Многофакторная аутентификация — это просто. Протоколы интеграции.

4 способа встроить SAS в вашу инфраструктуру


Многофакторная аутентификация — необходимая на сегодняшний день мера защиты учетных данных. Но чтобы использовать любую систему аутентификации для организации доступа к вашим ИТ-средам, необходимо сначала интегрировать ее в корпоративную инфраструктуру, настроить четкое и безопасное взаимодействие ИТ-платформ. Поэтому многие компании откладывают внедрение MFA. Они считают это процесс сложным и трудоемким. Однако наличие уже проверенных на практике протоколов интеграции позволяет централизованно использовать многофакторную аутентификации без лишних сложностей.

Дело в том, что применение единого сервиса аутентификации не только повышает безопасность любых корпоративных систем и хранящихся в них данных, но также помогает снизить издержки, связанные с администрированием, управлением и поддержкой системы. А учитывая, что наше решение SAS поддерживает различные методы подключения ваших сервисов, вам просто нужно выбрать наиболее подходящий протокол взаимодействия.

В настоящее время SAS поддерживает все наиболее популярные протоколы интеграции, и о каждом из них мы сегодня расскажем подробнее.

Radius

Протокол RADIUS был впервые представлен еще в 1997 году и с тех пор является одним из распространенных способов выполнения запросов на аутентификацию пользователей. Для любой ИТ-системы корпоративного уровня поддержка протокола Radius является стандартом де-факто. Возможность взаимодействия через Radius для подавляющего большинства сервисов и ПО предоставляется “из коробки”. Radius поддерживают все продукты класса NGFW, средства удаленного доступа, системы доступа к консолям управления, VPN-сервисы, инфраструктуры VDI и так далее. Строго говоря, с Radius на сегодняшний день работают почти все сервисы на базе Linux.

SAS использует сервис FreeRadius, который развивается как OpenSource сообщество. Также пользователям доступны клиентские библиотеки RADIUS возможности RADIUS PAM и модуль Apache RADIUS для создания кастомизированных портальных систем.

Таким образом, работа с Radius — это максимально простой путь, если ваши платформы и решения поддерживают этот проткол. В данном случае не нужно поднимать свои системы PKI и создавать сертификаты. При обращении к сервису аутентификации достаточно указать IP, порт и секретный ключ. А в качестве бонуса Radius также позволяет провести авторизацию, возвращая так называемые RARIUS-атрибуты, чтобы система могла сопоставить правила доступа и выдать соответствующие разрешения.

ADFS

Для тех, кто использует экосистему Microsoft и Active Directory как единое и централизованное хранилище учетных данных пользователей, авторизация через ADFS может оказаться наиболее удобным решением. Это стандарт де-факто для веб-решений, работающих на базе продуктов Microsoft – SharePoint, Exchange. Dynamics и так далее. Фактически все MS-компоненты, которые администрируются через веб-интерфейс, используют ADFS. Также протокол поддерживается продуктами VMware — vSphere, vCloud и другими.

Фактически Active Directory Federation Services предоставляется любым Windows Server. Она формирует готовое решение для идентификации и организации авторизованного доступа. Вместе с ADFS клиенты (не важно, находятся ли они внутри или вне корпоративной сети), могут использовать SSO-доступ к веб-приложениям, которые находятся на серверах компании. Причем на базе ADFS можно организовать авторизацию сразу для любого количества приложений в рамках одного пользовательского сеанса.

Как и все другие элементы экосистемы Microsoft ADFS достаточно хорошо проработан, отличается удобством и стабильностью и не требует большой экспертизы для развертывания и поддержки. А портал авторизации ADFS можно брендировать и вообще оформить в любом стиле, что для некоторых также является важным критерием выбора системы интеграции.

Кроме базовой и двухфакторной аутентификации ADFS интересен тем, что дает возможность настроить адаптивную аутентификацию, когда способ выбирается исходя из условий. Например, в локальной сети вы можете определить, что 2FA не нужна, но требуется при подключении тех же пользователей извне. Для одних групп можно определить дополнительные требования, а для других — отменить. Система может запрашивать подтверждение по SMS, например, только в том случае. если вы зашли с неизвестного или недоверенного устройства.

SAS встраивается в экосистему ADFS как универсальный сервис многофакторной аутентификации и позволяет полностью передать все задачи авторизации пользователей с Windows Server. При этом большим преимуществом выглядит простое внедрение SSO. Через ADFS довольно легко настроить однократную аутентификацию для доступа ко всем веб-ресурсам.

SAML и ODIC

SAML (Security Assertion Markup Language) и OpenID Connect (OIDC) — протоколы, относящиеся к миру открытых технологий, применяются в тех случаях, когда вы хотите интегрировать в свою экосистему веб-сервисов какие-либо решения класса OpenSource. Это могут быть, например, порталы на базе WordPress или любые другие веб-компоненты, которых сегодня представлено огромное множество.


Работа SAML и ODIC становится возможной при сотрудничестве с доверенным поставщиком удостоверений (Identity Provider, IdP). Такие центры проводят аутентификацию пользователей для многочисленных облачных приложений. Мы, например, используем механизм Keycloak для интеграции этих протоколов в SAS. Такой подход позволяет встроить SAS в уже существующую экосистему без дополнительного программирования, полагаясь на стандартный инструментарий. Для этого применяется токен Keycloac, который содержит основные данные аутентификации и дополнительную информацию. Через Keycloak наш сервис определяет IP-адрес, MAC, сессию пользователя, наличие проксирования и так далее.

SAML


Стандарт SAML был принят в 2002 году. Свое название он получил от специального языка разметки SAML (Security Assertion Markup Language) представляет собой открытый формат обмена, созданный на основе XML. Он также обеспечивает комфортные условия для обмена данными между сервером и клиентом, поддерживая процессы аутентификации и авторизации. Этот стандарт разработал Технический комитет по сервисами безопасности (Security Services Technical Committee) организации OASIS. Это профессионалы, которые занимаются формированием экосистемы для работы со структурированной информацией.

Основной плюс протокола SAML заключается в том, что пользователи могут получать доступ ко множеству своих облачных приложений. При этом для аутентификация происходит только один раз. Гибкость языка XML делает SAML универсальным решением. На базе SAML в последнее время очень часто создают системы SSO (single sign-on) не только для одной компании, но и для целой экосистемы партнеров. А открытость SAML позволяет пользователям не привязываться к решению определенного вендора и менять сервисы аутентификации по требованию.

ODIC


OpenID Connect (OIDC) развивается под эгидой OpenID Foundation. Технически он основан на базе OAuth 2.0 (и обратно совместим с ним).

Главное преимущество OIDC — наличие огромного количества энтузиастов, которые продолжают развивать проект. Мало того, что сегодня существует множество OIDC-клиентов. Сообществом OpenID разработано немало дополнительных инструментов, которые помогают сделать аутентификацию более гибкой, адаптировать процесс под запросы конкретных компаний, пользователей, приложений.

MFA — намного проще, чем вы думаете!

Поддержка всех перечисленных выше протоколов делает интеграцию сервиса Secure Authentication Server (MFASOFT) в вашу экосистему максимально простой. Добавление нового измерения безопасности происходит с минимальными изменениями в существующей ИТ-экосистеме.


Благодаря гибкости решения вы можете реализовать сервис SSO для всей вашей экосистемы, используя именно те протоколы, которые лучше подходят для каждой группы ваших сервисов. При правильном организации процесса подобные проекты реализуются в срок от 1 недели и сразу же начинают приносить результаты в виде повышенного комфорта для пользователей и снижения количества компрометация учетных записей.