Identity Platform

Решение для построения единого центра аутентификации, управления доступом и защиты программных интерфейсов (API)

Identity Platform — комплексное решение для построения единого центра аутентификации, управления доступом и защиты программных интерфейсов (API).

Какие задачи решает Identity Platform?

  • Идентификация, аутентификация и авторизация приложений, сервисов, пользователей;
  • Поддержка стандарта Банка России ФАПИ.СЕК;
  • Реализация механизма единого входа Single Sign-On (SSO);
  • Поддержка протоколов OAuth 2.0 и OpenID Connect;
  • Управление уровнем доступа к прикладным сервисам;
  • Предоставление единой точки доступа к информационным системам;
  • Защита API;
  • Управление пользовательскими сессиями.

В состав комплекса входит:

  • Access Manager — отвечает за построение единого центра аутентификации и авторизации внутренних и внешних пользователей, устройств и сервисов. Предоставляет функции централизованного управления учетными записями и доступом, обеспечивает механизм единого входа Single Sign-On (SSO) и аутентификацию через внешних провайдеров: ЕСИА, Вконтакте, Google.
  • Identity Gateway — сервисное приложение для организации единой точки входа в систему. Обеспечивает защиту API, выполняет функции обратного прокси до внутренних сервисов, взаимодействует с Access Manager для авторизации запросов. Поддерживает функцию реверсивного установления соединений, при которой один IG установлен в DMZ, в второй во внутреннем сегменте сети и установление соединения инициируется из внутреннего сегмента в DMZ. Таким образом на межсетевом экране не нужно организовывать доступ от DMZ к внутренней сети, за счет чего устраняется возможные векторы атаки.

Для кого предназначено решение?

  • Любые компании, во внутренней IT-инфраструктуре которых имеет место «зоопарк» из программ и есть необходимость поддерживать отдельные учетные записи с паролями. В этом случае решение для управления доступом Access Manager выступает в роли единого центра учетных записей пользователя. Все программы настраиваются на аутентификацию через Access Manager.
  • Банки и финтех-компании, которым необходимо обеспечить безопасность проведения платежей и/или подключиться к среде Открытых API: Identity Platform поддерживает стандарт безопасности ФАПИ.СЕК Банка России и используется в банках как единый центр аутентификации и в роли сервера авторизации. Поддерживает прикладные стандарты безопасности: «Инициирование перевода денежных средств клиента третьей стороной в валюте Российской Федерации» и «Получение информации о счете клиента третьей стороной».
  • Компании, использующие программное обеспечение, работающее по протоколам OAuth 2.0 или OpenID Connect, и которым требуется добавить бизнес-логику в процедуру регистрации/аутентификации пользователей, устройств или сервисов. Владельцы сайтов, которым требуется обеспечить аутентификацию пользователей или клиентов через внешний провайдер, например, ЕСИА, и создать локальный мультиаккаунт внешних провайдеров.
  • Компании, предоставляющие API партнерам — для защиты и контроля доступа к прикладным API со стороны партнеров.

Стоимость лицензии предоставляется по запросу. Пожалуйста заполните форму обратной связи внизу страницы или напишите нам на sales@ekassir.com.

Результаты внедрения

 
  • Централизованная система аутентификации сотрудников и клиентов
  • Защита сервисов
  • Плагины аутентификации


  • Предоставление
    контролируемого доступа
    к API компании


  • Повышение сетевой безопасности

Identity management and access control: единое централизованное хранилище учетных данных пользователей, централизованное управление учетными записями и доступом.

  • Администратор вносит изменения в Access Manager и пользователь может начать использовать приложения организации в соответствии с заданными правами, ролями и группами;
  • Управление доступом пользователей и политиками паролей, возможность задавать сложность и частоту смены паролей. Не остается приложений, вход в которые возможен по слабому паролю, например, 123456;
  • Пользователю не нужно запоминать логины и пароли от каждого приложения. Технология единого входа SSO для учетных записей позволяет пользователю ввести учетные данные один раз и работать во всех приложениях без повторного ввода.

В результате:

  • Повышается эффективность труда офицера информационной безопасности;
  • Уменьшается число обращений в службу поддержки;
  • Снижается риск информационной безопасности за счет того, что в приложениях не остаются учетные записи уволенных сотрудников, которые забыли заблокировать;
  • За счет централизованного управления доступом вся информация о действиях пользователя находится в одном месте.

Защищенные сервисы требуют предъявления access token и id_token в запросе от пользователя, поэтому защите токенов доступа необходимо уделить особое внимание.

Identity Platform обеспечивает централизованное хранение access_token и id_token, не позволяя им покидать пределы IT-инфраструктуры вашей организации. IG позволяет защищать API и выступает в роли OpenID Connect-клиента.

В результате:

  • сервисы защищены с помощью access token и id_token;
  • cнижается риск компрометации access token и id_token, так как они не передаются пользователям сервисов;
  • разграничение уровня доступа в зависимости от содержимого access_token и id_token;
  • упрощение разработки, повышение безопасности за счет централизованного хранения access_token и id_token.

Плагины аутентификации позволяют расширить базовую функциональность Access Manager и реализовать любой сценарий аутентификации/регистрации, который требует ваш бизнес. Плагины разрабатывают под индивидуальные требования клиента (регистрация, восстановление пароля, принятие политики обработки персональных данных, многофакторная аутентификация, вызов стороннего сервиса и т.д).

В результате:

  • Расширяется набор базовых функций Access Manager;
  • Плагины аутентификации обеспечивают ваши бизнес-требования в области аутентификации.

API access control management: с помощью Access Manager вы контролируете доступ к внутренним API компании со стороны внешних партнеров:

  • подключаете новые или блокируете существующие записи;
  • определяете уровень доступа для каждого партнера в отдельности: например, привилегированный партнер получает права на чтение и внесение изменений, тогда как прочие клиенты — только на чтение.

Модуль IG выполняет функцию реверсивного установления соединения.

В результате:

  • Устраняется потенциальный вектор атаки, так как не нужно открывать на сетевом экране доступ из DMZ во внутреннюю сеть.

Особенности решения

 

Современный стек технологий

Ядро системы написано на .NET Core, UI администратора и кабинет самообслуживания пользователя выполнен на ReactJS

Кроссплатформенность

За счет применения .NET Core Access Manager работает на операционных системах Windows и Linux

Масштабируемость

AM поддерживает горизонтальное масштабирование за счет поддержки кластеризации

Виртуализация и работа в Docker

AM работает на физических машинах, виртуальных и в контейнере Docker

Расширяемость

Access Manager обеспечивает модульный подход и предоставляет API для разработки модулей расширения

Поддержка стандартов

AM поддерживает отраслевые стандарты в области обеспечения безопасности:

  • OAuth 2.0
  • Open ID Connect

Режим работы без UI

AM поддерживает режим работы с отключенным административным UI (вся конфигурация выполняется через статические файлы, а административные операции — через административный API)

Безопасность

Поддерживает соединения только по безопасному протоколу HTTPS. Обязательная установка достоверного X.509 сертификата для аутентификации сервера AM

Кастомизация UI

Возможность кастомизации компонентов Access Manager:

  • Страница входа
  • Авторизация согласия
  • Кабинет самообслуживания
  • Административный интерфейс
  • Страница ошибки/выхода

Функциональные возможности

 

Как реализовано управление учетными записями? Как с помощью АМ можно настроить различные сценарии аутентификации?
Какие стандарты и протоколы поддерживаются?

Проекты с использованием решения

 

Хотите узнать больше?

 

Закажите обратный звонок

Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами и проконсультирует по всем возникшим вопросам