Аутентификация с использование паролей «заслуженно» можно назвать устаревшей. Да, десятилетиями мы использовали логин и пароль для входа в различные приложения. Но сегодня этот способ аутентификации сложно назвать действительно безопасным. Злоумышленники могут подселить на машину вредонос‑кейлоггер, который будет сохранять все нажатые клавиши и позволит атакующим узнать наши учетные данные. Также, при определенных условиях хакеры могут перехватить наши учетки при передаче по сети. Конечно, повсеместное использование TLS существенно снижает риски перехвата, но все же не предотвращает их полностью.

Ну конечно новомодный фишинг — отдельная головная боль безопасников. Несмотря на все предупреждения определенная часть пользователей продолжает вестись на мошеннические письма, переходить по подозрительным ссылкам и вводить свои учетные данные.

И старый добрый брутфорс не стоит сбрасывать со счетов. В сети все еще можно найти пользователей с паролями Password123, Qwerty1! и аналогичными.

В общем совершенно очевидно, что время парольной аутентификации прошло и необходимы технологии строгой аутентификации, не позволяющие злоумышленникам так легко получить доступ к учетным данным.

Еще одной проблемой является необходимость аутентифицироваться в нескольких приложениях. Помимо пароля для входа в ОС у пользователя может быть учетка в 1С, базах данных, различных инструментах, доступных через веб. Заставлять пользователя запоминать несколько логинов/паролей это тоже не очень хорошая идея. Конечно, многие решения можно интегрировать с LDAP, но это тоже не всегда возможно.

Таким образом, мы приходим к тому, что нам необходимо решение для обеспечения строгой аутентификации и единого входа.

В этой статье мы рассмотрим решение Indeed AM и его функционал, предназначенный для выполнения задач аутентификации.

Знакомимся с Indeed AM

Продукт Indeed Access Manager позволяет реализовать систему централизованного управления доступом к информационным ресурсам компании. При этом в состав решения входят различные модули для интеграции с целевыми системами с применением таких технологий как SAML, OpenID Connect, RADIUS, ADFS, Enterprise SSO, агенты аутентификации. Такой подход позволяет защитить доступ во все информационные системы предприятия и адаптировать решение под нужды конкретного заказчика.

Основная проблема для решений, обеспечивающих строгую аутентификацию это интеграция с теми приложениями, в которых нам собственно необходимо аутентифицироваться. По сути, необходимо, чтобы средство строгой аутентификации могло самостоятельно взаимодействовать с целевым приложением, пробрасывая пользовательское соединение.

Вход в систему

Начнем с процесса входа в систему. Модуль Indeed Windows Logon представляет возможность получать доступ в ОС Windows с использованием технологий строгой аутентификации в среде Microsoft Active Directory. Для этого на рабочие места пользователей устанавливается агент Windows Logon. Инсталлятор агента реализован как стандартный пакет установщика MSI (Microsoft Windows Installer). Это позволяет оперативно производить установку и обновление системы в массовом порядке с использованием различных инструментов, таких как групповые политики Active Directory, Microsoft System Center Configuration Manager (SCCM) и другие.

Для интеграции с ОС Windows используется стандартный механизм для реализации собственного интерфейса аутентификации пользователей Credentials Provider. Данная технология позволяет сторонним разработчикам интегрировать собственные технологии аутентификации с интерфейсом Windows, предоставляет возможность не только выполнять вход в Windows с помощью технологии Indeed AM, но и аутентифицироваться с помощью Indeed AM внутри ОС, например, при доступе к доменным ресурсам, веб‑приложениям. Также стоит отметить, что в Windows Logon поддерживаются все технологии аутентификации, доступные в Indeed Access Manager — смарт‑карты, карты RFID, одноразовые пароли.

Веб и Microsoft

В Indeed AM для аутентификации в веб приложениях предусмотрены специальные модули. Так, веб‑приложения на базе сервера Internet Information Services (IIS) могут быть интегрированы с программным комплексом Indeed AM с использованием механизма ADFS и компонента Indeed ADFS Extension.

Данный компонент реализует провайдер многофакторной аутентификации для сервера Microsoft ADFS, добавляя в процесс получения доступа второй фактор.

В результате у нас появляется возможность интегрироваться с целевыми приложениями без их модификации: при входе в приложение пользователь перенаправляется на веб‑страницу аутентификации ADFS, где через провайдер аутентификации Indeed ADFS Extension запрашивается второй фактор, после успешной аутентификации пользователь возвращается в целевое приложение.

Данный модуль можно использовать для веб‑приложений Microsoft, таких как Outlook Web Access, Sharepoint, Skype for Business и других.

Также, для аутентификации в веб‑приложениях, использующих Internet Information Services (IIS) и не поддерживающих механизм ADFS, разработан специализированный модуль интеграции Indeed IIS Extension.

Принцип работы здесь аналогичен: IIS Extension устанавливается на веб‑сервер, где развернуто целевое приложение, и обеспечивает двухфакторную аутентификацию без вмешательства в его программный код. Модуль перехватывает попытки аутентификации, и после ввода имени и пароля пользователь перенаправляется на отдельную страницу, где он должен подтвердить вход с помощью одноразового пароля.

IIS Extension поддерживает одноразовые пароли OATH: TOTP и HOTP, одноразовые коды через СМС и email, push‑уведомления в мобильном приложении Indeed Key, одноразовые коды и push‑уведомления в мессенджере Telegram, самостоятельно заданный пароль.

Еще одна технология Майкрсофт, нуждающаяся в дополнительной защите это аутентификация по протоколу RDP. Когда в 2020 году неожиданно для всех наступила пандемия и связанная с ней удаленка, то многие администраторы не особо задумываясь о последствиях открыли наружу доступ по порту 3389, используемом RDP, что естественно, не лучшим образом сказалось на безопасности их ИТ инфраструктуры.

Конечно, для организации удаленного доступа лучше всего использовать VPN, но и для аутентификации по RDP использование второго фактора тоже не помешает и здесь можно воспользоваться модулем Indeed RDP Windows Logon.

При использовании данного модуля первым фактором выступает доменный пароль, а вторым — одноразовый пароль (one‑time password) или подтверждение входа в мобильном приложении Indeed Key. Одноразовый пароль может быть либо сгенерирован на стороне пользователя в приложении на смартфоне, либо с помощью специального брелока (ОТР‑токена), либо отправлен пользователю по СМС или email.

RDP Windows Logon следует устанавливать на конечный терминальный сервер, куда выполняет вход пользователь. При этом, установка каких‑либо компонентов на клиентский компьютер не требуется.

Не только MS

Однако Indeed AM поддерживает не только интеграцию с решениями Microsoft. Если нам необходимо организовать многофакторную аутентификацию и сквозной доступ в веб‑приложения, то можно воспользоваться модулем Indeed Identity Provider (IDP). Для интеграции с целевыми решениями этот модуль поддерживает SAML 2.0 (Security Assertion Markup Language), OIDC 1.0 (OpenID Connect), OAuth 2.0.

Это гарантирует совместимость с широким спектром различных систем. Применение IDP избавляет пользователя от необходимости запоминать множество учетных данных: для доступа во все интегрированные системы требуется только один комплект учетных данных. Аутентификация выполняется централизованно на стороне Identity Provider.

IDP выполнен в формате веб‑приложения и разворачивается в инфраструктуре заказчика. В процессе получения доступа целевое приложение перенаправляет пользователя на страницу IDP для аутентификации, после чего в случае успеха пользователь перенаправляется обратно в целевое приложение с признаком Аутентифицирован, где ему открывается его сессия.

Интеграция выполняется на серверной стороне, что дает возможность использовать данный подход на любых устройствах, где есть браузер: ПК, смартфон или планшет.

Общая архитектура взаимодействия представлена на следующей схеме.

И легаси тоже

Модуль Indeed Enterprise Single Sign‑On позволяет реализовать подход Single Sign‑on для унаследованных приложений, которые не поддерживают механизмы SSO. Система централизованно хранит пароли пользователя от всех приложений, требующих ввода учетных данных и автоматически подставляет их в экранные формы, когда приложение того требует.

Enterprise SSO избавляет сотрудников от запоминания и хранения паролей в секрете, от ручного ввода паролей с клавиатуры, от периодической смены паролей согласно парольных политик безопасности. Для этих целей на рабочей станции пользователя устанавливается Enterprise SSO агент, который отслеживает запуск приложений и выполняет перехват форм аутентификации, когда они появляются на экране. Агент также включает в себя расширения для популярных браузеров (Internet Explorer, Google Chrome, Mozilla Firefox), что позволяет работать с веб‑приложениями.

Заключение

Мы рассмотрели основные модули, с помощью которых Indeed AM упрощает жизнь системных администраторов, позволяя использовать механизмы строгой аутентификации и единого входа. Данные модули можно интегрировать с различными целевыми системами, начиная от входа в ОС Windows и аутентификации по RDP, и заканчивая взаимодействием с различными приложениями, включая устаревшие решения, интеграция с которыми осуществляется с помощью агентов.

В целом, использование Ideed AM позволяет существенно усилить как механизмы аутентификации, так и упростить работу пользователей с несколькими системами.

Мы видим, что современные подходы к аутентификации позволяют не только повысить безопасность, но и сделать работу пользователей более удобной: единый вход, минимизация количества паролей и гибкая интеграция с различными системами. Однако важно помнить, что технические решения всегда идут рука об руку с организационными — от системных администраторов и инженеров до специалистов поддержки, которые ежедневно помогают пользователям работать с этими технологиями.

Если вы хотите проверить свои знания и навыки в этой сфере, вы можете пройти бесплатное вступительное тестирование по теме «Руководитель поддержки пользователей в IT». Оно поможет понять, насколько вы готовы к работе в этой области.

Также вы можете ознакомиться с полным каталогом курсов, где представлены направления по администрированию, разработке и управлению в IT.

И, наконец, приглашаем вас на бесплатные открытые уроки. Это возможность вживую познакомиться с форматом занятий и задать вопросы преподавателям.

Чтобы оставаться в курсе актуальных технологий и трендов, подписывайтесь на Telegram‑канал OTUS.