Unified Identity Management logo figure Unified Identity Management logo figure
Поиск Поиск по документации

RooX UIDM — решение для централизованной аутентификации и авторизации

Решение RooX UIDM предназначено для централизованной аутентификации и авторизации пользователей в веб- и мобильных приложениях.

Поддерживается более 30 популярных в современном вебе и одновременно безопасных способов проверки учетных данных.

Способы входа могут сочетаться между собой в зависимости от предпочтений пользователя или политик безопасности компании.

Доступ к системам работает по технологии единого входа, когда сессия существует на сервере аутентификации, а между сервисами пользователь переходит бесшовно.

В части авторизации доступна ролевая модель, атрибутная модель доступа.

Возможен режим централизованного предоставления доступа (сервисы делегируют авторизацию центральному серверу, а центральный сервер принимает решение разрешить или запретить доступ) и/или децентрализованного, когда сервисы самостоятельно принимают авторизационные решения на основании утверждений о пользователях (клеймов), содержащихся в выдаваемом ему токене доступа. Среди утверждений (клеймов) могут быть идентификатор пользователя, членство в группах согласно организационной модели, наличие ролей, контактные данные, геолокация, использованный способ аутентификции и другие.

Система подробно протоколирует действия пользователей в локальную СУБД (аудит). Имеется встроенная возможность отправки событий безопасности во внешние системы противодействия мошенничеству (антифрод), ELK и веб-аналитики. Перечень и состав событий строго регулируется.

RooX UIDM соответствует требованиям ГОСТ Р 57580, OWASP, NIST в части задач аутентификации и авторизации.

Возможности аутентификации конечных пользователей

  • По логину и постоянному паролю

  • По логину и одноразовому (временному) паролю

  • По номеру телефона и одноразовому паролю (OTP по sms)

  • По номеру телефона и одноразовому паролю (OTP по email)

  • OTP в мобильное приложение (push)

  • TOTP на внешнем приложении (Я.Ключ, Google Authenticator)

  • Биометрия (WebAuthN)

  • Биометрия (ЕБС)

  • Доверенное «знакомое» устройство

  • Magic link (разовая ссылка на email)

  • QR-код

  • Внешние IDP Government: ЕСИА

  • Внешние IDP Government: СУДИР (mos.ru)

  • Внешние IDP: ВКонтакте

  • Внешние IDP: Одноклассники

  • Внешние IDP: Яндекс

  • Внешние IDP: X (Twitter)

  • Внешние IDP: Google

  • Внешние IDP: Microsoft

  • Внешние IDP: sso-вход через другой корпоративный сервис

  • Клиентский сертификат

  • КЭП/УКЭП

  • Аппаратные токены

  • Автоматическая аутентификация в домене Windows по протоколу Kerberos

  • С использованием учетной записи в одном или нескольких серверах каталогов Active Directory или другом LDAP-совместимых

  • По учетной записи, хранящейся в другой системе

  • Использование учетной записи от лица другой учетной записи с ее согласия (мультиаккаунт)

  • Имперсонация (специальная аутентификация под пользователем с использованием админской учетки)

  • Автоматическая аутентификация по номеру телефона в сети телеком-оператора по технологии Header Enrichment

  • Аутентификация по долгоживущему токену (включая биометрию устройства, PIN-код, графический ключ)

  • С использованием комбинации указанных способов

Возможности самообслуживания конечных пользователей

  • Самостоятельная регистрация пользователей с подтверждением email и номера телефона

  • Самостоятельная регистрация пользователей через ЕСИА

  • Сброс пароля пользователем

  • Восстановление пароля пользователем

  • Смена пароля пользователем

  • Принудительная смена пароля по истечении времени жизни или по команде администратора

  • Создание и использование долгоживущих API-токенов

Возможности по защите веб-приложений

  • Централизованная аутентификация веб-приложений согласно протоколу OAuth2.0

  • Централизованная аутентификация веб-приложений согласно протоколу OpenID Connect

  • Централизованная аутентификация веб-приложений согласно протоколу OAuth1

  • Централизованная аутентификация веб-приложений согласно протоколу SAML

  • Централизованная авторизация действий пользователей

  • Обмен токенов согласно протоколу Token Exchange

  • Бесшовный переход между приложениями с использованием технологии Single Sign On

  • Защита важных операций двухфакторной аутентификацией

  • Mobile SDK

  • Web SDK

  • Java SDK

Возможности администрирования

  • Управление пользователями (создание, просмотр, блокировка, изменение данных, сброс пароля)

  • Управление приложениями (создание, просмотр, блокировка, смена данных)

  • Управление политиками аутентификации и авторизации

  • Аудит действий пользователей

  • Имперсонация в приложениях от лица управляемой учетной записи

Возможности для информационной безопасности

  • Отправка событий в системы противодействия мошенничеству (антифрода)

  • Предоставление API блокировки учетных записей, разрыва сессий, блокировки приложений

  • Детальное протоколирование действий (аудит) с хранением в СУБД. В состав данных протоколируемого события входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения

  • Ролевая, атрибутная модели доступа

  • Автоматизация правил предоставление и отзыва доступа. UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу

Архитектурные возможности

  • Производительная система записи аудита (асинхронная, партиции)

  • Хранение токенов в Tarantool (высокопроизводительная инсталляция)

  • Сквозное протоколирование

  • Историчная СУБД (мягкое удаление записей, хранение всех версий объектов)

  • Мультиорганизационная модель данных

  • Микросервисная архитектура

  • Горизонтальное и вертикальное масштабирование, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного

  • Использование современного инфраструктурного стека: Docker, ELK, K8S, Vault

Возможности по доработке

  • Разработка новых модулей аутентификации

  • Изменение UI-представления сценариев аутентификации

  • Разработка новых сценариев аутентификации

  • В составе продукта имеются SDK: серверная Java (Spring, Pure Java), C#, Android, IOS