RooX UIDM — решение для централизованной аутентификации и авторизации
Решение RooX UIDM предназначено для централизованной аутентификации и авторизации пользователей в веб- и мобильных приложениях.
Поддерживается более 30 популярных в современном вебе и одновременно безопасных способов проверки учетных данных.
Способы входа могут сочетаться между собой в зависимости от предпочтений пользователя или политик безопасности компании.
Доступ к системам работает по технологии единого входа, когда сессия существует на сервере аутентификации, а между сервисами пользователь переходит бесшовно.
В части авторизации доступна ролевая модель, атрибутная модель доступа.
Возможен режим централизованного предоставления доступа (сервисы делегируют авторизацию центральному серверу, а центральный сервер принимает решение разрешить или запретить доступ) и/или децентрализованного, когда сервисы самостоятельно принимают авторизационные решения на основании утверждений о пользователях (клеймов), содержащихся в выдаваемом ему токене доступа. Среди утверждений (клеймов) могут быть идентификатор пользователя, членство в группах согласно организационной модели, наличие ролей, контактные данные, геолокация, использованный способ аутентификции и другие.
Система подробно протоколирует действия пользователей в локальную СУБД (аудит). Имеется встроенная возможность отправки событий безопасности во внешние системы противодействия мошенничеству (антифрод), ELK и веб-аналитики. Перечень и состав событий строго регулируется.
RooX UIDM соответствует требованиям ГОСТ Р 57580, OWASP, NIST в части задач аутентификации и авторизации.
Возможности аутентификации конечных пользователей
-
По логину и постоянному паролю
-
По логину и одноразовому (временному) паролю
-
По номеру телефона и одноразовому паролю (OTP по sms)
-
По номеру телефона и одноразовому паролю (OTP по email)
-
OTP в мобильное приложение (push)
-
TOTP на внешнем приложении (Я.Ключ, Google Authenticator)
-
Биометрия (WebAuthN)
-
Биометрия (ЕБС)
-
Доверенное «знакомое» устройство
-
Magic link (разовая ссылка на email)
-
QR-код
-
Внешние IDP Government: ЕСИА
-
Внешние IDP Government: СУДИР (mos.ru)
-
Внешние IDP: ВКонтакте
-
Внешние IDP: Одноклассники
-
Внешние IDP: Яндекс
-
Внешние IDP: X (Twitter)
-
Внешние IDP: Google
-
Внешние IDP: Microsoft
-
Внешние IDP: sso-вход через другой корпоративный сервис
-
Клиентский сертификат
-
КЭП/УКЭП
-
Аппаратные токены
-
Автоматическая аутентификация в домене Windows по протоколу Kerberos
-
С использованием учетной записи в одном или нескольких серверах каталогов Active Directory или другом LDAP-совместимых
-
По учетной записи, хранящейся в другой системе
-
Использование учетной записи от лица другой учетной записи с ее согласия (мультиаккаунт)
-
Имперсонация (специальная аутентификация под пользователем с использованием админской учетки)
-
Автоматическая аутентификация по номеру телефона в сети телеком-оператора по технологии Header Enrichment
-
Аутентификация по долгоживущему токену (включая биометрию устройства, PIN-код, графический ключ)
-
С использованием комбинации указанных способов
Возможности самообслуживания конечных пользователей
-
Самостоятельная регистрация пользователей с подтверждением email и номера телефона
-
Самостоятельная регистрация пользователей через ЕСИА
-
Сброс пароля пользователем
-
Восстановление пароля пользователем
-
Смена пароля пользователем
-
Принудительная смена пароля по истечении времени жизни или по команде администратора
-
Создание и использование долгоживущих API-токенов
Возможности по защите веб-приложений
-
Централизованная аутентификация веб-приложений согласно протоколу OAuth2.0
-
Централизованная аутентификация веб-приложений согласно протоколу OpenID Connect
-
Централизованная аутентификация веб-приложений согласно протоколу OAuth1
-
Централизованная аутентификация веб-приложений согласно протоколу SAML
-
Централизованная авторизация действий пользователей
-
Обмен токенов согласно протоколу Token Exchange
-
Бесшовный переход между приложениями с использованием технологии Single Sign On
-
Защита важных операций двухфакторной аутентификацией
-
Mobile SDK
-
Web SDK
-
Java SDK
Возможности администрирования
-
Управление пользователями (создание, просмотр, блокировка, изменение данных, сброс пароля)
-
Управление приложениями (создание, просмотр, блокировка, смена данных)
-
Управление политиками аутентификации и авторизации
-
Аудит действий пользователей
-
Имперсонация в приложениях от лица управляемой учетной записи
Возможности для информационной безопасности
-
Отправка событий в системы противодействия мошенничеству (антифрода)
-
Предоставление API блокировки учетных записей, разрыва сессий, блокировки приложений
-
Детальное протоколирование действий (аудит) с хранением в СУБД. В состав данных протоколируемого события входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения
-
Ролевая, атрибутная модели доступа
-
Автоматизация правил предоставление и отзыва доступа. UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу
Архитектурные возможности
-
Производительная система записи аудита (асинхронная, партиции)
-
Хранение токенов в Tarantool (высокопроизводительная инсталляция)
-
Сквозное протоколирование
-
Историчная СУБД (мягкое удаление записей, хранение всех версий объектов)
-
Мультиорганизационная модель данных
-
Микросервисная архитектура
-
Горизонтальное и вертикальное масштабирование, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного
-
Использование современного инфраструктурного стека: Docker, ELK, K8S, Vault
Возможности по доработке
-
Разработка новых модулей аутентификации
-
Изменение UI-представления сценариев аутентификации
-
Разработка новых сценариев аутентификации
-
В составе продукта имеются SDK: серверная Java (Spring, Pure Java), C#, Android, IOS