JaCarta Authentication Server

Аутентификация по одноразовым паролям, стандарту U2F или программным токенам

JaCarta Authentication Server (JAS) – высокопроизводительный сервер аутентификации 2ФА с поддержкой как аппаратных OTP- и U2F-токенов, так и программных OTP/PUSH/SMS аутентификаторов для мобильных устройств в составе платформы JaCarta Management System (JMS) 3.7.

  • Усиленная аутентификация пользователей по одноразовым паролям (PUSH/OTP/SMS)
  • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance)
  • Обеспечение аутентификации на десктопах, ноутбуках (JAS OTP Logon)
  • Простая интеграция с прикладным ПО по стандартным протоколам RADIUS, REST, WCF, ADFS и др.
  • Высокая производительность (более 5,000 аутентификаций в секунду)
  • Полнофункциональный Личный кабинет пользователя, позволяющий реализовать все операции с программными аутентификаторами от самостоятельного выпуска до блокировки
  • Сервис безопасной передачи секрета (вектора инициализации) программных аутентификаторов и собственное мобильное приложение Aladdin 2FA

Сертифицировано ФСТЭК России.

JaCarta Authentication Server
Зарегистрировано в реестре российских программ для ЭВМ и БД (№ 311)
Прокрутите ниже
и узнайте больше

Описание

JaCarta Authentication Server (JAS) — высокопроизводительный сервер аутентификации в составе платформы JaCarta Management System 3.7, поддерживающий работу как c аппаратными OTP и U2F-токенами, так и с программными PUSH/OTP/SMS-аутентификаторами для мобильных устройств. Таких как приложение Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Google Authenticator, Яндекс.Ключ и другие.

Применение JAS позволяет обеспечить надёжную защиту доступа к информационным системам и электронным сервисам, а также повысить удовлетворённость и лояльность пользователей из-за упрощения процесса аутентификации. В зависимости от типа используемых токенов (PUSH/OTP/SMS или U2F) JAS обеспечивает безопасный доступ к следующим системам и сервисам:

  • шлюзы удалённого доступа (Microsoft, Cisco, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
  • шлюз к рабочим столам Microsoft (Microsoft RDG)
  • корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App
  • web-приложения, сайты и облачные сервисы
  • системы дистанционного банковского обслуживания (ДБО) и ЭДО.

Глубокая интеграция JAS в платформу JMS 3.7 позволяет эффективно использовать его возможности в информационных системах масштаба предприятия (Enterprise). Встроенные в платформу инструменты управления аппаратными и программными токенами, а также функциональные возможности Личного кабинета пользователя JAS значительно упрощают и ускоряют работу системных администраторов и офицеров безопасности.

OTP (One Time Password) — одноразовый пароль. Главное преимущество OTP при его сравнении с обычным статическим паролем — невозможность повторного использования.

По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный OTP для получения доступа к защищаемой информационной системе.

Кроме того, применение OTP избавляет от необходимости запоминать сложные и длинные пароли, что значительно облегчает аутентификацию для пользователей корпоративных систем.

U2F (Universal 2nd Factor) — открытый протокол двухфакторной аутентификации конечных пользователей онлайн-сервисов, разработанный ведущими мировыми ИТ-компаниями в рамках организации FIDO Alliance.

Применение протокола U2F позволяет организовать строгую двухфакторную аутентификацию по U2F-токену без разворачивания инфраструктуры открытых ключей (PKI). Пользователь может самостоятельно зарегистрировать свой U2F-токен на желаемом Web-ресурсе. При этом один U2F-токен может использоваться для доступа к множеству различных Web-ресурсов.

Сервис Aladdin 2FA (Aladdin 2FA Service) решает проблему безопасной передачи пользователю секрета – вектора инициализации программного аутентификатора PUSH/OTP. Aladdin 2FA гарантирует невозможность повторного использования QR-кода или цифровой последовательности инициализации программного аутентификатора.

Работает только при условии использования мобильного приложения Aladdin 2FA.

PUSH-аутентификация — интерактивный механизм аутентификации, где подтверждение входа происходит по нажатию кнопки в мобильном приложении Aladdin 2FA или непосредственно в PUSH-уведомлении. PUSH-аутентификация с использованием приложения Aladdin 2FA возможна без использования серверов FireBase (Google) и Apple.

Работает только при условии использования сервиса и мобильного приложения Aladdin 2FA.

Преимущества

Повышенная защищённость

Использование сервиса Aladdin 2FA совместно с мобильным приложением Aladdin 2FA гарантирует невозможность повторного использования секрета, применяемого в процессе инициализации программных PUSH/OTP аутентификаторов.

Масштабируемость

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

Поддержка аппаратных и программных токенов

JAS позволяет использовать для аутентификации как аппаратные токены, так и программные аутентификаторы, что даёт возможность применять различные способы аутентификации для разных устройств: OTP- и U2F-токены — для десктопов и ноутбуков, программные PUSH/OTP/SMS- аутентификаторы — для смартфонов и планшетов.

Совместимость

JAS совместим с любыми аппаратными токенами и программными аутентификаторами, генерирующими OTP по событию (HOTP, согласно RFC 4226) и по времени (TOTP, согласно RFC 6238), а также любыми U2F-токенами. Для интеграции с прикладным ПО реализована поддержка протоколов RADIUS, REST, WCF, WS-Federation (ADFS). Также совместим с SMS-шлюзами — HTTP и SMPP.

Универсальность и самодостаточность

Интеграция JAS с прикладным ПО обеспечивается поддержкой стандартных протоколов:

  • RADIUS
  • REST
  • WCF
  • WS-Federation (ADFS)
  • HTTP и SMPP (для интеграции c SMS-шлюзами).

Для полноценной работы JAS не требуется дополнительное ПО, так как в комплект поставки уже включены сервис аутентификации, средства мониторинга, плагины для Microsoft Network Policy Server (NPS), Microsoft Active Directory Federation Services (AD FS), Microsoft RDG, а также средства управления токенами и пользователями.

Производительность, масштабируемость и отказоустойчивость

JAS выдерживает значительные нагрузки (свыше 5,000 аутентификаций в секунду на одном сервере), что позволяет использовать его в организациях любого масштаба.

Производительность сервера JAS напрямую зависит от производительности процессора (вертикальная масштабируемость). Доступна работа нескольких серверов JAS в одном кластере.

В JAS реализована поддержка службы кластеров Microsoft Failover Cluster (режим Active/Standby) и репликации базы данных средствами Microsoft SQL Server, что позволяет гарантировать бесперебойность процессов аутентификации.

Поддержка мобильных устройств

JAS поддерживает распространённые бесплатные приложения генерации OTP по событию и по времени: Aladdin 2FA, разработанное компанией "Аладдин Р.Д.", а также сторонние приложения, например, Яндекс.Ключ и Google Authenticator. Все приложения доступны в Google Play и Apple Store.

Поддержка SMS-шлюзов позволяет отправлять OTP на мобильные устройства в виде SMS-сообщений.

Полная автоматизация возможных сценариев использования

Сервер аутентификации JAS глубоко интегрирован с платформой JaCarta Management System 3.7 и задействует все возможности платформы – функционал для автоматизации процессов управления пользователями, аутентификаторами, возможности взаимодействия с поддерживаемыми ресурсными системами, ролевую модель, аудит и журналирование и др.

Многофункциональный Личный кабинет даёт возможность пользователю в рамках предоставленных администратором полномочий управлять своими аутентификаторами – осуществлять выпуск, синхронизацию, перевыпуск, блокировки и разблокировки.

Технические подробности

Функции JaCarta Authentication Server

  • Усиленная аутентификация пользователей по одноразовым паролям (OTP):
    • Программные токены TOTP/HOTP по событию – HOTP согласно RFC 4226; и по времени – TOTP согласно RFC 6238
    • Аппаратные OTP – HOTP согласно RFC 4226; и TOTP согласно RFC 6238
    • Push-уведомления
    • Приложение Aladdin 2FA – разработка "Аладдин Р.Д."
    • Messaging-токены (SMS)
  • Строгая аутентификация пользователей по протоколу U2F (разработка FIDO Alliance), в том числе совместимость с JaCarta U2F
  • Вариативность режимов аутентификации с применением OTP-токенов:
    • Только OTP
    • OTP + OTP PIN-код
    • Доменный пароль + OTP
    • Доменный пароль + OTP + OTP PIN-код
  • Специальный механизм усиленной безопасности в процессе передачи секрета (вектора инициализации) при использовании сервиса и мобильного приложения Aladdin 2FA (для iOS и Android) – невозможность повторного использования QR-кода
  • Двухфакторная аутентификация в ОС Windows посредством компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
    • В JAS OTP Logon реализована возможность стандартного входа по Логин\Пароль при удалённом подключении и Логин\Пароль\OTP при локальном входе
  • Интеграция с прикладным ПО с использованием стандартных протоколов:
    • RADIUS;
    • REST;
    • WCF;
    • WS-Federation (ADFS);
    • HTTP и SMPP (для интеграции c SMS-шлюзами)
  • Широкие возможности интеграции с различными системами и сервисами:
    • Шлюзы удалённого доступа (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet, NGate и др. – список постоянно пополняется)
    • Корпоративные системы (CRM, порталы, электронная почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web Access
    • Web-приложения, сайты и облачные сервисы
    • Системы дистанционного банковского обслуживания (ДБО)
  • Использование наработок по интеграции позволяет существенно снизить внутренние издержки на реализацию проекта и сократит сроки запуска
  • Ведение журналов:
    • Журнал аудита
    • Журнал событий аутентификации
    • Фильтрация событий, записываемых в журнал аутентификации
    • Выгрузка событий журналов аутентификации на Syslog-сервер
  • Самообслуживание через Личный кабинет пользователя:
    • Отдельные порталы самообслуживания (внутренний и внешний) с возможностью задания способов входа для пользователей:
      • Текущий пользователь Windows
      • Доменный пароль
      • Пароль JMS
      • Контрольные вопросы
      • SMS-оповещение
      • OTP-аутентификатор
      • Messaging-аутентификатор.
    • Регистрация программного OTP или Push OTP посредством QR-кода
    • Управление аутентификаторами
    • Синхронизация счётчиков
    • Смена OTPPIN
    • Возможность кастомизации дизайна порталов
  • Смена просроченного или требующего замены пароля пользователя Windows через JAS-плагин для NPS
  • Поддержка PUSH-аутентификации в ADFS-плагине
  • За счёт интеграции с платформой JMS JAS может выполнять не только функции управления аутентификаторами, но и функции управления пользователями (группами пользователей), а также использовать все возможности автоматизации:
    • Централизация управления через единую консоль
    • Автоматическое использование ролевой модели JMS для разделения полномочий администрирования
    • Регистрация пользователей из ресурсных систем, в том числе в автоматическом режиме
    • Управление на основе политик с фильтрацией назначения по группам безопасности AD и глобальным группам JMS
    • Автоматизация процессов назначения/отзыва аппаратных и программных аутентификаторов за счёт планов обслуживания
    • Общая система журналирования событий и система e-mail уведомлений
  • Отказоустойчивость:
    • Microsoft Failover Cluster, модель Active/Standby:
      • Несколько серверов JAS: синхронизация текущих значений счётчиков;
      • Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server.

Технические и эксплуатационные характеристики

Системные требования

» Сервер JAS

Предварительно необходимо установить и настроить “Сервер JMS” т.к. JAS интегрирован в платформу JMS и является его составной частью

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2

Дополнительное ПО

  • Microsoft .NET Framework 4.6.2 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее): 4 ГБ

Сетевой адаптер: 100 Мб/сек

» СУБД

Требования к СУБД совпадают с требованиями, предъявляемыми к серверу СУБД для JMS (используется одна общая база).

Имеется ограничение: необходимо использовать только СУБД Microsoft SQL Server.

» JAS-плагин для NPS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для AD FS

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 1 ГБ

Свободное место на жёстком диске (не менее): 10 ГБ

» JAS-плагин для Microsoft RDG

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы: 500 МБ

Свободное место на жёстком диске (не менее): 100 МБ

» JAS-плагин для JOL

Операционная система

  • Microsoft Windows Server 2019
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы)
  • Microsoft Windows 10 (32/64-битные платформы)
  • Microsoft Windows 8.1 (32/64-битные платформы)

Дополнительное ПО

  • Microsoft .NET Framework 4.5 и выше

Аппаратные требования

Процессор: 2-ядерный 2,0 ГГц и выше

Оперативная память (не менее) в дополнение к требованиям операционной системы : 500 МБ

Свободное место на жёстком диске (не менее): 15 МБ

Поддерживаемые модели аппаратных токенов
  • JaCarta WebPass
  • eToken PASS
  • eToken NG-OTP
  • eToken NG-OTP (Java)
  • Любые токены, генерирующие OTP по событию (согласно RFC 4226)
  • Любые токены, генерирующие OTP по времени (согласно RFC 6238)
  • JaCarta U2F и любые U2F-токены
Поддерживаемые программные токены для мобильных устройств
  • Aladdin 2FA
  • Google Authenticator
  • Яндекс.Ключ
  • Любые другие программные токены TOTP/HOTP по событию (HOTP согласно RFC 4226) и по времени (TOTP согласно RFC 6238)
Поддерживаемые протоколы интеграции с прикладным ПО
  • Remote Authentication in Dial-In User Service (RADIUS)
  • Representational State Transfer (REST)
  • Windows Communication Foundation (WCF)
  • Active Directory Federation Services (ADFS)
Поддерживаемые протоколы интеграции с SMS-шлюзами
  • HTTP (запросы POST и GET)
  • Short Message Peer-to-Peer (SMPP)
Поддерживаемые режимы аутентификации
  • Только OTP
  • OTP + OTP PIN-код
  • Доменный пароль + OTP
  • Доменный пароль + OTP + OTP PIN-код
  • U2F
  • SMS
Двухфакторная аутентификация в ОС Windows
  • Обеспечивается путём установки на рабочую станцию Windows компонента JAS OTP Logon (JOL), представляющего собой дополнительный поставщик учётных данных (Credential Provider)
  • В качестве второго фактора аутентификации (в дополнение к паролю Windows) используется OTP-пароль или его модификация (в зависимости от режима аутентификации)
Поддерживаемые алгоритмы генерации OTP
  • HOTP
    • RFC 4226 + HMAC-SHA-1 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (6 цифр)
    • RFC 4226 + HMAC-SHA-256 (7 цифр)
    • RFC 4226 + HMAC-SHA-256 (8 цифр)
  • TOTP
    • RFC 6238 + HMAC-SHA-1 (6 цифр)
    • RFC 6238 + HMAC-SHA-1 (7 цифр)
    • RFC 6238 + HMAC-SHA-1 (8 цифр)
    • RFC 6238 + HMAC-SHA-256 (6 цифр)
    • RFC 6238 + HMAC-SHA-256 (7 цифр)
    • RFC 6238 + HMAC-SHA-256 (8 цифр)
    • RFC 6238 + HMAC-SHA-512 (6 цифр)
    • RFC 6238 + HMAC-SHA-512 (7 цифр)
    • RFC 6238 + HMAC-SHA-512 (8 цифр)
Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby:

  • Несколько серверов JAS: синхронизация текущих значений счётчиков
  • Несколько серверов Microsoft SQL Server: репликация базы данных средствами Microsoft SQL Server
Сертификация

ФСТЭК России

Сертификат ФСТЭК России № 4411 от 20.05.2021 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.

Единый реестр отечественного ПО JMS(JAS) — Первая корпоративная система управления жизненным циклом средств аутентификации, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО)

Производительность и масштабирование системы
в зависимости от конфигурации сервера JAS

Стандартная Повышенная Высокая
Процессор 2 физических ядра, частота от 2.4 ГГц 4 физических ядра, частота от 2.7 ГГц 8 физических ядра, частота от 3 ГГц
Память 2 ГБ (рекомендованное значение – 4 ГБ)
Сетевая карта 100 Мбит/с 100 Мбит/с 1 Гбит/с
Протокол RADIUS 40 оп/с* 100 оп/с* 200+ оп/с*
Протокол REST/WCF 200 оп/с* 500 оп/с* 1000+ оп/с*

* количество операций аутентификации в секунду для сложного сценария «Доменный пароль + OTP + OTP PIN-код»

Архитектура JaCarta Authentication Server

Архитектура JAS

Сервер аутентификации JAS

Сервер JAS — ядро JAS, реализующее функции аутентификации с помощью программных и аппаратных OTP, Messaging (SMS), Push и U2F -аутентификаторов. Позволяет вести отправку событий аутентификаций на сервер Syslog и записывать события в БД для последующего анализа.

Консоль управления

Управление из Единой консоли управления. См. подробнее JMS

База данных Microsoft SQL Server

  • Хранение информации о токенах пользователей
  • Единая база данных с JMS
  • База данных создаётся автоматически в процессе настройки сервера JMS
  • Отдельная шифрованная таблица, позволяющая перезапускать сервер, не предъявляя токен оператора для монтирования криптохранилища

Aladdin 2FA Service

  • Сервис безопасной передачи секрета
  • Сервис Push-аутентификации

JAS Server API

Открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F-аутентификаторов. Позволяет интегрироваться практически с любыми системами.

SDK JAS 3.7.1

JaCarta Authentication Server (JAS) содержит открытый клиентский API, благодаря которому можно реализовать двухфакторную аутентификацию с помощью OTP, Messaging (SMS), Push и U2F- аутентификаторов. Клиентский интерфейс поддерживает одновременно 2 точки доступа по типам транспорта: “REST протокол HTTP ” и “WCF протоколы HTTP/SOAP и TCP/Binary ”, что позволяет интегрироваться практически с любыми системами.

Список изменений в JMS 3.7.1 в части JAS на 01.08.2022 г.

  • Изменена лицензионная политика JAS: Лицензия расходуется при выпуске аутентификатора пользователю. Выпуск дополнительных аутентификаторов пользователю не вызывает дополнительного расхода лицензий
  • Реализована поддержка PUSH-аутентификации в ADFS-плагине
  • Доработана настройка подключения SMS-шлюза для аутентификации по base64 (login\password)
  • В JAS OTP Logon (JOL) реализована возможность стандартного входа по Логин\Пароль при удалённом подключении и Логин\Пароль\OTP при локальном входе
  • Доработаны механизмы кастомизации портала ЛК
  • Устранены ошибки, повышена производительность

Список изменений в JMS 3.7.1 по сравнению с JMS 3.7.0 в части JAS

  • Реализована возможность аутентификации по SMS через NPS-плагин
  • Реализована поддержка PUSH-аутентификации в NPS-плагине
  • Реализована смена просроченного или требующего замены пароля пользователя Windows через NPS-плагин
  • Реализован личный кабинет пользователя web-портала с возможностью:
    • Аутентификации в ЛК через JAS
    • Самостоятельного выпуска и управления OTP, PUSH и SMS аутентификаторами
    • Безопасного считывания QR-кода из личного кабинета для активации OTP и PUSH токенов
  • Поддержаны алгоритмы генерации для программных OTP:
    • HOTP
      • RFC 4226 + HMAC-SHA-256 (6 цифр)
      • RFC 4226 + HMAC-SHA-256 (7 цифр)
      • RFC 4226 + HMAC-SHA-256 (8 цифр)
    • TOTP
      • RFC 6238 + HMAC-SHA-256 (6 цифр)
      • RFC 6238 + HMAC-SHA-256 (7 цифр)
      • RFC 6238 + HMAC-SHA-256 (8 цифр)
      • RFC 6238 + HMAC-SHA-512 (6 цифр)
      • RFC 6238 + HMAC-SHA-512 (7 цифр)
      • RFC 6238 + HMAC-SHA-512 (8 цифр)
  • В JOL реализована возможность стандартного входа по Логин\Пароль при локальном входе и Логин\Пароль\OTP при подключении через RDP
  • Новые e-mail шаблоны для мобильного приложения Aladdin 2FA с ссылкой на мобильное приложение в App Store/Google Play
  • Устранены ошибки, повышена производительность

Задать вопрос эксперту

+7 (495) 223-0001
с 10:00 до 19:00 (Москва)
+7 495 223001

Пора сделать правильный выбор

Нажмите на кнопку "Узнать цены", чтобы скачать прайс-лист на JaCarta Authentication Server в формате XLSX