JaCarta Authentication Server (JAS)

Продукт
Разработчики: Аладдин Р.Д. (Aladdin R.D.)
Дата премьеры системы: 2016/07/26
Дата последнего релиза: 2022/08/29
Технологии: ИБ - Аутентификация,  Серверные платформы

Содержание

JaCarta Authentication Server (JAS) - автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям.

2024: Совместимость с ViPNet PKI Service 2.3

Компания «ИнфоТеКС» и компания Аладдин 19 февраля 2024 года сообщили о достижении совместимости многофункционального программно-аппаратного комплекса (ПАК) ViPNet PKI Service 2.3 и сервера аутентификации JaCarta Authentication Server. Подробнее здесь.

2022: Совместимость с JaCarta Authentication Server (в составе JMS 3.7) с межсетевыми экранами UserGate

"Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, и UserGate, российский разработчик программного обеспечения и микроэлектроники, завершили проверку совместной работы сервера аутентификации JaCarta Authentication Server (JAS) и межсетевых экранов следующего поколения UserGate. Об этом сообщила компания "Аладдин Р.Д." 29 августа 2022 года.

Компании подписали сертификат совместимости продуктов, что расширит арсенал интегрируемых отечественных решений для обеспечения безопасности информационных систем (ИС).

За счёт интеграции сетевых устройств UserGate с сервером аутентификации JAS появляется возможность назначить дополнительные способы аутентификации пользователям VPN – ввести при подключении к информационным системам использование одноразового пароля (OTP) с помощью SMS или PUSH-уведомлений (с применением мобильного приложения Aladdin 2FA).

В основе работы межсетевых экранов UserGate — особенная архитектура и собственная операционная система UGOS. Такой подход позволяет обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Линейка решений UserGate образует собственную экосистему безопасности UserGate SUMMA. Все компоненты экосистемы сертифицированы ФСТЭК России, совместимы между собой и обеспечивают защиту актуальной сетевой инфраструктуры от разнообразных интернет-угроз, связанных с внешними атаками, вредоносными приложениями, скриптами и другими рисками, а также позволяют применять различные политики к интернет-пользователям в отношении контроля трафика и используемых приложений.

UserGate NGFW поддерживает аутентификацию пользователей и применение к пользователям/группам пользователей правил межсетевого экранирования, контентной фильтрации, контроля приложений с поддержкой Active Directory, а также таких средств и протоколов аутентификации, как Kerberos, RADIUS, LDAP, Captive Portal, TACACS+, 2ФА.

Высокопроизводительный сервер аутентификации JaCarta Authentication Server (JAS) реализует усиленную двухфакторную аутентификацию с поддержкой как аппаратных токенов, так и программных OTP/SMS/PUSH аутентификаторов для обеспечения безопасности доступа к устройствам и ресурсам информационных систем. JAS – отечественный продукт, зарегистрированный в Едином реестре российского ПО, сертифицирован ФСТЭК России и реализован в составе платформы JaCarta Management System (JMS) 3.7. JMS 3.7 – это сертифицированная система учёта и централизованного управления средствами аутентификации и электронной подписи (ЭП), защищёнными носителями информации, а также средствами безопасной удалённой работы.

Продукты JMS 3.7 и JAS применяются в крупных корпоративных ИТ-системах и информационных сервисах для повышения уровня безопасности и автоматизации работы администраторов ИБ. В частности, JAS способен выполнять более 5000 аутентификаций в секунду.

Специалисты "Аладдин Р.Д." уделяют много внимания вопросам улучшения функционала продуктов JMS, JAS и расширения списка совместимых продуктов и устройств. В ходе проведённых работ была подтверждена совместимость JAS в составе JaCarta Management System 3.7 со следующими моделями сетевого оборудования UserGate: межсетевыми экранами следующего поколения UserGate C100, UserGate D200, D500, UserGate E1000, E3000, UserGate F8000, UserGate X1; виртуальный межсетевой экран UserGate, что гарантирует их корректную работу в ИТ-инфраструктурах различного масштаба и позволяет решать вопросы усиления процесса аутентификации пользователей ИС полностью на отечественных разработках.

2021: Использование при работе с сервисом VDI в OnCloud.ru

Компания «Онланта» (входит в группу ЛАНИТ) внедрила двухфакторную аутентификацию при работе с сервисом по предоставлению удаленных рабочих мест (VDI) в защищенном облаке OnCloud.ru. Авторизация осуществляется на основе решения JaCarta Authentication Server (JAS), разработанного компанией «Аладдин Р. Д.». Об этом ЛАНИТ сообщил 11 февраля 2021 года. Подробнее здесь.

2020: Спеццена на JaCarta Authentication Server

26 марта 2020 года компания "Аладдин Р.Д." запустила акцию для удаленных сотрудников, в рамках которой предлагает использовать решение JaCarta Authentication Server (JAS) по спеццене. Решение предназначено для защищённого удалённого доступа и усиленной аутентификации с использованием OTP (аутентификация пользователей по одноразовым паролям) на смартфоне в качестве дополнительного фактора аутентификации в VPN и VDI (VMware Horizon View, Citrix XenApp/XenDesktop). Специалисты компании предлагают помощь в дистанционной настройке серверных компонентов решения и готовы предоставить инструкции для "вынужденных" домашних пользователей. Для получения информации о реализации двухфакторной аутентификации (2FA) через OTP и спеццены необходимо сделать запрос на сайте разработчика.

2019: Добавление функции аутентификации

10 июня 2019 года компания "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, объявил о выпуске дополнительной опции в рамках продукта [1] Authentication Server (JAS).

В комплект поставки сервера аутентификации (JAS) добавлена функция аутентификации – JAS OTP Logon (JOL). Она расширяет стандартный набор поставщиков учётных данных (Credential Provider) ОС Windows, с помощью которых пользователь может открыть сеанс работы с Windows (отображаются как поля ввода аутентификационных данных на экране входа), а также аутентифицироваться в стандартных сервисах и приложениях Windows, например, в Web-приложениях IIS, для подключения к удалённому компьютеру средствами терминального сервиса Windows и т.п.

Данная функция обеспечивает усиленную двухфакторную аутентификацию (т.е. без использования смарт-карт или других криптографических средств аутентификации), где в качестве второго фактора в дополнение к основному паролю добавляется OTP-пароль, генерируемый с помощью стандартных OTP-токенов. Допускается также вариант использования популярных программных генераторов OTP, таких, как Яндекс.Ключ и Google Authenticator.

Аутентификация для входа в Windows c помощью JOL выполняется как в доменной среде (на базе Microsoft Active Directory), так и на внедоменных рабочих станциях. Это позволяет внедрять в организациях двухфакторную аутентификацию без развёртывания PKI-инфраструктуры. Продукт содержит встроенные средства для обеспечения централизованных установки и настройки через групповые политики Windows.

2016

Регистрация в Едином реестре российского ПО

В ноябре 2016 года "Аладдин Р.Д.", российский разработчик и поставщик решений для обеспечения информационной безопасности, сообщила о регистрации продукта JaCarta Authentication Server (JAS) в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 2128 (Минкомсвязь России). Как известно, при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО.

JAS — автономный высокопроизводительный сервер для усиленной аутентификации по одноразовым паролям (OTP) при доступе к корпоративным системам (CRM, порталы, почта и т.д.), в том числе Microsoft SharePoint и Microsoft Outlook Web App, Web-сайтам и облачным сервисам, системам дистанционного банковского обслуживания, а также удалённым рабочим столам (VMware Horizon View и Citrix XenApp/XenDesktop). Применение JAS позволяет обеспечить надёжную защиту доступа к ресурсам и сервисам организации, в том числе с планшетов и смартфонов (поддерживаются Google Authenticator и отправка пароля по SMS), а также повысить лояльность и удовлетворённость пользователей, так как процесс аутентификации заметно упрощается.

Выпуск JaCarta Authentication Server

26 июля 2016 года компания Аладдин Р.Д. сообщила о выпуске сервера для усиленной аутентификации по одноразовым паролям JaCarta Authentication Server (JAS).

JAS предназначен для обеспечения усиленной аутентификации пользователей по одноразовым паролям (OTP - one time password) при доступе к корпоративным системам (CRM, порталам, почте и т.п.), сайтам, облачным сервисам, системам дистанционного банковского обслуживания (ДБО) и удалённым рабочим столам (Microsoft RDP, VMware Horizon View, Citrix XenApp/XenDesktop). Поддерживается аутентификация мобильных пользователей, работающих за пределами защищённого сетевого периметра организации.

Схема взаимодействия сервера JAS, (2016)
«
При создании JAS нами был учтён многолетний опыт продаж продуктов других вендоров (Token Management System, SafeNet Authentication Manager) и разработки собственных токенов JaCarta. В результате мы можем предложить российскому рынку полностью отечественный продукт, ни в чём не уступающий западным аналогам, по значительно меньшей цене. Мы рассчитываем, что JAS будет интересен всем организациям, нуждающимся в усиленной аутентификации пользователей или ищущим замену иностранным решениям, а также разработчикам систем ДБО, корпоративного ПО и онлайн-сервисов. В дальнейшем мы планируем провести сертификацию JAS по требованиям ФСТЭК России, что позволит использовать его в системах защиты высокого класса и будет способствовать дальнейшему распространению нашей разработки.

Сергей Груздев, генеральный директор "Аладдин Р.Д"
»

Преимущество одноразового пароля по сравнению с обычным статическим паролем заключается в исключении возможности использовать OTP повторно. По этой причине, даже если злоумышленник перехватит данные сессии аутентификации, он не сможет использовать скопированный пароль для получения доступа к защищаемой информационной системе.

JAS может использоваться для OTP-аутентификации:

  • в государственных и коммерческих организациях, нуждающихся в усилении аутентификации пользователей при доступе к внешним или внутрикорпоративным системам;
  • в системах ДБО;
  • разработчиками корпоративного ПО;
  • разработчиками онлайн-сервисов;
  • организациями, заинтересованными в импортозамещении аналогичных продуктов иностранных вендоров (прежде всего, SafeNet Authentication Manager).


JAS позволяет использовать разные режимы аутентификации для разных групп пользователей:

  • только OTP;
  • OTP + OTP PIN;
  • доменный пароль + OTP;
  • доменный пароль + OTP + OTP PIN.


Поддерживаемые модели токенов (режим генерации OTP "по событию"):

Для интеграции с прикладным ПО реализована поддержка протоколов:

  • Remote Authentication in Dial-In User Service (RADIUS);
  • Representational State Transfer (REST);
  • Windows Communication Foundation (WCF).


Свойства системы Автономность

Для работы JAS не требуется дополнительное ПО, в составе продукта:

  • сервис аутентификации, включающий средства мониторинга;
  • плагин для Microsoft Network Policy Server (NPS);
  • средства администрирования и управления токенами и пользователями.


Высокая производительность

  • один сервер JAS способен обеспечить до 1 000 аутентификаций в секунду;
  • вертикальная масштабируемость — прямая зависимость от производительности процессора.

  • Сервер аутентификации: реализован в виде сервиса Microsoft Windows – Aladdin JAS Engine Service
  • OTP-кэш: информация о токенах считывается в оперативную память из базы данных при старте сервиса
  • Файл counters.dat:
    • хранение текущих значений счётчиков аутентификации;
    • файл обновляется при выполнении служебных операций через Консоль управления.

  • Консоль управления JAS (Агент JAS):

    • управление токенами и пользователями;
    • может быть установлена на отдельный компьютер;
    • режимы аутентификации и авторизации пользователя:
      • учётная запись Microsoft Windows + членство в группе;
      • аутентификация отключена.

  • Хранилище учётных записей: Microsoft SQL Server или Microsoft Active Directory/Microsoft Security Account Manager
  • База данных Microsoft SQL Server
  • Хранение информации о токенах и пользователях
  • Достаточно установить только один компонент — Microsoft SQL Server Database Engine
  • База данных создаётся автоматически в процессе настройки сервера JAS
  • Доступные режимы аутентификации пользователя базы данных:


Интеграция с прикладным ПО

  • RADIUS:
    • доступен для приложений, использующих для аутентификации пользователей RADIUS-протокол;
    • необходимо наличие сервера Microsoft NPS и установленного плагина;
    • плагин взаимодействует с сервером JAS через REST-интерфейс;
    • не требуется доработка прикладного ПО.

  • REST:
    • работает "поверх" HTTP;
    • доступен для любых приложений, на любых платформах;
    • требуется доработка прикладного ПО.

  • WCF:
    • работает "поверх" HTTP, либо TCP;
    • доступен только для .Net-приложений;
    • требуется доработка прикладного ПО.


Отказоустойчивость

Microsoft Failover Cluster, модель Active/Standby

  • Несколько серверов JAS:
    • синхронизация файла counters.dat;
    • необходимо сохранить пароль шифрования.

  • Несколько серверов Microsoft SQL Server:

    • репликация базы данных средствами Microsoft SQL Server.

Поддерживаемые алгоритмы вычисления OTP

  • RFC 4226 + HMAC-SHA-1 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (6 символов);
  • RFC 4226 + HMAC-SHA-256 (7 символов);
  • RFC 4226 + HMAC-SHA-256 (8 символов).



ПРОЕКТЫ (3) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (9)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (89)
  X-Com (Икс ком) (57)
  Крок (35)
  Инфосистемы Джет (34)
  Астерос (34)
  Другие (1093)

  X-Com (Икс ком) (10)
  Softline (Софтлайн) (6)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5)
  Крок (4)
  Delta Computers (Дельта Компьютерс) (3)
  Другие (53)

  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3)
  Мобильные ТелеСистемы (МТС) (3)
  Почта России (2)
  Селектел (Selectel) (2)
  Тринити (1)
  Другие (24)

  X-Com (Икс ком) (8)
  Национальные Технологии (2)
  Аладдин Р.Д. (Aladdin R.D.) (2)
  НТЦ ИТ Роса (1)
  VStack (ИТглобалком Лабс) (1)
  Другие (31)

  X-Com (Икс ком) (3)
  ИТЛ (Информационно-Техническая Лаборатория) (1)
  КНС Групп (Yadro) (1)
  Ростелеком (1)
  Сбербанк-Технологии (СберТех) (1)
  Другие (12)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  IBM (47, 81)
  Microsoft (12, 58)
  Oracle (28, 56)
  Dell EMC (21, 24)
  Lenovo (3, 23)
  Другие (399, 280)

  Lenovo (1, 6)
  Lenovo Data Center Group (1, 6)
  SOTI (1, 3)
  КНС Групп (Yadro) (1, 3)
  Bull (Atos IT Solutions And Services) (2, 2)
  Другие (18, 20)

  Селектел (Selectel) (1, 2)
  Базальт СПО (BaseALT) ранее ALT Linux (1, 1)
  КРУГ НПФ (1, 1)
  Ситроникс (Sitronics) (1, 1)
  Aerodisk (Аеро Диск) (1, 1)
  Другие (7, 7)

  Аладдин Р.Д. (Aladdin R.D.) (1, 2)
  Red Hat (1, 1)
  КРУГ НПФ (1, 1)
  Dell EMC (1, 1)
  Delta Solutions (Дельта Солюшнс) (1, 1)
  Другие (8, 8)

  КНС Групп (Yadro) (1, 2)
  Content AI (Контент ИИ) (1, 2)
  TrueConf (Труконф) (1, 2)
  Сбербанк-Технологии (СберТех) (1, 1)
  AirBit (АирБит) (1, 1)
  Другие (2, 2)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  IBM Power Systems - 35 (13, 22)
  Microsoft Active Directory - 32 (32, 0)
  Dell EMC PowerEdge - 23 (11, 12)
  Oracle Exadata Database Machine - 21 (21, 0)
  Oracle WebLogic Server - 20 (20, 0)
  Другие 276

  Lenovo ThinkSystem - 6 (6, 0)
  IBM Power8 - 3 (0, 3)
  Soti Mobicontrol - 3 (3, 0)
  IBM Power Systems - 2 (1, 1)
  Ngenix Облачная платформа - 2 (2, 0)
  Другие 9

  Selectel Выделенные серверы - 2 (2, 0)
  Серверы Ситроникс - 1 (1, 0)
  Альт Сервер - 1 (1, 0)
  HPE Apollo 4000 Серверы - 1 (1, 0)
  Aerodisk Machine Серверы - 1 (1, 0)
  Другие 4

  JaCarta Authentication Server (JAS) - 2 (2, 0)
  SharxBase - 1 (1, 0)
  Dell EMC PowerEdge - 1 (0, 1)
  IBM Power8 - 1 (0, 1)
  КРУГ: TimeVisor Сервер единого времени - 1 (1, 0)
  Другие 2

  IBM Power8 - 2 (0, 2)
  Trueconf MCU (Multipoint Control Unit) - 2 (2, 0)
  ContentReader Server - 2 (2, 0)
  AirBit LoRaWAN Network Server - 1 (1, 0)
  СберТех: Platform V SynGX - 1 (1, 0)
  Другие -1

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (848)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Softline (Софтлайн) (3)
  СэйфТек (SafeTech) (3)
  Инфосистемы Джет (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (53)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (2)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Другие (40)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (471, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Konica Minolta (Коника Минолта) (1, 1)
  Shenzhen Chainway Information Technology (1, 1)
  ГК ОТР (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Right line (Райт лайн) (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (7, 7)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45 (45, 0)
  FalconGaze SecureTower - 38 (38, 0)
  PayControl - 26 (23, 3)
  3-D Secure (3D-Secure) - 26 (23, 3)
  Avanpost IDM Access System - 20 (20, 0)
  Другие 219

  PayControl - 3 (3, 0)
  МегаФон Мобильный ID - 2 (2, 0)
  Konica Minolta Dispatcher Suite - 1 (1, 0)
  Samsung Knox - 1 (1, 0)
  ОТР.Опора - 1 (1, 0)
  Другие 2

  Indeed Access Manager (Indeed AM) - 6 (6, 0)
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 (2, 0)
  Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
  Solar webProxy Шлюз веб-безопасности - 1 (1, 0)
  Avanpost IDM Access System - 1 (1, 0)
  Другие 0

  Indeed Access Manager (Indeed AM) - 7 (7, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
  PayControl - 4 (4, 0)
  Indeed PAM - Indeed Privileged Access Manager - 3 (3, 0)
  Aladdin 2FA - 3 (3, 0)
  Другие 4

  PayControl - 3 (3, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
  EPlat4m Security GRC - 1 (1, 0)
  IT-Lite: IDM.Управление учетными данными - 1 (1, 0)
  Indeed Access Manager (Indeed AM) - 1 (1, 0)
  Другие 6