Unified Identity Management — решение для централизованной аутентификации и авторизации
Решение Unified Identity Management (RooX UIDM) предназначено для централизованной аутентификации и авторизации пользователей в веб- и мобильных приложениях.
Поддерживаются популярные в современном вебе и одновременно безопасные способы проверки учетных данных:
-
пароль,
-
одноразовый пароль (OTP),
-
одноразовый пароль на основе метки времени (TOTP),
-
Единая система идентификации и аутентификации (ЕСИА),
-
социальные сети,
-
Google,
-
биометрические данные пользователей.
Способы входа могут сочетаться между собой в зависимости от предпочтений пользователя или политик безопасности компании.
Доступ к системам работает по технологии единого входа, когда сессия существует на сервере аутентификации, а между сервисами пользователь переходит бесшовно.
В части авторизации доступна ролевая модель, атрибутная модель доступа.
Возможен режим централизованного предоставления доступа (сервисы делегируют авторизацию центральному серверу, а центральный сервер принимает решение разрешить или запретить доступ) и/или децентрализованного, когда сервисы самостоятельно принимают авторизационные решения на основании утверждений о пользователях (клеймов), содержащихся в выдаваемом ему токене доступа. Среди утверждений (клеймов) могут быть идентификатор пользователя, членство в группах согласно организационной модели, наличие ролей, контактные данные, геолокация, использованный способ аутентификации и другие.
Система подробно протоколирует действия пользователей в локальную СУБД (аудит). Имеется встроенная возможность отправки событий безопасности во внешние системы противодействия мошенничеству (антифрод), ELK и веб-аналитики. Перечень и состав событий строго регулируется.
Unified Identity Management соответствует требованиям ГОСТ Р 57580, OWASP, NIST в части задач аутентификации и авторизации.
Возможности аутентификации конечных пользователей
-
По логину и постоянному паролю
-
По номеру телефона и одноразовому паролю
-
По логину и одноразовому паролю с использованием технологии Time Based Onetime Password (на основе метки времени)
-
Через социальную сеть ВКонтакте, Одноклассники, Twitter
-
Через поставщиков учетных записей ЕСИА, Google, Microsoft, Яндекс
-
Через долгоживущий токен («запомнить меня»)
-
По сертификату квалифицированной электронной подписи (КЭП)
-
С использованием учетной записи в сервере каталогов Active Directory или другом LDAP-совместимом
-
Автоматическая аутентификация по номеру телефона в сети телеком-оператора по технологии Header Enrichment
-
Автоматическая аутентификация в домене Windows по протоколу Kerberos
-
По учетной записи, хранящейся в унаследованной системе с мягкой миграцией учетной записи в БД RooX UIDM
-
Использование учетной записи от лица другой учетной записи с ее согласия (мультиаккаунт)
-
С использованием комбинации указанных способов
Возможности самообслуживания конечных пользователей
-
Самостоятельная регистрация пользователей с подтверждением email и номера телефона
-
Самостоятельная регистрация пользователей через ЕСИА
-
Сброс пароля пользователем
-
Восстановление пароля пользователем
-
Смена пароля пользователем
-
Принудительная смена пароля по истечении времени жизни или по команде администратора
-
Создание и использование долгоживущих API-токенов
Возможности по защите веб-приложений
-
Централизованная аутентификация веб-приложений согласно протоколу OAuth2.0
-
Централизованная аутентификация веб-приложений согласно протоколу OpenID Connect
-
Централизованная аутентификация веб-приложений согласно протоколу OAuth1
-
Централизованная аутентификация веб-приложений согласно протоколу SAML
-
Централизованная авторизация действий пользователей
-
Обмен токенов согласно протоколу Token Exchange
-
Бесшовный переход между приложениями с использованием технологии Single Sign On
-
Защита важных операций двухфакторной аутентификацией
-
Mobile SDK
-
Web SDK
-
Java SDK
Возможности администрирования
-
Управление пользователями (создание, просмотр, блокировка, изменение данных, сброс пароля)
-
Управление приложениями (создание, просмотр, блокировка, смена данных)
-
Управление политиками аутентификации и авторизации
-
Аудит действий пользователей
-
Имперсонация в приложениях от лица управляемой учетной записи
Возможности для информационной безопасности
-
Отправка событий в системы противодействия мошенничеству (антифрода)
-
Предоставление API блокировки учетных записей, разрыва сессий, блокировки приложений
-
Детальное протоколирование действий (аудит) с хранением в СУБД. В состав данных протоколируемого события входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения
-
Ролевая, атрибутная модели доступа
-
Автоматизация правил предоставление и отзыва доступа. UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу
Архитектурные возможности
-
Производительная система записи аудита (асинхронная, партиции)
-
Хранение токенов в Tarantool (высокопроизводительная инсталляция)
-
Сквозное протоколирование
-
Историчная СУБД (мягкое удаление записей, хранение всех версий объектов)
-
Мультиорганизационная модель данных
-
Микросервисная архитектура
-
Горизонтальное и вертикальное масштабирование, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного
-
Использование современного инфраструктурного стека: Docker, ELK, K8S, Vault
Возможности по доработке
-
Разработка новых модулей аутентификации
-
Изменение UI-представления сценариев аутентификации
-
Разработка новых сценариев аутентификации
-
В составе продукта имеются SDK: серверная Java (Spring, Pure Java), C#, Android, IOS