Новости
01.10.2021
01.10.2021
21.08.2019
14.08.2019
03.07.2019
13.06.2019
06.06.2019
28.05.2019
28.05.2019
09.11.2018
01.11.2018
26.10.2018
16.10.2018
27.08.2018
02.04.2018
22.03.2018
26.01.2018
04.10.2017
09.08.2017
07.08.2017
31.07.2017
20.07.2017
11.07.2017
08.06.2017
02.06.2017
01.06.2017
29.05.2017
25.05.2017
23.05.2017
20.05.2017
19.05.2017
20.04.2017
14.04.2017
10.04.2017
04.04.2017
31.03.2017
30.03.2017
22.03.2017
21.03.2017
20.03.2017
03.03.2017
02.03.2017
01.03.2017
11.02.2017
22.12.2016
21.12.2016
09.12.2016
06.12.2016
24.11.2016
15.11.2016
27.10.2016
12.10.2016
11.10.2016
11.10.2016
30.09.2016
27.09.2016
27.09.2016
23.09.2016
22.09.2016
20.09.2016
16.09.2016
06.09.2016
06.09.2016
06.09.2016
29.08.2016
24.08.2016
23.08.2016
19.08.2016
19.08.2016
16.08.2016
12.08.2016
11.08.2016
11.08.2016
08.08.2016
03.08.2016
02.08.2016
20.07.2016
19.07.2016
01.07.2016
23.06.2016
23.06.2016
14.06.2016
04.06.2016
31.05.2016
24.05.2016
23.05.2016
28.04.2016
27.04.2016
27.04.2016
26.04.2016
15.04.2016
12.04.2016
06.04.2016
01.04.2016
01.04.2016
28.03.2016
11.03.2016
04.03.2016
02.03.2016
18.02.2016
14.01.2016
14.01.2016
24.12.2015
19.11.2015
11.11.2015
03.11.2015
29.10.2015
21.10.2015
25.09.2015
14.09.2015
19.08.2015
10.08.2015
08.07.2015
02.07.2015
25.06.2015
11.06.2015
29.05.2015
27.05.2015
28.04.2015
25.03.2015
11.02.2015
10.02.2015
05.02.2015
01.12.2014
28.11.2014
20.10.2014
19.09.2014
29.08.2014
19.08.2014
23.07.2014
22.07.2014
22.07.2014
10.07.2014
08.07.2014
Avanpost Web SSO 2.0: новые возможности комплексного решения для аутентификации и единого входа

Компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — официально объявляет о выпуске Avanpost SSO 2.0 — этапного нового релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).
 

Изменения, включенные в данный релиз, существенно расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также впервые позволили одинаково эффективно реализовать аутентификацию  как для современного ПО, так и для унаследованных систем.  Новая версия одного из ключевых программных продуктов компании Аванпост представляют значительный интерес для всех категорий заказчиков: госструктур федерального и регионального масштаба, крупных муниципальных образований, госкорпораций, ведущих российских банков и финансовых организаций, интернет-компаний, а также коммерческих предприятий, корпораций и холдингов из верхней части сегмента Enterprise.

 

Avanpost Web SSO (первый релиз выпущен в марте 2017 года) — это системообразующее ПО, позволяющее крупной территориально распределенной организации или сети взаимодействующих предприятий (кластеру, деловой сети, расширенной цепочке поставок и др.) реализовать полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации. Построенная на базе Avanpost Web SSO единая система аутентификации охватывает все средства взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и  сложно организованные Web-ресурсы, страницы которых динамически обращаются к информационным системам одной или нескольких организаций. При этом Avanpost WebSSO способен эффективно поддерживать ИС с миллионами пользователей. По универсальности, набору функций, масштабируемости, простоте администрирования и разнообразию поддерживаемых видов ПО и информационных ресурсов Avanpost Web SSO не имеет аналогов на отечественном ИТ-рынке, превосходя как конкурирующие западные проприетарные продукты от ведущих мировых ИТ-компаний, так и разработки международного сообщества Open Source.

 

Среди нововведений Avanpost Web SSO 2.0 особо отметим поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего удобно вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. Кроме того, в новом релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.

 

Идентификация пользователей

Множественные идентификаторы пользователей позволяют им входить в систему не только по логину, но и по любым другим разрешенным заказчиком уникальным ключам, например, по номеру телефона, e-mail, СНИЛС и др. Под каким бы индикатором ни вошел в систему пользователь, ему будет доступен один и тот же набор приложений. Кроме того, каждому приложению Avanpost Web SSO 2.0 передаёт именно тот идентификатор и в том формате, который оно ожидает. Это позволяет подключать к единой системе аутентификации приложения, использующие разные варианты идентификации пользователей и имеющие собственные базы идентификаторов, которые надо сохранить. Такая ситуация чрезвычайно характерна для унаследованного ПО.

 

Система аутентификации и SSO для нового и унаследованного ПО

Для эффективной работы корпоративной системы аутентификации как с современным ПО принципиальное значение имеет поддержка в Web SSO 2.0 двух совершенно разных способов аутентификации. Начиная с первого релиза, в Avanpost Web SSO была реализована аутентификация через identity provider. Это современный способ, ставший фактическим стандартом для нового ПО и интернет/интранет-ресурсов. В такой схеме система Web SSO участвует только в самом процессе аутентификации, по завершении которого никакого взаимодействия с прикладным ПО больше не происходит. Соответственно, система аутентификации, использующая эту схему, наиболее устойчива и наименее нагружена.

Avanpost Web SSO 2.0 получила также возможность работать и по принципиально иной схеме — в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. В свое время именно этот недостаток привел к отказу от схемы reverse proxy. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное.

Сегодня у многих заказчиков (в том числе, у ряда крупных клиентов компании Аванпост) ИБ-инфраструктура использует аутентификацию через reverse proxy. Часть таких организаций уходит с этой схемы из-за трудностей масштабирования, но нуждается в решении, которое обеспечит гладкую постепенную миграцию. Тогда как другие организации желают сохранить схему reverse proxy на неопределенное время ради работы с унаследованными приложениями, а новое ПО подключать уже по схеме identity provider. Возможность совместного использования обеих схем, предоставляемая Avanpost Web SSO 2.0, позволяет тем и другим заказчикам максимально эффективно работать как с новыми, так и с унаследованными приложениями, поддерживая оптимальный жизненный цикл корпоративной системы аутентификации и SSO. Очевидно также, что использовать одну технологическую платформу, намного проще и удобнее, чем комбинировать и развивать независимые системы аутентификации.

 

Новая система управления данными

Ещё одно крупное изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Теперь вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP чрезвычайно затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым легко справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.

Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти чрезвычайно изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила все подобные проблемы, причем без каких-либо негативных побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.

 

Другие изменения

В новом релизе Avanpost Web SSO  многочисленные менее масштабные нововведения, влияющие на удобство использования и функциональность продукта.

Так, теперь поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены все необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.

Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов теперь встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.

Отметим, что при подготовке Avanpost Web SSO 2.0 компания Аванпост впервые применила собственные методики дозирование изменений, включаемых в этапные и минорные обновления своих продуктов. Это новшество, введенное в связи с переходом на технологии Agile, упрощает освоение новых версий пользователями и администраторами продуктов линейки Avanpost и ускоряет переход к массовому использованию новых возможностей. При этом изменения, включенные в Avanpost Web SSO 2.0, выбраны на основе опыта реальных и крупных пилотных проектов. Все они относятся к числу наиболее востребованных и ожидаемых заказчиками или создают задел на будущее. 

 

Источник: www.avanpost.ru