Identity Platform — Enterprise-продукт, объединяющий ПО классов Access Management и API Gateway. Решаем задачи аутентификации и защиты сервисов.
Какие задачи решает Identity Platform?
Многофакторная аутентификация:
- Рабочая станция пользователя
- Подключение через VPN / Wi-Fi
- Удаленное подключение к серверам Windows и Linux
- Доступ к web-ресурсам
Защита API:
- Авторизация — управление уровнем доступа к прикладным сервисам через ролевую модель
- Централизованная авторизация (RBAC, ABAC авторизация) — авторизация отделена от кода сервиса и управляется централизованно отделом информационной безопасности
- Лимиты — гибкая система установки лимитов на использование API
Механизм единого входа Single Sign-On (SSO):
- Поддержка протоколов OpenId Connect и OAuth 2.0
- Поддержка внешних Identity-провайдеров (Вконтакте, Яндекс и др.)
- Подключение готового каталога пользователей (например, Active Directory или базы данных)
Внесено в Единый реестр российского ПО: запись №13332 от 26.04.2022
Поддерживаются базы данных MySQL, MariaDB, Postgres Pro и операционные системы Astra Linux, Alt Linux.
Для кого предназначено решение?
- Компании со штатом удаленных сотрудников — для обеспечения безопасного подключения к удаленной сети с применением многофакторной аутентификации.
- Компании, которые хотят внедрить технологию единого входа — у каждого пользователя одна учетная запись и один пароль для доступа ко всем системам/сервисам компании.
- Компании, предоставляющие API партнерам — для защиты и контроля доступа к прикладным API со стороны партнеров.
В состав комплекса входит:
- Access Manager — Identity provider, обеспечивает аутентификацию, SSO, многофакторную аутентификацию и поддерживает внешних провайдеров (Яндекс, Вконтакте, Google).
- Identity Gateway — API Gateway для организации единой точки входа в систему. Обеспечивает авторизацию, в том числе — централизованную.
- Сервис лимитов — ограничение числа запросов в единицу времени.
- RADIUS Adapter — принимает подключение от клиента по протоколу RADIUS (rfc2865) и обеспечивает интеграцию с Access Manager для аутентификации и авторизации пользователей. В качестве RADIUS-клиента могут выступать:
- VPN шлюзы (например, Cisco);
- Wi-Fi точки доступа;
- Linux-программы с поддержкой Pluggable Authentication Modules (PAM), например, ssh, sudo, login, su, passwd.
Стоимость лицензии и бесплатная версия ПО предоставляется по запросу. Пожалуйста заполните форму обратной связи внизу страницы или напишите нам на sales@ekassir.com.
Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами
и проконсультирует по всем возникшим вопросам
Результаты внедрения
- Поддержка протоколов OpenId Connect и OAuth 2.0;
- Аутентификация пользователей через внешние Identity Provider (например, Яндекс, Вконтакте);
- Подключение готового каталога пользователей (например, Active Directory или базы данных)
В результате:
Технология единого входа SSO для учетных записей позволяет пользователю ввести логин и пароль один раз и работать во всех приложениях без повторного ввода:
- Быстрее доступ к приложениям;
- Меньше обращений в службу поддержки;
- Снижаются риски информационной безопасности — в приложениях не остаются учетные записи уволенных сотрудников, которые забыли заблокировать.
Подключение к удаленной сети через VPN / Wi-Fi, а также подключение к удаленным серверам на Windows и Linux производится только с применением второго фактора аутентификации:
- программы-аутентификаторы (Яндекс.Ключ, FreeOTP, Google Authenticator);
- одноразовые пароли на электронную почту;
- или мобильный телефон.
В результате:
Защищенный контур организации, усилена информационная безопасность:
- Предотвращение использования украденной или скомпрометированной УЗ пользователя для входа в ОС;
- Предотвращение передачи рабочей станции между сотрудниками.
- Разграничение доступа на основе ролей и атрибутов;
- Ограничение числа запросов в единицу времени;
- Валидация и авторизация входящих запросов.
В результате:
- Предоставлением доступа занимаются не администраторы сервиса, а отдел ИБ;
- Централизованное управление позволяет отделить бизнес-логику предоставления доступа от кода сервиса/приложения;
- Гибкое управление кол-вом запросов к API в разрезе партнеров и пользователей;
- Снижение нагрузки на API за счет того, что неавторизованный или невалидный запрос не будет пропущен к защищаемому сервису.
Особенности решения
UI администратора и кабинет самообслуживания пользователя выполнен на ReactJ
в Docker и Kubernetes
Поддерживает отраслевые стандарты
в области обеспечения безопасности:
- OAuth 2.0
- Open ID Connect
- ФАПИ.СЕК
по безопасному протоколу HTTPS
с применением X509 сертификата
Возможность кастомизации компонентов Identity Platform:
- Страница входа
- Авторизация согласия
- Кабинет самообслуживания
- Административный интерфейс
- Страница ошибки/выхода
Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами
и проконсультирует по всем возникшим вопросам
Вы можете оставить Ваши контакты, наш сотрудник свяжется с Вами
и проконсультирует по всем возникшим вопросам