FAM (Federated Access Manager): 

• на 36% быстрее доступ к приложениям;
• на 42% снижаются расходы на администрирование;
• в 5 раз меньше расходов на Service Desk по смене паролей.

Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации

С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей — теперь все приложения начнут работать по единым правилам, управляемым из одного окна.

Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.

Поддерживаемые технологии аутентификации для корпоративных приложений

Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:

• технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений;
• технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности;
• технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений;
• технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
• технология аутентификации в ОС Windows через FAM при помощи Microsoft Credential Provider;
• технология аутентификации в ОС Linux через FAM при помощи PAM Linux.

Адаптивная аутентификация с выбором подходящей цепочки проверок для различных сотрудников и данных среды

Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т. п.).

Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.

TOTP (Time-based One Time Password Algorithm)

Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM, помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.

Многофакторная аутентификация с применением смарт-карт, одноразовых кодов, сертификатов ЭП, окружения и домена

В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия).

Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.

Поддержка всех современных факторов аутентификации

Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функции ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.

Поддерживаемые факторы аутентификации:

• аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2 °F, доверенные устройства;
• сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП);
• система PayControl (мобильное приложение Android/iOS);
• одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через е-mail, OTP через мессенджеры, Passwordless (Magic Link). Push-подтверждения в мессенджеры (Telegram);
• технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
• доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя;
• LDAP-аутентификация.

Современный технологический стек и удобство интеграции

Решение работает в следующих средах:

• серверные ОС CentOS, RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП;
• средство автоматизации развертывания и контейнеризации Docker;
• десктопные ОС Microsoft Windows Desktop 7/8/10 для работы Агента FAM.

Поддерживает работу на базе высокопроизводительной и надежной СУБД PostgreSQL.

Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.

Аутентификация в облачных/SaaS приложениях с использованием единого удостоверения сотрудника

Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т. д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.

Работа с различными источниками учётных записей

В качестве источников данных об учётных записях Avanpost FAM может использовать:

• LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap;
• витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle;
• встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления;
• любые источники данных, поставляющие данные по API и шине данных;
• решения класса Identity Management;
• внешние SAML и OAuth IDP.

Кросс-аутентификация сотрудников в доверенных ресурсах партнёрских организаций за счёт федерации удостоверений

Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия.

Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.

Личный кабинет пользователя

Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.

Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.

Самообслуживание с управлением своими смарт-картами и сценариями восстановления

Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее, чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи.

Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).

Механизм изменения и распространения пароля для унаследованных приложений

Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. То есть пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.

Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.