Аутентификация по одноразовым паролям, стандарту U2F или программным токенам
JaCarta Authentication Server (JAS) – автономный высокопроизводительный сервер аутентификации с поддержкой OTP- и U2F-токенов, а также программных токенов для мобильных устройств.
JAS успешно используется для защищённого удалённого доступа и усиленной аутентификации с использованием OTP на смартфоне в качестве дополнительного фактора аутентификации в VPN и VDI (VMware Horizon View, Citrix XenApp/XenDesktop и др.) для "вынужденных" домашних пользователей.
Особенности версии по сравнению с версией масштаба предприятия, интегрированной в JMS 3.7
JaCarta Authentication Server (JAS) — автономный высокопроизводительный сервер аутентификации, поддерживающий работу как c аппаратными OTP- и U2F-токенами, так и с программными токенами для мобильных устройств: Aladdin 2FA, разработанный компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator и "Яндекс.Ключ".
Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (OTP, U2F, программные) JAS обеспечивает безопасный доступ к следующим системам и сервисам:
Встроенные инструменты управления аппаратными и программными токенами значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.
OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.
По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.
Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.
U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.
Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.
Простое, недорогое и надёжное решение для предприятий и организаций, нуждающихся в усилении существующей системы аутентификации.
JAS позволяет использовать для аутентификации как аппаратные, так и программные токены, что даёт возможность применять разные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные токены — для смартфонов и планшетов.
JAS зарегистрирован в Едином реестре российских программ для электронных вычислительных машин и баз данных (№ 2128) и обладает всеми необходимыми функциями для импортозамещения аналогичных разработок иностранных вендоров (например, SAM и SAS).
JAS совместим с любыми аппаратными и программными токенами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation и AD FS; с SMS-шлюзами — HTTP и SMPP.
JAS поддерживает бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, "Яндекс.Ключ" и Google Authenticator. Все приложения доступны в Google Play и Apple Store .
Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.
Цены на JAS фиксированы в рублях, не зависят от колебаний на валютном рынке и выгодно отличаются от цен на иностранные аналоги. После внедрения JAS оплачивается только техническая поддержка, позволяющая получать консультации технических специалистов компании "Аладдин Р.Д." и все обновления.
Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS) и Microsoft Active Directory Federation Services (AD FS), а также средства управления токенами и пользователями.
Поддержка международного стандарта FIDO U2F позволяет построить систему строгой аутентификации без разворачивания инфраструктуры открытых ключей (PKI).
JAS выдерживает значительные нагрузки (свыше 1 000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.
В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность аутентификации.
Внедрение в организации типового решения двухфакторной аутентификации на рабочих местах сотрудников требует наличия инфраструктуры открытых ключей (PKI). Для многих подготовка такой инфраструктуры может оказаться слишком сложной задачей, включающей в себя развёртывание службы каталога, Удостоверяющих центров, а также приобретение электронных ключей с поддержкой PKI.
Чтобы реализовать надёжное решение двухфакторной аутентификации, исключив громоздкую инфраструктуру, в качестве второго фактора можно использовать OTP-аутентификаторы. В последней версии JAS компания "Аладдин Р.Д." поставляет такое решение, получившее название JAS OTP Logon (JOL).
Новая функция JAS расширяет стандартный набор поставщиков учётных данных (Credential Provider) ОС Windows, с помощью которых пользователь может открыть сеанс работы с Windows, а также аутентифицироваться в стандартных сервисах и приложениях Windows, например, в Web-приложениях IIS, для подключения к удалённому компьютеру средствами терминального сервиса Windows и т.п. Для открытия сеанса работы в Windows с помощью JOL пользователь вводит свои аутентификационные данные на привычном для него экране входа.
Функция JOL обеспечивает усиленную двухфакторную аутентификацию (т.е. без использования смарт-карт или других криптографических средств аутентификации), где в качестве второго фактора в дополнение к основному паролю добавляется OTP-пароль, генерируемый с помощью стандартных OTP-токенов. Допускается также вариант использования популярных программных генераторов OTP, таких, как Яндекс.Ключ и Google Authenticator.
Аутентификация для входа в Windows c помощью JOL выполняется как в доменной среде (на базе Microsoft Active Directory), так и на внедоменных рабочих станциях. Продукт содержит встроенные средства для обеспечения централизованных установки и настройки через групповые политики Windows.
Двухфакторная аутентификация в ОС Windows обеспечивается путём установки на рабочую станцию Windows компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных. В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (OTP + OTP PIN-код, пароль Windows + OTP, пароль Windows + OTP + OTP PIN-код) в зависимости от соответствующих настроек в JAS.
Рабочая станция может как принадлежать домену Windows (при этом в качестве Windows-пароля используется доменный пароль), так и работать вне домена (тогда используется пароль локального пользователя).
Схема интеграционного решения JAS — ОС Microsoft Windows
Перед развёртыванием интеграционного решения в сети заказчика должны быть установлены рабочие станции Windows, принадлежащие домену Active Directory и/или внедоменные рабочие станции с ОС Windows.
Для обеспечения поддержки второго фактора аутентификации (OTP) на рабочих станциях с ОС Windows необходимо выполнить следующие действия.
Параметр | Значение |
---|---|
Системные требования |
|
Поддерживаемые модели аппаратных токенов |
|
Поддерживаемые программные токены для мобильных устройств | Любые программные токены, в т.ч. Яндекс.Ключ и Google Authenticator |
Поддерживаемые протоколы интеграции с прикладным ПО |
|
Поддерживаемые протоколы интеграции с SMS-шлюзами |
|
Поддерживаемые режимы аутентификации |
|
Двухфакторная аутентификация в ОС Windows |
Обеспечивается путём установки на рабочую станцию Windows компонента JaCarta OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider). В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации). |
Поддерживаемые алгоритмы генерации OTP |
|
Отказоустойчивость |
Microsoft Failover Cluster, модель Active/Standby:
|
Стандартная | Повышенная | Высокая | |
---|---|---|---|
Процессор | Intel Core i3-3xxx, 2 физических ядра, частота от 3 ГГц | Intel Core i5-3xxx, 4 физических ядра, частота от 3 ГГц | Intel Core i7-3xxx, 4 физических ядра, частота от 3 ГГц |
Память | 2 ГБ (рекомендованное значение – 4 ГБ) | ||
Сетевая карта | 100 Мбит/с | 100 Мбит/с | 1 Гбит/с |
Протокол RADIUS | 40 оп/с* | 100 оп/с* | 200+ оп/с* |
Протокол REST/WCF | 200 оп/с* | 500 оп/с* | 1000+ оп/с* |
* количество операций аутентификации в секунду
Реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service: