа с системой

Процесс эксплуатации системы включает взаимодействие с ней как рядовых сотрудников, так и ИТ-специалистов (администраторов, сотрудников ИБ-отдела и проч.).

Управление системой Indeed ID

Управление SSO-параметрами приложений и пользователей осуществляется администратором с помощью консоли управления Indeed Enterprise Management Console. Выполненные изменения отслеживаются ESSO Агентом на рабочих станциях пользователей.

Управление SSO-параметрами приложений

Настройки SSO-параметров приложений в консоли управления выполняется в разделе «Конфигурация» (рисунок 3).

 

Рисунок 3. Настройки SSO-параметровприложенийв Indeed Enterprise Management Console

Настройки SSO-параметров приложений в Indeed Enterprise Management Console

 

Кроме параметров запуска и аутентификации, для каждого приложения можно определить правила генерации паролей в соответствии с принятыми в компании требованиями к безопасности. Задать можно не только длину и группы входящих в пароль символов, но также максимально допустимое количество вхождений для каждого символа, необходимое число символов из каждой группы и ряд других параметров.

Управление SSO-ролями

В системе реализован удобный механизм настройки доступа к данным и ресурсам для сотрудников отделов и подразделений компании. Для этого достаточно объединить пользователей в так называемые SSO-роли, работа с которыми осуществляется в том же разделе «Конфигурация» (рисунок 4).

 

Рисунок 4. Настройки SSO-ролейв Indeed Enterprise Management Console

Настройки SSO-ролей в Indeed Enterprise Management Console

 

Доступ к приложениям для членов роли администратор может организовать различными способами в зависимости от потребностей и условий работы конкретной структурной единицы компании. Например, сотрудники могут получать доступ по одной общей учетной записи или по индивидуальным учетным записям.  

При этом для доступа в одно целевое приложение можно настроить несколько учетных записей SSO. Например, сотрудник может общаться с клиентами от имени службы компании, используя для этого общую учетную запись, либо от собственного имени.

Механизм ролей SSO позволяет также ограничивать доступ к приложениям, запрещая членам роли их запуск.

Управление SSO-параметрами пользователей

Работа с SSO-параметрами пользователей для администратора аналогична работе с ролевыми учетными записями SSO с той лишь разницей, что выполняется она в так называемой карточке пользователя, которая представляет собой страницу, отображающую информацию о сотруднике, его аутентификаторах и учетных записях SSO (рисунок 5).

 

Рисунок 5. Карточкапользователяв Indeed Enterprise Management Console

Карточка пользователя в Indeed Enterprise Management Console

Аудит событий системы

Информация обо всех событиях и операциях Indeed Enterprise SSO доступна на вкладке «Аудит» консоли управления (рисунок 6).

 

Рисунок 6. Аудитсобытийсистемыв Indeed Enterprise Management Console 

Аудит событий системы в Indeed Enterprise Management Console

Работа сотрудников с системой

Доступ в приложения

Работа системы Indeed Enterprise SSO заключается в отслеживании запуска приложений и автоматическом заполнении требуемых полей и форм данными, необходимыми для получения доступа в приложение (имя пользователя, пароль и т. п.).

При этом пользователю не нужно помнить учетные данные от каждого приложения и вводить их в запросах аутентификации. Заполнение полей данными осуществляется автоматически после успешного подтверждения личности пользователя (и только в этом случае) с применением любой из поддерживаемых технологий аутентификации.

Если для доступа в приложение сотруднику назначено несколько учетных записей, система отображает список доступных «учеток» (рисунок 7).

 

Рисунок 7. Выборучетныхзаписейв Indeed Enterprise Single Sign-On

Выбор учетных записей в Indeed Enterprise Single Sign-On 

Управление аутентификаторами

Пользователи могут самостоятельно управлять своими аутентификаторами. В зависимости от набора доступных действий (определяемых администратором) сотрудники могут редактировать, проверять и удалять уже имеющиеся аутентификаторы, а также регистрировать новые.

 

Лицензирование системы

Лицензирование Indeed Enterprise Single Sign-On осуществляется по схеме использования бессрочных лицензий клиентского доступа (CAL, Client Access License).

Одна клиентская лицензия дает право на использование Indeed Enterprise Single Sign-On для одного конкретного пользователя. Удобно, что в случае необходимости клиентские лицензии можно перераспределить между сотрудниками, отозвав лицензию у одного сотрудника и выделив ее другому.

Используемая схема лицензирования учитывает количество созданных учетных записей пользователей Indeed Enterprise Single Sign-On, в то время как количество инсталляций клиентского ПО (рабочих станций) для одного пользователя не учитываются.

Не ограничивается и срок действия лицензий. То есть лицензии являются бессрочными и компании не требуется ежегодно оплачивать использование системы. Более того, в течение года предоставляется бесплатная поддержка системы (информация с сайта разработчика: http://indeed-id.ru/access_control.html ). Для продления поддержки по прошествии этого периода необходимо заключить соответствующий договор.

 

Выводы

В этом обзоре мы рассмотрели систему Indeed Enterprise Single Sign-On. Реализуя технологию единого доступа, эта система позволяет решать следующие задачи:

  • строгая аутентификация при доступе в приложения;
  • сквозная аутентификация в приложениях;
  • строгая и сквозная аутентификация в приложениях в терминальном режиме работы (Remote Desktop, VDI, Citrix);
  • журналирование и аудит действий администраторов и пользователей.

Важным преимуществом рассмотренной системы является поддержка широкого спектра технологий аутентификации. Дополнительно к классической технологии аутентификации с использованием универсального пароля (мастер-пароля), реализованной в большинстве SSO-систем, Indeed Enterprise SSO поддерживает свыше двадцати альтернативных технологий аутентификации.

Если однократная аутентификация выполняется с использованием традиционного мастер-пароля, то злоумышленник, узнав данный пароль, автоматически получает доступ ко всем приложениям, входящим в SSO-профиль пользователя. Поэтому возможность однократной аутентификации с использованием надежных технологий проверки личности существенно повышает уровень информационной безопасности. Поддержка большого числа технологий аутентификации, в свою очередь, позволяет внедрить систему в существующую ИТ-инфраструктуру компании с наименьшими затратами.

Кроме того, в состав решения входит ряд технологий надежной аутентификации, специально адаптированных для использования в терминальнойерминальноиования в терминальия в терминальованных для испо

Cистема поддерживает работу с приложениями любого типа, позволяя организовать доступ не только в «коробочные» приложения, но и в приложения, разработанные на заказ. При этом поддержка новых приложений выполняется оперативно, не требуя существенных трудозатрат и программного вмешательства в клиентскую или серверную части данного приложения.

Доступ к приложениям система позволяет получать не только в online-, но и в offline-режиме, что позволяет сотрудникам использовать технологию SSO, работая в командировке или дома.

Система поддерживает различные сценарии наполнения профилей пользователей учетными данными для доступа к приложениям. Этот процесс может выполняться не только централизованно администратором, но также самостоятельно сотрудниками или автоматически системой. Для этого система предоставляет удобный, интуитивно понятный интерфейс для администратора и простой механизм взаимодействия с системой для пользователей.

Indeed Enterprise SSO легко интегрируется с другими системами ИТ-инфраструктуры, за счет чего можно решить широкий спектр задач в масштабах предприятия. Интеграция возможна как с «родными» системами этого же разработчика (например, с системой управления жизненным циклом смарт-карт и токенов Indeed Card Management System, о которой мы недавно писали), так и с системами других производителей.

Несомненно, удобна используемая схема бессрочного лицензирования, которая не требует ежегодной оплаты использования системы, а также бесплатная поддержка в течение года после покупки лицензий.

К недостаткам системы можно отнести отсутствие возможности массового управления свойствами большого количества пользователей через интерфейс консоли управления. В случае необходимости установки одинаковых настроек для большого количества пользователей администратору необходимо использовать отдельные инструменты, входящие в состав решения, что не очень удобно.

Незначительные неудобства возникают при выполнении первоначальной настройки серверной части, выполняемой в командной строке. Несмотря на то, что настройка выполняется только один раз во время развертывания системы, было бы удобно иметь для этого какое-то средство, избавляющее от необходимости ручного ввода команд.

Подводя итог, обобщим выявленные преимущества и недостатки рассмотренной системы.

Преимущества:

  • поддержка широкого спектра технологий строгой аутентификации;
  • поддержка приложений любого типа;
  • простота и удобство использования для сотрудников без необходимости дополнительного обучения;
  • наличие встроенных средств для аудита событий системы;
  • поддержка интеграции с продуктами сторонних разработчиков;
  • удобная схема лицензирования, бесплатная поддержка в первый год после покупки.

Недостатки:

  • отсутствие возможности массового управления свойствами большого количества пользователей через графический интерфейс;
  • первоначальная настройка серверной части через командную строку.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Выбор редакции: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.