Secure Authentication Server Standard

Программный комплекс Secure Authentication Server (SAS) — это программное обеспечение для аутентификации по одноразовым паролям (OTP), разработанное российской компанией.

Программный комплекс SAS используется для создания надежной двухфакторной аутентификации (2FA) пользователей при доступе к любому корпоративному ресурсу (VPN, VDI, инфраструктура Linux).

ПК SAS для аутентификации пользователей обеспечивает безопасность доступа к информационным ресурсам и сетевой инфраструктуре компании. Снижает риск несанкционированного доступа, не создавая новых рисков. Предотвращает взлом аккаунтов, утечку данных и сетевые атаки. Защищает любой ресурс, вне зависимости от его типа и варианта развертывания.

Применяется в централизованных решениях для защиты доступа и управления учетными записями к различным устройствам и приложениям (входа в операционные системы и веб-приложения, удаленного подключения к сети организации, администрирования).

Возможности

Многоуровневая мультиарендность => Гибридная архитектура
Можно создавать отдельные виртуальные серверы для разных подразделений или организаций и делегировать управление.

Модульная архитектура
Продукт состоит из нескольких независимых модулей, которые можно запускать на разных машинах в любом сочетании.

Контейнеризация
Компоненты продукта поставляются в виде готовых образов контейнеров Docker, настройки для которых можно хранить отдельно.

Дублирование и масштабирование
Любые компоненты решения можно объединять в кластеры (фермы), обеспечивая нужный уровень доступности и производительности.

Токены разных типов
Поддерживаются аппаратные и программные токены с синхронизацией по времени и по событию, присутствует функция отправки одноразовых паролей по каналам: SMS, почта, Telegram, голос, сторонние мессенджеры и социальные сети.

Разные способы интеграции
Можно подключать целевые ресурсы по протоколу RADIUS (агент для FreeRADIUS), через Web API (встраиваемый агент) или по протоколу Microsoft ADFS, используя агент ADFS.

Средства аудита
Регистрируются все попытки входа в целевые приложения, а также все действия в консоли администрирования и портале самообслуживания.

Самообслуживание
Пользователи могут сами сбрасывать ПИН-коды и синхронизировать свои токены.

Удаленная активация
Пользователи могут активировать выданные им токены из-за пределов сетевого периметра.

С точки зрения пользователя решение для двухфакторной или двухэтапной аутентификации с использованием SAS работает так:

• Пользователь обращается к целевому ресурсу (устройству или приложению) и видит окно (форму) входа.
• Пользователь вводит свой идентификатор (логин).
• Пользователь получает (с устройства, которым он владеет) и вводит (с ПИН-кодом, если он назначен) одноразовый пароль.
• Целевой ресурс отправляет на сервер аутентификации введенные пользователем учетные данные.
• Сервер аутентификации проверяет в своей базе данных, верны ли они.

Архитектура

Сервер аутентификации Secure Authentication Server состоит из нескольких независимых модулей, каждый из которых выполняет определенный набор функций.

Модуль аутентификации
Для проверки одноразовых паролей и ПИН-кодов.

Консоль управления
Для настройки и администрирования решения.

Модуль активации
Для активации выданных пользователю токенов.

Портал самообслуживания
Для самостоятельного сброса ПИН-кода и синхронизации токенов.

Модуль синхронизации LDAP
Этот модуль сервера аутентификации отвечает за прием информации от агентов LDAP и запись ее в базу данных SAS.

Модуль отчетности
Механизм формирования отчетности на основании предопределенных шаблонов с возможностью запуска процесс формирования отчета мгновенно или периодически по расписанию.

Многоуровневая мультиарендность/ мультитенантность (multi-tier multi-tenant)

Пользователи, их токены и целевые ресурсы распределяются по аккаунтам. Аккаунты могут создаваться по разным принципам: функциональному (целевые ресурсы), географическому, ролевому, организационному. При делении по организационному принципу разные аккаунты могут соответствовать как подразделениям одной организации, так и разным организациям, например, партнерам, поставщикам, или клиентам (подписчикам).

Все аккаунты связаны в многоуровневое дерево. Аккаунты, созданные для подразделений (или организаций), которые используют решение только для себя, называются подписчиками. Аккаунты подразделений (организаций), которые могут не только пользоваться решением сами, но и предоставлять доступ к решению другим аккаунтам, называются сервис-провайдерами. Каждый аккаунт обслуживается своим виртуальным сервером аутентификации, т.е. тем же самым экземпляром продукта, но со своими, относящимися только к этому виртуальному серверу настройками и политиками, операторами; списком пользователей, пулом токенов; журналом аудита и списком узлов аутентификации (целевых ресурсов).

Иерархия аккаунтов и их операторов позволяет реализовать централизованное, делегированное или совместное администрирование виртуальных серверов, воплощая принцип так называемой многоуровневой мультиарендности (multi-tier multi-tenant). Например, организации-арендаторы решения могут сами становиться провайдерами и предоставлять к нему доступ своим субарендаторам – таким же сервис-провайдерам или конечным подписчикам. А в среде одной организации этот принцип позволяет делегировать управление одним экземпляром (инсталляцией) решения разным подразделениям (дочерним организациям), в том числе по сервисной модели.