1. Вступ
2. Функціональні можливості
3. Системні вимоги
4. Робота з продуктом
5. Установка та базове налаштування
6. Єдиний вхід в додатки
7. аудит
8. Висновки

1. Введення

2. Функціональні можливості

3. Системні вимоги

4. Робота з продуктом

4.1 Установка та базове налаштування

4.2 Єдиний вхід в додатки

4.3 Аудит

5. Висновки

Вступ

Ідентифікація та аутентифікація - невід'ємна частина різних інформаційних систем, сервісів і служб, без авторизації неможливо уявити собі сучасну інформаційну безпеку. Користувачі постійно стикаються з необхідністю входу за логіном і паролем в різних додатках, веб-сервісах і на сайтах, а з ростом їх числа це забирає багато часу і сил і привносить додаткові незручності. Відповідно до політиками безпеки, паролі повинні бути досить складними і довгими, їх повторення повинно бути виключено, і в подібних умовах простим співробітникам складно слідувати даним принципам. Протягом дня рядовим співробітникам компаній доводиться запам'ятовувати і використовувати до п'ятнадцяти паролів - від операційної системи, електронної пошти, CRM і бухгалтерських систем, до різних веб-сайтів, порталів, файлових сховищ, месенджерів і так далі. Крім того, використання паролів несе безліч загроз - їх можна підібрати перебором, вкрасти за допомогою фішингових атак або соціальної інженерії.

Рішення проблеми управління доступом існують найрізноманітніші - використання загальних облікових записів, наприклад, вхід по доменної облікового запису, застосування апаратних ідентифікаторів, USB-токенів і смарт-карт, використання програм для зберігання паролів і багато іншого. Але у всіх цих методів є свої недоліки: інтеграція з контролером домену підтримується далеко не у всіх сервісах, закупівля апаратних ідентифікаторів є додатковою витратою в бюджеті, а менеджери паролів не завжди надійно зберігають свої дані і не адаптовані під централізоване управління в корпоративних інфраструктурах.

Компанія Реаком СОФТ взялася за вирішення проблеми управління ідентифікацією іншими методами. Організація заснована в 2014 році, і першим її великим проектом стала робота з розвитку федеральної державної інформаційної системою єдиної ідентифікації і аутентифікації (ЕСІА), створеної Мінкомзв'язку Росії для ідентифікації і аутентифікації фізичних і юридичних осіб на державних порталах, включаючи найбільший з них - портал « держпослуги ». Використовуючи накопичений досвід в області єдиної ідентифікації і аутентифікації, Реаком СОФТ розробили комерційний продукт Blitz Identity Provider .

Blitz Identity Provider - програмне забезпечення, що реалізує функції єдиної аутентифікації в різних додатках за допомогою однієї загальної облікового запису для кожного користувача.

Функціональні можливості

Ідея, закладена в Blitz Identity Provider, схожа з ідеями, реалізованими в менеджерах паролів: користувачеві пропонується застосовувати один загальний пароль, за допомогою якого він може отримати доступ до всіх необхідних сервісів і додатків. На цьому схожість з менеджерами паролів закінчується - Blitz Identity Provider працює на зовсім іншому принципі. Якщо програми для зберігання паролів просто зберігають паролі користувачів і підставляють їх в потрібні місця в формах запиту, Blitz Identity Provider працює безпосередньо з веб-додатками, програмами і сервісами і проводить аутентифікацію беспарольному методами - за допомогою протоколів SAML, OpenID Connect і OAuth 2.0. Впровадження Blitz Identity Provider не вимагає установки програм-агентів на комп'ютерах і пристроях користувачів.

Авторизація користувачів в Blitz Identity Provider може проводитися різними методами, включаючи наступні:

1. Вхід за допомогою введення логіна і пароля на веб-сторінці сервісу.
2. Вхід з використанням даних поточного сеансу в операційній системі, включаючи доменні облікові записи.
3. Вхід за допомогою засобів електронного підпису.
4. Вхід через зовнішні сервіси аутентифікації і соціальні мережі - Facebook, Google, ВКонтакте, ЕСІА ( «держпослуги») і сервери Blitz Identity Provider, розміщені в інших мережах.
5. Запам'ятати мене з цього з використанням корпоративного проксі-сервера з аутентифікацією.

У продукті підтримується можливість використання двофакторної аутентифікації для підвищення рівня захищеності всієї системи входу. В якості другого фактора аутентифікації в Blitz Identity Provider можуть використовуватися такі можливості:

1. Смарт-карти і апаратні ідентифікатори (токени), підтримуються визначається одним із таких:

• JaCarta PKI, JaCarta ГОСТ / eToken ГОСТ;
• Рутокен ЕЦП / ЕЦП 2.0 / ЕЦП PKI / ЕЦП micro, Рутокен ЕЦП Smart Card;
• Рутокен S / S micro, Рутокен Lite / Lite micro, Рутокен Lite Smart Card;
• ESMART Token / ESMART GOST;
• SafeNet eToken;
• Ідентифікатори, які використовують КріптоПро CSP.

При використанні авторизації за логіном і паролем Blitz Identity Provider надає користувачам стандартний набір сервісів - самостійна реєстрація, відновлення забутого пароля і управління настройками безпеки профілю.

Всі можливості по аутентифікації в продукті налаштовуються за допомогою політик безпеки і правил доступу - підтримується дозвіл або заборона на вхід в певний сервіс в залежності від атрибутів користувача, методів аутентифікації і параметрів оточення.

Випускається дві версії Blitz Identity Provider - полегшена редакція Standard Edition і повнофункціональна версія Enterprise Edition. Порівняння можливостей за даними версіями наведено в таблиці нижче.

Таблиця 1. Порівняння функціональних можливостей різних редакцій Blitz Identity Provider

STANDARD EDITION ENTERPRISE EDITION Ідентифікація та аутентифікація користувачів Логін / пароль + + Смарт-карта + + Апаратні HOTP / TOTP-брелоки + + Програмні TOTP-генератори + + Одноразові SMS-коди + + Push-повідомлення + + U2F-токен - Підключення зовнішніх систем ідентифікації Вхід через акаунти соцмереж (Facebook, Google, ВКонтакте) + + Вхід з використанням Kerberos-сервера - + Вхід з використанням сумісного TLS / SSL-шлюзу або VPN-шлюзу - + Вхід з використанням ЕСІА - + Вхід з використанням іншої установки Blitz Identity Provider - + Способи підключення додатків до Blitz Identity Provider SAML 1.0 / 1.1 / 2.0 + + OpenID Connec t 1.0 / OAuth 2.0 + + Через web-proxy з прокинув логіна / пароля в форму входу веб-додатки - + Підтримувані сховища облікових записів Внутрішня база Blitz Identity Provider + + Microsoft Active Directory / Samba4 + + LDAP-сумісний сервер + + Довільний сховище (інтеграція через REST-API) - + Можливість одночасного використання декількох сховищ облікових записів - + Додаткові функції Налаштування зовнішнього вигляду сторінки входу + + Індивідуалізація зовнішнього вигляду для кожного підключеного додатка - + Гнучка настройка правил контролю доступу при вході в додатки - + Админи стрірованіе через REST-API - + Розгортання на Windows + - Розгортання на Linux + + Побудова кластерів серверів Blitz Identity Provider - + Пікова продуктивність До 5 аутентифікації в секунду Не менш 100 аутентифікації в секунду Рівні є такими технічної підтримки Простий і базовий Базовий, розширений, преміум

Системні вимоги

Системні вимоги до програмного і апаратного забезпечення для розгортання Standard Edition:

• Кількість процесорних ядер: мінімум - 1, рекомендується - 2.
• Оперативна пам'ять: мінімум - 2 Гб, рекомендується - 4 Гб.
• Вільний простір на жорсткому диску: мінімум - 15 Гб, рекомендується - 30 Гб.
• Операційна система: Windows 7/8/10, Windows Server 2008R2 / 2012 CentOS 7, RHEL 7, Fedora 23, Debian 8, Ubuntu 16.04.
• Додаткове програмне забезпечення:
  • Java Oracle JDK версії не нижче 8u60;
  • Memcached версії не нижче 1.4.15;
  • LDAP-сховище - Active Directory, OpenLDAP, 389 Directory Server або аналогічне.

Enterprise Edition, на відміну від Standard-редакції, складається з декількох компонентів - проксі-сервера для балансування навантаження, робочих серверів продукту, консолі управління та сервера баз даних.

Малюнок 1. Схема архітектури Blitz Identity Provider Enterprise Edition

Системні вимоги до програмного і апаратного забезпечення для розгортання проксі-сервера:

• Кількість процесорних ядер: 1.
• Оперативна пам'ять: 2 Гб.
• Вільний простір на жорсткому диску: 30 Гб.
• Операційна система: CentOS 7, RHEL 7, Fedora 23, Debian 8, Ubuntu 16.04.

Системні вимоги до програмного і апаратного забезпечення для розгортання сервера баз даних:

• Кількість процесорних ядер: 2.
• Оперативна пам'ять: 8 Гб.
• Вільний простір на жорсткому диску: 50 Гб.
• Операційна система: CentOS 7, RHEL 7, Fedora 23, Debian 8, Ubuntu 16.04.
• Додаткове програмне забезпечення:
• Сховище з підтримкою REST або LDAP-сховище - Active Directory, OpenLDAP, 389 Directory Server або аналогічне;
• СУБД Riak KV.

Системні вимоги до програмного і апаратного забезпечення для розгортання робочого сервера Blitz Identity Provider:

• Кількість процесорних ядер: 2.
• Оперативна пам'ять: 8 Гб.
• Вільний простір на жорсткому диску: 50 Гб.
• Операційна система: CentOS 7, RHEL 7, Fedora 23, Debian 8, Ubuntu 16.04.
• Додаткове програмне забезпечення:
• Java Oracle JDK версії не нижче 8u60;
• Memcached версії не нижче 1.4.15.

До призначеним для користувача пристроїв особливі системні вимоги не пред'являються, підтримується робота в будь-яких настільних і мобільних операційних системах і в більшості сучасних браузерів.

Робота з продуктом

Основний огляд роботи з Blitz Identity Provider розглядається на прикладі Enterprise Edition, так як дане рішення надає більше функціональних можливостей і краще підходить корпоративним замовникам.

Установка та базове налаштування

Установка продукту редакції Standard не викликає ускладнень - всі дії повністю автоматизовані, досить запустити виконуваний файл продукту в Windows або бінарний файл установника в Linux і виконувати кроки, описувані майстром установки.

Розгортання установочного комплекту Enterprise-редакції трохи складніше, в дистрибутив даної версії не входить Java Oracle JDK і додаткове ПО, тому необхідно завантажити і встановити пакет JDK і додаткові бібліотеки до нього, потім зробити установку і настройку memcached і СУБД Riak KV. Далі проводиться донастройку СУБД і основного програмного забезпечення для роботи в кластері, настройка реплікації баз даних і установка консолі управління продукту. Завершальний етап - налаштування вхідного проксі-сервера, що виконує функції балансування. Детальний опис всіх етапів установки приведено в керівництві адміністратора на продукт Blitz Identity Provider.

Після завершення установки стає доступним вхід на веб-консоль продукту. Для доступу можна використовувати будь-який браузер, перейшовши на сторінку за адресою http: // <hostname>: 9000 / blitz / console, де замість hostname - реальний IP-адресу або DNS-ім'я сервера Blitz Identity Provider (проксі-сервера для Enterprise-версії або самого сервера для Standard). Також можливий доступ по протоколу HTTPS, якщо на проксі-сервері були сконфігуровані SSL-сертифікати.

Малюнок 2. Вікно входу в Blitz Identity Provider

Базова настройка продукту включає в себе конфігурацію сховища, настройку додатків для входу, параметрів аутентифікації користувачів в додатку та інші опції. Розглянемо їх по порядку - для початку необхідно конфігурувати доступ до сховища облікових записів, зовнішнього каталогу, в якому розміщуються облікові записи користувачів для аутентифікації. У розділі «Сховища» відображається список вже сконфігурованих каталогів і налаштування ідентифікаційних даних, які завантажуються з них. При додаванні нового сховища вибирається його тип - LDAP, REST або BUILT-IN, а також вказується адреса і порт для підключення. При використанні типу BUILT-IN адреса не запитується, так як цей тип - це вказівка ​​на використання вбудованого сховища, без інтеграції зі сторонніми каталогами. Додатково налаштовуються подробиці підключення і параметри читання і запису облікових даних.

Малюнок 3. Налаштування LDAP-сховища облікових записів

Для повноцінної роботи з LDAP-каталогом продукту потрібні повні права на читання і запис даних, так як в інтерфейсі передбачені функції по реєстрації нових користувачів, зміни налаштувань безпеки профілю, а також відновлення та зміні пароля.

Наступний етап налаштування - вибір способів аутентифікації користувачів в Blitz Identity Provider. Дані параметри управляються в розділі «Аутентифікація», на вибір доступні кілька видів аутентифікації першого фактора і параметри другого фактора. Кожен вид аутентифікації може бути активований незалежно від інших. Параметри кожного типу аутентифікації налаштовуються в відповідних розділах і містять різні типи налаштувань. Наприклад, в настройках входу за логіном і паролем вибирається відповідність поля «логін» значенням з бази даних, і доступні множинні асоціації, що дозволяють використовувати в якості логіна різні дані - ім'я облікового запису, адресу електронної пошти і т. Д.

Малюнок 4. Налаштування аутентифікації користувачів в Blitz Identity Provider

Після завершення перших двох етапів можна налаштувати зовнішній вигляд вікна входу і перевірити можливість зайти в систему під обліковим записом звичайного користувача. Управління зовнішнім виглядом здійснюється з розділу «Зовнішній вигляд», для налаштування доступний вибір загальної колірної схеми, розташування екрану входу, логотип організації, фоновий малюнок і HTML-код для виведення на нижній частині сторінки.

Малюнок 5. Управління зовнішнім виглядом сторінки входу в Blitz Identity Provider

Здійснивши перехід на сторінку входу, можна перевірити, як застосували настройки зовнішнього вигляду, задати логін і пароль користувача і переконатися, що вхід здійснюється успішно.

Малюнок 6. Екран авторизації користувачів в Blitz Identity Provider

Далі можна налаштувати інші варіанти авторизації і параметри двофакторної аутентифікації. Документація на продукт докладно розкриває всі можливості щодо виконання даних налаштувань, ми на цьому зупинятися не будемо. Отже, базове налаштування можна вважати завершеною, залишилося налаштувати додатки для входу, і продукт можна використовувати за своїм основним призначенням.

Єдиний вхід в додатки

Основний принцип простого підключення додатків до Blitz Identity Provider - вони повинні вміти використовувати один із стандартних протоколів сторонньої аутентифікації - SAML, OpenID Connect, OAuth 2.0. Більшість сучасних веб-сайтів і онлайн-додатків мають таку можливість, так як дані протоколи є загальноприйнятими і стандартизованими. Для застарілих веб-сервісів, які не адаптованих до сучасних реалій, можна використовувати простий метод аутентифікації через введення пароля безпосередньо в веб-форму, але для реалізації цього способу потрібно використовувати корпоративний проксі-сервер з додатковими настройками.

Кожна програма необхідно додати в розділі «Додатки» адміністративного веб-інтерфейсу, і після додавання з додатком будуть доступні до налаштування параметри використання протоколів аутентифікації. Залежно від обраного протоколу змінюється кількість і тип параметрів.

Малюнок 7. Підключення додатків в Blitz Identity Provider

У документації Blitz Identity Provider є документ «Керівництво по інтеграції», в якому детально описується процедура налаштування веб-додатків для входу через Blitz Identity Provider. Використовуючи даний документ, існуючі веб-додатки можуть бути доопрацьовані для підтримки єдиної аутентифікації в короткі терміни. Більшість популярних веб-сервісів вже мають функції інтеграції з Blitz Identity Provider або в них реалізовані загальні механізми аутентифікації через SAML, OpenID Connect або OAuth 2.0, які можна використовувати для входу. У компанії Реаком СОФТ вже опрацьовані сценарії інтеграції з найбільш поширеними сервісами, такими як Microsoft Office 365 (включаючи десктоп-додатки), Jira, Amazon EC2, GitLab, сайти на WordPress, додатки Google G Suite і багато інших.

Для настройки входу на веб-сайтах без підтримки SAML / OpenID Connect / OAuth 2.0, які не можна доопрацювати, вказуються дані веб-форми - селектор CSS для пошуку елементів форми входу, селектор поля введення логіна і пароля, URL-адресу сторінки входу і адреса переходу після успішного входу для контролю правильності авторизації. Додатково є можливість задати JavaScript-код, який буде виконаний на цільовій сторінці. У замовників Blitz Identity Provider завжди є можливість звернутися в технічну підтримку Реаком СОФТ і отримати консультації по правильності настройки входу для певного сайту.

Малюнок 8. Налаштування аутентифікації для веб-сайтів в Blitz Identity Provider з використанням web-proxy

Контроль доступу здійснюється в розділі «Процедури входу», с помощью Даних процедур формується політика безпеки - візначається, Яким користувач и за якіх умів винен буті Доступний вхід в задані програми. До одного з додатком може бути прив'язана тільки одна процедура входу, за умовчанням у додатків немає процедури входу, і він буде дозволений завжди, але якщо створити нову процедуру без зазначення списку додатків - вона замінить стандартну і буде застосовуватися до всіх сайтів, для яких немає своїх процедур входу.

Процедура входу задається складним способом за допомогою написання класу на мові програмування Java. У прикладах, наведених в документації, за допомогою даної процедури описується дозвіл на вхід тільки за умови авторизації користувача з корпоративного поштової скриньки, обов'язкова вимога двофакторної аутентифікації для конкретного веб-додатки, параметри тимчасових обмежень на вхід і інші приклади. Дана особливість дозволяє дуже гнучко налаштувати політику доступу і реалізувати будь-які обмеження на мові високого рівня, але навіть для базової установки потрібно кваліфікований фахівець, що володіє знанням цієї мови програмування.

Малюнок 9. Налаштування процедури входу в Blitz Identity Provider

аудит

Всі події, що відбуваються в Blitz Identity Provider, записуються в базу аудиту, доступну для читання адміністраторам продукту. При переході в розділ «Події» відкривається форма для пошуку подій з налаштованим полями, підтримується фільтрація по ідентифікаторів об'єкта і суб'єкта, IP-адресами, назвами додатків, часового періоду, типам подій і протоколам. Також присутній вибір способу сортування подій. По кожній події доступна докладна інформація, яка відображається при розкритті події після натискання на кнопку перед рядком із записом аудиту.

Малюнок 10. Аудит подій в Blitz Identity Provider

Висновки

Засіб єдиної аутентифікації Blitz Identity Provider дозволяє вирішити проблему з ідентифікацією й аутентифікації в веб-додатках в комерційних і державних організаціях будь-якого рівня. За допомогою Blitz Identity Provider можна забезпечити загальну точку входу (single sign-on) в більшість веб-додатків, сервісів і сайтів. За допомогою впровадження єдиної аутентифікації вирішується проблема користувачів із запам'ятовування, введення та актуалізації великого числа паролів для різних сайтів. Додатковим плюсом від впровадження даного продукту є підвищення загального рівня захищеності систем входу за рахунок нівелювання загроз з перехоплення паролів, їх фішингу, перебору і соціальних атак. Можливість застосування двофакторної аутентифікації, входу за допомогою апаратних ідентифікаторів, підтвердження входу по SMS і з допомогою мобільних телефонів значно підвищує загальний рівень захищеності аутентификационной інформації.

Продукт Blitz Identity Provider є універсальним, гнучким рішенням. Підтримка стандартних протоколів сторонньої аутентифікації SAML, OpenID Connect, OAuth 2.0 дозволяє інтегрувати Blitz Identity Provider з безліччю сучасних сервісів, а, при необхідності, доопрацювання корпоративних додатків може бути виконана в короткі терміни. Для сайтів, які не підтримують дані протоколи, доступний зручний режим входу з безпосереднім введенням логіна і пароля на веб-сайті.

Особливим плюсом варто відзначити російське походження продукту і досвід компанії Реаком СОФТ по виконанню робіт з розвитку ЕСІА для державних інформаційних ресурсів, що дозволяє створювати продукти зі знанням реалій вітчизняного ринку і потреб російських компаній. Продукт присутній в реєстрі Мінкомзв'язку Росії, і планується його сертифікація в системі сертифікації ФСТЕК Росії, що дозволяє використовувати його в державних інформаційних інфраструктурах і в компаніях з державною участю.

Преимущества:

• Підтримка великої кількості різних способів аутентифікації користувачів включаючи аутентифікацію по сеансу входу, вхід через соціальні мережі та портал «держпослуги».
• Інтеграція з контролером домену Active Directory і іншими сховищами користувачів.
• Підтримка широкого набору вітчизняних апаратних ідентифікаторів для застосування в якості другого фактора аутентифікації.
• Підтримка аутентифікації через Blitz Identity Provider для сторонніх розробників веб-додатків.
• Підтримка входу в веб-додатки, в яких не реалізована підтримка Blitz Identity Provider і аутентифікації через протоколи SAML, OpenID Connect і OAuth 2.0.
• Наявність безкоштовної версії продукту з обмеженою функціональністю, якої буде достатньо для невеликих організацій.
• Російський виробник, повна локалізація інтерфейсу і документації, наявність в реєстрі вітчизняного ПО .

недоліки:

• Відсутність експорту подій безпеки та інтеграції з SIEM-системами.
• Складний спосіб опису процедур входу без можливості простого розмежування доступу користувачів до додатків по зв'язаних списками.
• Відсутність сертифіката відповідності ФСТЕК Росії (недолік тимчасовий, продукт буде сертифікований найближчим часом).