JaCarta Authentication Server

Высокопроизводительный сервер аутентификации Enterprise-класса (в составе платформы JaCarta Management System (JMS))

  • Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
  • Строгая аутентификация пользователей по протоколу U2F
  • Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
  • Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, ADFS и др.
  • Высокая производительность
  • Сервис безопасной передачи секрета программных аутентификаторов и собственное мобильное приложение Aladdin 2FA
JaCarta Authentication Server
В реестре отечественного ПО (№ 311)
Сертифицировано ФСТЭК России
Запросить цену
Техническая поддержка
Задать вопрос

Аутентификация по одноразовым паролям, стандарту U2F или программным токенам

JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 3.7, поддерживающий работу как c аппаратными OTP и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств. Таких как приложение Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.

Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:

  • шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
  • шлюз к рабочим столам Microsoft (Microsoft RDG)
  • корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App
  • web-приложения, сайты и облачные сервисы
  • системы дистанционного банковского обслуживания (ДБО) и ЭДО

Глубокая интеграция JAS в платформу JMS 3.7 позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами, а также функциональные возможности Личного кабинета пользователя JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.

OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.

По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.

Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.

Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.

Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.

Работает только при условии использования мобильного приложения Aladdin 2FA.

PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.

Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.

Преимущества

Повышенная защищённость

Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP аутентификаторов.

Масштабируемость

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

Поддержка аппаратных и программных токенов

JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.

Совместимость

JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.

Универсальность и самодостаточность

Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:

  • RADIUS
  • REST
  • WCF
  • WS-Federation (ADFS)
  • HTTP и SMPP (для интеграции c SMS-шлюзами).

Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, JAS RADIUS Server (JRS), плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, а также средства управления токенами и пользователями.

Производительность, масштабируемость и отказоустойчивость

JAS выдерживает значительные нагрузки (свыше 5,000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность процессов аутентификации.

Поддержка мобильных устройств

JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Все приложения доступны в Google Play и Apple Store.

Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.

Полная автоматизация возможных сценариев использования

Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 3.7 и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.

Многофункциональный Личный кабинет даёт возможность пользователю в рамках предоставленных администратором полномочий управлять своими аутентификаторами – осуществлять выпуск, синхронизацию, перевыпуск, блокировки и разблокировки.

Архитектура JAS

Архитектура JAS

Сервер аутентификации JAS

Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.

Консоль управления

Управление из Единой консоли управления. См. подробнее JMS

База данных Microsoft SQL Server

  • Хранение информации о токенах пользователей
  • Единая база данных с JMS
  • База данных создаётся автоматически в процессе настройки сервера JMS
  • Отдельная шифрованная таблица, позволяющая перезапускать сервер, не предъявляя токен оператора для монтирования криптохранилища

Aladdin 2FA Service

  • Сервис безопасной передачи секрета
  • Сервис Push-аутентификации

JAS Server API

Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.

SDK JAS 3.7.1

JaCarta Authentication Server (JAS) содержит открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F- аутентификаторов. Клиентский интерфейс поддерживает одновременно 2 точки доступа по типам транспорта: “REST протокол HTTP ” и “WCF протоколы HTTP/SOAP и TCP/Binary ”, что позволяет интегрироваться практически с любыми системами.

Сертификаты

Высокопроизводительный сервер аутентификации JaCarta Authentication Server входит в состав платформы JaCarta Management System (JMS) 3.7.

Отечественное ПО, соответствующее требованиям регулятора

Система JMS создана в России, является полностью отечественной разработкой и включена в Единый реестр отечественного ПО (№ 311). Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, такие как учёт СКЗИ в соответствии с требованиями ФСБ России.

JMS сертифицирована ФСТЭК России на соответствие 4 уровню доверия и техническим условиям (сертификат соответствия № 4411 от 20 мая 2021 года).

Для клиентов, использующих системы иностранного происхождения, например, SafeNet Authentication Manager (SAM) или Token Management System (TMS), доступна простая миграция на JMS с сохранением всех настроек и данных.

Совместимость

Класс ПО/ПАК Вендор Продукт Сертификат совместимости
СУБД ООО "ППГ" Postgres Pro
ООО "Газинформсервис" Jatoba сертификат
Ресурсные системы (Каталоги) ООО "КРИПТО-ПРО" УЦ КриптоПро 2.0
УЦ КриптоПро 1.5
КриптоПро DSS
ООО "ГК Иннотех" Эллес 1.10.0 сертификат
Межсетевые экраны, VPN-концентраторы etc ООО "Юзергейт" Линейка МЭ UserGate сертификат
ООО "КРИПТО-ПРО" VPN КриптоПро Ngate сертификат
АО "ИнфоТеКС" ПАК ViPNet PKI Service 2.3 сертификат
Средства виртуализации ООО "РЕД СОФТ" РЕД Виртуализация сертификат

Функции JaCarta Authentication Server

  • Усиленная аутентификация пользователей по одноразовым паролям (OTP):
    • Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
    • Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
    • Push-уведомления
    • Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
    • Messaging-токены (SMS)
  • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
  • Вариативность режимов аутентификации с применением OTP-токенов:
    • Только OTP
    • OTP + OTP PIN-код
    • Доменный пароль + OTP
    • Доменный пароль + OTP + OTP PIN-код
  • Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS и Android) – невозможность повторного использования QR-кода
  • Отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
    • Отправка текущего времени и версии JAS на сервер A2FA
  • Отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками:
    • Обновление Messaging-токена
    • Блокировка Messaging-токена
    • Не предпринимать никаких действий
  • Автоматический перевыпуск JAS-токенов при изменении учетных данных пользователя
    • Настройка действий: Перевыпускать или Не предпринимать никаких действий
  • Автоматическая блокировка неактивных OTP-токенов
  • Автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
  • Отправка по e-mail QR-кода, строки ручной регистрации, ссылки на автоматическую регистрацию OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
    • Кастомизация темы письма при отправке QR-кодов
  • Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
    • В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удаленном подключении и Логин\Пароль\OTP при локальном входе
  • Интеграция с прикладным ПО с использованием стандартных протоколов:
    • RADIUS
    • REST
    • WCF
    • WS-Federation (ADFS)
    • HTTP и SMPP (для интеграции c SMS-шлюзами)
      • Гибкая настройка подключения к SMS-шлюзами, механизмы диагностики
  • Компонент JAS Radius Server:
    • Возможность замены NPS и FreeRADIUS для сценариев, где в качестве политик используются только группы
    • Поддержка каталогов для чтения и проверки принадлежности к группам: AD, Samba AD-DC, FreeIPA, ALD Pro
    • Возможность одновременно работы с несколькими доменами и LDAP-каталогами для проверки вхождения в группу пользователя
    • Возможность перенаправлять запросы для обработки пароля на сторонний Radius Server
    • Защита пароля пользователя путем инверсии порядка аутентификации. Пароль пользователя будет проверяться после успешной проверки второго фактора. Данную опцию можно активировать только при включенной опции Challenge-Response (Access-Challenge) на стороне JAS Radius Server. При этом у пользователя при аутентификации, как и раньше, будет запрашиваться сначала пароль, а затем второй фактор
    • Поддержка нескольких Radius-клиентов с возможностью персональных настроек для каждого клиента
    • Поддержаны все функции плагина для NPS:
      • Аутентификация по OTP, Messaging, Push-токенам
      • Определение доступных средств аутентификации
      • Ручной / автоматический выбор доступных средств аутентификации
      • Указание домена по умолчанию
  • Широкие возможности интеграции с различными системами и сервисами:
    • Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
    • Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
    • Web-приложения, сайты и облачные сервисы
    • Системы дистанционного банковского обслуживания (ДБО)
    • Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
  • Ведение журналов:
    • Журнал аудита
    • Журнал событий аутентификации
      • Отображение информации об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
    • Фильтрация событий, записываемых в журнал аутентификации, поиск по вхождению
    • Выгрузка событий журналов аутентификации на Syslog-сервер
    • Возможность фильтрации типов событий JAS для Syslog
  • Самообслуживание через Личный кабинет пользователя:
    • Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
      • Текущий пользователь Windows
      • Доменный пароль
      • Пароль JMS
      • Контрольные вопросы
      • SMS-оповещение
      • OTP-аутентификатор
      • Messaging-аутентификатор.
    • Двухфакторный вход в портал самообслуживания с возможностью гибко настроить способы входа для первого и второго шага аутентификации
    • Регистрация программного OTP или Push OTP посредством
      • QR-кода
      • Строки ручной регистрации
    • Управление аутентификаторами
    • Синхронизация счетчиков
    • Смена OTPPIN
    • Возможность кастомизации дизайна порталов
  • Смена просроченного или требующего замены пользователя Windows через JAS-плагин для NPS
  • Поддержка PUSH-аутентификации в ADFS-плагине
  • Поддержка Push-токенов в двухпроходном режиме NPS-плагина
  • UI-конфигуратор плагинов NPS, ADFS, RDG
  • За счет интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
    • Централизация управления через единую консоль
    • Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
    • Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
    • Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
    • Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счет планов обслуживания
    • Общая система журналирования событий и система e-mail уведомлений
  • Формирование отчётов
    • Формирование отчета по действующим на пользователя профилям и привязанным OTP-, Push-, SMS-аутентфикаторам
    • Выгрузка журнала аутентификаций JAS в машиночитаемом формате
    • Выгрузка списка OTP-токенов пользователей в виде отчета
  • Расширенное логирование взаимодействия с сервисом Aladdin 2FA для упрощения поиска и анализа проблем
  • Проверка статуса активации OTP- и Push-токенов, выпущенных через сервис Aladdin 2FA
  • Предупреждения об исчерпании лимита лицензий JAS (Aladdin 2FA)
  • Отказоустойчивость:
    • Microsoft Failover Cluster, модель Active/Standby:
      • Несколько серверов JAS: синхронизация текущих значений счётчиков
      • Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server

Технические и эксплуатационные характеристики

Системные требования

» Сервер JAS

Предварительно необходимо установить и настроить “Сервер JMS” т.к. JAS интегрирован в платформу JMS и является его составной частью

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2

Дополнительное ПО

  • Microsoft .NET Framework 4.8 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

» СУБД

Требования к СУБД совпадают с требованиями, предъявляемыми к серверу СУБД для JMS (используется одна общая база).

Имеется ограничение: необходимо использовать только СУБД Microsoft SQL Server.

» JAS-плагин для NPS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для AD FS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для Microsoft RDG

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 500 МБ

Свободное место на жёстком диске (не менее): 100 МБ

» JAS-плагин для JOL

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы)
  • Microsoft Windows 10 (32/64-битные платформы)
  • Microsoft Windows 8.1 (32/64-битные платформы)

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы : 500 МБ

Свободное место на жёстком диске (не менее): 15 МБ

» JAS RADIUS Server

JAS RADIUS Server (windows):

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2

Дополнительное ПО

  • Microsoft .NET Framework 4.8 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

Свободное место на жёстком диске (не менее): 10 ГБ

JAS RADIUS Server (linux)

Операционная система

  • Astra Linux SE 1.6 Smolensk
  • Astra Linux SE 1.7
  • Astra Linux SE 1.8
  • Astra Linux CE 2.12 Orel
  • РЕД ОС 7.2, 7.3
  • ОС Альт 8 СП
  • ОС Альт 10

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

Свободное место на жёстком диске (не менее): 10 ГБ
Поддерживаемые модели аппаратных токенов
  • JaCarta WebPass
  • eToken PASS
  • eToken NG-OTP
  • eToken NG-OTP (Java)
  • Любые токены, генерирующие OTP по событию (согласно RFC 4226)
  • Любые токены, генерирующие OTP по времени (согласно RFC 6238)
  • JaCarta U2F и любые U2F-токены
Поддерживаемые программные токены для мобильных устройств
  • Aladdin 2FA
  • Google Authenticator
  • Яндекс.Ключ
  • Любые другие программные токены TOTP/HOTP по событию (HOTP согласно RFC 4226) и по времени (TOTP согласно RFC 6238)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Windows Communication Foundation (WCF)
  • Active Directory Federation Services (ADFS)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
  • U2F
  • SMS
Двухфакторная аутентификация в ОС Windows
  • Обеспечивается путём установки на рабочую станцию Windows компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
  • В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации)
Поддерживаемые алгоритмы генерации OTP
  • HOTP
    • RFC 4226 + HMAC-SHA-1 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (7 цифр)
    • RFC 4226 + HMAC-SHA-256 (8 цифр)
  • TOTP
    • RFC 6238 + HMAC-SHA-1 (6 цифр)
    • RFC 6238 + HMAC-SHA-1 (7 цифр)
    • RFC 6238 + HMAC-SHA-1 (8 цифр)
    • RFC 6238 + HMAC-SHA-256 (6 цифр)
    • RFC 6238 + HMAC-SHA-256 (7 цифр)
    • RFC 6238 + HMAC-SHA-256 (8 цифр)
    • RFC 6238 + HMAC-SHA-512 (6 цифр)
    • RFC 6238 + HMAC-SHA-512 (7 цифр)
    • RFC 6238 + HMAC-SHA-512 (8 цифр)
Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby:

  • Несколько серверов JAS: синхронизация текущих значений счётчиков
  • Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server
Сертификация

ФСТЭК России

Сертификат ФСТЭК России № 4411 от 20.05.2021 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.
Единый реестр отечественного ПО JMS(JAS) — Первая корпоративная система управления жизненным циклом средств аутентификации, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО)

Требования к аппаратному обеспечению JAS 3.7.1

Таблица 1 – Требования к аппаратному обеспечению JAS

Производительность (операций аутентификаций в секунду)

Протокол RADIUS: 40 оп/с*

Протокол REST/WCF: 200 оп/с*

Протокол RADIUS: 100 оп/с*

Протокол REST/WCF: 500 оп/с*

Протокол RADIUS: 200+ оп/с*

Протокол REST/WCF: 1000+ оп/с*
Требования к серверу

Процессор: 2 ядра, Частота ≥ 2.5 ГГц

ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ

Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS

Скорость канала до СУБД: 100 Мб/c (фактическая скорость)

Процессор: 4 ядра, Частота ≥ 2.5 ГГц

ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ

Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS

Скорость канала до СУБД: 100 Мб/c (фактическая скорость)

Процессор: 8 ядер, Частота ≥ 2.5 ГГц

ОЗУ: Min – 4 ГБ, Рекомендуется – 8 ГБ

Жесткий диск: Min – 100 ГБ, Интерфейс—SATA/SAS

Скорость канала до СУБД: 1 Гб/c (фактическая скорость)
Требования к серверу БД

Процессор: 4 ядра, Частота ≥ 2.5 ГГц

ОЗУ: Min – 4 ГБ, Рекомендуется – 6 ГБ

Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS

Процессор: 8 ядер, Частота ≥ 2.5 ГГц

ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ

Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SATA/SAS

Процессор: 8 ядер, Частота ≥ 2.5 ГГц

ОЗУ: Min – 6 ГБ, Рекомендуется – 8 ГБ

Дисковая память: RAID 1, 5 или 50, Min (суммарная емкость) – 200 ГБ, Интерфейс — SAS

* количество операций аутентификации в секунду для сложного сценария «Доменный пароль + OTP + OTP PIN-код»

При использовании упрощённого сценария аутентификации производительность увеличивается c коэффициентом ~10.

Если в качестве сервера используется виртуальная машина, то её характеристики задаются так, чтобы производительность была равной или большей, чем указанная в таблице.

Схема

Масштабирование JAS

Задачи импортозамещения и санкционной независимости

Высокопроизводительный сервер аутентификации Enterprise-класса для обеспечения безопасного доступа внешних и внутренних пользователей к информационным ресурсам, сервисам, шлюзам, рабочим столам входит в состав платформы JaCarta Management System (JMS) 3.7.

Система JMS создана в России, является полностью отечественной разработкой и включена в Единый реестр отечественного ПО (№ 311).

Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, такие как учёт СКЗИ в соответствии с требованиями ФСБ России.

JMS сертифицирована ФСТЭК России на соответствие 4 уровню доверия и техническим условиям (сертификат соответствия № 4411 от 20 мая 2021 года).

Сервер аутентификации JAS способен заместить такие продукты зарубежных вендоров:

  • Microsoft Multy Factor Authentication (MFA)
  • Thales Multy Factor Authentication (MFA)

Документация

Уважаемые коллеги.

Мы постоянно работаем над развитием нашего ПО, поэтому актуальные версии эксплуатационной документации отгружаем только вместе с актуальными дистрибутивами ПО.

Представленная для загрузки версия документации предназначена для общего ознакомления и не может быть использована для работы с актуальными версиями ПО. Просим иметь это в виду.

ico-pdf JMS Руководство администратора 1. Приложение 1
ico-pdf JMS Руководство администратора 1
ico-pdf JMS Руководство администратора 2
ico-pdf JMS Руководство администратора 3
ico-pdf JMS Руководство пользователя
ico-pdf JRS Руководство администратора

Новые возможности JMS 3.7 в части JAS на 05.05.2025 г.

  • Защита от массового удаления и перевыпуска OTP-токенов
  • Шаблоны e-mail: возможность выбирать шаблоны в профилях
  • Исправлены ошибки:
    • При блокировке пользователя в AD не все токены блокируются
    • Лицензии для выпущенных 2FA-аутентификаторов освобождаются только после выполнения плана облуживания, а не сразу после удаления
    • Некоторое количество менее значительных ошибок. Подробно - по ссылке
  • Плагин NPS. Добавлена поддержка учёта статуса аутентификатора в A2FA в однопроходном режиме
  • Плагин NPS. Учтены в UI зависимые и конфликтующие настройки
  • Исправлены ошибки:
    • Аутентификатор блокируется снова после разблокировки по причине длительного неиспользования
    • Разблокировка OTP-токенов происходит без учета указанной ресурсной системы
    • Некорректно отрабатывается ситуация, когда у пользователя активный Push, заблокированные OTP и в настройках NPS (JRS) выставлены настройки "Проводить аутентификацию, если токен не обнаружен в JAS" и "Приоритет использования Push"
  • Добавлена строгая проверка типа данных из ресурсной системы
  • Добавлена настройка перевыпуска аутентификаторов при изменении Account Name
  • Добавлена настройка для чтения атрибутов клиентского и серверного IP в плагине NPS
  • Включение поддержки TLS версии выше 1.0 для syslog
  • Исправлены ошибки:
    • Исправлено зависание планов обслуживания при потере связи с БД
    • Не разблокируется автоматически аутентификатор, заблокированный по прекращению действия профиля
    • Если в профиле выпуска OTP название имеет больше 100 символов - будет ошибка выпуска
    • Не экспортируется журнал аутентификаций в результате выполнения задачи "Экспорт журнала аутентификаций"
    • Исправлена проблема с выполнением планов обслуживания, если используется фильтрация по группе, содержащей пользователей из чужих недоверенных доменов
    • Не работает наследование профилей, если система при инициализации привязана к конкретной OU
  • Исправлены ошибки:
    • Не выпускаются OTP-токены для некоторых новых пользователей
    • Дата в заголовке, формируемом JAS, передаётся на шлюз SMS в неверном формате
    • План обслуживания удаляется из очереди, если он не начал выполняться через 5 минут
    • Не приходят уведомления при ошибках в плане обслуживания OTP
    • В свойствах КН время отображается в UTC
  • Исправлены ошибки:
    • Разблокируются ОТП токены, заблокированные по неактивности по настройке: "Разблокировка пользователя"
    • Не учитывается часовой пояс при отправке e-mail письма о регистрации OTP-аутентификатора
    • При выпуске OTP-аутентификатора нет проверки на недопустимые символы и комбинации в адресе электронной почты
    • При аутентификации через ADFS или RDS + RDP неправильно передается IP адрес в журналах аудита
    • Не реализована обработка ошибки (пароль требует смены) для сценария аутентификации, когда на проверку передаётся более одного фактора
  • Реализована отправка текущего времени и версии JAS на сервер A2FA
  • Неуспешные события аутентификации JAS фиксируются в журналах, даже если пользователь в JAS не найден
  • В журнал аутентификаций добавлена информация об IP адресе клиента и IP адресе Radius сервера, откуда пришел запрос
  • Реализована отправка текущего времени и версии JAS на сервер A2FA
  • Расширен аудит изменения кастомных атрибутов пользователя
  • Исправлены ошибки:
    • Проблема бесконечного обновления КН в Консоли управления JMS при подключении JCWebPass (JC600)
    • Ошибка входа по OTP который был удалён из JMS
    • Не перезапускается служба после зависания плана обслуживания
    • Ошибка блокировки токена по неактивности
    • NPS-Plugin. Для всех протоколов кроме PAP, аутентификация по Push инициируется только после успешного завершения внутренних взаимодействий в NPS (AccessAccept)
    • Отключена отправка уведомлений в A2FA (метод /pushAuthOk) об успешной аутентификации по Push (по событиям Accounting), т.к. это давало наводки на PEAP аутентификацию.
  • Реализованы предупреждения об исчерпании лимита лицензий JMS и JAS (A2FA)
  • Реализован перевыпуск JAS-токенов при изменении учетных данных пользователя
  • Реализован JAS Radius Server
    • Реализована аутентификация по OTP, Messaging, Push-токенам
    • Реализована аутентификация с перенаправлением на сторонний RADIUS-сервер
    • Реализовано определение доступных средств аутентификации
    • Реализован ручной / автоматический выбор доступных средств аутентификации
    • Реализовано указание домена по умолчанию
    • Реализована возможность смены пароля пользователя через JAS
    • Реализована проверка вхождения пользователей в группы LDAP-каталога
    • Реализована возможность проверки «второго фактора» первым
    • Реализована возможность задавать индивидуальные настройки для каждого RADIUS-клиента
    • Реализована проверка членства в группе при однопроходном режиме
    • Для однопроходного режима реализована аутентификация по Push
    • Реализовано проксирование запросов на внешний RADIUS-сервер в однопроходном режиме
    • Реализована проверка статуса активации токенов в A2FA
    • Реализован API для мониторинга статуса сервиса
    • Добавлена кастомизация текстовых сообщений пользователю
    • Изменен формат настроек проверки вхождения пользователя в группу и логика установки 25 атрибута
    • Реализовано получение UPN-суффиксов из LDAP-каталогов
  • Исправлены ошибки, внесены улучшения
  • Реализована кастомизация темы письма при отправке QR-кодов
  • Реализована проверка статуса активации OTP- и Push-токенов, выпущенных через сервис Aladdin 2FA (JAS – CheckAuthAvailablity)
  • Реализована кастомизация текста ответа Radius для двухпроходного режима
  • Произведена корректировка ссылок на приложение A2FA в email шаблонах
  • Реализованы настройки управления заголовками, требуемые для интеграции с некоторыми SMS-шлюзами
  • Исправлены ошибки, внесены улучшения
  • Реализована доработка настроек механизма отправки SMS
  • Реализовано расширение логирования взаимодействия с сервисом Aladdin 2FA
  • В e-mail шаблон выпуска OTP- и Push-токенов через сервис Aladdin 2FA добавлена ссылка для автоматической регистрации аутентификатора с мобильного устройства
  • Исправлены ошибки, внесены улучшения
  • Реализована автоматическая блокировка неактивных OTP-токенов
  • Реализована автоматическая разблокировка OTP-токенов, заблокированных по перебору через определённый промежуток времени
  • Оптимизирован текущий механизм блокировки токенов по перебору (для каждого из типов OTP-токенов отдельная настройка)
  • Реализована выгрузка журнала аутентификаций JAS в машиночитаемом формате
  • Реализована выгрузка списка OTP-токенов пользователей в виде отчета
  • Реализована отправка по e-mail строки ручной регистрации OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA. Строка ручной регистрации теперь так же доступна в разделе безопасного считывания QR-кода личного кабинета
  • Устранены ошибки, повышена производительность
  • Реализовано отслеживание изменений номера телефона пользователя и обработка изменений в соответствии с политиками:
    • Обновление Messaging-токена
    • Блокировка Messaging-токена
    • Не предпринимать никаких действий
  • Устранены ошибки, повышена производительность
  • Реализовано отслеживание состояния OTP-аутентификаторов, выпущенных через сервис Aladdin 2FA
  • Реализована поддержка Push-токенов в двухпроходном режиме NPS-плагина
  • Реализован фильтр типов событий JAS для Syslog
  • Реализован UI-конфигуратор плагинов NPS. ADFS, RDG
  • Устранены ошибки, повышена производительность
  • Изменена лицензионная политика JAS: Лицензия расходуется при выпуске аутентификатора пользователю. Выпуск дополнительных аутентификаторов пользователю не вызывает дополнительного расхода лицензий
  • Реализована поддержка PUSH-аутентификации в ADFS-плагине
  • Доработана настройка подключения SMS-шлюза для аутентификации по base64 (login\password)
  • В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удалённом подключении и Логин\Пароль\OTP при локальном входе
  • Доработаны механизмы кастомизации портала ЛК
  • Устранены ошибки, повышена производительность
  • Реализована возможность аутентификации по SMS через NPS-плагин
  • Реализована поддержка PUSH-аутентификации в NPS-плагине
  • Реализована смена просроченного или требующего замены пароля пользователя Windows через NPS-плагин
  • Реализован личный кабинет пользователя web-портала с возможностью:
    • Аутентификации в ЛК через JAS
    • Самостоятельного выпуска и управления OTP, PUSH и SMS аутентификаторами
    • Безопасного считывания QR-кода из личного кабинета для активации OTP и PUSH токенов
  • Поддержаны алгоритмы генерации для программных OTP:
    • HOTP
      • RFC 4226 + HMAC-SHA-256 (6 цифр)
      • RFC 4226 + HMAC-SHA-256 (7 цифр)
      • RFC 4226 + HMAC-SHA-256 (8 цифр)
    • TOTP
      • RFC 6238 + HMAC-SHA-256 (6 цифр)
      • RFC 6238 + HMAC-SHA-256 (7 цифр)
      • RFC 6238 + HMAC-SHA-256 (8 цифр)
      • RFC 6238 + HMAC-SHA-512 (6 цифр)
      • RFC 6238 + HMAC-SHA-512 (7 цифр)
      • RFC 6238 + HMAC-SHA-512 (8 цифр)
  • В JOL реализована возможность стандартного входа по Логин\Пароль при локальном входе и Логин\Пароль\OTP при подключении через RDP
  • Новые e-mail шаблоны для мобильного приложения Aladdin 2FA с ссылкой на мобильное приложение в App Store/Google Play
  • Устранены ошибки, повышена производительность