JaCarta Authentication Server
Высокопроизводительный сервер аутентификации Enterprise-класса (в составе платформы JaCarta Management System (JMS))
- Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
- Строгая аутентификация пользователей по протоколу U2F
- Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
- Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
- Высокая производительность
- Сервис безопасной передачи секрета программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
Сертифицировано ФСТЭК России
Аутентификация по одноразовым паролям, стандарту U2F или программным токенам
JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 3.7, поддерживающий работу как c аппаратными OTP и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств. Таких как приложение Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
- шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
- шлюз к рабочим столам Microsoft (Microsoft RDG)
- корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App
- web-приложения, сайты и облачные сервисы
- системы дистанционного банковского обслуживания (ДБО) и ЭДО
Глубокая интеграция JAS в платформу JMS 3.7 позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами, а также функциональные возможности Личного кабинета пользователя JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.
Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.
Работает только при условии использования мобильного приложения Aladdin 2FA.
PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.
Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.
Преимущества
Повышенная защищённость
Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP аутентификаторов.
Масштабируемость
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
Поддержка аппаратных и программных токенов
JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.
Совместимость
JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.
Универсальность и самодостаточность
Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:
- RADIUS
- REST
- WCF
- WS-Federation (ADFS)
- HTTP и SMPP (для интеграции c SMS-шлюзами).
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, а также средства управления токенами и пользователями.
Производительность, масштабируемость и отказоустойчивость
JAS выдерживает значительные нагрузки (свыше 5,000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность процессов аутентификации.
Поддержка мобильных устройств
JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Все приложения доступны в Google Play и Apple Store.
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Полная автоматизация возможных сценариев использования
Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 3.7 и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.
Многофункциональный Личный кабинет даёт возможность пользователю в рамках предоставленных администратором полномочий управлять своими аутентификаторами – осуществлять выпуск, синхронизацию, перевыпуск, блокировки и разблокировки.
Архитектура JAS
Сервер аутентификации JAS
Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.
Консоль управления
Управление из Единой консоли управления. См. подробнее JMS
База данных Microsoft SQL Server
- Хранение информации о токенах пользователей
- Единая база данных с JMS
- База данных создаётся автоматически в процессе настройки сервера JMS
- Отдельная шифрованная таблица, позволяющая перезапускать сервер, не предъявляя токен оператора для монтирования криптохранилища
Aladdin 2FA Service
- Сервис безопасной передачи секрета
- Сервис Push-аутентификации
JAS Server API
Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.
SDK JAS 3.7.1
JaCarta Authentication Server (JAS) содержит открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F- аутентификаторов. Клиентский интерфейс поддерживает одновременно 2 точки доступа по типам транспорта: “REST протокол HTTP ” и “WCF протоколы HTTP/SOAP и TCP/Binary ”, что позволяет интегрироваться практически с любыми системами.
Сертификаты
Высокопроизводительный сервер аутентификации JaCarta Authentication Server входит в состав платформы JaCarta Management System (JMS) 3.7.
Отечественное ПО, соответствующее требованиям регулятора
Система JMS создана в России, является полностью отечественной разработкой и включена в Единый реестр отечественного ПО (№ 311). Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, такие как учёт СКЗИ в соответствии с требованиями ФСБ России.
JMS сертифицирована ФСТЭК России на соответствие 4 уровню доверия и техническим условиям (сертификат соответствия № 4411 от 20 мая 2021 года).
Для клиентов, использующих системы иностранного происхождения, например, SafeNet Authentication Manager (SAM) или Token Management System (TMS), доступна простая миграция на JMS с сохранением всех настроек и данных.
Совместимость
Класс ПО/ПАК | Вендор | Продукт | Сертификат совместимости |
---|---|---|---|
СУБД | ООО "ППГ" | Postgres Pro | |
ООО "Газинформсервис" | Jatoba | сертификат | |
Ресурсные системы (Каталоги) | ООО "КРИПТО-ПРО" | УЦ КриптоПро 2.0 | |
УЦ КриптоПро 1.5 | |||
КриптоПро DSS | |||
Межсетевые экраны, VPN-концентраторы etc | ООО "Юзергейт" | Линейка МЭ UserGate | сертификат |
ООО "КРИПТО-ПРО" | VPN КриптоПро Ngate | сертификат | |
АО "ИнфоТеКС" | ПАК ViPNet PKI Service 2.3 | сертификат | |
Средства виртуализации | ООО "РЕД СОФТ" | РЕД Виртуализация | сертификат |
Функции JaCarta Authentication Server
-
Усиленная аутентификация пользователей по одноразовым паролям (OTP):
- Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
- Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
- Push-уведомления
- Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
- Messaging-токены (SMS)
- Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
-
Вариативность режимов аутентификации с применением OTP-токенов:
- Только OTP
- OTP + OTP PIN-код
- Доменный пароль + OTP
- Доменный пароль + OTP + OTP PIN-код
- Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS и Android) – невозможность повторного использования QR-кода
-
Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Отправка текущего времени и версии JAS на сервер A2FA
-
Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками:
- Обновление Messaging-токена
- Блокировка Messaging-токена
- Не предпринимать никаких действий
-
Автоматический перевыпуск JAS-токенов при изменении учетных данных пользователя
- Настройка действий: Перевыпускать или Не предпринимать никаких действий
- Автоматическая блокировка неактивных OTP-токенов
- Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
-
Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Кастомизация темы письма при отправке QR-кодов
-
Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
- В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удаленном подключении и Логин\Пароль\OTP при локальном входе
-
Интеграция с прикладным ПО с использованием стандартных протоколов:
- RADIUS
- REST
- WCF
- WS-Federation (ADFS)
-
HTTP и SMPP (для интеграции c SMS-шлюзами)
- Гибкая настройка подключения к SMS-шлюзами, механизмы диагностики
-
Компонент JAS Radius Server:
- Возможность замены NPS и FreeRADIUS для сценариев, где в качестве политик используются только группы
- Поддержка каталогов для чтения и проверки принадлежности к группам: AD, Samba AD-DC, FreeIPA, ALD Pro
- Возможность одновременно работы с несколькими доменами и LDAP-каталогами для проверки вхождения в группу пользователя
- Возможность перенаправлять запросы для обработки пароля на сторонний Radius Server
- Защита пароля пользователя путем инверсии порядка аутентификации. Пароль пользователя будет проверяться после успешной проверки второго фактора. Данную опцию можно активировать только при включенной опции Challenge-Response (Access-Challenge) на стороне JAS Radius Server. При этом у пользователя при аутентификации, как и раньше, будет запрашиваться сначала пароль, а затем второй фактор
- Поддержка нескольких Radius-клиентов с возможностью персональных настроек для каждого клиента
-
Поддержаны все функции плагина для NPS:
- Аутентификация по OTP, Messaging, Push-токенам
- Определение доступных средств аутентификации
- Ручной / автоматический выбор доступных средств аутентификации
- Указание домена по умолчанию
-
Широкие возможности интеграции с различными системами и сервисами:
- Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
- Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
- Web-приложения, сайты и облачные сервисы
- Системы дистанционного банковского обслуживания (ДБО)
- Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
-
Ведение журналов:
- Журнал аудита
-
Журнал событий аутентификации
- Отображение информации об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
- Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
- Выгрузка событий журналов аутентификации на Syslog-сервер
- Возможность фильтрации типов событий JAS для Syslog
-
Самообслуживание через Личный кабинет пользователя:
-
Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
- Текущий пользователь Windows
- Доменный пароль
- Пароль JMS
- Контрольные вопросы
- SMS-оповещение
- OTP-аутентификатор
- Messaging-аутентификатор.
- Двухфакторный вход в портал самообслуживания с возможностью гибко настроить способы входа для первого и второго шага аутентификации
-
Регистрация программного OTP или Push OTP посредством
- QR-кода
- Строки ручной регистрации
- Управление аутентификаторами
- Синхронизация счетчиков
- Смена OTPPIN
- Возможность кастомизации дизайна порталов
-
Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
- Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
- Поддержка PUSH-аутентификации в ADFS-плагине
- Поддержка Push-токенов в двухпроходном режиме NPS-плагина
- UI-конфигуратор плагинов NPS, ADFS, RDG
-
За счет интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
- Централизация управления через единую консоль
- Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
- Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
- Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
- Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
- Общая система журналирования событий и система e-mail уведомлений
-
Формирование отчётов
- Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
- Выгрузка журнала аутентификаций JAS в машиночитаемом формате
- Выгрузка списка OTP-токенов пользователей в виде отчета
- Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа проблем
- Проверка статуса активации OTP- и Push-токенов, выпущенных через сервис Aladdin 2FA
- Предупреждения об исчерпании лимита лицензий JAS (Aladdin 2FA)
-
Отказоустойчивость:
-
Microsoft Failover Cluster, модель Active/Standby:
- Несколько серверов JAS: синхронизация текущих значений счётчиков
- Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server
-
Microsoft Failover Cluster, модель Active/Standby:
Технические и эксплуатационные характеристики
Системные требования |
» Сервер JAS
Предварительно необходимо установить и настроить “Сервер JMS”
т.к. JAS интегрирован в платформу JMS и является его составной частью
» СУБДТребования к СУБД совпадают с требованиями, предъявляемыми к серверу СУБД для JMS (используется одна общая база). Имеется ограничение: необходимо использовать только СУБД Microsoft SQL Server. » JAS-плагин для NPS
» JAS-плагин для AD FS
» JAS-плагин для Microsoft RDG
» JAS-плагин для JOL
|
||||||||||
Поддерживаемые модели аппаратных токенов |
|
||||||||||
Поддерживаемые программные токены для мобильных устройств |
|
||||||||||
Поддерживаемые протоколы интеграции с прикладным ПО |
|
||||||||||
Поддерживаемые протоколы интеграции с SMS-шлюзами |
|
||||||||||
Поддерживаемые режимы аутентификации |
|
||||||||||
Двухфакторная аутентификация в ОС Windows |
|
||||||||||
Поддерживаемые алгоритмы генерации OTP |
|
||||||||||
Отказоустойчивость | Microsoft Failover Cluster, модель Active/Standby:
|
||||||||||
Сертификация |
ФСТЭК России Сертификат ФСТЭК России № 4411 от 20.05.2021 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||
Единый реестр отечественного ПО | JMS(JAS) — Первая корпоративная система управления жизненным циклом средств аутентификации, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) |
Требования к аппаратному обеспечению JAS 3.7.1
Таблица 1 – Требования к аппаратному обеспечению JAS
Производительность (операций аутентификаций в секунду) |
Протокол RADIUS: 40 оп/с* Протокол REST/WCF: 200 оп/с* |
Протокол RADIUS: 100 оп/с* Протокол REST/WCF: 500 оп/с* |
Протокол RADIUS: 200+ оп/с* Протокол REST/WCF: 1000+ оп/с* |
Требования к серверу |
Процессор: 2 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 100 Мб/c (фактическая скорость) |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS Скорость канала до СУБД: 1 Гб/c (фактическая скорость) |
Требования к серверу БД |
Процессор: 4 ядра, Частота ≥ 2.5 ГГц ОЗУ: Min – 4 ГБ, Рекомендуется – 6 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS |
Процессор: 8 ядер, Частота ≥ 2.5 ГГц ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS |
* количество операций аутентификации в секунду для сложного сценария «Доменный пароль + OTP + OTP PIN-код»
При использовании упрощённого сценария аутентификации производительность увеличивается c коэффициентом ~10.
Если в качестве сервера используется виртуальная машина, то её характеристики задаются так, чтобы производительность была равной или большей, чем указанная в таблице.
Схема
Задачи импортозамещения и санкционной независимости
Высокопроизводительный сервер аутентификации Enterprise-класса для обеспечения безопасного доступа внешних и внутренних пользователей к информационным ресурсам, сервисам, шлюзам, рабочим столам входит в состав платформы JaCarta Management System (JMS) 3.7.
Система JMS создана в России, является полностью отечественной разработкой и включена в Единый реестр отечественного ПО (№ 311).
Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, такие как учёт СКЗИ в соответствии с требованиями ФСБ России.
JMS сертифицирована ФСТЭК России на соответствие 4 уровню доверия и техническим условиям (сертификат соответствия № 4411 от 20 мая 2021 года).
Сервер аутентификации JAS способен заместить такие продукты зарубежных вендоров:
- Microsoft Multy Factor Authentication (MFA)
- Thales Multy Factor Authentication (MFA)
Документация
Уважаемые коллеги.
Мы постоянно работаем над развитием нашего ПО, поэтому актуальные версии эксплуатационной документации отгружаем только вместе с актуальными дистрибутивами ПО.
Представленная для загрузки версия документации предназначена для общего ознакомления и не может быть использована для работы с актуальными версиями ПО. Просим иметь это в виду.
Новые возможности JMS 3.7 в части JAS на 19.11.2024 г.
- Добавлена строгая проверка типа данных из ресурсной системы
- Добавлена настройка перевыпуска аутентификаторов при изменении Account Name
- Добавлена настройка для чтения атрибутов клиентского и серверного IP в плагине NPS
- Включение поддержки TLS версии выше 1.0 для syslog
-
Исправлены ошибки:
- Исправлено зависание планов обслуживания при потере связи с БД
- Не разблокируется автоматически аутентификатор, заблокированный по прекращению действия профиля
- Если в профиле выпуска OTP название имеет больше 100 символов - будет ошибка выпуска
- Не экспортируется журнал аутентификаций в результате выполнения задачи "Экспорт журнала аутентификаций"
- Исправлена проблема с выполнением планов обслуживания, если используется фильтрация по группе, содержащей пользователей из чужих недоверенных доменов
- Не работает наследование профилей, если система при инициализации привязана к конкретной OU
Новые возможности JMS 3.7 в части JAS на 31.05.2024 г.
-
Исправлены ошибки:
- Не выпускаются OTP-токены для некоторых новых пользователей
- Дата в заголовке, формируемом JAS, передаётся на шлюз SMS в неверном формате
- План обслуживания удаляется из очереди, если он не начал выполняться через 5 минут
- Не приходят уведомления при ошибках в плане обслуживания OTP
- В свойствах КН время отображается в UTC
Новые возможности JMS 3.7 в части JAS на 22.02.2024 г.
-
Исправлены ошибки:
- Разблокируются ОТП токены, заблокированные по неактивности по настройке: "Разблокировка пользователя"
- Не учитывается часовой пояс при отправке e-mail письма о регистрации OTP-аутентификатора
- При выпуске OTP-аутентификатора нет проверки на недопустимые символы и комбинации в адресе электронной почты
- При аутентификации через ADFS или RDS + RDP неправильно передается IP адрес в журналах аудита
- Не реализована обработка ошибки (пароль требует смены) для сценария аутентификации, когда на проверку передаётся более одного фактора
Новые возможности JMS 3.7 в части JAS на 01.11.2023 г.
- Реализована отправка текущего времени и версии JAS на сервер A2FA
- Неуспешные события аутентификации JAS фиксируются в журналах, даже если пользователь в JAS не найден
- В журнал аутентификаций добавлена информация об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
- Реализована отправка текущего времени и версии JAS на сервер A2FA
- Расширен аудит изменения кастомных атрибутов пользователя
-
Исправлены ошибки:
- Проблема бесконечного обновления КН в Консоли управления JMS при подключении JCWebPass (JC600)
- Ошибка входа по OTP который был удалён из JMS
- Не перезапускается служба после зависания плана обслуживания
- Ошибка блокировки токена по неактивности
- NPS-Plugin. Для всех протоколов кроме PAP, аутентификация по Push инициируется только после успешного завершения внутренних взаимодействий в NPS (AccessAccept)
- Отключена отправка уведомлений в A2FA (метод /pushAuthOk) об успешной аутентификации по Push (по событиям Accounting), т.к. это давало наводки на PEAP аутентификацию.
Новые возможности JMS 3.7.1 в части JAS на 11.08.2023 г.
- Реализованы предупреждения об исчерпании лимита лицензий JMS и JAS (A2FA)
- Реализован перевыпуск JAS-токенов при изменении учетных данных пользователя
-
Реализован JAS Radius Server
- Реализована аутентификация по OTP, Messaging, Push-токенам
- Реализована аутентификация с перенаправлением на сторонний RADIUS-сервер
- Реализовано определение доступных средств аутентификации
- Реализован ручной / автоматический выбор доступных средств аутентификации
- Реализовано указание домена по умолчанию
- Реализована возможность смены пароля пользователя через JAS
- Реализована проверка вхождения пользователей в группы LDAP-каталога
- Реализована возможность проверки «второго фактора» первым
- Реализована возможность задавать индивидуальные настройки для каждого RADIUS-клиента
- Реализована проверка членства в группе при однопроходном режиме
- Для однопроходного режима реализована аутентификация по Push
- Реализовано проксирование запросов на внешний RADIUS-сервер в однопроходном режиме
- Реализована проверка статуса активации токенов в A2FA
- Реализован API для мониторинга статуса сервиса
- Добавлена кастомизация текстовых сообщений пользователю
- Изменен формат настроек проверки вхождения пользователя в группу и логика установки 25 атрибута
- Реализовано получение UPN-суффиксов из LDAP-каталогов
- Исправлены ошибки, внесены улучшения
Новые возможности JMS 3.7.1 в части JAS на 18.05.2023 г.
- Реализована кастомизация темы письма при отправке QR-кодов
- Реализована проверка статуса активации OTP- и Push-токенов, выпущенных через сервис Aladdin 2FA (JAS – CheckAuthAvailablity)
- Реализована кастомизация текста ответа Radius для двухпроходного режима
- Произведена корректировка ссылок на приложение A2FA в email шаблонах
- Реализованы настройки управления заголовками, требуемые для интеграции с некоторыми SMS-шлюзами
- Исправлены ошибки, внесены улучшения
Новые возможности JMS 3.7.1 в части JAS на 02.03.2023 г.
- Реализована доработка настроек механизма отправки SMS
- Реализовано расширение логирования взаимодействия с сервисом Aladdin 2FA
- В e-mail шаблон выпуска OTP- и Push-токенов через сервис Aladdin 2FA добавлена ссылка для автоматической регистрации аутентификатора с мобильного устройства
- Исправлены ошибки, внесены улучшения
Новые возможности JMS 3.7.1 в части JAS на 05.12.2022 г.
- Реализована автоматическая блокировка неактивных OTP-токенов
- Реализована автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
- Оптимизирован текущий механизм блокировки токенов по перебору (для каждого из типов OTP-токенов отдельная настройка)
- Реализована выгрузка журнала аутентификаций JAS в машиночитаемом формате
- Реализована выгрузка списка OTP-токенов пользователей в виде отчета
- Реализована отправка по e-mail строки ручной регистрации OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA. Строка ручной регистрации теперь так же доступна в разделе безопасного считывания QR-кода личного кабинета
- Устранены ошибки, повышена производительность
Новые возможности JMS 3.7.1 в части JAS на 15.11.2022 г.
-
Реализовано отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками:
- Обновление Messaging-токена
- Блокировка Messaging-токена
- Не предпринимать никаких действий
- Устранены ошибки, повышена производительность
Новые возможности JMS 3.7.1 в части JAS на 01.10.2022 г.
- Реализовано отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
- Реализована поддержка Push-токенов в двухпроходном режиме NPS-плагина
- Реализован фильтр типов событий JAS для Syslog
- Реализован UI-конфигуратор плагинов NPS. ADFS, RDG
- Устранены ошибки, повышена производительность
Список изменений в JMS 3.7.1 в части JAS на 01.08.2022 г.
- Изменена лицензионная политика JAS: Лицензия расходуется при выпуске аутентификатора пользователю. Выпуск дополнительных аутентификаторов пользователю не вызывает дополнительного расхода лицензий
- Реализована поддержка PUSH-аутентификации в ADFS-плагине
- Доработана настройка подключения SMS-шлюза для аутентификации по base64 (login\password)
- В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удалённом подключении и Логин\Пароль\OTP при локальном входе
- Доработаны механизмы кастомизации портала ЛК
- Устранены ошибки, повышена производительность
Список изменений в JMS 3.7.1 по сравнению с JMS 3.7.0 в части JAS
- Реализована возможность аутентификации по SMS через NPS-плагин
- Реализована поддержка PUSH-аутентификации в NPS-плагине
- Реализована смена просроченного или требующего замены пароля пользователя Windows через NPS-плагин
- Реализован личный кабинет пользователя web-портала с возможностью:
- Аутентификации в ЛК через JAS
- Самостоятельного выпуска и управления OTP, PUSH и SMS аутентификаторами
- Безопасного считывания QR-кода из личного кабинета для активации OTP и PUSH токенов
- Поддержаны алгоритмы генерации для программных OTP:
- HOTP
- RFC 4226 + HMAC-SHA-256 (6 цифр)
- RFC 4226 + HMAC-SHA-256 (7 цифр)
- RFC 4226 + HMAC-SHA-256 (8 цифр)
- TOTP
- RFC 6238 + HMAC-SHA-256 (6 цифр)
- RFC 6238 + HMAC-SHA-256 (7 цифр)
- RFC 6238 + HMAC-SHA-256 (8 цифр)
- RFC 6238 + HMAC-SHA-512 (6 цифр)
- RFC 6238 + HMAC-SHA-512 (7 цифр)
- RFC 6238 + HMAC-SHA-512 (8 цифр)
- HOTP
- В JOL реализована возможность стандартного входа по Логин\Пароль при локальном входе и Логин\Пароль\OTP при подключении через RDP
- Новые e-mail шаблоны для мобильного приложения Aladdin 2FA с ссылкой на мобильное приложение в App Store/Google Play
- Устранены ошибки, повышена производительность