Identity Platform

Решение для построения единого центра аутентификации, управления доступом и защиты программных интерфейсов (API)

Identity Platform — комплексное решение для построения единого центра аутентификации, управления доступом и защиты программных интерфейсов (API).

Какие задачи решает Identity Platform?

  • Идентификация, аутентификация и авторизация приложений, сервисов, пользователей;
  • Поддержка стандарта Банка России ФАПИ.СЕК;
  • Реализация механизма единого входа Single Sign-On (SSO);
  • Поддержка протоколов OAuth 2.0 и OpenID Connect;
  • Управление уровнем доступа к прикладным сервисам;
  • Предоставление единой точки доступа к информационным системам;
  • Защита API;
  • Управление пользовательскими сессиями.
Схема решения

В состав комплекса входит:

  • Access Manager — отвечает за построение единого центра аутентификации и авторизации внутренних и внешних пользователей, устройств и сервисов. Предоставляет функции централизованного управления учетными записями и доступом, обеспечивает механизм единого входа Single Sign-On (SSO) и аутентификацию через внешних провайдеров: ЕСИА, Вконтакте, Google.
  • Identity Gateway — сервисное приложение для организации единой точки входа в систему. Обеспечивает защиту API, выполняет функции обратного прокси до внутренних сервисов, взаимодействует с Access Manager для авторизации запросов. Поддерживает функцию реверсивного установления соединений, при которой один IG установлен в DMZ, в второй во внутреннем сегменте сети и установление соединения инициируется из внутреннего сегмента в DMZ. Таким образом на межсетевом экране не нужно организовывать доступ от DMZ к внутренней сети, за счет чего устраняется возможные векторы атаки.

Для кого предназначено решение?

  • Любые компании, во внутренней IT-инфраструктуре которых имеет место «зоопарк» из программ и есть необходимость поддерживать отдельные учетные записи с паролями. В этом случае решение для управления доступом Access Manager выступает в роли единого центра учетных записей пользователя. Все программы настраиваются на аутентификацию через Access Manager.
  • Банки и финтех-компании, которым необходимо обеспечить безопасность проведения платежей и/или подключиться к среде Открытых API: Identity Platform поддерживает стандарт безопасности ФАПИ.СЕК Банка России и используется в банках как единый центр аутентификации и в роли сервера авторизации. Поддерживает прикладные стандарты безопасности: «Инициирование перевода денежных средств клиента третьей стороной в валюте Российской Федерации» и «Получение информации о счете клиента третьей стороной».
  • Компании, использующие программное обеспечение, работающее по протоколам OAuth 2.0 или OpenID Connect, и которым требуется добавить бизнес-логику в процедуру регистрации/аутентификации пользователей, устройств или сервисов. Владельцы сайтов, которым требуется обеспечить аутентификацию пользователей или клиентов через внешний провайдер, например, ЕСИА, и создать локальный мультиаккаунт внешних провайдеров.
  • Компании, предоставляющие API партнерам — для защиты и контроля доступа к прикладным API со стороны партнеров.

Стоимость лицензии и бесплатная версия ПО предоставляется по запросу. Пожалуйста заполните форму обратной связи внизу страницы или напишите нам на sales@ekassir.com.

Результаты внедрения

 
  • Централизованная система аутентификации сотрудников и клиентов
  • Защита сервисов
  • Плагины аутентификации


  • Предоставление
    контролируемого доступа
    к API компании


  • Повышение сетевой безопасности

Identity management and access control: единое централизованное хранилище учетных данных пользователей, централизованное управление учетными записями и доступом.

  • Администратор вносит изменения в Access Manager и пользователь может начать использовать приложения организации в соответствии с заданными правами, ролями и группами;
  • Управление доступом пользователей и политиками паролей, возможность задавать сложность и частоту смены паролей. Не остается приложений, вход в которые возможен по слабому паролю, например, 123456;
  • Пользователю не нужно запоминать логины и пароли от каждого приложения. Технология единого входа SSO для учетных записей позволяет пользователю ввести учетные данные один раз и работать во всех приложениях без повторного ввода.

В результате:

  • Повышается эффективность труда офицера информационной безопасности;
  • Уменьшается число обращений в службу поддержки;
  • Снижается риск информационной безопасности за счет того, что в приложениях не остаются учетные записи уволенных сотрудников, которые забыли заблокировать;
  • За счет централизованного управления доступом вся информация о действиях пользователя находится в одном месте.

Защищенные сервисы требуют предъявления access token и id_token в запросе от пользователя, поэтому защите токенов доступа необходимо уделить особое внимание.

Identity Platform обеспечивает централизованное хранение access_token и id_token, не позволяя им покидать пределы IT-инфраструктуры вашей организации. IG позволяет защищать API и выступает в роли OpenID Connect-клиента.

В результате:

  • сервисы защищены с помощью access token и id_token;
  • cнижается риск компрометации access token и id_token, так как они не передаются пользователям сервисов;
  • разграничение уровня доступа в зависимости от содержимого access_token и id_token;
  • упрощение разработки, повышение безопасности за счет централизованного хранения access_token и id_token.

Плагины аутентификации позволяют расширить базовую функциональность Access Manager и реализовать любой сценарий аутентификации/регистрации, который требует ваш бизнес. Плагины разрабатывают под индивидуальные требования клиента (регистрация, восстановление пароля, принятие политики обработки персональных данных, многофакторная аутентификация, вызов стороннего сервиса и т.д).

В результате:

  • Расширяется набор базовых функций Access Manager;
  • Плагины аутентификации обеспечивают ваши бизнес-требования в области аутентификации.

API access control management: с помощью Access Manager вы контролируете доступ к внутренним API компании со стороны внешних партнеров:

  • подключаете новые или блокируете существующие записи;
  • определяете уровень доступа для каждого партнера в отдельности: например, привилегированный партнер получает права на чтение и внесение изменений, тогда как прочие клиенты — только на чтение.

Модуль IG выполняет функцию реверсивного установления соединения.

В результате:

  • Устраняется потенциальный вектор атаки, так как не нужно открывать на сетевом экране доступ из DMZ во внутреннюю сеть.

Решение для сокращения трудозатрат при подключении к среде открытых банковских API

Особенности решения

 

Современный стек технологий

Ядро системы написано на .NET Core, UI администратора и кабинет самообслуживания пользователя выполнен на ReactJS

Кроссплатформенность

За счет применения .NET Core Access Manager работает на операционных системах Windows и Linux

Масштабируемость

AM поддерживает горизонтальное масштабирование за счет поддержки кластеризации

Виртуализация и работа в Docker

AM работает на физических машинах, виртуальных и в контейнере Docker

Расширяемость

Access Manager обеспечивает модульный подход и предоставляет API для разработки модулей расширения

Поддержка стандартов

AM поддерживает отраслевые стандарты в области обеспечения безопасности:

  • OAuth 2.0
  • Open ID Connect

Режим работы без UI

AM поддерживает режим работы с отключенным административным UI (вся конфигурация выполняется через статические файлы, а административные операции — через административный API)

Безопасность

Поддерживает соединения только по безопасному протоколу HTTPS. Обязательная установка достоверного X.509 сертификата для аутентификации сервера AM

Кастомизация UI

Возможность кастомизации компонентов Access Manager:

  • Страница входа
  • Авторизация согласия
  • Кабинет самообслуживания
  • Административный интерфейс
  • Страница ошибки/выхода

Бесплатная версия

 

Бесплатная версия Identity platform не ограничена по функционалу и позволяет познакомиться со всеми возможностями решения. Пожалуйста, заполните форму обратной связи, мы свяжемся с вами и пришлем доступ.

Проекты с использованием решения

 

Хотите узнать больше?

 

Закажите обратный звонок

Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами и проконсультирует по всем возникшим вопросам