Identity Platform — комплексное решение для построения единого центра аутентификации, управления доступом и защиты программных интерфейсов (API).
Какие задачи решает Identity Platform?
- Идентификация, аутентификация и авторизация приложений, сервисов, пользователей;
- Поддержка стандарта Банка России ФАПИ.СЕК;
- Реализация механизма единого входа Single Sign-On (SSO);
- Поддержка протоколов OAuth 2.0 и OpenID Connect;
- Управление уровнем доступа к прикладным сервисам;
- Предоставление единой точки доступа к информационным системам;
- Защита API;
- Управление пользовательскими сессиями.
► Внесено в Единый реестр российского ПО: запись №13332 от 26.04.2022.
В состав комплекса входит:
- Access Manager — отвечает за построение единого центра аутентификации и авторизации внутренних и внешних пользователей, устройств и сервисов. Предоставляет функции централизованного управления учетными записями и доступом, обеспечивает механизм единого входа Single Sign-On (SSO) и аутентификацию через внешних провайдеров: ЕСИА, Вконтакте, Google.
- Identity Gateway — сервисное приложение для организации единой точки входа в систему. Обеспечивает защиту API, выполняет функции обратного прокси до внутренних сервисов, взаимодействует с Access Manager для авторизации запросов. Поддерживает функцию реверсивного установления соединений, при которой один IG установлен в DMZ, в второй во внутреннем сегменте сети и установление соединения инициируется из внутреннего сегмента в DMZ. Таким образом на межсетевом экране не нужно организовывать доступ от DMZ к внутренней сети, за счет чего устраняется возможные векторы атаки.
Для кого предназначено решение?
- Любые компании, во внутренней IT-инфраструктуре которых имеет место «зоопарк» из программ и есть необходимость поддерживать отдельные учетные записи с паролями. В этом случае решение для управления доступом Access Manager выступает в роли единого центра учетных записей пользователя. Все программы настраиваются на аутентификацию через Access Manager.
- Банки и финтех-компании, которым необходимо обеспечить безопасность проведения платежей и/или подключиться к среде Открытых API: Identity Platform поддерживает стандарт безопасности ФАПИ.СЕК Банка России и используется в банках как единый центр аутентификации и в роли сервера авторизации. Поддерживает прикладные стандарты безопасности: «Инициирование перевода денежных средств клиента третьей стороной в валюте Российской Федерации» и «Получение информации о счете клиента третьей стороной».
- Компании, использующие программное обеспечение, работающее по протоколам OAuth 2.0 или OpenID Connect, и которым требуется добавить бизнес-логику в процедуру регистрации/аутентификации пользователей, устройств или сервисов. Владельцы сайтов, которым требуется обеспечить аутентификацию пользователей или клиентов через внешний провайдер, например, ЕСИА, и создать локальный мультиаккаунт внешних провайдеров.
- Компании, предоставляющие API партнерам — для защиты и контроля доступа к прикладным API со стороны партнеров.
Стоимость лицензии и бесплатная версия ПО предоставляется по запросу. Пожалуйста заполните форму обратной связи внизу страницы или напишите нам на sales@ekassir.com.
Результаты внедрения
-
Централизованная система аутентификации сотрудников и клиентов
-
Защита сервисов
-
Плагины аутентификации
-
Предоставление
контролируемого доступа
к API компании -
Повышение сетевой безопасности
Identity management and access control: единое централизованное хранилище учетных данных пользователей, централизованное управление учетными записями и доступом.
- Администратор вносит изменения в Access Manager и пользователь может начать использовать приложения организации в соответствии с заданными правами, ролями и группами;
- Управление доступом пользователей и политиками паролей, возможность задавать сложность и частоту смены паролей. Не остается приложений, вход в которые возможен по слабому паролю, например, 123456;
- Пользователю не нужно запоминать логины и пароли от каждого приложения. Технология единого входа SSO для учетных записей позволяет пользователю ввести учетные данные один раз и работать во всех приложениях без повторного ввода.
В результате:
- Повышается эффективность труда офицера информационной безопасности;
- Уменьшается число обращений в службу поддержки;
- Снижается риск информационной безопасности за счет того, что в приложениях не остаются учетные записи уволенных сотрудников, которые забыли заблокировать;
- За счет централизованного управления доступом вся информация о действиях пользователя находится в одном месте.
Защищенные сервисы требуют предъявления access token и id_token в запросе от пользователя, поэтому защите токенов доступа необходимо уделить особое внимание.
Identity Platform обеспечивает централизованное хранение access_token и id_token, не позволяя им покидать пределы IT-инфраструктуры вашей организации. IG позволяет защищать API и выступает в роли OpenID Connect-клиента.
В результате:
- сервисы защищены с помощью access token и id_token;
- cнижается риск компрометации access token и id_token, так как они не передаются пользователям сервисов;
- разграничение уровня доступа в зависимости от содержимого access_token и id_token;
- упрощение разработки, повышение безопасности за счет централизованного хранения access_token и id_token.
Плагины аутентификации позволяют расширить базовую функциональность Access Manager и реализовать любой сценарий аутентификации/регистрации, который требует ваш бизнес. Плагины разрабатывают под индивидуальные требования клиента (регистрация, восстановление пароля, принятие политики обработки персональных данных, многофакторная аутентификация, вызов стороннего сервиса и т.д).
В результате:
- Расширяется набор базовых функций Access Manager;
- Плагины аутентификации обеспечивают ваши бизнес-требования в области аутентификации.
API access control management: с помощью Access Manager вы контролируете доступ к внутренним API компании со стороны внешних партнеров:
- подключаете новые или блокируете существующие записи;
- определяете уровень доступа для каждого партнера в отдельности: например, привилегированный партнер получает права на чтение и внесение изменений, тогда как прочие клиенты — только на чтение.
Модуль IG выполняет функцию реверсивного установления соединения.
В результате:
- Устраняется потенциальный вектор атаки, так как не нужно открывать на сетевом экране доступ из DMZ во внутреннюю сеть.
Решение для сокращения трудозатрат при подключении к среде открытых банковских API
Особенности решения
Современный стек технологий
Ядро системы написано на .NET Core, UI администратора и кабинет самообслуживания пользователя выполнен на ReactJS
Кроссплатформенность
За счет применения .NET Core Access Manager работает на операционных системах Windows и Linux
Масштабируемость
AM поддерживает горизонтальное масштабирование за счет поддержки кластеризации
Виртуализация и работа в Docker
AM работает на физических машинах, виртуальных и в контейнере Docker
Расширяемость
Access Manager обеспечивает модульный подход и предоставляет API для разработки модулей расширения
Поддержка стандартов
AM поддерживает отраслевые стандарты в области обеспечения безопасности:
- OAuth 2.0
- Open ID Connect
Режим работы без UI
AM поддерживает режим работы с отключенным административным UI (вся конфигурация выполняется через статические файлы, а административные операции — через административный API)
Безопасность
Поддерживает соединения только по безопасному протоколу HTTPS. Обязательная установка достоверного X.509 сертификата для аутентификации сервера AM
Кастомизация UI
Возможность кастомизации компонентов Access Manager:
- Страница входа
- Авторизация согласия
- Кабинет самообслуживания
- Административный интерфейс
- Страница ошибки/выхода
Дополнительные материалы
- Вебинар «Архитектура сервисов: снижение трудозатрат и повышение безопасности» (03.06.2022)
- Инструкция по установке экземпляра ПО
- Инструкция по эксплуатации после установки программы
- Описание функциональных характеристик предоставленного ПО
- Процессы для поддержания жизненного цикла ПО
- Типовой регламент технической поддержки ПО
- Схема решения «Identity Platform»
- Презентация
Проекты с использованием решения
Хотите узнать больше?
Закажите обратный звонок
Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами и проконсультирует по всем возникшим вопросам