SlideShare uma empresa Scribd logo

Blitz Identity Provider

Mikhail Vanin
Mikhail Vanin

Обзорная презентация по продукту Blitz Identity Provider

Software
1 de 54
© ООО «РЕАК СОФТ» Blitz Identity Provider Подробный обзор возможностей продукта Москва, 2016
Назначение Blitz Identity Provider – платформа создания единого сервиса доступа в организации. Единый сервис доступа обеспечивает идентификацию, аутентификацию и контроль доступа пользователей к приложениям организации.
Благодаря единому сервису доступа Пользователи с использованием любых устройств проходят идентификацию и аутентификацию. Получают доступ к приложениям как внутри, так и вне организации.
Ценности продукта Пользователям: 1) Используя всего одну учётную запись пользователь получает доступ ко всем приложениям организации. Пользователи избавлены от необходимости помнить много логинов и паролей. 2) Используют надежные методы двухфакторной аутентификации. 3) Имеют средства для самостоятельного контроля событий безопасности, связанных с входом/выходом в приложения. Владельцам/администраторам: 1) Централизуют управление аутентификацией, снижают эксплуатационные затраты. 2) Внедрение новых приложений происходит быстрее – не нужно раздавать пользователям логины и пароли. 3) Увеличивают безопасность. 4) Снижают зависимость от поставщиков решений по аутентификации. Легко можно заменять поставщиков смарт- карт/токенов. 5) С меньшими затратами добиваются соответствия нормативным требованиям по ИБ.
Преимущества Blitz Identity Provider 1) ПО включено в единый реестр российских программ для ЭВМ и баз данных (подана заявка). 2) Конкурентоспособная цена. 3) Для использования ПО не требуются сторонние лицензии. 4) Бесшовная интеграция с существующей ИТ- инфраструктурой (LDAP, IDM). 5) Пользователи могут использовать любые устройства доступа (ПК, Мак, планшеты, смартфоны). 6) Поддержка мобильных приложений и облачных приложений.
1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
Пользователи устали от парольного хаоса Я не хочу запоминать много паролей от своих рабочих учетных записей. И мне не нравится, что при смене пароля в каждом приложении свои правила его задания. Мне не нравится, что когда переключаюсь между приложениями, то у меня каждый раз просят вновь ввести логин и пароль. И что мешает сделать, чтобы экраны входа выглядели одинаково? Я редко использовала приложение и забыла от него пароль. И как мне его теперь восстановить?
Беспорядок с входом в приложения беспокоит и администраторов Я не могу гибко настроить в приложениях правила аутентификации. Придется довольствоваться парольной аутентификацией. При внедрении нового приложения мне нужно готовить для него учетные записи, давать доступы, выдавать пользователям пароли. На это я трачу свои время и энергию. Пользователи не могут быстро усвоить новые пароли. Внедрение новых приложений происходит медленно. Чем больше приложений со своей системой входа, тем чаще инциденты «забыл пароль». Пора что-то с этим предпринять. Единая система входа устранит неудобства
Беспорядок с входом в приложения беспокоит и администраторов У меня нет единой картины, в какие приложения кто из пользователей и как часто ходит. Я не уверен, что все эти механизмы аутентификации в разных приложениях безопасны. Сделанное «плохо» приложение компрометирует пароли и несет угрозу безопасности. Пользователи выбирают ненадежные пароли. Вход не защищен. Парольные политики не эффективны. Единая система входа повысит безопасность организации
Внедрение SSO и единого сервиса доступа решит проблемы Какое решение выбрать? Что будет актуальным сегодня и завтра?
Эволюция условий, в которых должно функционировать SSO-решение Пользователи приложений – исключительно сотрудники компании Все устройства доступа – это ПК Все приложения развернуты исключительно внутри организации Вчерашний день Люди (пользователи) Устройства доступа Приложения и данные
Сотрудники (тысячи) Поставщики, партнеры Потребители (миллионы) Приложения внутри организации Облачные приложения (SaaS) Люди (пользователи) Устройства доступа Приложения и данные Сегодня и завтра Эволюция условий, в которых должно функционировать SSO-решение ПК Планшеты Смартфоны Часы
«Я-центричность» – современная парадигма доступа Защита доступа обеспечивается без ограничений свободы выбора пользователя, но с соблюдением установленной политики безопасности Свобода в выборе операционной системы и веб-браузера Свобода в выборе устройства доступа (ПК, Мак, планшет, смартфон) Свобода осуществлять доступ как из офиса, так и удаленно Свобода в выборе удобного метода аутентификации Возможность контроля за использованием приложениями персональных данных
Способы подключения приложений к Blitz Identity Provider для обеспечения SSO Прямое подключение к поставщику идентификации Наилучший способ подключения, но требует, чтобы приложение поддерживало один из протоколов или методов интеграции: 1) Подключение приложения по протоколу SAML (1.0/1.1/2.0). 2) Подключение приложения по протоколамOpenID Connect 1.0 / OAuth 2.0. Подключение через шлюз Способ применяется для веб- приложений внутри организации, в случае если для них неприменимо подключение с использованием протоколовSAML/OpenID/OAuth. Используются следующие техники: 1) Перехват встроенной страницы аутентификации приложения и заполнение в ней аутентификационных данных средствами шлюза. 2) Формирование сессии путем установки требуемых приложению cookie или http- параметров.
Подключение приложений по протоколу SAML SAML – популярный стандарт для подключения корпоративных и облачных приложений к серверу аутентификации. Большинство популярных приложений имеют или встроенную поддержку SAML, или сторонние расширения, обеспечивающие работу по SAML. Есть библиотеки для реализации SAML-клиентов для всех популярных платформ разработки, что облегчает поддержку SAML в приложениях заказной разработки.
Примеры приложений, поддерживающих SAML
Типовая схема подключения SAML-приложений к Blitz Identity Provider Настройки на стороне приложения 1) Прописать метаданные Blitz Identity Provider (берутся из административной консоли). 2) Выгрузить метаданные приложения. 3) После завершения настроек в Blitz Identity Provider проверить работу приложения – идентификация пользователей будет выполняться через Blitz Identity Provider. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли метаданные приложения. 2) Создать необходимые приложению SAML- утверждения и установить их связь с пользовательскими атрибутами. 3) Настроить перечень передаваемых приложению атрибутов, а также требований к их шифрованию и подписанию в соответствии с нуждами приложения.
Примеры экранов настройки SAML в Blitz Identity Provider
Примеры экранов настройки SAML в Blitz Identity Provider
Схема подключения OpenID Connect приложения Настройки на стороне приложения 1) Прописать URL-адресаOAuth- сервисов Blitz Identity Provider или дать ссылку на «.well- known»-сервис. 2) Задать в приложении client_id и client_secret. 3) После завершения настроек в Blitz Identity Provider проверить работу приложения – идентификация пользователей будет выполняться через Blitz Identity Provider. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли настройки приложения (client_id, client_secret, redirect_url и др.). 2) При необходимости создать для приложения отдельные OAuth scope. Или разрешить автоматическую настройку. 1) При необходимости включить режим OpenID Connect automatic discovery.
Примеры экранов настройки OAuth 2.0 / OpenID Connect 1.0 в Blitz Identity Provider
Примеры экранов настройки OAuth 2.0 / OpenID Connect 1.0 в Blitz Identity Provider
Схема подключения приложения через шлюз Настройки на стороне приложения На стороне приложения не требуется вносить никакие настройки. Настройки на шлюзе (nginx) 1) Задать правило перенаправления http-запроса в Blitz Identity Provider при обращении пользователя к странице аутентификации приложения. 2) Задать правило встройки JS- скрипта при ответе приложения в результате аутентификации. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли настройки приложения (имя приложения, домен). 2) Зарегистрировать профиль приложения (селекторы формы аутентификации, селектор поля ввода логина, признак использования SSL, перечень сессионных cookie для очистки при логауте, JS-скрипты проверки успешности идентификации). Действия при первом входе пользователя в приложение При первичном входе в приложение через Blitz Identity Provider пользователь должен будет ввести свой логин и пароль от приложения.
1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
Пользователи не доверяют паролям Источник: 2015 Accenture DigitalConsumer Survey Я нуждаюсь в альтернативе логинам/паролям для своей защиты в Интернете Логины и пароли громоздки в использовании В следующем году я бы использовал уникальный чип в моем телефоне/ПК для своей защиты в Интернете В следующем году я бы использовал биометрию для своей защиты в Интернете Я знаю не менее одной альтернативы логину/паролю для своей защиты в Интернете
Поддерживаемые методы аутентификации Идентификация / аутентификация по логину и паролю Строгая идентификация / аутентификация (ПИН-код и смарт-карта/токен) Сквозная идентификация • на основе результатов входа в домен Windows • на основе установленного VPN-соединения Усиленная аутентификация (пароль и 2-й фактор): • вырабатываемые устройствами числовые коды • вырабатываемые приложениями числовые коды • отправляемые по SMS числовые коды • устройства стандарта U2F • таблицы разовых ключей Федеративная идентификация • с использованием учетной записи в соц.сети • с использование федеративного поставщика идентификации
Настройка методов аутентификации
Вход по логину и паролю Можно хранить пароли в любом хранилище, только бы был API для их проверки.Также поддерживаются различные механизмы беспарольной идентификации пользователя, так что пароль является опциальным. Поддерживаются парольные политики, настроенные в Active Directory / LDAP.
Настройка входа по логину и паролю
Вход по смарт-карте / USB-токену При получении аутентификационного запроса пользователь присоединяет к компьютеру средство аутентификации и вводит ПИН-код. С помощью записанного в электронном чипе средства аутентификации приватного ключа формируется и отсылается на сервер электронная подпись. Сервер сверяет аутентификационный запрос и полученную электронную подпись, а также проверяет действительность и доверие к сертификату электронной подписи. Пользователь идентифицируется на основе данных, извлеченных из его сертификата.
Поддерживаемые в Blitz Identity Provider средства строгой аутентификации JaCarta / eToken (Аладдин Р.Д.) Рутокен ЭЦП/S/Lite (Компания Актив) ESMARTToken (ISBC Группа компаний)
Плагин Blitz Smart Card Plugin для строгой аутентификации В первый раз для строгой аутентификации пользователи должны установить на свой компьютер плагин Blitz Smart Card Plugin. Для установки пользователю не потребуются ни пароль администратора, ни перезапуск браузера.
Плагин Blitz Smart Card Plugin для строгой аутентификации Ввод ПИН-кода осуществляется не в браузере, а отображенным операционной системой окном плагина. ПИН-код используется локально и не передается по сети.
Плагин Blitz Smart Card Plugin для строгой аутентификации Плагин предоставляется для ОС Windows/Linux/Mac OS X и совместим с популярными браузерами этих ОС.
Усиленная аутентификация – отправляемые по SMS коды подтверждения Принцип работы • После успешной проверки логина и пароля пользователя осуществляется отправка SMS с цифровым кодом на ассоциированный с учетной записью пользователя номер телефона. • Пользователь в течение разрешенного времени вводит полученный по SMS цифровой код. Для отправки SMS используется SMS-шлюз. Blitz Identity Provider можно настроить на использование любого популярного в РФ SMS-шлюза.
Усиленная аутентификация – вырабатываемые устройствами числовые коды (HOTP) Принцип работы • Устройство предварительно привязывается к учётной записи пользователя. • При каждом нажатии устройство вырабатывает числовой аутентификационный код. • После ввода логина и пароля пользователь вводит выработанный устройством числовой код в качестве 2 фактора аутентификации. Работа алгоритма специфицирована в RFC4226 «HOTP: An HMAC-Based One-Time Password Algorithm».
Разновидности HOTP-устройств С LCD-дисплеем (код вводит пользователь) USB HID устройство (само впечатывает код) Комбинированное
Настройка HOTP в Blitz Identity Provider 1) В административной консоли Blitz Identity Provider администратор загружает файл, описывающий купленную партию HOTP-устройств. Поддерживаются файлы описания устройств всех популярных форматов. 2) Устройства по серийным номерам привязываются к учетным записям пользователей. 3) После этого устройства выдаются пользователям. 4) Возможно также разрешить пользователям самостоятельно привязать устройство к своей учетной записи в процессе входа или в профиле самообслуживания.
Пример загрузки файла HOTP-устройств
Пример самостоятельной привязки пользователем HOTP-устройства в процессе входа
Пример запроса HOTP-кода при усиленной аутентификации (после проверки логина и пароля)
Пример экрана для проведения синхронизации HOTP-устройства с учетной записью
Усиленная аутентификация – вырабатываемые мобильными приложениями числовые коды (TOTP) Принцип работы • Мобильное приложение привязывается к учётной записи пользователя. • Каждые 30 секунд в мобильном приложении вырабатывает числовой аутентификационный код. • После ввода логина и пароля пользователь вводит выработанный устройством числовой код в качестве 2 фактора аутентификации. Работа алгоритма специфицирована в RFC6238 «TOTP:Time- Based One-Time Password Algorithm».
ПримерыTOTP мобильных приложений Google Authenticator (наиболее известный) Authy (наиболее функциональный) Bitrix24 OTP (сделан компанией из РФ)
НастройкаTOTP в Blitz Identity Provider Пользователь самостоятельно в профиле самообслуживания привязывает к своей учетной записи мобильное приложение, вырабатывающееTOTP-код. Привязка возможна как по QR-коду, так и путем ввода текстовой строки привязки.
Пример окна настройкиTOTP пользователем
1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
Преимущества единой точки контроля Единый сервис входа фиксирует все события доступа пользователя в подключенные приложения, каким бы устройством доступа он ни воспользовался. Централизованный аудит позволяет администратору иметь полное представление о том, какие пользователи какие приложения используют.
Отчеты в консоли
Самостоятельный контроль пользователем
Архитектурные и прочие моменты
Архитектура Blitz Identity Provider Слой «Веб» SAML поставщик идентификации Blitz Web Gate OAuth-сервер REST-поставщик ресурсов Слой «Сервисы» Атрибуты Пользователи Устройства Приложения …Слой «Объекты» Слой «Серверный кэш» Слой «Бизнес-логика» Веб-приложение «Профиль» Веб-приложение «Консоль администратора» Слой «Хранение» или Фреймворк Bootstrap Memcached
Варианты развертывания На одном сервере 1) ОСWindows или OC Linux 2) ВстроеннаяСУБД (Mab DB) В кластере 1) ОС Linux 2) Кластеризуемая СУБД Riak KV 3) Серверный кэш Memcached 4) Балансировщик нагрузки Nginx
Что дальше 1. Загрузите и опробуйте пробную версию Blitz Identity Provider http://identityblitz.ru/products/blitz-identity-provider/download/ 2. Свяжитесь с нами, мы с удовольствием ответим на ваши вопросы. ООО «РЕАК СОФТ» +7 (499) 322-14-04 info@reaxoft.ru http://identityblitz.ru

Recomendados

ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИАMikhail Vanin
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card PluginMikhail Vanin
 
Database security
Database securityDatabase security
Database securityMikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияMikhail Vanin
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Avanpost SSOAvanpost Шаркова
 

Recomendados

ФГИС ЕСИА
ФГИС ЕСИАФГИС ЕСИА
ФГИС ЕСИАMikhail Vanin
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Blitz Smart Card Plugin
Blitz Smart Card PluginBlitz Smart Card Plugin
Blitz Smart Card PluginMikhail Vanin
 
Database security
Database securityDatabase security
Database securityMikhail Vanin
 
ТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияТОИБАС. Семинар 2. Идентификация и аутентификация
ТОИБАС. Семинар 2. Идентификация и аутентификацияMikhail Vanin
 
Электронная аутентификация в государственных системах
Электронная аутентификация в государственных системахЭлектронная аутентификация в государственных системах
Электронная аутентификация в государственных системахMikhail Vanin
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Avanpost SSO
Avanpost SSOAvanpost SSO
Avanpost SSOAvanpost Шаркова
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint BAKOTECH
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS1С-Битрикс
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Безопасность
БезопасностьБезопасность
Безопасность1С-Битрикс
 
Avanpost PKI
Avanpost PKIAvanpost PKI
Avanpost PKIAvanpost Шаркова
 
Сертификаты подписания кода Symantec
Сертификаты подписания кода SymantecСертификаты подписания кода Symantec
Сертификаты подписания кода SymantecSymantec Website Security
 
Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Аутентификация
АутентификацияАутентификация
АутентификацияElena_dm
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...vGate R2
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова марияGlib Pakharenko
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейExpolink
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...vGate R2
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 

Mais conteúdo relacionado

Mais procurados

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint BAKOTECH
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Сертификаты подписания кода Symantec
Сертификаты подписания кода SymantecСертификаты подписания кода Symantec
Сертификаты подписания кода SymantecSymantec Website Security
 
Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Daria Kovalenko
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Аутентификация
АутентификацияАутентификация
АутентификацияElena_dm
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Dmitry Tikhovich
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...vGate R2
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...vGate R2
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова марияGlib Pakharenko
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейExpolink
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...vGate R2
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 

Mais procurados (20)

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
WatchGuard Authpoint
WatchGuard Authpoint WatchGuard Authpoint
WatchGuard Authpoint
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
безопасность
безопасностьбезопасность
безопасность
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Avanpost PKI
Avanpost PKIAvanpost PKI
Avanpost PKI
 
Сертификаты подписания кода Symantec
Сертификаты подписания кода SymantecСертификаты подписания кода Symantec
Сертификаты подписания кода Symantec
 
Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)Gemalto - SAM (SafeNet Authentication Manager)
Gemalto - SAM (SafeNet Authentication Manager)
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Аутентификация
АутентификацияАутентификация
Аутентификация
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
 
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
Postroenie kompleksnoj sistemy obespechenija informacionnoj bezopasnosti v vi...
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
Vypolnenie trebovanij zakonodatel'stva po zawite personal'nyh dannyh pri ih o...
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
Ukrainian information security group сидорова мария
Ukrainian information security group сидорова марияUkrainian information security group сидорова мария
Ukrainian information security group сидорова мария
 
Решение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователейРешение проблемы контроля привилегированных пользователей
Решение проблемы контроля привилегированных пользователей
 
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
Osobennosti vypolnenija trebovanij standartov STO BR IBBS i PCI DSS pri ispol...
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 

Semelhante a Blitz Identity Provider

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Expolink
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Expolink
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииКРОК
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийНетология
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейkvolkov
 
Экспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииЭкспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииГалина Пузанова
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняЕвгений Царев
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
Артём Журавлёв «OAuth для .NET»
Артём Журавлёв «OAuth для .NET»Артём Журавлёв «OAuth для .NET»
Артём Журавлёв «OAuth для .NET»SpbDotNet Community
 
Архитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.comАрхитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.comPryaniky.com
 
Системы управления сайтами
Системы управления сайтамиСистемы управления сайтами
Системы управления сайтамиAnnely Nurkaliyeva
 
Решения для бизнеса: криптографические продукты и онлайн сервисы
Решения для бизнеса: криптографические продукты и онлайн сервисыРешения для бизнеса: криптографические продукты и онлайн сервисы
Решения для бизнеса: криптографические продукты и онлайн сервисыЦифровые технологии
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 

Semelhante a Blitz Identity Provider (20)

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
 
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
Олег Губка (Avanpost) "Эффективное управление доступом к информационным ресур...
 
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
Формула эффективного управления доступом IDM+PKI+SSO. Олег Губка (Аванпост)
 
Решения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификацииРешения КРОК для однократной и многофакторной аутентификации
Решения КРОК для однократной и многофакторной аутентификации
 
Planny
PlannyPlanny
Planny
 
Как настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложенийКак настроить аналитику для мобильных приложений
Как настроить аналитику для мобильных приложений
 
алексей диплом презентация
алексей диплом презентацияалексей диплом презентация
алексей диплом презентация
 
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователейОпыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
Опыт ЛИНС-М обеспечения защищенного взаимодействия мобильных пользователей
 
Экспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организацииЭкспертная система оценки информационной безопасности в организации
Экспертная система оценки информационной безопасности в организации
 
Инфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодняИнфоберег. Будущее аутентификации - сегодня
Инфоберег. Будущее аутентификации - сегодня
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Артём Журавлёв «OAuth для .NET»
Артём Журавлёв «OAuth для .NET»Артём Журавлёв «OAuth для .NET»
Артём Журавлёв «OAuth для .NET»
 
Архитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.comАрхитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.com
 
Системы управления сайтами
Системы управления сайтамиСистемы управления сайтами
Системы управления сайтами
 
Решения для бизнеса: криптографические продукты и онлайн сервисы
Решения для бизнеса: криптографические продукты и онлайн сервисыРешения для бизнеса: криптографические продукты и онлайн сервисы
Решения для бизнеса: криптографические продукты и онлайн сервисы
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
 

Mais de Mikhail Vanin

ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозMikhail Vanin
 
Семинар по Federated Identity Management
Семинар по Federated Identity ManagementСеминар по Federated Identity Management
Семинар по Federated Identity ManagementMikhail Vanin
 
тезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системахтезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системахMikhail Vanin
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access ManagementMikhail Vanin
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdMMikhail Vanin
 

Mais de Mikhail Vanin (6)

ТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угрозТОИБАС. Семинар 1. Моделирование угроз
ТОИБАС. Семинар 1. Моделирование угроз
 
Семинар по Federated Identity Management
Семинар по Federated Identity ManagementСеминар по Federated Identity Management
Семинар по Federated Identity Management
 
тезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системахтезисы к докладу по электронной аутентификации в государственных системах
тезисы к докладу по электронной аутентификации в государственных системах
 
Cloud Access Management
Cloud Access ManagementCloud Access Management
Cloud Access Management
 
Cloud security
Cloud securityCloud security
Cloud security
 
Семинар по IdM
Семинар по IdMСеминар по IdM
Семинар по IdM
 

Blitz Identity Provider

  • 1. © ООО «РЕАК СОФТ» Blitz Identity Provider Подробный обзор возможностей продукта Москва, 2016
  • 2. Назначение Blitz Identity Provider – платформа создания единого сервиса доступа в организации. Единый сервис доступа обеспечивает идентификацию, аутентификацию и контроль доступа пользователей к приложениям организации.
  • 3. Благодаря единому сервису доступа Пользователи с использованием любых устройств проходят идентификацию и аутентификацию. Получают доступ к приложениям как внутри, так и вне организации.
  • 4. Ценности продукта Пользователям: 1) Используя всего одну учётную запись пользователь получает доступ ко всем приложениям организации. Пользователи избавлены от необходимости помнить много логинов и паролей. 2) Используют надежные методы двухфакторной аутентификации. 3) Имеют средства для самостоятельного контроля событий безопасности, связанных с входом/выходом в приложения. Владельцам/администраторам: 1) Централизуют управление аутентификацией, снижают эксплуатационные затраты. 2) Внедрение новых приложений происходит быстрее – не нужно раздавать пользователям логины и пароли. 3) Увеличивают безопасность. 4) Снижают зависимость от поставщиков решений по аутентификации. Легко можно заменять поставщиков смарт- карт/токенов. 5) С меньшими затратами добиваются соответствия нормативным требованиям по ИБ.
  • 5. Преимущества Blitz Identity Provider 1) ПО включено в единый реестр российских программ для ЭВМ и баз данных (подана заявка). 2) Конкурентоспособная цена. 3) Для использования ПО не требуются сторонние лицензии. 4) Бесшовная интеграция с существующей ИТ- инфраструктурой (LDAP, IDM). 5) Пользователи могут использовать любые устройства доступа (ПК, Мак, планшеты, смартфоны). 6) Поддержка мобильных приложений и облачных приложений.
  • 6. 1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
  • 7. Пользователи устали от парольного хаоса Я не хочу запоминать много паролей от своих рабочих учетных записей. И мне не нравится, что при смене пароля в каждом приложении свои правила его задания. Мне не нравится, что когда переключаюсь между приложениями, то у меня каждый раз просят вновь ввести логин и пароль. И что мешает сделать, чтобы экраны входа выглядели одинаково? Я редко использовала приложение и забыла от него пароль. И как мне его теперь восстановить?
  • 8. Беспорядок с входом в приложения беспокоит и администраторов Я не могу гибко настроить в приложениях правила аутентификации. Придется довольствоваться парольной аутентификацией. При внедрении нового приложения мне нужно готовить для него учетные записи, давать доступы, выдавать пользователям пароли. На это я трачу свои время и энергию. Пользователи не могут быстро усвоить новые пароли. Внедрение новых приложений происходит медленно. Чем больше приложений со своей системой входа, тем чаще инциденты «забыл пароль». Пора что-то с этим предпринять. Единая система входа устранит неудобства
  • 9. Беспорядок с входом в приложения беспокоит и администраторов У меня нет единой картины, в какие приложения кто из пользователей и как часто ходит. Я не уверен, что все эти механизмы аутентификации в разных приложениях безопасны. Сделанное «плохо» приложение компрометирует пароли и несет угрозу безопасности. Пользователи выбирают ненадежные пароли. Вход не защищен. Парольные политики не эффективны. Единая система входа повысит безопасность организации
  • 10. Внедрение SSO и единого сервиса доступа решит проблемы Какое решение выбрать? Что будет актуальным сегодня и завтра?
  • 11. Эволюция условий, в которых должно функционировать SSO-решение Пользователи приложений – исключительно сотрудники компании Все устройства доступа – это ПК Все приложения развернуты исключительно внутри организации Вчерашний день Люди (пользователи) Устройства доступа Приложения и данные
  • 12. Сотрудники (тысячи) Поставщики, партнеры Потребители (миллионы) Приложения внутри организации Облачные приложения (SaaS) Люди (пользователи) Устройства доступа Приложения и данные Сегодня и завтра Эволюция условий, в которых должно функционировать SSO-решение ПК Планшеты Смартфоны Часы
  • 13. «Я-центричность» – современная парадигма доступа Защита доступа обеспечивается без ограничений свободы выбора пользователя, но с соблюдением установленной политики безопасности Свобода в выборе операционной системы и веб-браузера Свобода в выборе устройства доступа (ПК, Мак, планшет, смартфон) Свобода осуществлять доступ как из офиса, так и удаленно Свобода в выборе удобного метода аутентификации Возможность контроля за использованием приложениями персональных данных
  • 14. Способы подключения приложений к Blitz Identity Provider для обеспечения SSO Прямое подключение к поставщику идентификации Наилучший способ подключения, но требует, чтобы приложение поддерживало один из протоколов или методов интеграции: 1) Подключение приложения по протоколу SAML (1.0/1.1/2.0). 2) Подключение приложения по протоколамOpenID Connect 1.0 / OAuth 2.0. Подключение через шлюз Способ применяется для веб- приложений внутри организации, в случае если для них неприменимо подключение с использованием протоколовSAML/OpenID/OAuth. Используются следующие техники: 1) Перехват встроенной страницы аутентификации приложения и заполнение в ней аутентификационных данных средствами шлюза. 2) Формирование сессии путем установки требуемых приложению cookie или http- параметров.
  • 15. Подключение приложений по протоколу SAML SAML – популярный стандарт для подключения корпоративных и облачных приложений к серверу аутентификации. Большинство популярных приложений имеют или встроенную поддержку SAML, или сторонние расширения, обеспечивающие работу по SAML. Есть библиотеки для реализации SAML-клиентов для всех популярных платформ разработки, что облегчает поддержку SAML в приложениях заказной разработки.
  • 17. Типовая схема подключения SAML-приложений к Blitz Identity Provider Настройки на стороне приложения 1) Прописать метаданные Blitz Identity Provider (берутся из административной консоли). 2) Выгрузить метаданные приложения. 3) После завершения настроек в Blitz Identity Provider проверить работу приложения – идентификация пользователей будет выполняться через Blitz Identity Provider. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли метаданные приложения. 2) Создать необходимые приложению SAML- утверждения и установить их связь с пользовательскими атрибутами. 3) Настроить перечень передаваемых приложению атрибутов, а также требований к их шифрованию и подписанию в соответствии с нуждами приложения.
  • 18. Примеры экранов настройки SAML в Blitz Identity Provider
  • 19. Примеры экранов настройки SAML в Blitz Identity Provider
  • 20. Схема подключения OpenID Connect приложения Настройки на стороне приложения 1) Прописать URL-адресаOAuth- сервисов Blitz Identity Provider или дать ссылку на «.well- known»-сервис. 2) Задать в приложении client_id и client_secret. 3) После завершения настроек в Blitz Identity Provider проверить работу приложения – идентификация пользователей будет выполняться через Blitz Identity Provider. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли настройки приложения (client_id, client_secret, redirect_url и др.). 2) При необходимости создать для приложения отдельные OAuth scope. Или разрешить автоматическую настройку. 1) При необходимости включить режим OpenID Connect automatic discovery.
  • 21. Примеры экранов настройки OAuth 2.0 / OpenID Connect 1.0 в Blitz Identity Provider
  • 22. Примеры экранов настройки OAuth 2.0 / OpenID Connect 1.0 в Blitz Identity Provider
  • 23. Схема подключения приложения через шлюз Настройки на стороне приложения На стороне приложения не требуется вносить никакие настройки. Настройки на шлюзе (nginx) 1) Задать правило перенаправления http-запроса в Blitz Identity Provider при обращении пользователя к странице аутентификации приложения. 2) Задать правило встройки JS- скрипта при ответе приложения в результате аутентификации. Настройки в Blitz Identity Provider 1) Зарегистрировать в административной консоли настройки приложения (имя приложения, домен). 2) Зарегистрировать профиль приложения (селекторы формы аутентификации, селектор поля ввода логина, признак использования SSL, перечень сессионных cookie для очистки при логауте, JS-скрипты проверки успешности идентификации). Действия при первом входе пользователя в приложение При первичном входе в приложение через Blitz Identity Provider пользователь должен будет ввести свой логин и пароль от приложения.
  • 24. 1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
  • 25. Пользователи не доверяют паролям Источник: 2015 Accenture DigitalConsumer Survey Я нуждаюсь в альтернативе логинам/паролям для своей защиты в Интернете Логины и пароли громоздки в использовании В следующем году я бы использовал уникальный чип в моем телефоне/ПК для своей защиты в Интернете В следующем году я бы использовал биометрию для своей защиты в Интернете Я знаю не менее одной альтернативы логину/паролю для своей защиты в Интернете
  • 26. Поддерживаемые методы аутентификации Идентификация / аутентификация по логину и паролю Строгая идентификация / аутентификация (ПИН-код и смарт-карта/токен) Сквозная идентификация • на основе результатов входа в домен Windows • на основе установленного VPN-соединения Усиленная аутентификация (пароль и 2-й фактор): • вырабатываемые устройствами числовые коды • вырабатываемые приложениями числовые коды • отправляемые по SMS числовые коды • устройства стандарта U2F • таблицы разовых ключей Федеративная идентификация • с использованием учетной записи в соц.сети • с использование федеративного поставщика идентификации
  • 28. Вход по логину и паролю Можно хранить пароли в любом хранилище, только бы был API для их проверки.Также поддерживаются различные механизмы беспарольной идентификации пользователя, так что пароль является опциальным. Поддерживаются парольные политики, настроенные в Active Directory / LDAP.
  • 29. Настройка входа по логину и паролю
  • 30. Вход по смарт-карте / USB-токену При получении аутентификационного запроса пользователь присоединяет к компьютеру средство аутентификации и вводит ПИН-код. С помощью записанного в электронном чипе средства аутентификации приватного ключа формируется и отсылается на сервер электронная подпись. Сервер сверяет аутентификационный запрос и полученную электронную подпись, а также проверяет действительность и доверие к сертификату электронной подписи. Пользователь идентифицируется на основе данных, извлеченных из его сертификата.
  • 31. Поддерживаемые в Blitz Identity Provider средства строгой аутентификации JaCarta / eToken (Аладдин Р.Д.) Рутокен ЭЦП/S/Lite (Компания Актив) ESMARTToken (ISBC Группа компаний)
  • 32. Плагин Blitz Smart Card Plugin для строгой аутентификации В первый раз для строгой аутентификации пользователи должны установить на свой компьютер плагин Blitz Smart Card Plugin. Для установки пользователю не потребуются ни пароль администратора, ни перезапуск браузера.
  • 33. Плагин Blitz Smart Card Plugin для строгой аутентификации Ввод ПИН-кода осуществляется не в браузере, а отображенным операционной системой окном плагина. ПИН-код используется локально и не передается по сети.
  • 34. Плагин Blitz Smart Card Plugin для строгой аутентификации Плагин предоставляется для ОС Windows/Linux/Mac OS X и совместим с популярными браузерами этих ОС.
  • 35. Усиленная аутентификация – отправляемые по SMS коды подтверждения Принцип работы • После успешной проверки логина и пароля пользователя осуществляется отправка SMS с цифровым кодом на ассоциированный с учетной записью пользователя номер телефона. • Пользователь в течение разрешенного времени вводит полученный по SMS цифровой код. Для отправки SMS используется SMS-шлюз. Blitz Identity Provider можно настроить на использование любого популярного в РФ SMS-шлюза.
  • 36. Усиленная аутентификация – вырабатываемые устройствами числовые коды (HOTP) Принцип работы • Устройство предварительно привязывается к учётной записи пользователя. • При каждом нажатии устройство вырабатывает числовой аутентификационный код. • После ввода логина и пароля пользователь вводит выработанный устройством числовой код в качестве 2 фактора аутентификации. Работа алгоритма специфицирована в RFC4226 «HOTP: An HMAC-Based One-Time Password Algorithm».
  • 37. Разновидности HOTP-устройств С LCD-дисплеем (код вводит пользователь) USB HID устройство (само впечатывает код) Комбинированное
  • 38. Настройка HOTP в Blitz Identity Provider 1) В административной консоли Blitz Identity Provider администратор загружает файл, описывающий купленную партию HOTP-устройств. Поддерживаются файлы описания устройств всех популярных форматов. 2) Устройства по серийным номерам привязываются к учетным записям пользователей. 3) После этого устройства выдаются пользователям. 4) Возможно также разрешить пользователям самостоятельно привязать устройство к своей учетной записи в процессе входа или в профиле самообслуживания.
  • 39. Пример загрузки файла HOTP-устройств
  • 40. Пример самостоятельной привязки пользователем HOTP-устройства в процессе входа
  • 41. Пример запроса HOTP-кода при усиленной аутентификации (после проверки логина и пароля)
  • 42. Пример экрана для проведения синхронизации HOTP-устройства с учетной записью
  • 43. Усиленная аутентификация – вырабатываемые мобильными приложениями числовые коды (TOTP) Принцип работы • Мобильное приложение привязывается к учётной записи пользователя. • Каждые 30 секунд в мобильном приложении вырабатывает числовой аутентификационный код. • После ввода логина и пароля пользователь вводит выработанный устройством числовой код в качестве 2 фактора аутентификации. Работа алгоритма специфицирована в RFC6238 «TOTP:Time- Based One-Time Password Algorithm».
  • 44. ПримерыTOTP мобильных приложений Google Authenticator (наиболее известный) Authy (наиболее функциональный) Bitrix24 OTP (сделан компанией из РФ)
  • 45. НастройкаTOTP в Blitz Identity Provider Пользователь самостоятельно в профиле самообслуживания привязывает к своей учетной записи мобильное приложение, вырабатывающееTOTP-код. Привязка возможна как по QR-коду, так и путем ввода текстовой строки привязки.
  • 46. Пример окна настройкиTOTP пользователем
  • 47. 1) Однократный вход (Single Sign On) 2) Двухфакторная аутентификация 3) Регистрация событий доступа Основные функции Blitz Identity Provider
  • 48. Преимущества единой точки контроля Единый сервис входа фиксирует все события доступа пользователя в подключенные приложения, каким бы устройством доступа он ни воспользовался. Централизованный аудит позволяет администратору иметь полное представление о том, какие пользователи какие приложения используют.
  • 52. Архитектура Blitz Identity Provider Слой «Веб» SAML поставщик идентификации Blitz Web Gate OAuth-сервер REST-поставщик ресурсов Слой «Сервисы» Атрибуты Пользователи Устройства Приложения …Слой «Объекты» Слой «Серверный кэш» Слой «Бизнес-логика» Веб-приложение «Профиль» Веб-приложение «Консоль администратора» Слой «Хранение» или Фреймворк Bootstrap Memcached
  • 53. Варианты развертывания На одном сервере 1) ОСWindows или OC Linux 2) ВстроеннаяСУБД (Mab DB) В кластере 1) ОС Linux 2) Кластеризуемая СУБД Riak KV 3) Серверный кэш Memcached 4) Балансировщик нагрузки Nginx
  • 54. Что дальше 1. Загрузите и опробуйте пробную версию Blitz Identity Provider http://identityblitz.ru/products/blitz-identity-provider/download/ 2. Свяжитесь с нами, мы с удовольствием ответим на ваши вопросы. ООО «РЕАК СОФТ» +7 (499) 322-14-04 info@reaxoft.ru http://identityblitz.ru

Notas do Editor

  1. Более 60 SaaS. Многие enterprise-ПО.