Система, которая позволяет организовать двухфакторную аутентификацию в организации.
Всем привет!
Т.к. каждый из нас работает в определёны сферах и в различных компаниях. нам приходится сталкиваться с разными решениями и продуктами.
Данный пост не является рекламой конкретного решения или компании, а является передачей информации.
Что такое аутентификация? rlepricon.
Что такое OTP? Ответила я чуть раньше.
Какие есть методы аутентификации с помощью OTP? dkovalenko
Какие бывают OTP устройства?
Но вот на вопрос: Какие системы могут помочь и обеспечить аутентификацию по OTP? Пока нет.
И так, попробую я.
Есть несколько видов аутентификации, например парольная аутентификация, аутентификация с помощью биометрических характеристик, аутентификация на основе системы открытых ключей, с помощью одноразовых паролей и др.
Сейчас я расскажу об аутентификации с помощью одноразовых паролей, точнее о системе (программно-аппаратный комплексе), который позволяет обеспечить двухфакторную аутентификацию с использованием бесконтактных токенов. Этот программно-аппаратный комплекс называется SAS (SafeNet Authentication Service), разработка компании SafeNet Inc.
Если в компании небольшое количество пользователей, то управлять ключами используемых для аутентификации достаточно просто и нет необходимости внедрять большую и дорогостоящую систему. Если предполагается аутентификация для большой организации, то в большинство случаях используется система аутентификации на основе PKI и встаёт вопрос управления жизненным циклом ключей. Но не мало важно заметить, что большие организации в современности имеют большое количество пользователей, которые работают удалённо, на мобильных устройствах. Когда пользователь работает, через планшет и мобильные устройства, использование аутентификационных устройств усложняется и часто из за этого, работники отказываются от них, тем самым нарушая политики безопасности организации.
Как раз как помощь для решения этой проблемы, можно рассмотреть програмно-аппаратный комплекс SAS (SafeNet Authentication Service), и внедрить в организации дополнительные сервисы для обеспечении аутентификации с использованием OTP.
Сервисы аутентификации SafeNet делают строгую двухфакторную аутентификацию простой для использования и управления. Подход компании SafeNet —позволить заказчикам избежать традиционных сложностей в аутентификации.
SafeNet Authentication Service поддерживают широкий спектр средств аутентификации (как программных, так и аппаратных), что позволяет корпоративным пользователям выбирать необходимый им тип токена, соответствующий их специфическим особенностям бизнеса.
— Строгая аутентификация может быть обеспечена везде, где до сего момента использовалась лишь парольная защита, поскольку реализуется посредством промышленных стандартов (таких, как RADIUS и SAML) и доступна через API и агенты для используемых корпоративных приложений.
— Поддержка средств аутентификации и сохранность инвестиций заказчиков при смене производителя.
— Комплексная автоматизации SafeNet Authentication Service существенно уменьшает стоимость управления.
— Средства аутентификации SafeNet с течением времени остаются пригодными для использования, выпуска и выдачи другим пользователям, что значительно сокращает совокупную стоимость владения и административные расходы.
— SafeNet Authentication Service обеспечивает самую низкую общую стоимость владения среди всех решений для аутентификации на рынке.
— В рамках сервисов аутентификации SafeNet пользователям предоставляется доступ к порталу самообслуживания, с помощью которого пользователи могут самостоятельно выполнить множество функций, доступных ранее только при задействовании ИТ-службы компании.
Предприятия могут использовать в своих интересах все вышеупомянутые преимущества SafeNet Authentication Service.
Основной принцип сервисов аутентификации SafeNet делает двухфакторную аутентификацию доступной для любых категорий корпоративных пользователей. Чтобы добиться этого компания SafeNet представила технологии, которые намного легче в использовании и менее дорогие за счет сокращения административных издержек.
Схема и способы интеграции SAS.
Для интеграции SAS используются стандартные протоколы RADIUS и SAML 2.0, или используются специализированные агенты.
На данный момент доступны агенты:
1) Агент для синхронизации с LDAP хранилищем (32/64 бит);
2) Агент для Cisco Any Connect (32/64 бит);
3) Агент для Citrix Web Interface (32/64 бит);
4) Агент для работы с IIS 7 – Terminal Services Web и Remote Desktop Web (32/64 бит);
5) Агент для Microsoft Outlook Web Access 2007, 2010, 2013 (32/64 бит);
6) Агент для службы Microsoft NPS/IAS (32/64 бит);
7) Агент для Microsoft SharePoint (32/64 бит);
8) Агент для Windows Logon для операционных систем Widnows XP/Vista/7/8 (32/64 бит).
Интеграция в Linux/UNIX системах происходит через RADIUS протокол. Для этого выполняется инсталляция RADIUS агента в операционной системе и в настройках PAM модуля прописывается требование для выполнения процедуры аутентификации через внешний RADIUS сервер. Данная процедура позволяет настроить вход в систему по одноразовому паролю для всех сервисов, поддерживающих PAM, а это большинство служб операционной системы – начиная от входа в консоль и графические оболочки заканчивая SSH, telnet, FTP и т.д. Более того, гибкость PAM модулей позволяет совмещать различные типы аутентификации для сервиса.
На сегодня решение SafeNet поддерживает следующие аппаратные генераторы:
1) SafeNet eToken 3000 (ранее известный как eToken PASS) – пластмассовый брелок, позволяющий формировать значение одноразового пароля с синхро-низацией по событию;
2) SafeNet KT4/KT5 – пластмассовый и металлический брелоки, позволяющий формировать значение одноразового пароля с синхронизацией по событию;
3) SafeNet eToken 3400 – генератор одноразовых паролей, выполненный в форм-факторе смарт карты, позволяющий формировать значение одноразового пароля с синхронизацией по событию;
4) SafeNet eToken GOLD – брелок-«калькулятор», работающий в двух режимах: challenge-response и генератор одноразовых паролей с синхронизацией по событиям;
5) SafeNet eToken RB-1 – брелок-«калькулятор», работающий в двух режимах: challenge-response и генератор одноразовых паролей с синхронизацией по событиям;
6) SMS (Short Messaging Service) – генерация одноразового пароля осуществля-ется на стороне сервера с дальнейшей доставкой значения OTP в виде SMS. На сегодня SafeNet Authentication Service поддерживает работу с заранее преднастроенными SMS-шлюзами, а также имеет возможность добавлять собственные SMS-шлюзы, позволяя создавать один или два одновременно работающих шлюза, обеспечивая тем самым гарантированную доставку SMS.
С выходом нового релиза SafeNet Authentication Service стал поддерживать два схожих по своей структуре программных токена – MP-1 и MobilePASS (который, в свою очередь, был мигрирован из проекта SafeNet Authentication Manager). Программный токен представляет собой софтверное решение, функционирующее либо в среде операционной системы (на данный момент это Windows и Mac OS), либо инсталлируемое на мобильную платформу, под управлением одной из следующих операционных систем: Android, iOS, J2ME, Windows Mobile, BlackBerry.
Компания SafeNet не обошла стороной и сторонних производителей токенов. Так SAS помимо своих токенов может работать и с генераторами одноразовых паролей от компании RSA (RSA SecureID), а также токенов с поддержкой OAuth протокола.
Теперь стоит поговорить о лицензировании – именно политика лицензирования определяет стоимость владения системы. В части SAS все очень просто – лицензирование осуществляется по числу пользователей, при этом в это понятие вкладывается и техническая поддержка, и абсолютно бесплатный токен MP-1, для инсталляции на мобильную платформу или стационарную рабочую станцию. Аппаратные токены приобретаются отдельно, как и отдельно приобретаются токены GrIDsure. Здесь также необходимо отметить, что одному субъекту системы можно назначить два и более токенов. Это позволит использовать разные типы токенов при аутентификации в разных сервисах и в разных ситуациях – система будет проверять все возможные значения OTP от разных токенов.
Резюме:
1) SAS поддерживает широкую линейку токенов (аппаратную, программную, генерируемых на стороне сервера), которые позволяют каждому пользователю выбрать определенный тип токена для своих индивидуальных нужд;
2) Двухфакторная аутентификация может быть использована там, где сейчас ис-пользуются статический пароли за счет применения индустриальных стандартов таких как RADIUS и SAML, а также агентов для интеграции со службами;
3) SAS поддерживает генераторы одноразовых паролей сторонних производителей, что позволяет мигрировать на новую платформу, использую приобретенные токены в компании;
4) Высокий уровень автоматизации позволяет снизить расходы на управление и администрирование SAS;
5) Срок действия токенов не ограничен и они могут быть переинициализированы для новых пользователей, тем самым снизив общую стоимость владения системой;
6) Пользователю может быть присвоено более одного токена, что позволит выполнять процедуру аутентификации с различных устройств;
7) SAS предоставляет портал самообслуживания, снижая при этом нагрузку на администрирование и сокращая время решения проблем, связанных с генераторами одноразовых паролей;
8) SAS сертифицирован в системе сертификации ФСТЭК России на соответствие требованиям технических условий.
Т.к. каждый из нас работает в определёны сферах и в различных компаниях. нам приходится сталкиваться с разными решениями и продуктами.
Данный пост не является рекламой конкретного решения или компании, а является передачей информации.
Что такое аутентификация? rlepricon.
Что такое OTP? Ответила я чуть раньше.
Какие есть методы аутентификации с помощью OTP? dkovalenko
Какие бывают OTP устройства?
Но вот на вопрос: Какие системы могут помочь и обеспечить аутентификацию по OTP? Пока нет.
И так, попробую я.
Есть несколько видов аутентификации, например парольная аутентификация, аутентификация с помощью биометрических характеристик, аутентификация на основе системы открытых ключей, с помощью одноразовых паролей и др.
Сейчас я расскажу об аутентификации с помощью одноразовых паролей, точнее о системе (программно-аппаратный комплексе), который позволяет обеспечить двухфакторную аутентификацию с использованием бесконтактных токенов. Этот программно-аппаратный комплекс называется SAS (SafeNet Authentication Service), разработка компании SafeNet Inc.
Если в компании небольшое количество пользователей, то управлять ключами используемых для аутентификации достаточно просто и нет необходимости внедрять большую и дорогостоящую систему. Если предполагается аутентификация для большой организации, то в большинство случаях используется система аутентификации на основе PKI и встаёт вопрос управления жизненным циклом ключей. Но не мало важно заметить, что большие организации в современности имеют большое количество пользователей, которые работают удалённо, на мобильных устройствах. Когда пользователь работает, через планшет и мобильные устройства, использование аутентификационных устройств усложняется и часто из за этого, работники отказываются от них, тем самым нарушая политики безопасности организации.
Как раз как помощь для решения этой проблемы, можно рассмотреть програмно-аппаратный комплекс SAS (SafeNet Authentication Service), и внедрить в организации дополнительные сервисы для обеспечении аутентификации с использованием OTP.
Сервисы аутентификации SafeNet делают строгую двухфакторную аутентификацию простой для использования и управления. Подход компании SafeNet —позволить заказчикам избежать традиционных сложностей в аутентификации.
SafeNet Authentication Service поддерживают широкий спектр средств аутентификации (как программных, так и аппаратных), что позволяет корпоративным пользователям выбирать необходимый им тип токена, соответствующий их специфическим особенностям бизнеса.
— Строгая аутентификация может быть обеспечена везде, где до сего момента использовалась лишь парольная защита, поскольку реализуется посредством промышленных стандартов (таких, как RADIUS и SAML) и доступна через API и агенты для используемых корпоративных приложений.
— Поддержка средств аутентификации и сохранность инвестиций заказчиков при смене производителя.
— Комплексная автоматизации SafeNet Authentication Service существенно уменьшает стоимость управления.
— Средства аутентификации SafeNet с течением времени остаются пригодными для использования, выпуска и выдачи другим пользователям, что значительно сокращает совокупную стоимость владения и административные расходы.
— SafeNet Authentication Service обеспечивает самую низкую общую стоимость владения среди всех решений для аутентификации на рынке.
— В рамках сервисов аутентификации SafeNet пользователям предоставляется доступ к порталу самообслуживания, с помощью которого пользователи могут самостоятельно выполнить множество функций, доступных ранее только при задействовании ИТ-службы компании.
Предприятия могут использовать в своих интересах все вышеупомянутые преимущества SafeNet Authentication Service.
Основной принцип сервисов аутентификации SafeNet делает двухфакторную аутентификацию доступной для любых категорий корпоративных пользователей. Чтобы добиться этого компания SafeNet представила технологии, которые намного легче в использовании и менее дорогие за счет сокращения административных издержек.
Схема и способы интеграции SAS.
Для интеграции SAS используются стандартные протоколы RADIUS и SAML 2.0, или используются специализированные агенты.
На данный момент доступны агенты:
1) Агент для синхронизации с LDAP хранилищем (32/64 бит);
2) Агент для Cisco Any Connect (32/64 бит);
3) Агент для Citrix Web Interface (32/64 бит);
4) Агент для работы с IIS 7 – Terminal Services Web и Remote Desktop Web (32/64 бит);
5) Агент для Microsoft Outlook Web Access 2007, 2010, 2013 (32/64 бит);
6) Агент для службы Microsoft NPS/IAS (32/64 бит);
7) Агент для Microsoft SharePoint (32/64 бит);
8) Агент для Windows Logon для операционных систем Widnows XP/Vista/7/8 (32/64 бит).
Интеграция в Linux/UNIX системах происходит через RADIUS протокол. Для этого выполняется инсталляция RADIUS агента в операционной системе и в настройках PAM модуля прописывается требование для выполнения процедуры аутентификации через внешний RADIUS сервер. Данная процедура позволяет настроить вход в систему по одноразовому паролю для всех сервисов, поддерживающих PAM, а это большинство служб операционной системы – начиная от входа в консоль и графические оболочки заканчивая SSH, telnet, FTP и т.д. Более того, гибкость PAM модулей позволяет совмещать различные типы аутентификации для сервиса.
На сегодня решение SafeNet поддерживает следующие аппаратные генераторы:
1) SafeNet eToken 3000 (ранее известный как eToken PASS) – пластмассовый брелок, позволяющий формировать значение одноразового пароля с синхро-низацией по событию;
2) SafeNet KT4/KT5 – пластмассовый и металлический брелоки, позволяющий формировать значение одноразового пароля с синхронизацией по событию;
3) SafeNet eToken 3400 – генератор одноразовых паролей, выполненный в форм-факторе смарт карты, позволяющий формировать значение одноразового пароля с синхронизацией по событию;
4) SafeNet eToken GOLD – брелок-«калькулятор», работающий в двух режимах: challenge-response и генератор одноразовых паролей с синхронизацией по событиям;
5) SafeNet eToken RB-1 – брелок-«калькулятор», работающий в двух режимах: challenge-response и генератор одноразовых паролей с синхронизацией по событиям;
6) SMS (Short Messaging Service) – генерация одноразового пароля осуществля-ется на стороне сервера с дальнейшей доставкой значения OTP в виде SMS. На сегодня SafeNet Authentication Service поддерживает работу с заранее преднастроенными SMS-шлюзами, а также имеет возможность добавлять собственные SMS-шлюзы, позволяя создавать один или два одновременно работающих шлюза, обеспечивая тем самым гарантированную доставку SMS.
С выходом нового релиза SafeNet Authentication Service стал поддерживать два схожих по своей структуре программных токена – MP-1 и MobilePASS (который, в свою очередь, был мигрирован из проекта SafeNet Authentication Manager). Программный токен представляет собой софтверное решение, функционирующее либо в среде операционной системы (на данный момент это Windows и Mac OS), либо инсталлируемое на мобильную платформу, под управлением одной из следующих операционных систем: Android, iOS, J2ME, Windows Mobile, BlackBerry.
Компания SafeNet не обошла стороной и сторонних производителей токенов. Так SAS помимо своих токенов может работать и с генераторами одноразовых паролей от компании RSA (RSA SecureID), а также токенов с поддержкой OAuth протокола.
Теперь стоит поговорить о лицензировании – именно политика лицензирования определяет стоимость владения системы. В части SAS все очень просто – лицензирование осуществляется по числу пользователей, при этом в это понятие вкладывается и техническая поддержка, и абсолютно бесплатный токен MP-1, для инсталляции на мобильную платформу или стационарную рабочую станцию. Аппаратные токены приобретаются отдельно, как и отдельно приобретаются токены GrIDsure. Здесь также необходимо отметить, что одному субъекту системы можно назначить два и более токенов. Это позволит использовать разные типы токенов при аутентификации в разных сервисах и в разных ситуациях – система будет проверять все возможные значения OTP от разных токенов.
Резюме:
1) SAS поддерживает широкую линейку токенов (аппаратную, программную, генерируемых на стороне сервера), которые позволяют каждому пользователю выбрать определенный тип токена для своих индивидуальных нужд;
2) Двухфакторная аутентификация может быть использована там, где сейчас ис-пользуются статический пароли за счет применения индустриальных стандартов таких как RADIUS и SAML, а также агентов для интеграции со службами;
3) SAS поддерживает генераторы одноразовых паролей сторонних производителей, что позволяет мигрировать на новую платформу, использую приобретенные токены в компании;
4) Высокий уровень автоматизации позволяет снизить расходы на управление и администрирование SAS;
5) Срок действия токенов не ограничен и они могут быть переинициализированы для новых пользователей, тем самым снизив общую стоимость владения системой;
6) Пользователю может быть присвоено более одного токена, что позволит выполнять процедуру аутентификации с различных устройств;
7) SAS предоставляет портал самообслуживания, снижая при этом нагрузку на администрирование и сокращая время решения проблем, связанных с генераторами одноразовых паролей;
8) SAS сертифицирован в системе сертификации ФСТЭК России на соответствие требованиям технических условий.
0 комментариев