Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed Enterprise Single Sign-On

Indeed Enterprise Single Sign-On (Enterprise SSO) реализует подход Single Sign-on для унаследованных приложений, которые не поддерживают механизмы SSO. Система централизованно хранит пароли пользователя от всех приложений, требующих ввода учетных данных и автоматически подставляет их в экранные формы, когда приложение того требует.

Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольных политик безопасности.

Для этих целей на рабочей станции пользователя устанавливается Enterprise SSO агент, который отслеживает запуск приложений и выполняет перехват форм аутентификации, когда они появляются на экране. Агент также включает в себя расширения для популярных браузеров (Internet Explorer, Google Chrome, Mozilla Firefox), что позволяет работать с веб-приложениями.

Установка и настройка Enterprise SSO

Где можно использовать

Технология Enterprise SSO может быть применена для любых типов приложений (Windows, Java, Web, .Net) независимо от архитектуры: однозвенная, двухзвенная, трехзвенная, толстый клиент, тонкий клиент, терминальные приложения.

Технологии аутентификации

Enterprise SSO поддерживает следующие технологии аутентификации:

  • одноразовые пароли TOTP и HOTP,
  • одноразовые коды через СМС и email,
  • одноразовые коды и push-уведомления в мобильном приложении Indeed Key,
  • смарт-карты и USB-ключи,
  • аутентификация по биометрическим данным.

Принцип интеграции Enterprise SSO с целевыми системами

Enterprise SSO позволяет настраиваться на работу с приложением без программного вмешательства в серверную или клиентскую части данного приложения. Поддержка нового приложения подразумевает создание специального шаблона xml-формата, реализация которого выполняется на внутреннем языке Enterprise SSO скриптового типа. Язык позволяет указать, на какие формы приложения необходимо определить реакцию. Реакция Enterprise SSO может включать в себя повторную строгую аутентификацию пользователя, заполнение полей регистрационными данными (например логин, пароль), нажатие необходимых элементов управления (например нажатие кнопки входа).

Смена пароля в целевом приложении

В целях минимизации рисков информационной безопасности большинство информационных систем поддерживают возможность требовать от пользователя изменить значение пароля сразу после того, как пользователь осуществил первый вход в систему, либо по истечении заданного времени жизни пароля. Enterprise SSO обрабатывает данную ситуацию и позволяет в автоматическом режиме (прозрачно для пользователя) заблокировать на этот момент доступ пользователя к окну смены пароля, сгенерировать новое значение, заполнить поля формы Новое значение и Подтверждение, нажать кнопку ОК. Дождавшись от целевой системы уведомления об успешной смене пароля, Enterprise SSO агент сохраняет новое значение в базе данных Indeed AM. С этого момента ни пользователь, ни администратор не знают новое значение пароля и, следовательно, не могут войти в целевую систему в обход Enterprise SSO.

Возможность обрабатывать ситуацию смены пароля появляется только в том случае, если ESSO шаблон приложения поддерживает реакцию на появление данного типа окна.

Поддержка терминальной среды исполнения

Indeed Enterprise SSO адаптирован к работе в терминальной среде, позволяя избавить сотрудников от явного использования своих паролей в моменты, когда работа с приложением происходит внутри терминальной сессии. Для этого агент Enterprise SSO должен быть установлен на терминальном сервере.

В некоторых ситуациях, в момент получения доступа к особо критичным приложениям, от сотрудника может потребоваться пройти дополнительную процедуру аутентификации. Если технология предполагает использование внешнего оборудования, подключенного к ПК сотрудника (например сканер отпечатка пальца), то между агентом Enterprise SSO терминального сервера и оборудованием возникает коммуникация. Enterprise SSO осуществляет коммуникацию по протоколам Microsoft RDP или Citrix ICA. Это означает, что на стороне ПК сотрудника не требуется установка дополнительного программного обеспечения за исключением драйвера и набора run-time библиотек, необходимых для работы оборудования.