Описание

JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер аутентификации, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными токенами для мобильных устройств, например, с Google Authenticator.

Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (OTP, U2F, программные) JAS обеспечивает безопасный доступ к следующим системам и сервисам:

  • корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App;
  • Web-приложения, сайты и облачные сервисы;
  • системы дистанционного банковского обслуживания (ДБО);
  • удалённые рабочие столы: Microsoft Remote Desktop Gateway, VMware Horizon View, Citrix XenApp/XenDesktop.

Встроенные инструменты управления аппаратными и программными токенами значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.

OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.

По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.

Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.

Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.

Применение

JAS может использоваться:

  • государственными и коммерческими организациями, нуждающимися в усилении аутентификации пользователей при доступе к внешним или внутрикорпоративным системам;
  • разработчиками систем дистанционного банковского обслуживания (ДБО), корпоративного программного обеспечения (ПО) и онлайн-сервисов;
  • организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (например, SAM и SAS).

Преимущества

Поддержка аппаратных и программных токенов

JAS позволяет использовать для аутентификации как аппаратные, так и программные токены, что даёт возможность применять разные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные токены — для смартфонов и планшетов.

Отечественное ПО

JAS зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных (№ 2128) и обладает всеми необходимыми функциями для импортозамещения аналогичных разработок иностранных вендоров (например, SAM и SAS).

Совместимость

JAS совместим с любыми аппаратными и программными токенами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation и AD FS; с SMS-шлюзами — HTTP и SMPP.

Поддержка мобильных устройств

JAS поддерживает бесплатные приложения генерации OTP по событию и по времени, в т.ч. "Яндекс.Ключ", Google Authenticator, которые доступны для мобильных устройств на базе операционных систем Google Android, Apple iOS, Microsoft Windows и др. Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.

Доступные цены

Цены на JAS фиксированы в рублях, не зависят от колебаний на валютном рынке и выгодно отличаются от цен на иностранные аналоги. После внедрения JAS оплачивается только техническая поддержка, позволяющая получать консультации технических специалистов компании "Аладдин Р.Д." и все обновления.

Автономность

Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS) и Microsoft Active Directory Federation Services (AD FS), а также средства управления токенами и пользователями.

Строгая аутентификация без PKI

Поддержка международного стандарта FIDO U2F позволяет построить систему строгой аутентификации без разворачивания инфраструктуры открытых ключей (PKI).

Производительность

JAS выдерживает значительные нагрузки (свыше 1 000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.

Масштабируемость

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

Надёжность

В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность аутентификации.

JAS OTP Logon

Аутентификационные данные JOL на стандартном экране входа Windows

Внедрение в организации типового решения двухфакторной аутентификации на рабочих местах сотрудников требует наличия инфраструктуры открытых ключей (PKI). Для многих подготовка такой инфраструктуры может оказаться слишком сложной задачей, включающей в себя развёртывание службы каталога, Удостоверяющих центров, а также приобретение электронных ключей с поддержкой PKI.

Чтобы реализовать надёжное решение двухфакторной аутентификации, исключив громоздкую инфраструктуру, в качестве второго фактора можно использовать OTP-аутентификаторы. В последней версии JAS компания "Аладдин Р.Д." поставляет такое решение, получившее название JAS OTP Logon (JOL).

Новая функция JAS расширяет стандартный набор поставщиков учётных данных (Credential Provider) ОС Windows, с помощью которых пользователь может открыть сеанс работы с Windows, а также аутентифицироваться в стандартных сервисах и приложениях Windows, например, в Web-приложениях IIS, для подключения к удалённому компьютеру средствами терминального сервиса Windows и т.п. Для открытия сеанса работы в Windows с помощью JOL пользователь вводит свои аутентификационные данные на привычном для него экране входа.

Функция JOL обеспечивает усиленную двухфакторную аутентификацию (т.е. без использования смарт-карт или других криптографических средств аутентификации), где в качестве второго фактора в дополнение к основному паролю добавляется OTP-пароль, генерируемый с помощью стандартных OTP-токенов. Допускается также вариант использования популярных программных генераторов OTP, таких, как Яндекс.Ключ и Google Authenticator.

Аутентификация для входа в Windows c помощью JOL выполняется как в доменной среде (на базе Microsoft Active Directory), так и на внедоменных рабочих станциях. Продукт содержит встроенные средства для обеспечения централизованных установки и настройки через групповые политики Windows.

Работа JAS с аутентификационной подсистемой ОС Windows

Двухфакторная аутентификация в ОС Windows обеспечивается путём установки на рабочую станцию Windows компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных. В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (OTP + OTP PIN-код, пароль Windows + OTP, пароль Windows + OTP + OTP PIN-код) в зависимости от соответствующих настроек в JAS.

Рабочая станция может как принадлежать домену Windows (при этом в качестве Windows-пароля используется доменный пароль), так и работать вне домена (тогда используется пароль локального пользователя).

Схема интеграционного решения JAS — ОС Microsoft Windows

Схема интеграционного решения JAS — ОС Microsoft Windows

Исходная конфигурация системы

Перед развёртыванием интеграционного решения в сети заказчика должны быть установлены рабочие станции Windows, принадлежащие домену Active Directory и/или внедоменные рабочие станции с ОС Windows.

Порядок развёртывания интеграционного решения

Для обеспечения поддержки второго фактора аутентификации (OTP) на рабочих станциях с ОС Windows необходимо выполнить следующие действия.

  1. Установить и настроить сервер JAS.
  2. Добавить в БД JAS OTP-токены пользователей для аутентификации на рабочих станциях.
  3. Установить на рабочих станциях Windows и ПО JOL (для инфраструктуры с использование AD возможна полная автоматизация развёртывания и настройки с использованием групповых политик).

Технические подробности

Технические и эксплуатационные характеристики

Параметр Значение
Системные требования
  • Сервер JAS
    • Процессор: Intel Core i3-3xxx
    • Оперативная память: от 3 ГБ
    • ОС: Microsoft Windows Server 2012 R2 и выше
    • Дополнительное ПО
      • Microsoft SQL Server 2008 и выше
      • Microsoft .NET Framework 4.5
  • Консоль управления JAS
    • Процессор: Intel Dual-Core 2 ГГц и выше
    • Оперативная память: от 2 ГБ
    • ОС: Microsoft Windows 7 SP1 (32/64 бит)
    • Windows Server 2008 R2 SP1 и выше
    • Дополнительное ПО: Microsoft .NET Framework 4.5
  • JAS-плагин для NPS
    • Intel Dual-Core 2 ГГц и выше
    • Оперативная память: 1 ГБ (в дополнение к стандарту для NPS)
    • ОС: Microsoft Windows Server 2008 SP2 (32/64 бит) и выше
    • Дополнительное ПО: Microsoft .NET Framework 4.5
  • JAS-плагин для AD FS
    • Intel Dual-Core 2 ГГц и выше
    • Оперативная память: 1 ГБ (в дополнение к стандарту для NPS)
    • ОС: Microsoft Windows Server 2012 R2
    • Дополнительное ПО: Microsoft .NET Framework 4.5
Поддерживаемые модели аппаратных токенов
  • Любые токены, генерирующие OTP по событию (в т.ч. JaCarta WebPass, eToken PASS, eToken NG-OTP, eToken NG-OTP (Java))
  • Любые токены, генерирующие OTP по времени (в т.ч. eToken PASS)
  • Любые U2F-токены (в т.ч. JaCarta U2F)
Поддерживаемые программные токены для мобильных устройств Любые программные токены, в т.ч. Яндекс.Ключ и Google Authenticator
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Windows Communication Foundation (WCF)
  • Web Services Federation (WS-Federation)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
  • U2F
  • SMS
Двухфакторная аутентификация в ОС Windows

Обеспечивается путём установки на рабочую станцию Windows компонента JaCarta OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider).

В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации).

Поддерживаемые алгоритмы генерации OTP
  • RFC 4226 + HMAC-SHA-1 (6 символов)
  • RFC 4226 + HMAC-SHA-256 (6 символов)
  • RFC 4226 + HMAC-SHA-256 (7 символов)
  • RFC 4226 + HMAC-SHA-256 (8 символов)
  • RFC 6238 + HMAC-SHA-256 (6 цифр)
  • RFC 6238 + HMAC-SHA-256 (7 цифр)
  • RFC 6238 + HMAC-SHA-256 (8 цифр)
  • RFC 6238 + HMAC-SHA-1 (6 цифр)
  • RFC 6238 + HMAC-SHA-1 (7 цифр)
  • RFC 6238 + HMAC-SHA-1 (8 цифр)
  • RFC 6238 + HMAC-SHA-512 (6 цифр)
  • RFC 6238 + HMAC-SHA-512 (7 цифр)
  • RFC 6238 + HMAC-SHA-512 (8 цифр)
Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby:

  • несколько серверов JAS: синхронизация текущих значений счётчиков;
  • несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server.

Производительность и масштабирование системы
в зависимости от конфигурации сервера JAS

Стандартная Повышенная Высокая
Процессор Intel Core i3-3xxx, 2 физических ядра, частота от 3 ГГц Intel Core i5-3xxx, 4 физических ядра, частота от 3 ГГц Intel Core i7-3xxx, 4 физических ядра, частота от 3 ГГц
Память 2 ГБ (рекомендованное значение – 4 ГБ)
Сетевая карта 100 Мбит/с 100 Мбит/с 1 Гбит/с
Протокол RADIUS 40 оп/с* 100 оп/с* 200+ оп/с*
Протокол REST/WCF 200 оп/с* 500 оп/с* 1000+ оп/с*

* количество операций аутентификации в секунду

Архитектура JaCarta Authentication Server

Сервер аутентификации

Реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service:

  • OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса;
  • текущие значения счётчиков: обновляются при выполнении служебных операций через Консоль управления.

Консоль управления

  • управление токенами и пользователями;
  • может быть установлена на отдельный компьютер;
  • режимы аутентификации и авторизации пользователя:
    • учётная запись Microsoft Windows + членство в группе;
    • аутентификация отключена.

База данных Microsoft SQL Server

  • хранение информации о токенах и пользователях;
  • достаточно установить только один компонент — Microsoft SQL Server Database Engine;
  • база данных создаётся автоматически в процессе настройки сервера JAS;
  • доступные режимы аутентификации пользователя базы данных:
    • средствами Microsoft Windows;
    • средствами Microsoft SQL Server.

Хранилище учётных записей

  • Microsoft SQL Server или
  • Microsoft Active Directory/Microsoft Security Account Manager

Лицензирование

  • JAS лицензируется только по количеству токенов (как аппаратных, так и программных).
  • Цены на лицензии фиксированы в рублях.
  • В рамках одной мажорной версии (1.x) срок действия лицензии не ограничен.

Внедрение

  • Для знакомства с JAS доступны демо-версия на 3 месяца и виртуальный демо-стенд.
  • Установка и настройка JAS максимально автоматизированы.
  • Внедрение и сопровождение JAS могут осуществляться как инженерами компании "Аладдин Р.Д.", так и силами сертифицированных специалистов компаний-партнёров.

Техническая поддержка

  • При покупке JAS предоставляется 12 месяцев базовой технической поддержки.
  • Сертификат базовой технической поддержки даёт право на:
    • получение обновлений продукта;
    • получение консультаций по установке и использованию системы;
    • доступ к Базе знаний по JAS и токенам (JaCarta и eToken).
  • Доступны пакеты технической поддержки на 12, 24 и 36 месяцев.
  • Существует возможность приобретения расширенного пакета поддержки, включающего индивидуализированный набор дополнительных услуг.

Задать вопрос

+7 (495) 223-0001
с 10:00 до 19:00 (Москва)
+7 495 223001