ПК SAS MFASOFT
Описание, архитектура, многоуровневая мультиарендность
(multi-tier multi-tenant).
Описание
С точки зрения пользователя решение для двухфакторной или двухэтапной аутентификации с использованием Secure Authentication Server работает так:
- 1Пользователь обращается к целевому ресурсу (устройству или приложению) и видит окно (форму) входа.
- 2Пользователь вводит свой идентификатор (логин).
- 3Пользователь получает (с устройства, которым он владеет) и вводит (с ПИН-кодом, если он назначен) одноразовый пароль.
- 4Целевой ресурс отправляет на сервер аутентификации введенные пользователем учетные данные.
- 5Сервер аутентификации проверяет в своей базе данных, верны ли они.
Архитектура
Сервер аутентификации Secure Authentication Server состоит из нескольких независимых модулей, каждый из которых выполняет определенный набор функций.
Модуль аутентификацииДля проверки одноразовых паролей и ПИН-кодов.
Консоль управленияДля настройки и администрирования решения.
Модуль активацииДля активации выданных пользователю токенов.
Портал самообслуживанияДля самостоятельного сброса ПИН-кода и синхронизации токенов.
Модуль синхронизации LDAPЭтот модуль сервера аутентификации отвечает за прием информации от агентов LDAP и запись ее в базу данных SAS.
Модуль отчетностиМеханизм формирования отчетности на основании предопределенных шаблонов с возможностью запуска процесс формирования отчета мгновенно или периодически по расписанию.
Многоуровневая мультиарендность/ мультитенантность
(multi-tier multi-tenant)
(multi-tier multi-tenant)
Пользователи, их токены и целевые ресурсы распределяются по аккаунтам. Аккаунты могут создаваться по разным принципам: функциональному (целевые ресурсы), географическому, ролевому, организационному. При делении по организационному принципу разные аккаунты могут соответствовать как подразделениям одной организации, так и разным организациям, например, партнерам, поставщикам, или клиентам (подписчикам).
Все аккаунты связаны в многоуровневое дерево. Аккаунты, созданные для подразделений (или организаций), которые используют решение только для себя, называются подписчиками. Аккаунты подразделений (организаций), которые могут не только пользоваться решением сами, но и предоставлять доступ к решению другим аккаунтам, называются сервис-провайдерами. Каждый аккаунт обслуживается своим виртуальным сервером аутентификации, т.е. тем же самым экземпляром продукта, но со своими, относящимися только к этому виртуальному серверу настройками и политиками, операторами; списком пользователей, пулом токенов; журналом аудита и списком узлов аутентификации (целевых ресурсов).
Иерархия аккаунтов и их операторов позволяет реализовать централизованное, делегированное или совместное администрирование виртуальных серверов, воплощая принцип так называемой многоуровневой мультиарендности (multi-tier multi-tenant). Например, организации-арендаторы решения могут сами становиться провайдерами и предоставлять к нему доступ своим субарендаторам – таким же сервис-провайдерам или конечным подписчикам. А в среде одной организации этот принцип позволяет делегировать управление одним экземпляром (инсталляцией) решения разным подразделениям (дочерним организациям), в том числе по сервисной модели.
Все аккаунты связаны в многоуровневое дерево. Аккаунты, созданные для подразделений (или организаций), которые используют решение только для себя, называются подписчиками. Аккаунты подразделений (организаций), которые могут не только пользоваться решением сами, но и предоставлять доступ к решению другим аккаунтам, называются сервис-провайдерами. Каждый аккаунт обслуживается своим виртуальным сервером аутентификации, т.е. тем же самым экземпляром продукта, но со своими, относящимися только к этому виртуальному серверу настройками и политиками, операторами; списком пользователей, пулом токенов; журналом аудита и списком узлов аутентификации (целевых ресурсов).
Иерархия аккаунтов и их операторов позволяет реализовать централизованное, делегированное или совместное администрирование виртуальных серверов, воплощая принцип так называемой многоуровневой мультиарендности (multi-tier multi-tenant). Например, организации-арендаторы решения могут сами становиться провайдерами и предоставлять к нему доступ своим субарендаторам – таким же сервис-провайдерам или конечным подписчикам. А в среде одной организации этот принцип позволяет делегировать управление одним экземпляром (инсталляцией) решения разным подразделениям (дочерним организациям), в том числе по сервисной модели.
