JaCarta
Authentication Server

JaCarta Authentication Server (JAS) – автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям

  • Усиленная аутентификация пользователей с помощью одноразовых паролей, в том числе работающих с мобильных устройств за пределами защищённого периметра организации
  • Аутентификация для разных групп пользователей
  • Поддержка протоколов RADIUS, REST, WCF, WS-Federation
  • Поддержка различных OTP-устройств и алгоритмов генерации OTP

Зарегистрировано в реестре российских программ для ЭВМ и БД (№ 2128)

JaCarta Authentication Server, JAS

JaCarta Authentication Server (JAS) – автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP, one time password) при доступе к:

  • корпоративным системам (CRM, порталам, почте и т.д.), в том числе к Microsoft SharePoint и Microsoft Outlook Web App;
  • сайтам, порталам и облачным сервисам;
  • системам дистанционного банковского обслуживания (ДБО);
  • удалённым рабочим столам (Microsoft Remote Desktop Gateway, VMware Horizon View, Citrix XenApp/XenDesktop).

Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования. По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе. Кроме этого, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

JAS может использоваться:

  • в государственных и коммерческих организациях, нуждающихся в усилении аутентификации пользователей при доступе к внешним или внутрикорпоративным системам;
  • разработчиками систем ДБО, корпоративного программного обеспечения (ПО) и онлайн-сервисов;
  • организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (прежде всего, SafeNet Authentication Manager).

JAS позволяет использовать разные режимы аутентификации для разных групп пользователей:

  • только OTP;
  • OTP + OTP PIN;
  • доменный пароль + OTP;
  • доменный пароль + OTP + OTP PIN.

Поддерживаемые модели токенов (режим генерации OTP "по событию"):

Для интеграции с прикладным ПО реализована поддержка следующих протоколов:

  • Remote Authentication in Dial-In User Service (RADIUS);
  • Representational State Transfer (REST);
  • Windows Communication Foundation (WCF);
  • Web Services Federation (WS-Federation).

Для интеграции с SMS-шлюзами реализована поддержка следующих протоколов:

  • HTTP (запросы POST и GET);
  • Short Message Peer-to-Peer (SMPP).
  • Доступные цены
    Цены на JAS фиксированы в рублях, не зависят от колебаний на валютном рынке и выгодно отличаются от цен на иностранные аналоги. После внедрения JAS оплачивается только техническая поддержка (опционально), позволяющая получать консультации технических специалистов компании "Аладдин Р.Д." и все обновления.
  • Отечественное ПО
    JAS зарегистрирован в Едином реестре отечественного ПО (№ 2128) и рекомендован к закупкам государственными предприятиями и органами власти (при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО).
  • Автономность
    Для полноценной работы JAS не требуется дополнительное ПО, так как в продукт уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS) и Microsoft Active Directory Federation Services (AD FS), а также средства управления токенами и пользователями.
  • Импортозамещение
    JAS обладает всеми необходимыми функциями для обеспечения усиленной аутентификации, что позволяет использовать его при импортозамещении аналогичных разработок иностранных вендоров.
  • Совместимость
    JAS совместим с токенами JaCarta WebPass, eToken PASS, eToken NG-OTP (Java), Google Authenticator и поддерживает генерацию OTP по событию. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF и WS-Federation, для интеграции с SMS-шлюзами — протоколы HTTP и SMPP.
  • Производительность
    JAS выдерживает значительные нагрузки (свыше 1 000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.
  • Масштабируемость
    Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Поддерживается работа нескольких серверов JAS в одном кластере.
  • Надёжность
    В JAS реализована поддержка Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность аутентификации.
  • Режимы аутентификации
    JAS позволяет использовать различные режимы аутентификации для разных групп пользователей (только OTP, OTP + OTP PIN-код, доменный пароль + OTP, доменный пароль + OTP + OTP PIN-код).
  • Использование смартфонов и планшетов
    JAS поддерживает бесплатное приложение для аутентификации с помощью OTP по событию Google Authenticator, доступное для мобильных устройств с ОС Google Android, Apple iOS, Microsoft Windows, BlackBerry OS и др., а также интеграцию с SMS-шлюзами для отправки OTP по SMS.

Архитектура JAS

Сервер JAS

  • Сервер аутентификации: реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service
    • OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса
    • текущие значения счётчиков: обновляются при выполнении служебных операций через Консоль управления.
  • Консоль управления JAS (Агент JAS):
    • управление токенами и пользователями;
    • может быть установлена на отдельный компьютер;
    • режимы аутентификации и авторизации пользователя:
      • учётная запись Microsoft Windows + членство в группе;
      • аутентификация отключена.
  • Хранилище учётных записей: Microsoft SQL Server или Microsoft Active Directory/Microsoft Security Account Manager
  • База данных Microsoft SQL Server
    • хранение информации о токенах и пользователях
    • достаточно установить только один компонент — Microsoft SQL Server Database Engine
    • база данных создаётся автоматически в процессе настройки сервера JAS
    • доступные режимы аутентификации пользователя базы данных:
      • средствами Microsoft Windows;
      • средствами Microsoft SQL Server.

Системные требования

Сервер JASКонсоль управления JASМодуль OTP для Microsoft NPS
Процессор (минимум)Intel Core i3-3xxxIntel Core i3-3xxxIntel Core i3-3xxx
Память (минимум)3 ГБ1 ГБ2 ГБ
ОСMicrosoft Windows Server 2008 R2 SP1 или вышеMicrosoft Windows Vista SP2 или выше (32/64)Microsoft Windows Server 2008 SP2 или выше (32/64)
Дополнительное ПОMicrosoft SQL Server 2008 или выше
Microsoft .NET Framework 4.0

Технические характеристики

ПараметрЗначение
Системные требования
  • Сервер JAS
    • Процессор: Intel Core i3-3xxx
    • Оперативная память: от 3 ГБ
    • ОС: Microsoft Windows Server 2008 R2 SP1 или выше
    • Дополнительное ПО
      • Microsoft SQL Server 2008 (или выше)
      • Microsoft .NET Framework 4.0
  • Консоль управления JAS
    • Процессор: Intel Core i3-3xxx
    • Оперативная память: от 1 ГБ
    • ОС: Microsoft Windows Vista SP2 или выше
    • Дополнительное ПО: нет
  • Модуль OTP для Microsoft NPS
    • Процессор: Intel Core i3-3xxx
    • Оперативная память: от 2 ГБ
    • ОС: Microsoft Windows Server 2008 SP2 или выше
    • Дополнительное ПО: нет
Поддерживаемые модели аппаратных токенов
  • JaCarta WebPass
  • eToken PASS
  • eToken NG-OTP
  • eToken NG-OTP (Java)
Поддерживаемые программные токены для мобильных устройств
  • Google Authenticator (для ОС Google Android, Apple iOS, Microsoft Windows, BlackBerry OS и др.)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Windows Communication Foundation (WCF)
  • Web Services Federation (WS-Federation)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
Поддерживаемые алгоритмы генерации OTP
  • RFC 4226 + HMAC-SHA-1 (6 символов)
  • RFC 4226 + HMAC-SHA-256 (6 символов)
  • RFC 4226 + HMAC-SHA-256 (7 символов)
  • RFC 4226 + HMAC-SHA-256 (8 символов)
Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby:

  • несколько серверов JAS: синхронизация текущих значений счётчиков;
  • несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server.

Производительность и масштабирование

Сервер JASКонсоль управления JASМодуль OTP для Microsoft NPS
ПроцессорIntel Core i3-3xxx 2 физических ядра частота от 3 ГГцIntel Core i5-3xxx 4 физических ядра частота от 3 ГГцIntel Core i7-3xxx 4 физических ядра частота от 3 ГГц
Память+1 ГБ к рекомендованным требованиям к Microsoft Windows Server
Сетевая карта100 МБ/с100 МБ/с1 ГБ/с
RADIUS40
аутентификаций в секунду
100
аутентификаций в секунду
200+
аутентификаций в секунду
REST/WCF200
аутентификаций в секунду
500
аутентификаций в секунду
1000+
аутентификаций в секунду

Лицензирование

  • JAS лицензируется только по количеству токенов (как аппаратных, так и программных)
  • Цены на лицензии фиксированы в рублях
  • В рамках одной версии срок действия лицензии не ограничен
  • При покупке JAS предоставляется 12 месяцев базовой технической поддержки

Техническая поддержка

  • Сертификат базовой технической поддержки даёт право на:
    • получение обновлений продукта;
    • исправление критических ошибок;
    • получение консультаций по установке и использованию системы;
    • доступ к Базе знаний.
  • Доступны пакеты технической поддержки на 12, 24 и 36 месяцев
  • Существует возможность приобретения расширенного пакета поддержки, включающего индивидуализированный набор дополнительных услуг

Внедрение

  • Для знакомства с JAS доступны демо-версия на 3 месяца и виртуальный демо-стенд
  • Установка и настройка JAS максимально автоматизированы
  • Внедрение и сопровождение JAS могут осуществляться как инженерами компании "Аладдин Р.Д.", так и силами сертифицированных специалистов компаний-партнёров