Единый доступ
к корпоративным
веб-приложениям

Решение на основе Indeed AM позволяет создать единую точку доступа в веб-приложения

Получить описание

Демонстрация работы решения

Посмотрите трехминутный ролик о создании единой точки доступа в веб-приложения

запланировать демонстрацию

Описание решения

Современные организации стремятся как можно шире использовать возможности различных цифровых ресурсов. Для этого они, в частности, развивают внутренние сервисы, например создают корпоративные веб-ресурсы. Главное достоинство последних заключается в том, что получить доступ к ним можно с помощью любого браузера, причем они могут быть доступны как изнутри периметра ИТ-инфраструктуры, так и извне.

Кроме того, разрабатывать веб-приложения обычно проще, чем собственные «классические» программы. Есть множество готовых шаблонов и сервисов, в которые нужно только ввести необходимые корпоративные данные. Это также относится к оформлению и контенту. Многие современные технические средства и сервисы – так называемые тонкие клиенты – уже реализуют пользовательский интерфейс в основном именно в формате веб-приложения.

Но за удобство приходится платить: исследования показывают, что веб-приложения в среднем более уязвимы перед кибератаками, чем обычные программы. И действительно, многие кибератаки в настоящее время проводятся через публичные и внутренние веб-ресурсы.

Одна из главных угроз для веб-приложений связана с тем, что в них используется уязвимый механизм аутентификации по паролю – при доступе как из локальной сети, так и с удаленных устройств.

У парольной аутентификации при удаленном доступе есть целый ряд недостатков:

  • существует высокий риск кражи пароля (путем перехвата вводимых данных, с помощью методов социальной инженерии и т. д.), создающий угрозу нелегитимного доступа к веб-ресурсу от лица учетной записи реального сотрудника;
  • выявить факт кражи пароля весьма трудно, и это обстоятельство снижает эффективность противостояния кибератакам;
  • пользователи не всегда соблюдают требования к безопасности паролей, касающиеся длины, используемых символов и периодичности смены;
  • если пользователь забудет пароль, то рабочий процесс может простаивать до тех пор, пока администратор ИТ/ИБ не сбросит пароль.

Эти недостатки можно исправить, используя средства усиленной аутентификации: цифровые сертификаты, одноразовые пароли, биометрические данные и т. п.

Но далеко не все веб-приложения поддерживают какие-либо иные методы аутентификации, кроме пароля. Если же такая поддержка все-таки обеспечивается, то она ограничивается аутентификацией по сертификату (индивидуальному для каждого веб-приложения) или с помощью внешних учетных записей (Google, Yandex, Microsoft и т. д.), однако подобные механизмы не всегда соответствуют политике организации.

Веб-ресурсы имеют собственную базу пользователей и требуют отдельной аутентификации. Рядовым пользователям весьма трудно соблюдать все требования к безопасности паролей, особенно если у них несколько учетных записей от разных веб-сервисов. Следует отметить и неудобство, связанное с тем, что пользователи вынуждены проходить аутентификацию при каждом входе на любой корпоративный веб-ресурс.

Чтобы обеспечить защиту аутентификации для всех корпоративных приложений и веб-приложений, организации применяют продукты, реализующие концепцию единой технологии входа в веб-приложения, также известной как Web Single Sign-On (Web SSO). Дополнительно применяется специализированное решение класса Two-Factor Authentication Provider (2FA provider). Использование подобных программ позволяет построить единую систему усиленной аутентификации для корпоративных веб-сервисов.

Чтобы создать централизованную систему управления доступом и защиты доступа, необходимо прежде всего интегрировать платформу Web SSO со всеми целевыми ресурсами.

Платформа Indeed AM поддерживает интеграцию с веб-приложениями на основе следующих протоколов:

  • SAML;
  • ADFS;
  • OpenID Connect.

Для указанных протоколов Indeed AM реализует технологию Web SSO. При использовании Web SSO пользователь может аутентифицироваться на одном веб-ресурсе, а затем получить доступ к персональной странице на другом корпоративном веб-ресурсе – без дополнительной аутентификации.

Кроме того, Indeed AM включает в себя специализированный модуль, который можно установить на сервер Microsoft Internet Information Services с веб-приложениями.

Система единой веб аутентификации в Indeed AM

Для создания системы безопасного удаленного подключения можно использовать следующие средства усиленной аутентификации:

  • доставку одноразовых паролей с помощью электронной почты, SMS-сообщений, Telegram-бота;
  • push-аутентификацию;
  • мобильные приложения – генераторы одноразовых паролей;
  • аппаратные устройства – генераторы одноразовых паролей.

Indeed AM позволяет применять различные способы усиленной аутентификации в зависимости от группы пользователей или целевого веб-ресурса. Поэтому для каждой группы сотрудников можно подобрать оптимальный перечень средств аутентификации, определяемый уровнем критичности веб-приложений, к которым необходимо предоставить доступ.

Поддерживаемые каталоги пользователей

  • Active Directory
  • OpenLDAP, FreeIPA, ALD (I полугодие 2024 г.).
  • Многодоменная инфраструктура

Поддерживаемые целевые системы

  • Microsoft Internet Information Services
  • Веб-приложения

Поддерживаемые механизмы интеграции с целевыми приложениями

  • ADFS
  • SAML
  • OpenID Connect

Поддерживаемые средства усиленной аутентификации для удаленного доступа

  • Мобильные приложения – генераторы одноразовых паролей (Indeed Key, Google Authenticator, «Яндекс Ключ» и другие, поддерживающие протокол HOTP/TOTP).
  • Аппаратные брелоки – генераторы одноразовых паролей (eToken PASS и другие, поддерживающие протокол HOTP/TOTP).
  • Собственное приложение Indeed Key для генерации одноразовых паролей и push-аутентификации.
  • Доставка одноразовых паролей с помощью электронной почты, SMS-сообщений и Telegram-бота.

Получить бюджетную оценку проекта

Получить опросный лист

Программа импортозамещения

Ознакомьтесь со специальными условиями для комфортного перехода на российское программное обеспечение

Посмотреть

другие решения

отзывы клиентов