Единая аутентификация для корпоративных приложений

Единая аутентификация для корпоративных приложений

Современные организации во всех отраслях широко используют различные приложения и веб-приложения – как универсальные, так и специализированные.

На основе универсальных решений могут быть выстроены, например, системы электронного документооборота (СЭД), системы управления предприятием (ERP), бухгалтерские системы. В свою очередь, специализированные приложения зачастую представляют собой различные программные компоненты автоматизированных систем управления технологическими процессами (АСУ ТП), а также системы управления продажами (CRM) или складом. Причем среди специализированных приложений нередко встречается самописное программное обеспечение.

Все упомянутые сервисы помогают организациям решать стоящие перед ними задачи: предоставлять государственные услуги, контролировать исполнение законов или вести деятельность, приносящую прибыль. Чтобы начать работу почти в любом из перечисленных сервисов, необходимо пройти процедуру авторизации.

Важно отметить, что далеко не каждое программное обеспечение интегрируется с доменной службой каталогов (например, Active Directory). Часто подобные сервисы имеют собственную базу пользователей и, как следствие, требуют отдельной аутентификации. К сожалению, те приложения, которые поддерживают иные способы аутентификации, кроме пароля, до сих пор встречаются весьма редко.

Аутентификация по паролю имеет целый ряд известных недостатков:

  • факт компрометации пароля можно выявить только после возникновения инцидента, при том что злоумышленники до последнего стараются скрыть свое присутствие в ИТ-инфраструктуре организации;
  • при удаленной работе серьезно возрастает риск кражи и нелегитимного использования пароля для осуществления злонамеренных действий;
  • пароли уязвимы перед методами социальной инженерии, которые приводят к тому, что пользователи фактически сами – прямо или косвенно – позволяют злоумышленнику узнать пароль;
  • рядовым пользователям довольно трудно соблюдать все требования к безопасности паролей, особенно если у них есть несколько учетных записей на разных сервисах.

На фоне того, что широкополосный доступ в интернет получил огромное распространение, а пользователи все чаще подключаются к необходимым ресурсам дистанционно, указанные недостатки приобретают критическое значение для безопасности как самих приложений, так и организации в целом. Ведь если злоумышленнику удастся заполучить учетные данные одного из бухгалтеров, это может повлечь за собой весьма нежелательные последствия, вплоть до приостановки деятельности организации.

Даже в рамках одной отрасли используется огромное количество самых разных приложений и веб-приложений, поэтому очевидно, что разработать индивидуальные коннекторы (специальные модули для обеспечения сквозной аутентификации) к каждому целевому приложению крайне трудно. Эта задача отнюдь не проста, даже если речь идет о широко распространенных сервисах. При этом разработка коннекторов для самописных сервисов обойдется довольно дорого – такие затраты по силам далеко не каждой компании.

Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, организации применяют продукты, реализующие концепцию «технологии единого входа», также известную как Single Sign-On. Одноименный класс продуктов предназначен для реализации системы централизованной аутентификации и системы управления паролями (функционал схож с возможностями решений класса Password Manager).

Решение

Чтобы построить систему единой аутентификации, необходимо обеспечить поддержку различных целевых приложений и веб-приложений, используя продукт класса Single Sign-On.

Indeed Access Manager имеет в своем составе специализированный модуль – Enterprise Single Sign-On, который и осуществляет такую поддержку. Для реализации SSO-входа этот модуль перехватывает графические формы ввода логина и пароля и подставляет в них нужную информацию.

Систему обучают при помощи специальной утилиты; чаще всего это занимает не более двух дней. В результате поддерживается практически любое приложение и веб-приложение, имеющее собственную подсистему аутентификации. Сам модуль – это клиентский компонент, который можно установить как на рабочую станцию с ОС Microsoft Windows, так и на терминальный сервер Microsoft Remote Desktop Server.

Ниже описаны сценарии, которые можно реализовать при помощи Enterprise Single Sign-On.

  • Безопасное удаленное подключение к единой точке входа: применение MS RDS с установленным модулем ESSO позволяет реализовать сквозную аутентификацию во всех терминальных приложениях.
  • Управление сохраненными паролями для сквозной («прозрачной») аутентификации: логин и пароль запоминаются модулем и автоматически подставляются в соответствующие поля при запуске приложения или веб-приложения.
  • Исключение знания пароля пользователем: пароль может быть назначен администратором либо посредством решения, относящегося к классу Identity Governance & Administration (IGA).
  • Дополнение к предыдущему сценарию – перехват модулем ESSO графических форм ввода нового пароля: компонент самостоятельно подставляет старый пароль, генерирует новый, подставляет его в соответствующие поля и эмулирует нажатие кнопки «OK». Таким образом, пользователь не сможет пройти аутентификацию в приложении в обход Indeed AM.
  • Использование факторов усиленной аутентификации: в рамках всех сценариев можно включить использование различных методов усиленной аутентификации (от одноразовых паролей до биометрических данных). А вместе со сценарием исключения знания пароля можно реализовать систему усиленной аутентификации в корпоративных приложениях, что обеспечивает максимальный уровень защиты.

Следует отметить, что параметры работы ESSO распространяются с помощью механизма политик. Необходимая политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из данной политики. При этом можно индивидуально настроить параметры доступа для конкретного пользователя, а также для разных групп пользователей (например, установить принудительную усиленную аутентификацию при доступе руководителей).

📎📎📎📎📎📎📎📎📎📎