JaCarta Authentication Server на платформе Linux
Аутентификация по одноразовым паролям, стандарту U2F
JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS-аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 4LX.
- Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance)
- Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
- Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
- Высокая производительность (более 5000 аутентификаций в секунду)
- Сервис безопасной передачи секрета (вектора инициализации) программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
Описание
JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 4LX на платформе Linux, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств, таких как приложение Aladdin 2FA, разработанное компанией Аладдин Р.Д., а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
- шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется);
- шлюз к рабочим столам Microsoft (Microsoft RDG);
- корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
- web-приложения, сайты и облачные сервисы;
- системы дистанционного банковского обслуживания (ДБО) и ЭДО.
Глубокая интеграция JAS в платформу JMS 4LX позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.
Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.
Работает только при условии использования мобильного приложения Aladdin 2FA.
PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.
Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.
Преимущества
Повышенная защищённость
Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP-аутентификаторов.
Масштабируемость
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
Поддержка аппаратных и программных токенов
JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.
Совместимость
JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.
Универсальность и самодостаточность
Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:
- RADIUS
- REST
- WS-Federation (ADFS)
- HTTP и SMPP (для интеграции c SMS-шлюзами)
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, FreeRADIUS с модулем интеграции JAS, а также средства управления токенами и пользователями.
Производительность, масштабируемость и отказоустойчивость
JAS выдерживает значительные нагрузки (свыше 5000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка Failover Cluster на базе Corosync и Pacemaker (режим Active/Standby) и возможность работы с Microsoft SQL Server и PostgreSQL в режиме высокой доступности (high availability), что позволяет гарантировать бесперебойность процессов аутентификации.
Поддержка мобильных устройств
JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Приложение Aladdin 2FA доступно в Google Play, Apple Store, AppGallery, RuMarket, NashStore, RuStore.
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Полная автоматизация возможных сценариев использования
Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 4LX на платформе Linux и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.
Технические подробности
Функции JaCarta Authentication Server
- Усиленная аутентификация пользователей по одноразовым паролям (OTP):
- Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
- Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
- Push-уведомления
- Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
- Messaging-токены (SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
- Вариативность режимов аутентификации с применением OTP-токенов:
- Только OTP
- OTP + OTP PIN-код
- Доменный пароль + OTP
- Доменный пароль + OTP + OTP PIN-код
- Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS, Android, Аврора) – невозможность повторного использования QR-кода
- Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа
- Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками
- Автоматическая блокировка неактивных OTP-токенов
- Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
- Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
- Двухфакторная аутентификация в ОС Linux посредством продукта Aladdin Secure Logon
- Интеграция с прикладным ПО с использованием стандартных протоколов:
- RADIUS;
- REST;
- WS-Federation (ADFS);
- HTTP и SMPP (для интеграции c SMS-шлюзами)
- Гибкая настройка подключения к SMS-шлюзами, механизмы диагностика.
- Широкие возможности интеграции с различными системами и сервисами:
- Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
- Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
- Web-приложения, сайты и облачные сервисы
- Системы дистанционного банковского обслуживания (ДБО)
- Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
- Ведение журналов:
- Журнал аудита
- Журнал событий аутентификации
- Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
- Выгрузка событий журналов аутентификации на Syslog-сервер
- Возможность фильтрации типов событий JAS для Syslog
- Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
- Поддержка FreeRadius
- Поддержка Push-аутентификации в ADFS-плагине
- Поддержка Push-токенов в двухпроходном режиме NPS-плагина
- UI-конфигуратор плагинов NPS, ADFS, RDG
- За счет интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
- Централизация управления через единую консоль
- Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
- Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
- Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
- Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
- Общая система журналирования событий и система e-mail уведомлений
- Формирование отчётов
- Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
- Выгрузка журнала аутентификаций JAS в машиночитаемом формате
- Выгрузка списка OTP-токенов пользователей в виде отчета
- Отказоустойчивость:
- Corosync + Pacemaker, модель Active/Passive
- Поддержка миграции с JMS 3.7.1
Технические и эксплуатационные характеристики
| Системные требования |
» Сервер JAS
» СУБД
» JAS-плагин для NPS
» JAS-плагин для AD FS
» JAS-плагин для Microsoft RDG
» JAS-плагин для JOL
» JAS-плагин для FreeRADIUS
|
||||||||||||
| Поддерживаемые модели аппаратных токенов |
|
||||||||||||
| Поддерживаемые программные токены для мобильных устройств |
|
||||||||||||
| Поддерживаемые протоколы интеграции с прикладным ПО |
|
||||||||||||
| Поддерживаемые протоколы интеграции с SMS-шлюзами |
|
||||||||||||
| Поддерживаемые режимы аутентификации |
|
||||||||||||
| Двухфакторная аутентификация в ОС Windows |
|
||||||||||||
| Поддерживаемые алгоритмы генерации OTP |
|
||||||||||||
| Отказоустойчивость | Failover Cluster на базе Corosync и Pacemaker, модель Active/Standby:
|
||||||||||||
| Сертификация |
ФСТЭК России Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||||
| Единый реестр отечественного ПО | JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) |
Архитектура JAS
Сервер аутентификации JAS
Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.
Консоль управления
Управление из Единой консоли управления. См. подробнее JMS
База данных
- Хранение информации о токенах пользователей
- Единая база данных с JMS
- База данных создаётся автоматически в процессе настройки сервера JMS
Aladdin 2FA Service
- Сервис безопасной передачи секрета
- Сервис Push-аутентификации
JAS Server API
Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.
| Класс ПО/ПАК | Вендор | Продукт | Сертификат совместимости |
|---|---|---|---|
| Операционные системы | ООО "РусБИТех-Астра" | Astra Linux SE 1.7 Смоленск | сертификат |
| Astra Linux SE 1.6 Смоленск | |||
| Astra Linux CE 2.12 Орел | |||
| ООО "Базальт СПО" | Альт 8 СП | сертификат | |
| ООО "РЕД СОФТ" | РЕД ОС 7.2 МУРОМ | ||
| РЕД ОС 7.3 МУРОМ | сертификат | ||
| СУБД | ООО "ППГ" | Postgres Pro | |
| ООО "Газинформсервис" | Jatoba | сертификат | |
| Ресурсные системы (Каталоги) | ООО "РусБИТех-Астра" | ALD Pro | |
| Межсетевые экраны, VPN-концентраторы etc | ООО "Юзергейт" | Линейка МЭ UserGate | |
| ООО "КРИПТО-ПРО" | VPN КриптоПро Ngate | ||
| Средства виртуализации | ООО "РЕД СОФТ" | РЕД Виртуализация |
Задать вопрос эксперту
