JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер аутентификации, поддерживающий
работу как c аппаратными OTP- и U2F-токенами, так и с программными токенами для мобильных устройств, например, с
Google Authenticator.
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также
повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа
используемых токенов (OTP, U2F, программные) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
- корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft
Outlook Web App;
- Web-приложения, сайты и облачные сервисы;
- системы дистанционного банковского обслуживания (ДБО);
- удалённые рабочие столы: Microsoft Remote Desktop Gateway, VMware Horizon View, Citrix XenApp/XenDesktop.
Встроенные инструменты управления аппаратными и программными токенами значительно упрощают и ускоряют работу
системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным
статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать
скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно
облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов,
разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без
разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой
U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству
различных Web-ресурсов.
JAS может использоваться:
- в государственных и коммерческих организациях, нуждающихся в усилении аутентификации пользователей при доступе к
внешним или внутрикорпоративным системам;
- разработчиками систем дистанционного банковского обслуживания (ДБО), корпоративного программного обеспечения
(ПО) и онлайн-сервисов;
- организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (например,
SafeNet Authentication Manager (SAM) и SafeNet Authentication Service (SAS)).
Поддержка аппаратных и программных токенов
JAS позволяет использовать для аутентификации как аппаратные, так и программные токены, что даёт возможность применять разные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные токены — для смартфонов и планшетов.
Отечественное ПО
JAS зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных (№ 2128) и обладает всеми необходимыми функциями для импортозамещения аналогичных разработок иностранных вендоров (например, SAM и SAS).
Совместимость
JAS совместим с любыми аппаратными и программными токенами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована
поддержка протоколов RADIUS, REST, WCF, WS-Federation и AD FS; с SMS-шлюзами — HTTP и SMPP.
Поддержка мобильных устройств
JAS поддерживает бесплатные приложения генерации OTP по событию и по времени, в т.ч. "Яндекс.Ключ", Google Authenticator, которые доступны для мобильных устройств на базе операционных систем Google Android, Apple iOS,
Microsoft Windows и др. Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Доступные цены
Цены на JAS фиксированы в рублях, не зависят от колебаний на валютном рынке и выгодно отличаются от цен на иностранные аналоги.
После внедрения JAS оплачивается только техническая поддержка, позволяющая получать консультации технических специалистов компании "Аладдин Р.Д." и все обновления.
Автономность
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS) и Microsoft Active Directory Federation Services (AD FS), а также средства управления токенами и пользователями.
Строгая аутентификация без PKI
Поддержка международного стандарта FIDO U2F позволяет построить систему строгой аутентификации без разворачивания инфраструктуры открытых ключей (PKI).
Производительность
JAS выдерживает значительные нагрузки (свыше 1 000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Масштабируемость
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
Надёжность
В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность аутентификации.
Архитектура JAS
Сервер JAS
- Сервер аутентификации реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service:
- OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса;
- текущие значения счётчиков: обновляются при выполнении служебных операций через Консоль управления.
- Консоль управления JAS:
- управление токенами и пользователями;
- может быть установлена на отдельный компьютер;
- режимы аутентификации и авторизации пользователя:
- учётная запись Microsoft Windows + членство в группе;
- аутентификация отключена.
- Хранилище учётных записей: Microsoft SQL Server или Microsoft Active Directory/Microsoft Security Account Manager.
- База данных Microsoft SQL Server:
- хранение информации о токенах и пользователях;
- достаточно установить только один компонент — Microsoft SQL Server Database Engine;
- база данных создаётся автоматически в процессе настройки сервера JAS;
- доступные режимы аутентификации пользователя базы данных:
- средствами Microsoft Windows;
- средствами Microsoft SQL Server.
Технические характеристики
| Параметр | Значение |
|---|
| Системные требования | - Сервер JAS
- Процессор: Intel Core i3-3xxx
- Оперативная память: от 3 ГБ
- ОС: Microsoft Windows Server 2012 R2 и выше
- Дополнительное ПО
- Microsoft SQL Server 2008 и выше
- Microsoft .NET Framework 4.5
- Консоль управления JAS
- Процессор: Intel Dual-Core 2 ГГц и выше
- Оперативная память: от 2 ГБ
- ОС: Microsoft Windows 7 SP1 (32/64 бит)
- Windows Server 2008 R2 SP1 и выше
- Дополнительное ПО: Microsoft .NET Framework 4.5
- JAS-плагин для NPS
- Intel Dual-Core 2 ГГц и выше
- Оперативная память: 1 ГБ (в дополнение к стандарту для NPS)
- ОС: Microsoft Windows Server 2008 SP2 (32/64 бит) и выше
- Дополнительное ПО: Microsoft .NET Framework 4.5
- JAS-плагин для AD FS
- Intel Dual-Core 2 ГГц и выше
- Оперативная память: 1 ГБ (в дополнение к стандарту для NPS)
- ОС: Microsoft Windows Server 2012 R2
- Дополнительное ПО: Microsoft .NET Framework 4.5
|
| Поддерживаемые модели аппаратных токенов | - Любые токены, генерирующие OTP по событию (в т.ч. JaCarta WebPass, eToken PASS, eToken NG-OTP, eToken NG-OTP (Java))
- Любые токены, генерирующие OTP по времени (в т.ч. eToken PASS)
- Любые U2F-токены (в т.ч. JaCarta U2F)
|
| Поддерживаемые программные токены для мобильных устройств |
Любые программные токены, в т.ч. "Яндекс.Ключ", Google Authenticator (для ОС Google Android, Apple iOS, Microsoft Windows и др.)
|
| Поддерживаемые протоколы интеграции с прикладным ПО | - Remote Authentication in Dial-In User Service (RADIUS)
- Representational State Transfer (REST)
- Windows Communication Foundation (WCF)
- Web Services Federation (WS-Federation)
|
| Поддерживаемые протоколы интеграции с SMS-шлюзами | - HTTP (запросы POST и GET)
- Short Message Peer-to-Peer (SMPP)
|
| Поддерживаемые режимы аутентификации | - Только OTP
- OTP + OTP PIN-код
- Доменный пароль + OTP
- Доменный пароль + OTP + OTP PIN-код
- U2F
- SMS
|
| Двухфакторная аутентификация в ОС Windows |
Обеспечивается путём установки на рабочую станцию Windows компонента JaCarta OTP Logon (JOL),
представляющего собой дополнительный поставщик учётных данных (Credential Provider).
В качестве второго фактора аутентификации
(в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации – см. Поддерживаемые режимы аутентификации, выше).
|
| Поддерживаемые алгоритмы генерации OTP | - RFC 4226 + HMAC-SHA-1 (6 символов)
- RFC 4226 + HMAC-SHA-256 (6 символов)
- RFC 4226 + HMAC-SHA-256 (7 символов)
- RFC 4226 + HMAC-SHA-256 (8 символов)
- RFC 6238 + HMAC-SHA-256 (6 цифр)
- RFC 6238 + HMAC-SHA-256 (7 цифр)
- RFC 6238 + HMAC-SHA-256 (8 цифр)
- RFC 6238 + HMAC-SHA-1 (6 цифр)
- RFC 6238 + HMAC-SHA-1 (7 цифр)
- RFC 6238 + HMAC-SHA-1 (8 цифр)
- RFC 6238 + HMAC-SHA-512 (6 цифр)
- RFC 6238 + HMAC-SHA-512 (7 цифр)
- RFC 6238 + HMAC-SHA-512 (8 цифр)
|
| Отказоустойчивость | Microsoft Failover Cluster, модель Active/Standby: - несколько серверов JAS: синхронизация текущих значений счётчиков;
- несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server.
|
Производительность и масштабирование
| Производительность системы в зависимости от конфигурации Сервера JAS |
| Стандартная | Повышенная | Высокая |
|---|
| Процессор | Intel Core i3-3xxx, 2 физических ядра, частота от 3 ГГц | Intel Core i5-3xxx, 4 физических ядра, частота от 3 ГГц | Intel Core i7-3xxx, 4 физических ядра, частота от 3 ГГц |
| Память | 2 ГБ (рекомендованное значение – 4 ГБ) |
| Сетевая карта | 100 Мбит/с | 100 Мбит/с | 1 Гбит/с |
| Протокол RADIUS | 40
аутентификаций в секунду | 100
аутентификаций в секунду | 200+
аутентификаций в секунду |
| Протокол REST/WCF | 200
аутентификаций в секунду | 500
аутентификаций в секунду | 1000+
аутентификаций в секунду |
Лицензирование
- JAS лицензируется только по количеству токенов (как аппаратных, так и программных).
- Цены на лицензии фиксированы в рублях.
- В рамках одной мажорной версии (1.x) срок действия лицензии не ограничен.
Техническая поддержка
- При покупке JAS предоставляется 12 месяцев базовой технической поддержки.
- Сертификат базовой технической поддержки даёт право на:
- получение обновлений продукта;
- получение консультаций по установке и использованию системы;
- доступ к Базе знаний по JAS и токенам
(JaCarta и eToken).
- Доступны пакеты технической поддержки на 12, 24 и 36 месяцев.
- Существует возможность приобретения расширенного пакета поддержки, включающего индивидуализированный набор
дополнительных услуг.
Внедрение
- Для знакомства с JAS доступны демо-версия на 3 месяца и виртуальный демо-стенд.
- Установка и настройка JAS максимально автоматизированы.
- Внедрение и сопровождение JAS могут осуществляться как инженерами компании "Аладдин Р.Д.", так и силами
сертифицированных специалистов компаний-партнёров.
