Аутентификация по одноразовым паролям, стандарту U2F или программным токенам
JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 3.7.
JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 3.7, поддерживающий работу как c аппаратными OTP и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств. Таких как приложение Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
Глубокая интеграция JAS в платформу JMS 3.7 позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами, а также функциональные возможности Личного кабинета пользователя JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.
Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.
Работает только при условии использования мобильного приложения Aladdin 2FA.
PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.
Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.
Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP аутентификаторов.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.
JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.
Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, а также средства управления токенами и пользователями.
JAS выдерживает значительные нагрузки (свыше 5,000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность процессов аутентификации.
JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Все приложения доступны в Google Play и Apple Store.
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 3.7 и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.
Многофункциональный Личный кабинет даёт возможность пользователю в рамках предоставленных администратором полномочий управлять своими аутентификаторами – осуществлять выпуск, синхронизацию, перевыпуск, блокировки и разблокировки.
Системные требования |
» Сервер JAS
» СУБДТребования к СУБД совпадают с требованиями, предъявляемыми к серверу СУБД для JMS (используется одна общая база). Имеется ограничение: необходимо использовать только СУБД Microsoft SQL Server. » JAS-плагин для NPS
» JAS-плагин для AD FS
» JAS-плагин для Microsoft RDG
» JAS-плагин для JOL
|
||||||||||
Поддерживаемые модели аппаратных токенов |
|
||||||||||
Поддерживаемые программные токены для мобильных устройств |
|
||||||||||
Поддерживаемые протоколы интеграции с прикладным ПО |
|
||||||||||
Поддерживаемые протоколы интеграции с SMS-шлюзами |
|
||||||||||
Поддерживаемые режимы аутентификации |
|
||||||||||
Двухфакторная аутентификация в ОС Windows |
|
||||||||||
Поддерживаемые алгоритмы генерации OTP |
|
||||||||||
Отказоустойчивость | Microsoft Failover Cluster, модель Active/Standby:
|
||||||||||
Сертификация |
ФСТЭК России Сертификат ФСТЭК России № 4411 от 20.05.2021 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||
Единый реестр отечественного ПО | JMS(JAS) — Первая корпоративная система управления жизненным циклом средств аутентификации, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) |
Архитектура JAS
Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.
Управление из Единой консоли управления. См. подробнее JMS
Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.
JaCarta Authentication Server (JAS) содержит открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F- аутентификаторов. Клиентский интерфейс поддерживает одновременно 2 точки доступа по типам транспорта: “REST протокол HTTP ” и “WCF протоколы HTTP/SOAP и TCP/Binary ”, что позволяет интегрироваться практически с любыми системами.
Таблица 1 – Требования к аппаратному обеспечению JAS
Производительность (операций аутентификаций в секунду) |
Протокол RADIUS: 40 оп/с* Протокол REST/WCF: 200 оп/с* |
Протокол RADIUS: 100 оп/с* Протокол REST/WCF: 500 оп/с* |
Протокол RADIUS: 200+ оп/с* Протокол REST/WCF: 1000+ оп/с* |
Требования к серверу |
Процессор: 2 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 6 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
* количество операций аутентификации в секунду для сложного сценария «Доменный пароль + OTP + OTP PIN-код»
При использовании упрощённого сценария аутентификации производительность увеличивается c коэффициентом ~10.
Если в качестве сервера используется виртуальная машина, то её характеристики задаются так, чтобы производительность была равной или большей, чем указанная в таблице.
Класс ПО/ПАК | Вендор | Продукт | Сертификат совместимости |
---|---|---|---|
СУБД | ООО "ППГ" | Postgres Pro | |
ООО "Газинформсервис" | Jatoba | сертификат | |
Ресурсные системы (Каталоги) | ООО "КРИПТО-ПРО" | УЦ КриптоПро 2.0 | |
УЦ КриптоПро 1.5 | |||
КриптоПро DSS | |||
Межсетевые экраны, VPN-концентраторы etc | ООО "Юзергейт" | Линейка МЭ UserGate | сертификат |
ООО "КРИПТО-ПРО" | VPN КриптоПро Ngate | сертификат | |
АО "ИнфоТеКС" | ПАК ViPNet PKI Service 2.3 | сертификат | |
Средства виртуализации | ООО "РЕД СОФТ" | РЕД Виртуализация | сертификат |