Avanpost FAM
Система единой аутентификации сотрудников в корпоративных ресурсах организации
О продукте
Система управления учетными записями и правами доступа пользователей к корпоративным ресурсам организации
На 36% быстрее доступ к приложениям
На 42% снижаются расходы на администрирование
В 5 раз меньше нагрузка на Service Desk по смене паролей
Однократная/единая многофакторная аутентификация
Однократная/единая многофакторная аутентификация в ОС, мобильных, десктопных и веб-приложениях организации
С помощью Avanpost FAM можно организовать универсальную платформу аутентификации, которая обеспечит пользователям единые правила входа во все приложения вне зависимости от технологии их исполнения (как веб-, так и «толстый клиент»). Больше не нужно пытаться совместить различные решения от разных производителей — теперь все приложения начнут работать по единым правилам, управляемым из одного окна.
Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.
Решение позволяет организовать аутентификацию в современных корпоративных приложениях, поддерживающих протоколы SAML, OpenID Connect, OAuth. Для аутентификации в корпоративных решениях система обеспечивает аутентификацию по протоколам RADIUS, посредством технологии Microsoft Credential Provider и PAM Linux. А за счет наличия в Avanpost FAM технологий аутентификации Reverse Proxy и перехвата окон через Агент (ESSO/Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO.
Поддерживаемые технологии аутентификации для корпоративных приложений
Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:
Технология сервера
Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений;
Технология перехвата
окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений;
Технология аутентификации
Технология аутентификации в ОС Linux через FAM при помощи PAM Linux.
Технология Reverse Proxy
Технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности;
Технология IDP
с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений;
Технология аутентификации
в ОС Windows через FAM при помощи Microsoft Credential Provider;
Адаптивная аутентификация
Адаптивная аутентификация с выбором подходящей цепочки проверок для различных сотрудников и данных среды
Avanpost FAM дает возможность использовать адаптивную аутентификацию и создавать любые цепочки проверок для различных категорий сотрудников, ресурсов и условий (например, доступ с мобильных устройств). Для доступа к критичной информации дополнительно можно настроить запрос второго фактора аутентификации (ОТР, SMS/push на смартфон, сертификат на usb-токене и т. п.).
Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.
Эта же схема работает для особых категорий сотрудников, которые, например, имеют очень широкие права доступа в системе.
ТОTP
Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.
Дополнительные факторы аутентификации
Многофакторная аутентификация с применением смарт-карт, одноразовых кодов, сертификатов ЭП, окружения и домена
В Avanpost FAM можно использовать любые дополнительные факторы аутентификации, актуальные как для веб-доступа с любых устройств (ОТР, sms/push на смартфон), так и аппаратные факторы для доступа с корпоративных компьютеров и ноутбуков (usb-токен, смарт-карта, биометрия).
Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.
Поддерживая биометрическую аутентификацию, решение позволяет сотрудникам и администраторам ИТ/ИБ полностью забыть про неудобные пароли и входить во все свои приложения при помощи отпечатка пальца или сканирования лица. При этом система будет сама в автоматическом режиме менять конечные пароли пользователей в ИТ-ресурсах в соответствии с парольными политиками, что поможет забыть о бесконечном потоке заявок от пользователей по вопросам, связанным с паролями.
Поддержка всех современных факторов аутентификации
Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.
Поддерживаемые факторы аутентификации:
Технология сервера
аутентификации RADIUS для VPN, VDI и RDP-решений;
Одноразовые пароли
(OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link). • Push-подтверждения в мессенджеры (Telegram).
Система PayControl
(мобильное приложение Android/iOS).
Сертификаты
(SSL Client Certificate) и электронные подписи (ГОСТ ЭП).
Аппаратные факторы аутентификации
(ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2 °F, доверенные устройства.
Доменная аутентификация
(SPNEGO/Kerberos) и использование других данных окружения пользователя
LDAP-аутентификация
Современный технологический стек и удобство интеграции
Поддерживает работу на базе высокопроизводительной и надежной СУБД PostgreSQL.
Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.
Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.
Решение работает в следующих средах:
Средство автоматизации
развертывания и контейнеризации Docker
Серверные ОС CentOS
RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП
Десктопные ОС
Microsoft Windows Desktop 7/8/10 для работы Агента FAM
Аутентификация в облачных/SaaS-приложениях
Аутентификация в облачных/SaaS-приложениях с использованием единого удостоверения сотрудника
Использование Avanpost FAM в режиме IDP (Identity Provider) предоставляет возможность организовать доступ к облачным сервисам, не снижая уровень информационной безопасности. Организация подобной схемы аутентификации позволяет не допускать выход за периметр предприятия информации о логинах и паролях пользователей. IDP аутентифицирует и проверяет идентификаторы пользователей (пароли, usb-токены, смарт-карты, сертификаты и т. д.) внутри, а наружу в облачные сервисы передается только решение о допуске того или иного пользователя.
Работа с различными источниками учетных записей
В качестве источников данных об учетных записях Avanpost FAM может использовать:
Любые источники
данных, поставляющие данные по API и шине данных;
Встроенное хранилище
учетных записей Avanpost FAM с интерфейсом управления;
Внешние SAML
и OAuth IDP
Витрины данных
и базы данных Microsoft SQL Server, PostgreSQL, Oracle;
LDAP-каталоги
Microsoft Active Directory, OpenDJ, FreeIPA, openldap;
Решения
класса Identity Management;
Кросс-аутентификация
Кросс-аутентификация сотрудников в доверенных ресурсах партнерских организаций за счет федерации удостоверений
Организовать доступ сотрудников распределенных структур к единым ресурсам головной организации еще проще, чем раньше. В условиях распределенной инфраструктуры предоставления доступа возникает потребность в системном подходе к обеспечению необходимых уровней доверия.
Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.
Применение в Avanpost FAM федеративной аутентификации (Identity Federation) обеспечивает прозрачный доступ компаний холдинга и доверенных партнеров к ресурсам друг друга.
Личный кабинет пользователя
Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.
Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.
Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.
Самообслуживание своими смарт-картами
Самообслуживание с управлением своими смарт-картами и сценариями восстановления
Внедрение Avanpost FAM разгружает службу Help Desk компании в части обслуживания пользователей по вопросам восстановления паролей не менее чем на 40%. Пользователи сами смогут восстановить забытый пароль, используя для этого другие доверенные каналы коммуникации. Сотрудник может самостоятельно настроить собственные сценарии восстановления доступа к своей учетной записи.
Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).
Благодаря личному кабинету у пользователей появляется возможность самостоятельного управления собственными смарт-картами и usb-токенами (выполняя привязку смарт-карт и токенов и их блокировку).
Механизм изменения и распространения пароля для унаследованных приложений
Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.
Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т. е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.
Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.
Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т. е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.
Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.
Маркетинговые материалы
Презентация
Дополнительное описание
Брошюра
Дополнительное описание
Как работает продукт
Преимущества использования
Возможность кастомизации
Наши продукты легко масштабируются и кастомизируются с учетом требований и бизнес-задач заказчика
Партнерская сеть
Наши заказчики могут выбрать для реализации проекта одного из более чем 100 партнеров в России и СНГ
Интеграция решений
Все наши решения легко интегрируются друг с другом, образуя эффективную систему управления доступом
Российская разработка
Лицензии и сертификаты
Все наши продукты создаются на территории России и входят в Единый реестр отечественного ПО:
- Avanpost IDM (рег. № 1288),
- Avanpost PKI (рег. № 1287);
- Avanpost FAM (рег. № 6824);
- Avanpost Web SSO (рег. № 4049) и др.:
Все наши продукты соответствуют требованиям законодательных актов и руководящих документов ФСТЭК и ФСБ
Политика лицензирования
Гибкая модель лицензирования позволяет подобрать оптимальное решение для каждой компании
Напишите нам
Хотите посмотреть систему в действии, узнать стоимость и получить коммерческое предложение?
Отправьте запрос и мы свяжемся с вами.
Отправьте запрос и мы свяжемся с вами.
Сообщение об успешной отправке!