Разработчики: | Индид, Indeed (ранее Indeed ID) |
Дата премьеры системы: | 2008 |
Дата последнего релиза: | 2021/11/10 |
Технологии: | ИБ - Аутентификация, ИБ - Биометрическая идентификация |
Содержание |
Indeed Access Manager (объединили несколько продуктов - Indeed Enterprise Authentication, Indeed Enterprise Single Sign-On, Indeed AirKey)
Indeed Access Manager - система централизованного управления доступом пользователей к информационным ресурсам компании, позволяющая консолидировать процедуры управления, предоставления и получения доступа в информационные системы предприятия. Indeed Access Manager состоит из ряда программных продуктов (компонентов) разделяющих общие принципы организации: архитектуры, системы хранения данных, администрирования, общего стиля оформления пользовательского интерфейса.
2024
Совместимость с платформой HOSTVM
Компания Индид и HOSTVM 18 июля 2024 года объявили о технологической совместимости решения для многофакторной аутентификации Indeed Access Manager (Indeed AM) с платформой виртуализации HOSTVM. Подробнее здесь.
Совместимость с "Ред ОС"
Компании Индид и компания «Ред Софт» 13 июня 2024 года сообщили о совместимости программного комплекса Indeed AM с операционной системой Ред ОС.
Теперь с помощью продукта для усиленной аутентификации Indeed AM пользователи могут безопасно получать доступ к операционной системе РЕД ОС. Такую возможность обеспечивает встроенный модуль Pluggable Authentication Module (PAM). Аутентификация осуществляется независимо от того, находятся ли пользователи на рабочих местах или подключаются удаленно.
Indeed AM поддерживает как однофакторную, так и двухфакторную аутентификацию. В первом случае пользователю достаточно ввести одноразовый пароль (one-time password), а во втором – необходимо, помимо такого пароля, ввести свои доменные учетные данные. Это гарантирует высокий уровень безопасности при входе в систему.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Технологическая интеграция Indeed AM с РЕД ОС обеспечивает поддержку различных методов аутентификации: Software TOTP, SMS OTP, Telegram, Email OTP, Hardware HOTP и другие.
По результатам тестирования компании подписали сертификат совместимости, подтверждающий работоспособность и корректность функционирования системы усиленной аутентификации Indeed AM под операционной системой РЕД ОС.
Наше партнерство с РЕД СОФТ позволяет российским компаниям пользоваться передовыми технологиями для укрепления информационной безопасности и тем самым помогает им соответствовать критериям программы импортозамещения. Это еще раз подтверждает наше стремление предоставлять высококачественные решения, отвечающие требованиям российских компаний, – отметил Андрей Лаптев, руководитель направления по развитию продуктов Компании Индид. |
Мы рады предоставлять своим пользователям новые возможности для усиления мер по защите информации. Решения компании Индид подойдут организациям, желающим внедрять продвинутые меры обеспечения информационной безопасности от отечественных разработчиков. Мы благодарим Индид за плодотворное сотрудничество!, - прокомментировал Рустам Рустамов, заместитель генерального директора РЕД СОФТ. |
Совместимость с "Роса Хром"
Компании Индид и РОСА подтвердили совместимость решения Indeed Access Manager (Indeed AM), реализующего технологию усиленной аутентификации, с операционной системой РОСА Хром. Об этом НТЦ ИТ Роса сообщила 21 мая 2024 года.
Программный комплекс Indeed AM позволяет безопасно входить в операционную систему РОСА Хром при локальном и удаленном доступе с помощью модуля Pluggable Authentication Module.
По результатам тестирования компании подписали сертификат совместимости. Документ подтверждает работоспособность программного обеспечения Indeed AM (модуль NPS Radius Extension) при удаленном подключении по протоколам SSH, RDP и при локальном входе в ОС РОСА Хром 12, а также корректность функционирования продукта совместно с этой системой в рамках указанных сценариев.
Для получения доступа к операционной системе пользователю необходимо пройти процедуру усиленной аутентификации. Решение Indeed AM обеспечивает как однофакторную, так и двухфакторную аутентификацию. В первом случае достаточно указать логин и одноразовый пароль, а во втором нужно сначала использовать логин и пароль доменной учетной записи, а затем ввести одноразовый пароль.
Технологическая интеграция операционной системы РОСА Хром и Indeed AM обеспечивает поддержку следующих технологий аутентификации – с помощью программного генератора паролей по алгоритму TOTP и посредством push-уведомлений, которые приходят в мобильное приложение Indeed Key.
Совместимость с TrueConf Server
Российские компании Индид и Труконф 18 марта 2024 года объявили о технологической совместимости своих продуктов: системы усиленной аутентификации Indeed Access Manager и платформы для корпоративных коммуникаций TrueConf Server. Интеграция поможет защитить данные от несанкционированного доступа в случае утечек логинов и паролей пользователей.
Indeed Access Manager реализует централизованные политики управления аутентификацией и различные сценарии усиленной и многофакторной аутентификации для входа в систему TrueConf.
Совместное применение двух российских систем позволяет заменить стандартную аутентификацию более безопасной технологией усиленной аутентификации, чтобы нейтрализовать угрозу получения доступа к корпоративным данным, которая возможна из-за человеческого фактора, утечки логина и пароля и другим случаям, ведущим к компрометации доступа. При этом все аутентификационные данные хранятся в защищенном хранилище системы Indeed AM.
Для усиленной аутентификации пользователей применяется множество различных технологий, в частности биометрическая аутентификация, push-аутентификация, аутентификация с помощью аппаратных средств, цифровых сертификатов или одноразовых паролей, выдаваемых локальными генераторами либо отправляемых по SMS или электронной почте.
Подтверждение технологической совместимости Indeed AM с ВКС-платформой TrueConf – очередной важный шаг для нас. Теперь мы можем еще лучше удовлетворять потребности организаций, обязанных использовать в своем ИТ-периметре только отечественные решения. Интеграция с TrueConf обеспечит надежную защиту доступа и повышение информационной безопасности российских компаний, – отметил руководитель группы продаж Компании Индид Кирилл Мичурин. |
2021: Совместимость c продуктами экосистемы виртуализации VeiL
В рамках технологического сотрудничества специалисты НИИ « Масштаб», входящего в Концерн «Автоматика» Госкорпорации «Ростех», и представители компании «Индид» провели тестирование на совместимость и корректность работы программных продуктов экосистемы виртуализации VeiL и программного комплекса Indeed Access Manager. Об этом 10 ноября 2021 года сообщила компания «Автоматика». Положительные результаты испытаний дадут возможность участникам рынка использовать совместные решения компаний. Подробнее здесь.
2019: Indeed Access Manager 7.1
Компания Indeed ID 19 марта 2019 года выпустила релиз Indeed Access Manager (ранее Indeed Enterprise Authentication) 7.1.
Возможности Indeed Access Manager в версии 7.1:
Аутентификация с использованием мобильного приложения и push-уведомлений на базе продукта Indeed AirKey Cloud
Indeed AM был интегрирован с Indeed AirKey Cloud: клиент-серверной платформой, где в качестве клиента выступает приложение для смартфона под управлением операционных систем iOS и Android. Для перехода на эту технологию потребуется развернуть сервер Indeed AKC, установить Indeed AirKey Cloud Provider на сервере Indeed AM и установить мобильное приложение. Во время аутентификации на устройстве появляется push-уведомление.
При нажатии на уведомлении произойдет переход в приложение Indeed AirKey, где будет отображаться дополнительная информация и кнопки для подтверждения или отклонения запроса аутентификации.
В Indeed ID утверждают, что технология является безопасной заменой SMS. В отличие от SMS-сообщения, где информация передается в незащищенном виде, в Indeed AirKey Cloud все данные, передаваемые на смартфон пользователя, зашифрованы с применением асимметричной криптографии, что гарантирует возможность просмотра данных только на устройстве, для которого они предназначаются.
Hardware TOTP Provider
Добавлена поддержка аппаратных TOTP токенов. Такие представлены, например, в линейке eToken PASS.
Поддерживаются алгоритмы:
- HMACSHA1
- HMACSHA256
- HMACSHA512
Использование Indeed SAML IdP для аутентификации в консоли администрирования и сервисе самообслуживания пользователей Indeed AM
Наряду с Windows аутентификацией в Indeed Enterprise Management Console и Indeed Self Service появилась возможность аутентификации через Indeed SAML IdP.
Со слов разработчика, преимуществом технологии является:
- аутентификация с помощью любых методов аутентификации, поддерживаемых в AM 7.1
- возможность запрашивать у пользователя несколько аутентификаторов одновременно
- поддержка сценариев работы вне домена Active Directory
Среди прочих изменений в Indeed ID выделили:
- Отдельное веб-приложение для Self Service для публикации за пределы корпоративной инфраструктуры через интернет
- Унификация дизайна страниц аутентификации SAML IdP и IIS Extension
2018
Решаемые задачи и базовое описание функционала Indeed Access Manager
- Замена паролей на биометрическую аутентификацию сотрудников - доступ в Windows и бизнес-приложения
- Организация единой точки доступа в ИТ-системы компании - применение Enterprise SSO и двухфакторной аутентификации
- Защита опубликованных корпоративных приложений - двухфакторная аутентификация и одноразовые пароли в VDI, VPN и Web-приложениях
- Использование RFID-карт для доступа в информационные системы
- Двухфакторная аутентификация по смарт-картам в ОС и приложениях
- Выполнение требований стандарта PCI DSS в части аутентификации пользователей
Поддерживаемые технологии аутентификации
Система поддерживает более 20 технологий доступа, среди которых:
Смарт-карты и USB-ключи любых производителей
- Смарт-карты и USB-ключи любых производителей
- Биометрия: отпечаток пальца, рисунок вен ладоней, 3D-изображение лица
- RFID-карты: Mifare, EM Marin, HID Prox, HID iClass
- Одноразовые пароли: OATH TOTP/HOTP, SMS, OTP-брелок, приложение на смартфоне
Все поддерживаемые технологии можно комбинировать между собой. Например, можно аутентифицировать пользователей по отпечатку пальца и бесконтактной карте, смарт-карте и ОТP и др.
Прикладная область
С момента приема сотрудника на работу, он начинает взаимодействовать с информацией, хранимой и обрабатываемой в различных it-системах. В каждой системе создается учетная запись, определяются права и пароль. Сотруднику выдается пропуск входа в здание, определяется время работы, выделяется рабочий кабинет, компьютер. Ежедневно сотрудник получает доступ к данным компании, перемещается по офису, работает из дома, летает в командировки. Продвижение по карьерной лестнице, появление новых обязанностей требуют постоянной модификации прав, а увольнение мгновенной блокировки профиля доступа и удаление учетных данных. В организациях где работают сотни, тысячи или десятки тысяч сотрудников невозможно эффективно управлять перечисленными процессами без применения специальных инструментов.
Линейка продуктов, входящих в состав решения Indeed AM, позволяет частично или полностью автоматизировать множество перечисленных операций, снизить время их выполнения, избежать простоев и упростить работу каждой категории пользователей. Наличие независимого центрального журнала событий помогает при анализе инцидентов и сборе информации. Интеграция решения с системами сторонних производителей позволяет получить дополнительную отдачу от инвестиций, достигать бесшовности и непрерывности операций.
Indeed AM включает ряд компонентов, позволяющих консолидировать процедуры управления, предоставления и получения доступа в информационные системы в рамках единого комплекса.
В настоящее время ручной ввод паролей используется в 90% систем, что создает угрозу информационной безопасности компаний. В основу комплекса Indeed AM легла технология аутентификации, позволяющая отказаться от использования паролей в корпоративной среде. Независимо от того, куда обычный пользователь получает доступ: ресурсы Active Directory, корпоративный портал, почтовая система или удаленный рабочий стол терминального сервера, Indeed AM избавляет сотрудников от запоминания, смены и утомительного ввода паролей. Для аутентификации своих пользователей комплекс обеспечивает поддержку целого спектра современных технологий, большинство из которых входит в минимальный комплект поставки.
Менеджмент учетных данных, модификация прав доступа, сброс забытых паролей, ограничение доступа при наступлении особых условий, выпуск или приостановка сертификатов – тот список операций, большинство из которых поддается полной, либо частичной автоматизации. Таким образом, компании уже сегодня могут начать сокращать свои расходы.
Indeed Enterprise Authentication 7.0 (22.08.2018)
Компания завершила работы над новой версией Indeed Enterprise Authentication. Несмотря на то, что версия получила номер 7.0, технически это совершенно новый продукт.
Сервер представляет собой приложение ASP.NET, развернутое на web-сервере IIS, что обеспечивает возможность работы с несколькими серверами, объединенными в фермы для обеспечения требуемого уровня производительности и отказоустойчивости.
В качестве хранилища могут выступать системы Active Directory и MS SQL. Данные в хранилище зашифрованы и доступны для изменения только через сервер Indeed EA.
Каталог пользователей является внешней базой данных по отношению к продукту, в которой хранится информация о пользователях. В качестве каталога пользователей в релизе 7.0 поддерживается система Active Directory, а в дальнейшем будут поддержаны различные СУБД, LDAP-каталог и другие системы. Одновременно к решению может быть подключено несколько каталогов пользователей.
Журнальный сервер предназначен для регистрации и аудита всех событий системы Indeed EA. События могут хранится в СУБД, в журнале Windows Event Log, либо в формате syslog. Журнальный сервер представляет собой приложение ASP.NET, решение позволяет устанавливать несколько журнальных серверов, объединенных в ферму.
WEB-консоль администратора была представлена качестве интерфейса управления лицензиями, профилями пользователей и просмотром журнала ранее. В новом релизе был добавлен сервис самообслуживания пользователей.
Модули интеграции отвечают за встраивание решения в процесс аутентификации в целевом приложении или протоколе.
Добавлен модуль поддержки международного стандарта аутентификации SAML 2.0 (Security Assertion Markup Language) Наличие функциональности централизованного управления токенами (регистрация, выпуск, отзыв, блокировка, пересинхронизация и т.д.)
2017
Indeed Enterprise Single Sign-On (Indeed Enterprise SSO)
Система централизованного управления доступом пользователям к информационным ресурсам компании. Indeed Enterprise SSO реализует подход Single Sign-On в масштабах предприятия. Система централизованно хранит пароли пользователя от всех приложений, требующих аутентификации, и автоматически подставляет их, когда приложение того требует, избавляя таким образом сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.
Решаемые задачи
- строгая и усиленная аутентификация при доступе в приложения
- сквозная аутентификация в приложениях
- строгая и сквозная аутентификация в приложениях в терминальном режиме работы (Remote Desktop, VDI, Citrix)
- журналирование действий администраторов и пользователей
Поддерживаемы платформы приложений
Система может быть использована для организации доступа как в коробочные приложения, так и в приложения, разработанные на заказ. При этом поддерживаются следующие платформы:
- Windows-приложения
- Java-приложения
- .Net-приложения
- Web-приложения с использованием браузеров: Internet Explorer, Mozilla Firefox
Поддерживаемые технологии аутентификации
Система поддерживает более 20 технологий аутентификации, среди которых:
- смарт-карты и USB-ключи любых производителей
- биометрия: отпечаток пальца, рисунок вен ладоней, радужка глаза
- RFID-карты: Mifare, EM Marin, HID Prox, HID iClass
- одноразовые пароли: SMS, OTP-брелок, приложение на смартфоне
При этом все поддерживаемые технологии можно комбинировать между собой, например, можно аутентифицировать пользователей по отпечатку пальца и бесконтактной карте, смарт-карте и ОТP и др.
Внедрение программы Indeed-Id позволяет построить в компании эффективную систему управления учетными записями пользователей, удобную как для рядовых сотрудников, так и для администраторов и специалистов службы безопасности.
Пользователям системы не придется запоминать множество паролей, составленных из ряда символов. Администраторы получают удобные механизмы настраивания уровней доступа для различных категорий пользователей. А служба безопасности сможет контролировать действия сотрудников и, в случае регистрации нарушений, успешно находить их причину и виновника.
Компания предлагает более 20 способов идентификации пользователей. К их числу относятся работа с одноразовыми паролями, биометрическая аутентификация по отпечатку пальца, доступ в систему по карте. При необходимости усиленного контроля доступа специалисты компании предложат один из способов многофакторной проверки пользователей перед входом в систему. Например, сочетание одноразового пароля со смарт-картой.
Одноразовый пароль нужно сгенерировать по известной сотрудникам компании схеме из символов, появляющихся на экране. Символы каждый раз обновляются, но принцип составления из них пароля остается прежним. Поэтому сторонние пользователи не могут подобрать ключ к входу в систему, а пользователям компании не трудно работать по такой простой схеме. Карта доступа предполагает наличие кард-ридера, который считывает с нее информацию и пропускает пользователя в базу данных. Более дорогостоящий, но и более надежный способ аутентификации — доступ по отпечатку пальца. Он гарантирует, что только пользователь конкретного компьютера может войти в его систему, так как отпечаток пальца нельзя передать другому лицу или случайно потерять.
Система централизованно хранит пароли пользователя от всех приложений (требующих аутентификации) и автоматически подставляет их, когда того требует приложение. Технология Indeed-Id Enterprise SSO применима для любых типов приложений (windows, java, web), независимо от их архитектуры: однозвенная, двухзвенная, трехзвенная, "толстый" клиент, "тонкий" клиент, терминальные приложения.
Indeed-Id Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольным политикам безопасности.
Система состоит из серверных и клиентских компонентов. Сервер обеспечивает централизованное управление всеми учетными данными и аутентификаторами пользователей. Клиентская часть устанавливается на каждую рабочую станцию. Компонент клиентской части (агент) осуществляет перехват обращений пользователя к ресурсам, предлагая ему пройти универсальную процедуру аутентификации. Если процедура пройдена успешно и доступ пользователю разрешен, агент передает логин и пароль запрашиваемому ресурсу.
Один из способов передачи логина и пароля — автоматическое заполнение требуемых полей и форм в диалоге приложения. Такой подход позволяет использовать Indeed-Id для доступа практически к любым приложениям.
Интеграция с Solar inRights и Indeed Card Management
9 августа компании Solar Security и Indeed Identity объявили о разработке совместного интеграционного решения, объединяющего возможности IGA-платформы (Identity Governance and Administration) Solar inRights, системы единого входа Indeed Enterprise SSO и системы управления инфраструктурой открытых ключей Indeed Card Management. Решение повышает уровень информационной безопасности и экономит человеческие ресурсы в компании за счет автоматизации процессов, связанных с предоставлением прав доступа и управлением жизненным циклом паролей пользователей. Подробнее о событии можно прочитать здесь.
2016
Indeed Enterprise Authentication 5.4
2 марта 2016 года компания Indeed ID сообщила о выпуске версии систем управления доступом к информационным ресурсам Indeed Enterprise Authentication и Indeed Enterprise SSO. В новой версии Indeed EA/ESSO 5.4 реализован ряд новых функций и возможностей.
В состав дистрибутивов включен инструмент управления Indeed Enterprise Management Console (Indeed EMC), предназначенный для централизованного администрирования систем Indeed ID и предоставляющий администратору полный набор инструментов для управления параметрами и пользователями систем. Инструмент реализован в виде веб-приложения, которое разворачивается на базе веб-сервера Microsoft (IIS) и не требует установки на каждое рабочее место администратора. Indeed EMС расширяет возможности управления ESSO, позволяя вносить изменения в индивидуальные данные пользователей из ролевых учетных записей. Вся информация о пользователях системы объединена в профили, группирующие аутентификаторы по способу входа, а учетные записи Single Sign-On - по принадлежности пользователя к роли.
Добавлена возможность использования систем Indeed EA и Indeed ESSO на предприятии в режиме замещения сотрудника. В случае временного отсутствия пользователя (больничный, отпуск и т.п.) администратор может предоставить заместителю доступ к учетным данным отсутствующего сотрудника на ограниченный срок. Аутентификаторы и пароли замещаемого сотрудника для заместителя остаются неизвестны. Доступ к ИТ-ресурсам предоставляется заместителю по аутентификаторам, зарегистрированным в системе на него самого. При этом в журнале событий фиксируется событие о делегированном входе. По истечении срока замещения доступ к учетным данным замещаемого сотрудника для заместителя становится невозможен.
Для обеспечения доступа к ИТ-ресурсам исключительно с помощью технологий строгой аутентификации реализована возможность исключения пароля из списка способов входа для определенных рабочих станций.
Существенно расширен программный интерфейс для автоматизации операций управления профилями пользователей Indeed ESSO, реализуемой с помощью сценариев, выполняемых в среде Microsoft Windows PowerShell.
Кроме того, в версии расширены возможности персонализации пользовательского интерфейса системы, добавлена возможность определения приоритета поиска серверов Indeed за пределами сайта, оптимизирован алгоритм проверки доступности хранилища для серверов Indeed, оптимизирована сжатие данных SSO при хранении и передаче по сети.
Indeed ID Enterprise SSO 5.4
2 марта 2016 года компания Indeed ID сообщила о выпуске версии 5.4 системы Indeed Enterprise SSO и управления доступом к информационным ресурсам Indeed Enterprise Authentication.
В состав дистрибутивов включен новый инструемент управления Indeed Enterprise Management Console (Indeed EMC), предназначенный для централизованного администрирования систем Indeed ID и предоставляющий администратору полный набор инструментов для управления параметрами и пользователями систем. Инструмент реализован в виде веб-приложения, которое разворачивается на базе веб-сервера Microsoft (IIS) и не требует установки на каждое рабочее место администратора. Indeed EMС расширяет возможности управления ESSO, позволяя вносить изменения в индивидуальные данные пользователей из ролевых учетных записей. Вся информация о пользователях системы объединена в профили, группирующие аутентификаторы по способу входа, а учетные записи Single Sign-On - по принадлежности пользователя к роли.
Добавлена возможность использования систем [[|Indeed EA и Indeed ESSO на предприятии в режиме замещения сотрудника. В случае временного отсутствия пользователя (больничный, отпуск и т.п.) администратор может предоставить заместителю доступ к учетным данным отсутствующего сотрудника на ограниченный срок. Аутентификаторы и пароли замещаемого сотрудника для заместителя остаются неизвестны. Доступ к ИТ-ресурсам предоставляется заместителю по аутентификаторам, зарегистрированным в системе на него самого. При этом в журнале событий фиксируется событие о делегированном входе. По истечении срока замещения доступ к учетным данным замещаемого сотрудника для заместителя становится невозможен.
Для обеспечения доступа к ИТ-ресурсам исключительно с помощью технологий строгой аутентификации реализована возможность исключения пароля из списка способов входа для определенных рабочих станций.
Существенно расширен программный интерфейс для автоматизации операций управления профилями пользователей Indeed ESSO, реализуемой с помощью сценариев, выполняемых в среде Microsoft Windows PowerShell.
Расширены возможности персонализации пользовательского интерфейса системы, добавлена возможность определения приоритета поиска серверов Indeed за пределами сайта, оптимизирован алгоритм проверки доступности хранилища для серверов Indeed, оптимизирована сжатие данных SSO при хранении и передаче по сети.
2015
Indeed Enterprise AirKey
16 декабря 2015 года компания Indeed ID разработала технологию сетевой виртуальной смарт-карты Indeed Enterprise AirKey для защиты данных. Карта эмулирует поведение аппаратных ключевых носителей и допускает исполнение операций, доступных её физическим аналогам.
В компаниях с развернутой PKI-инфраструктурой смарт-карта для сотрудника - персональный ключ защиты данных и доступа к ним. Аппаратная составляющая такого средства защиты будучи утерянной или поврежденной может стать "слабым звеном" при использовании в рамках PKI-инфраструктуры. Исключить этот фактор и устранить связанные с ним недостатки помогает технология сетевой виртуальной смарт-карты Indeed Enterprise AirKey.
Представление Indeed AirKey Enterprise (2015)
Indeed Enterprise AirKey эмулирует поведение физической смарт-карты и допускает выполнять весь спектр операций и пользовательских сценариев, доступный аппаратным ключевым носителям: электронно-цифровая подпись, расшифровка данных, двухфакторная аутентификация пользователей, организация доступа в режиме Single Sign-On.
Разработанная технология определяет виртуальную смарт-карту несколькими способами. В одном случае физический носитель заменяется специальным хранилищем ключей и цифровых сертификатов на сервере системы, в другом - персональным носителем ключа становится смартфон с установленным на него приложением AirKey.
Виртуальная смарт-карта Indeed Enterprise AirKey работает в соответствии со штатными протоколами, интерфейсами и механизмами PKI-инфраструктуры. Как и обычные криптографические ключевые носители, виртуальная смарт-карта использует стандарт PKCS#11 и интерфейс Microsoft CryptoAPI для выполнения криптоопераций.
При этом закрытые ключи шифрования не передаются на ПК пользователя. В зависимости от реализации технологии виртуальной смарт-карты, ключи хранятся либо в зашифрованном виде в базе данных на сервере системы, либо в защищенной памяти смартфона и криптографические операции выполняются на сервере системы или смартфоне пользователя. При таком подходе, ни вредоносное ПО на рабочем месте сотрудника, ни злоумышленник не могут скомпрометировать закрытые ключи.
Для обеспечения безопасности выполняется шифрование каналов связи между всеми элементами системы (сервером, ПК и/или смартфоном пользователя) с применением асимметричных алгоритмов шифрования по протоколу TLS. На ПК пользователя доставляется уже готовый результат криптооперации.
Удобно, что доставка самой виртуальной смарт-карты на компьютер пользователя осуществляется удаленно, не требуя личного визита сотрудника к оператору системы. Для специалистов же ИБ, кроме того, значительно упрощается процедура изъятия карты из системы: чтобы прекратить ее использование, администратору достаточно выполнить удаленный отзыв смарт-карты с уничтожением закрытых ключей. Павел Конюхов, технический директор компании Indeed ID
|
Для операционной системы компьютера и целевых приложений, с которыми работает пользователь, виртуальная смарт-карта неотличима от физического аналога. Исключая из процесса использования PKI-инфраструктуры аппаратную составляющую на стороне пользователя, виртуальная смарт-карта Indeed Enterprise AirKey позволяет сделать этот процесс непрерывным.
Indeed AirKey
Indeed AirKey является приложением для iPhone, которое программно эмулирует поведение пластиковой смарт-карты и позволяет, таким образом, использовать смартфон для хранения ключей и цифровых сертификатов, выполнения строгой двухфакторной аутентификации и создания усиленной электронной подписи документов.
Решаемые задачи
- электронная подпись сообщений и документов;
- установка и защита [www.tadviser.ru/index.php/VPN VPN]-соединений;
- доступ к рабочему столу Windows;
- доступ в корпоративную сеть Active Directory;
- доступ к бизнес-приложениям и web-ресурсам;
- доступ к удаленному рабочему столу (VDI);
- шифрование сообщений, документов, данных.
Преимущества цифровой смарт-карты Indeed AirKey перед пластиковыми аналогами
Цифровая смарт-карта Indeed AirKey имеет существенные преимущества по сравнению с традиционными пластиковыми смарт-картами:
- отсутствие затрат на приобретение, сопровождение и замену пластиковых смарт-карт, считывателей, USB-токенов;
- в отличие от выдаваемой пластиковой смарт-карты, iPhone является личным устройством пользователя, которое не забывают на работе, не передают коллегам, не одалживают на время отпуска;
- беспроводной характер соединения с персональным компьютером, ноутбуком или планшетом; не требуется USB-порт; устройство сохраняет штатные габариты, штатный вес и привычный уровень комфорта (usability);
- удобный графический интерфейс, привычное жестовое управление;
- производительность CPU iPhone достаточна, чтобы обеспечить быстрое шифрование больших объемов данных без передачи ключа шифрования на сторону ПК;
- визуализация данных на экране iPhone перед выполнением электронно-цифровой подписи;
- прямое IP-соединение цифровой смарт-карты с web-ресурсами; нет необходимости устанавливать на компьютер драйвер, runtime или плагин к браузеру;
- Push-нотификация пользователя (применение смарт-карты в таком режиме позволяет подтверждать транзакции на ходу, в ответ на запрос со стороны информационной системы или другого пользователя).
Приложение доступно в двух редакциях:
- Indeed AirKey - цифровая смарт-карта с поддержкой алгоритмов RSA, SHA-1 и AES
- КрипоПро AirKey - цифровая смарт-карта с поддержкой алгоритмов ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ 28147-89, RSA, SHA-1 и AES
Решаемые задачи и базовое описание фунционала Indeed-ID IAM
- строгая и усиленная аутентификация при доступе к ПК
- строгая и усиленная аутентификация в терминальном режиме работы (Remote Desktop, VDI, Citrix)
- усиленная аутентификация в Outlook Web Access
- усиленная аутентификация на RADIUS сервере
- журналирование действий администраторов и пользователей
Поддерживаемые технологии аутентификации Система поддерживает более 20 технологий доступа, среди которых:
- смарт-карты и USB-ключи любых производителей
- биометрия: отпечаток пальца, рисунок вен ладоней, радужка глаза
- RFID-карты: Mifare, EM Marin, HID Prox, HID iClass
- одноразовые пароли: SMS, OTP-брелок, приложение на смартфоне
Все поддерживаемые технологии можно комбинировать между собой. Например, можно аутентифицировать пользователей по отпечатку пальца и бесконтактной карте, смарт-карте и ОТP и др.
Прикладная область
С момента приема сотрудника на работу, он начинает взаимодействовать с информацией, хранимой и обрабатываемой в различных it-системах. В каждой системе создается учетная запись, определяются права и пароль. Сотруднику выдается пропуск входа в здание, определяется время работы, выделяется рабочий кабинет, компьютер. Ежедневно сотрудник получает доступ к данным компании, перемещается по офису, работает из дома, летает в командировки. Продвижение по карьерной лестнице, появление новых обязанностей требуют постоянной модификации прав, а увольнение мгновенной блокировки профиля доступа и удаление учетных данных. В организациях где работают сотни, тысячи или десятки тысяч сотрудников невозможно эффективно управлять перечисленными процессами без применения специальных инструментов.
Линейка продуктов, входящих в состав решения Indeed-Id IAM, позволяет частично или полностью автоматизировать множество перечисленных операций, снизить время их выполнения, избежать простоев и упростить работу каждой категории пользователей. Наличие независимого центрального журнала событий помогает при анализе инцидентов и сборе информации. Интеграция решения с системами сторонних производителей позволяет получить дополнительную отдачу от инвестиций, достигать бесшовности и непрерывности операций.
Indeed-ID IAM включает ряд компонентов, позволяющих консолидировать процедуры управления, предоставления и получения доступа в информационные системы в рамках единого комплекса. В состав решения входит: Indeed-ID Logon for Windows, Indeed-ID ESSO, Indeed-ID Rules System, Indeed-ID IDM, Indeed-ID Integration Pack. Сочетание перечисленных компонентов в едином ансамбле, а также интеграция с системами сторонних производителей позволяют достигать оптимальных результатов в создании бесшовных процедур управления доступом и учетными данными пользователей.
Ручной ввод паролей используется в 90% систем, что создаёт угрозу информационной безопасности компаний. В основу комплекса Indeed-ID IAM легла технология аутентификации Indeed-ID, позволяющая отказаться от использования паролей в корпоративной среде. Независимо от того, куда обычный пользователь получает доступ: ресурсы Active Directory, корпоративный портал, почтовая система или удаленный рабочий стол терминального сервера, Indeed-ID IAM избавляет сотрудников от запоминания, смены и утомительного ввода паролей. Для аутентификации своих пользователей комплекс обеспечивает поддержку целого спектра современных технологий, большинство из которых входит в минимальный комплект поставки.
Менеджмент учетных данных, модификация прав доступа, сброс забытых паролей, ограничение доступа при наступлении особых условий, выпуск или приостановка сертификатов – тот список операций, большинство из которых поддается полной, либо частичной автоматизации. Таким образом, компании уже сегодня могут начать сокращать свои расходы.
2011
Компания AGSES, поставщик программно-аппаратной линейки продуктов, обеспечивающих безусловную биометрическую аутентификацию, и компания «Индид» заключили в сентябре 2011 года договор о технологическом партнерстве, в рамках которого «Индид» интегрирует технологию безусловной аутентификации AGSES в продукты собственной разработки под брендом Indeed-Id.
Как ожидается, интеграция позволит использовать многофакторную биометрическую аутентификацию на базе AGSES-карт в задачах централизованного управления и предоставления доступа пользователям к информационным ресурсам, решаемых линейкой программных продуктов Indeed-Id.
Технология компании AGSES является прорывом в области обеспечения безопасности доступа к информации и подтверждения операций, говорится в сообщении «Индид». AGSES-карта хранит идентификатор личности владельца в виде моделей отпечатков пальцев, что позволяет считать ее электронным аналогом паспорта человека. При этом личные характеристики пользователя никуда не передаются. Доступ к информационным системам осуществляется путем подтверждения отпечатков пальцев владельца.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (848)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (471, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
JaCarta Authentication Server (JAS) - 1
ОТР.Опора - 1
Multifactor Сервис многофакторной аутентификации - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1
Подрядчики-лидеры по количеству проектов
Биолинк Солюшенс (BioLink Solutions) (134)
Прософт Биометрикс (ProSoft Biometrics) (74)
Индид, Indeed (ранее Indeed ID) (45)
VisionLabs (ВижнЛабс) (34)
Группа компаний ЦРТ (Центр речевых технологий) (31)
Другие (454)
Прософт Биометрикс (ProSoft Biometrics) (11)
VisionLabs (ВижнЛабс) (7)
Группа компаний ЦРТ (Центр речевых технологий) (5)
Талмер (Talmer) (4)
РекФэйсис (4)
Другие (52)
Индид, Indeed (ранее Indeed ID) (6)
Goodt (Гудт) (2)
NDBC - ЭнДиБиСи (ранее НТТ ДАТА Бизнес Солюшнс, itelligence Россия, Ителлидженс) (2)
VisionLabs (ВижнЛабс) (2)
ВидеоМатрикс (Videomatrix) (2)
Другие (21)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Биолинк Солюшенс (BioLink Solutions) (9, 140)
Прософт Биометрикс (ProSoft Biometrics) (18, 84)
VisionLabs (ВижнЛабс) (26, 50)
Индид, Indeed (ранее Indeed ID) (1, 45)
Группа компаний ЦРТ (Центр речевых технологий) (14, 39)
Другие (361, 308)
Прософт Биометрикс (ProSoft Biometrics) (7, 11)
VisionLabs (ВижнЛабс) (2, 8)
Группа компаний ЦРТ (Центр речевых технологий) (2, 6)
РекФэйсис (2, 4)
Ростелеком (4, 3)
Другие (23, 31)
Индид, Indeed (ранее Indeed ID) (1, 6)
ABC Solutions (Эй Би Си Солюшенс) (1, 3)
Goodt (Гудт) (1, 3)
VisionLabs (ВижнЛабс) (2, 2)
ВидеоМатрикс (Videomatrix) (1, 2)
Другие (9, 9)
Сбербанк (3, 8)
Индид, Indeed (ранее Indeed ID) (1, 7)
VisionLabs (ВижнЛабс) (3, 6)
Shenzhen Chainway Information Technology (1, 6)
АйТи Бастион (1, 3)
Другие (6, 6)
Сбербанк (1, 5)
Shenzhen Chainway Information Technology (1, 2)
Goodt (Гудт) (1, 1)
Voca-Tech (Вока-Тек) (1, 1)
Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
Другие (3, 3)
Распределение систем по количеству проектов, не включая партнерские решения
BioLink BioTime - 123
Indeed Access Manager (Indeed AM) - 45
BioLink FingerPass - 45
Biosmart Studio - 36
СКУД BioSmart - 27
Другие 431
VisionLabs Luna - 5
VisionLabs Thermo (ранее VisionLabs Termo) - 5
Biosmart Studio - 4
BioSmart PV‑WTC Терминал - 4
Voice2Med Система распознавания речи в медицине - 4
Другие 42
Indeed Access Manager (Indeed AM) - 6
Goodt (Ранее ZoZo RCAM, Revenue&Costs Assurance Management) - 3
Vmx SILA: HSE - 2
VisionLabs Luna Pass - 1
Yandex Vision - 1
Другие 9