RooX UIDM подходит для организации доступа к веб-сервисам, мобильными десктопным приложениями операционным системамразличных типов пользователей: сотрудников, в том числе удаленных, подрядчиков, клиентов, партнеров. Сценарии входа можно гибко настраивать, собирая цепочки из нескольких факторов. В таких цепочках можно учитывать и контекст входа. С помощью RooX UIDM можно настроить политики авторизации любой сложности с интеграцией по данным с другими системами (модели доступа RBAC, ABAC). В RooX UIDM есть API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков.

Далее поделюсь некоторыми кейсами из нашей практики.

Ситуация: крупному государственному предприятию необходимо организовать единую точку входа (SSO) к информационным системам для сотрудников и подрядчиков. На предприятии используется более 30 разнородных систем.

Задача: развернуть систему управления доступом, которая бы объединяла три функции —каталог пользователей, единую точку аутентификации, управление правами. Для интегрируемых систем необходимо обеспечить максимальную гибкость.

Решение: внедрено комплексное решение на базе RooX UIDM. Единая система аутентификации в составе решения обеспечила механизм SSO и двухфакторную аутентификацию пользователей. Встроенный каталог пользователей смог объединить учетные записи разнородных пользователей. Модуль IDM связал учетные записи сотрудников и подрядчиков со штатной структурой, используя ролевую модель. Специалисты RooX осуществили поддержку во время внедрения, а также оказывают экспертную помощь при интеграции систем предприятия с внедренным решениям.

Ситуация: компании из нефтегазовой отрасли со штатом более 1000 сотрудников необходима оперативная миграция на российское решение по управлению доступом.

Задача: в максимально сжатые сроки внедрить двухфакторную аутентификацию в VPN, OWA и бизнес-приложения, а также обеспечить Single Sign-On между бизнес-приложениями.

Решение: система аутентификации RooX UIDM была развернута в облаке заказчика и интегрирована с каталогом пользователей по протоколу LDAP. Использование в проекте облачной инфраструктуры позволило значительно сократить время развертывания системы. RooX UIDM обеспечил все необходимые протоколы для объединения систем в единую точку аутентификации. Для интеграции бизнес-систем был использован протокол OIDC, для VPN-сервиса предоставлен RADIUS, OWA интегрирован по WS-Federation. Двухфакторная аутентификация осуществляется средствами разовых кодов OTP и TOTP.

Ситуация: телеком-оператор. Множество легаси-систем, в каждой из которых был свой модуль аутентификации. Пользователи имели разные аккаунты в каждой такой системе.

Задача: внедрить единую систему аутентификации и обеспечить SSO, не прерывая бизнес-процессов.

Решение: разработана единая система аутентификации на базе RooX UIDM, которая была интегрирована со всеми легаси-системами. Миграция пользователей происходила плавно по мере их обращения к легаси-системам. Не было никакой отмашки, что теперь вход осуществляется по новым правилам. Пользователи как обычно в своем рабочем режиме входили в какую-то из таких систем с ранее существовавшей учетной записью, и в этот момент RooX UIDM проверяла ее и создавала новую единую учетную запись. После этого пользователь входил в системы уже с новой учетной записью.

Ситуация: крупная финтех-компания запланировала внедрить для своих клиентов личный кабинет инвестора с помощью системного интегратора.

Задача: система управления доступом в этот личный кабинет должна быть гибкой и удовлетворять требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Решение: личный кабинет дополнен системой управления доступа на базе RooX UIDM, которая полностью удовлетворяет требованиям ГОСТ Р 57580.1-2017. Работы проведены в сотрудничестве с заказчиком и интегратором. При выборе из имеющихся на рынке IAM-систем одним из ключевых преимуществ RooX UIDM стало наличие большого количества готовых интеграций на базе API, которые позволяют оперативно создавать практически любые сценарии аутентификации пользователей. Проект был сделан таким образом, чтобы в будущем заказчик смог дополнять функциональность системы (в том числе самостоятельно) и использовать единую учетную запись клиентов для сквозной аутентификации во все необходимые цифровые сервисы.

Ситуация: филиал предприятия находится в удаленной местности с минимальной инфраструктурой. Связь с центральным офисом осуществляется только через спутниковый Интернет, мобильная связь отсутствует. Поставки необходимых вещей происходят по графику далеко не каждый день. В филиале стоит один компьютер, которым пользуются несколько сотрудников, которые заходят в свой аккаунт по паре «логин + пароль».

Задача: внедрить надежную двухфакторную аутентификацию.

Решение: к сожалению, в этом случае нет идеального решения. OTP SMS невозможен из-за отсутствия мобильной связи. Все факторы, которые можно было бы использовать на компьютере, небезопасны, так как компьютер не является устройством индивидуального использования. Все факторы, которые связаны с другими устройствами (например, TOTP или сертификат на физическом носителе), имеют риски потери устройства. В данном случае после детального анализа был выбран вариант второго фактора на другом устройстве с временным отключением второго фактора при потере устройства после связи с центральным офисом и идентификацией сотрудника.