Indeed CM 7.1 упрощает миграцию с Active Directory и расширяет возможности для работы со средствами криптографической защиты

Компания «Индид» представила ряд значимых функциональных изменений в новой версии Indeed Certificate Manager 7.1 — продукта для управления инфраструктурой открытых ключей. 

В версии 7.1 была реализована поддержка российской службы каталогов ALD Pro и открытой LDAP-службы FreeIPA, которая существенно упрощает управление пользователями в среде Linux и ускоряет процесс импортозамещения. Также была улучшена работа со средствами криптографической защиты информации и добавлена поддержка новых моделей ключевых носителей. Подробнее об этих и других важных изменениях рассказываем в статье.

Поддержка каталогов пользователей FreeIPA и ALD Pro

В обновлении Indeed Certificate Manager (Indeed CM) добавлена поддержка FreeIPA и ALD Pro, с помощью которых клиенты могут решить одну из актуальных задач импортозамещения – перейти на отечественные программные комплексы, реализующие единую службу каталога. Благодаря поддержке новых служб LDAP-каталогов администраторы могут оптимизировать управление пользователями в среде Linux, а организации – отказаться от привязки к доменной службе Microsoft Active Directory в пользу российских аналогов и программ с открытым исходным кодом.

Интеграция с решениями российских поставщиков

В новой версии реализована интеграция Indeed Certificate Manager c решениями ведущих российских поставщиков средств криптографической защиты информации и средств аутентификации. В частности:

• Обеспечена совместимость продукта с новыми версиями программно-аппаратного комплекса «Удостоверяющий центр «КриптоПро УЦ» 2.0 (варианты исполнения 15 и 16) и «КриптоПро PKI-Кластером», которые доступны для ОС Windows и Linux.
• Осуществлена интеграция Indeed CM с программным продуктом «Рутокен Логон». Это дает возможность администраторам подготовить ключевой носитель с сертификатом для аутентификации в среде ОС Linux.
• Настроена работа Indeed Certificate Manager с Indeed Access Manager 8.2, что позволяет администраторам одновременно получить сертификат и зарегистрировать аутентификатор в процессе выпуска ключевого носителя.
• Расширена функциональность аудита событий в Indeed CM: теперь события можно отслеживать не только на ОС Windows, но и на Linux с помощью приложения Log Server.

Улучшения работы со средствами криптографической защиты информации (СКЗИ)

В Indeed Certificate Manager добавлена новая функция, которая обеспечивает отслеживание сроков действия сертификатов соответствия и сертификатов технической поддержки СКЗИ. С ее помощью администраторы могут оперативно получать уведомления о необходимости обновить или заменить сертификаты, что помогает соблюдать требования регулирующих органов. 

Все нормативные документы в отношении СКЗИ теперь можно формировать и подписывать электронной подписью в консоли администратора и в личном кабинете пользователя. 

Кроме этого, появилась возможность контролировать допуск сотрудников к самостоятельной работе с СКЗИ: администратор может создавать обучающие курсы, назначать их пользователям, отслеживать ход обучения и принимать решение о допуске на основе результатов. В конце обучения пользователи получают документ о прохождении специальной подготовки – заключение органа криптографической защиты информации. Документ можно подписать в Indeed CM благодаря функции внутреннего электронного документооборота.

В новой версии 7.1 теперь можно выдавать СКЗИ не только сотрудникам организации, но и внешним пользователям – подрядчикам, партнерам, клиентам. В частности, в Indeed CM появилась возможность настроить дополнительный каталог пользователей в базе данных Microsoft SQL или PostgreSQL, чтобы создавать пользователей в консоли администратора. Этот подход позволяет организовать безопасное взаимодействие с внешними участниками и сохранить существующую структуру пользователей.

Новые функции клиентского агента

Пользователям Indeed CM больше не нужно обращаться к администратору, чтобы получить ключевой носитель, готовый к работе. Добавлять, назначать и выпускать ключевые носители теперь можно не только через консоль администратора или личный кабинет пользователя, но и с помощью клиентского агента. Благодаря этому нововведению организациям стало проще управлять ключевыми носителями, которые применяются в филиалах или предоставлены удаленным сотрудникам, компании смогут автоматизировать одновременное управление большим количеством подобных носителей.

В новой версии реализована функция, благодаря которой администратор может одной задачей инициировать смену PIN-кода для группы ключевых носителей, а не настраивать каждый вручную. Это позволяет мгновенно реагировать на инциденты и свести к минимуму риски от утечек данных и несанкционированного доступа.

Новые настройки также позволяют администраторам установить временной период, в течение которого PIN-код пользователя остается действительным. Нет необходимости вручную контролировать срок действия PIN-кода и уведомлять каждого пользователя – клиентский агент активирует процедуру обновления, когда пользователь подключит ключевой носитель к рабочей станции.

Кроме этого, при подключении незарегистрированного ключевого носителя к рабочей станции и пользователь, и администратор мгновенно получат оповещение о нарушении политики безопасности.

В репозитории агентов появился фильтр по версии. Таким образом, можно найти агенты устаревших версий и обновить их, чтобы получить всю доступную функциональность. Фильтр также позволяет получить список неактивных агентов, версия которых не отображается.

Поддержка новых моделей ключевых носителей

• Рутокен ЭЦП 3.0 3120, Рутокен ЭЦП 3.0 3220, Рутокен Lite 1010
• ESMART Token USB 192k и ESMART Token CARD 192K
• SafeNet eToken Fusion Series, SafeNet eToken 5300, SafeNet eToken 5110CC (940) IDPrime 940 и IDPrime 940B, IDPrime 3940 и IDPrime 3940 FIDO

Гибкие настройки PIN-кодов

Усовершенствована система генерации случайных PIN-кодов. Теперь в Indeed CM можно настроить группы символов, чтобы генерировать максимально защищенные PIN-коды, устойчивые к атакам злоумышленников.

При этом для каждой модели «Рутокен» есть возможность настраивать отдельные параметры работы PIN-кода и таким образом, дополнительно защитить токен от несанкционированного доступа.

Новый раздел поиска документов

Добавлен новый раздел, который помогает администраторам эффективно управлять документами и контролировать их статус с помощью гибкой системы фильтрации. В нем можно проверять наличие оригиналов документов и отслеживать неподписанные документы. Эти функции существенно упрощают контроль документооборота и помогают избежать рисков, связанных с отсутствием важных файлов.

Централизованное управление сертификатами

В версии 7.1 появился удобный инструмент для комплексного контроля над пользовательскими сертификатами. С помощью фильтров поиска можно:

• найти все сертификаты, выпущенные в конкретном удостоверяющем центре;
• выгрузить список сертификатов с истекающим сроком действия;
• сделать выборку сертификатов по привязке к пользователям или ключевым носителям.

Дополнительные настройки уведомлений

Чтобы избежать простоев в работе, Indeed CM напомнит об окончании срока действия лицензии и о нехватке свободных лицензий.

Почтовый сервер теперь можно настроить централизованно — это удобно, если во всех политиках используется один и тот же сервер для отправки уведомлений.

Кроме этого, упрощена настройка шаблонов уведомлений – переработаны переменные, значения которых автоматически подставляются в текст сообщения.

Обновленный интерфейс консоли администратора

В версии 7.1 улучшен интерфейс консоли администратора. Адаптивная боковая панель позволяет находить нужные разделы быстрее, что сокращает время на выполнение рутинных задач. Новый визуальный стиль делает взаимодействие с системой более интуитивным и комфортным. 

Новые функции API

Реализована возможность управлять СКЗИ через API: получить список СКЗИ по заданным фильтрам, найти СКЗИ по идентификатору или типу, зарегистрировать в Indeed CM, назначить на пользователя, изменить состояние, уничтожить или изъять.

Добавлены два метода:

• Получения всей информации о конкретном ключевом носителе по идентификатору. Раньше данные приходилось искать в общем списке, теперь доступен отдельный запрос.
• Изъятия ключевых носителей, закрепленных за удаленными пользователями, чтобы повторно использовать лицензии.

Расширен набор фильтров для поиска ключевых носителей по дате выпуска, обновления и отзыва, по модели и действующей политике. В возвращаемые значения добавлен параметр для выгрузки даты начала действия сертификатов на ключевом носителе.

Мониторинг сервисных сертификатов

В консоли администратора стала доступна полная информация о сервисных сертификатах – в каких политиках используются, к каким субъектам относятся, когда истекает срок действия. Отслеживать можно сертификаты операторов шлюза КриптоПро УЦ-СМЭВ, корневой сертификат сервисов агента, сертификаты интегрированных УЦ.

Другие изменения

В версию 7.1 также вошли следующие изменения:

• Возможность автоматически изымать ключевые носители у удаленных пользователей. Служба Card Monitor отслеживает удаленные учетные записи, чтобы освободить лицензии.
• Оптимизация функции проверки данных пользователя в СМЭВ – запретили выпуск квалифицированного сертификата для пользователя с недействительным паспортом и добавили возможность вручную подтвердить корректность данных пользователя, если проверка длится слишком долго.
• Усовершенствованная функциональность ролевой модели администраторов. Если у локального администратора нет привилегий на управление определенной политикой, то у него нет доступа к просмотру информации и к операциям с объектами, на которые действует эта политика.

С документацией Indeed Certificate Manager 7.1 вы можете ознакомиться на портале https://docs.indeed-company.ru/.