2024/06/25 12:48:49

RooX UIDM — комплексное решение для управления доступом

RooX UIDMроссийское комплексное решение для управления аутентификацией и авторизацией, которое объединяет аутентификацию и управление доступом в единой системе. Система разработана для управления доступом сотрудников, клиентов и партнеров в веб-сервисы, мобильные и десктопные приложения и операционные системы.

Содержание

RooX UIDM учитывает современную архитектуру ИТ-систем, предоставляет широкие возможности интеграции и кастомизации.

С помощью RooX UIDM можно реализовать

  • единую платформу аутентификации и авторизации для корпоративных ресурсов;
  • надежную аутентификацию в высоконагруженные веб-сервисы (1млн+ активных пользователей);
  • собственный IDP;
  • технологию SSO (Single Sign On);
  • систему доступа с асинхронными проверками по ЕГРЮЛ, ЕГРИП и черным спискам;
  • адаптивные сценарии аутентификации и авторизации;
  • сценарии многофакторной аутентификации;
  • центр управления ролями и полномочиями в десятках информационных систем;
  • и другие решения.

«
Для многих компаний RooX UIDM заменит два решения: систему управления пользователями и учетными записями и систему управления аутентификацией.
Алексей Хмельницкий, генеральный директор RooX.
»

RooX UIDM подходит для импортозамещения: входит в реестр Минцифры (запись №10504 от 06.05.2021), учитывает российскую специфику, отвечает требованиям безопасности ГОСТ и ЦБ.

Функциональные возможности RooX UIDM

Возможности RooX UIDM позволяют создать полный комплект сценариев для следующих этапов управления доступом пользователя:

  • идентификация,
  • регистрация (самостоятельная или силами администратора),
  • аутентификация,
  • авторизация,
  • самообслуживание.

Пользователи

RooX UIDM подходит для организации доступа различных типов пользователей: от сотрудников до корпоративных клиентов, а также поддерживает различные системные учетные записи.

Image:02_RooX_UIDM_Пользователи.jpg

Аутентификация

В RooX UIDM поддержано более 30 методов аутентификации «из коробки». Однако главная ценность не в количестве методов, а в том, что их можно объединять в гибкие сценарии-цепочки, в зависимости от контекста входа (можно учесть параметры пользователей, сессий, устройств, систем, сетей и много другого).

Image:03_RooX_UIDM_Аутентификация.jpg

Авторизация

С помощью RooX UIDM можно настроить политики авторизации любой сложности с интеграцией по данным с другими системами (модели доступа RBAC, ABAC).

Image:04_RooX_UIDM_Проекты_и_полномочия.jpg

В RooX UIDM есть API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков.

Администрирование и эксплуатация

В RooX UIDM есть инструмент для организации рабочих мест:

  • администратора пользователей и учетных записей,
  • сотрудника поддержки (колл-центра).

Image:05_RooX_UIDM_Управление.jpg

Информационная безопасность

RooX UIDM поддерживает ролевую (RBAC) и атрибутную (ABAC) модели доступа. Политики доступа к ресурсам могут опираться на любые атрибуты пользователя, сессии, контекста и так далее. Ресурсом может быть как информационная система в целом, так и гранулярно вплоть до отдельного вызова конкретного API.

Правила предоставления и отзыва доступа могут быть автоматизированы: RooX UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу.

Детальный аудит событий хранится в СУБД. В состав событий входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения и другая информация. Также в RooX UIDM можно настроить отправку событий в системы антифрода.

В RooX UIDM есть полный набор API для активного реагирования на инциденты безопасности: блокировка учетных записей, разрыва сессий, блокировка приложений.

Важные обновления последнего года

Защита от перехвата токенов

Функция проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа. Функция работает на основе асимметричной криптографии, что позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.

Объединенная аутентификация пользователей из нескольких служб каталогов

Функция облегчит аутентификацию в различные сервисы, когда в компании развернут так называемый «мультилес», а также обеспечит единую аутентификацию в приложения, которые не поддерживают подключение к нескольким службам каталогов.

Идентификация устройств для усиленной аутентификации

Функция позволит определить, с каких гаджетов осуществлен вход в систему, а также контролировать права доступа с этих устройств. В рамках функции можно настроить уведомления пользователя о входе в сервис, а также дать возможность администрировать возможность беспарольного входа с того или иного устройства. Разметка устройств защищена от подделки с помощью асимметричной криптографии.

Проверка паролей по базам словарных и утекших паролей

Функция поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях. Проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей. Кроме этого можно запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.

Примеры проектов, реализованных с применением RooX UIDM

  • Система аутентификации и авторизации для телеком-оператора. Особенностью проекта был его масштаб — база пользователей составляла более 25 млн человек.
  • Система управления доступом для банка. Внедрение охватило несколько бизнес-направлений банка из топ-10: работа с физлицами, с компаниями МСБ-сегмента, с крупными корпоративными клиентами.
  • Системы управления доступом для B2B маркетплейса. Проект характерен поддержкой адаптивных сценариев аутентификации для обеспечения многошагового взаимодействия между участниками бизнес-процессов.
  • Системы управления доступом для госкомпании. Главной целью проекта было централизованного управления ролями и полномочиями в десятках информационных систем. В рамках проекта был реализован единый механизм для настройки прав, что упростило администрирование, снизило риски и издержки.

Архитектура RooX UIDM

RooX UIDM обладает следующими свойствами:

  • микросервисная архитектура,
  • полный охват функций API-методами для интеграции и кастомизации (разработка по принципу API-first),
  • историчная СУБД,
  • мультиорганизационная модель данных,
  • производительная асинхронная система записи аудита,
  • возможность горизонтального и вертикального масштабирования, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного.

Интеграции

RooX UIDM обладает множеством возможностей для интеграции с другими системами.

Image:06_RooX_UIDM_Интеграции.jpg

Точки кастомизации

В RooX UIDM есть возможность расширения функциональности (кастомизации) следующими способами:

  • элементы пользовательского и административного интерфейсов (веб-компоненты);
  • сценарии аутентификации и самообслуживания;
  • модули обработки событий жизненного цикла учетных записей и сессий, в том числе включающих интеграции с внешними системами;
  • политики авторизации.

«
RooX UIDM — это ключ к аутентификации и авторизации для крупных и средних компаний. В нашей системе есть много возможностей «из коробки», но также она может быть адаптирована под любые уникальные требования и интегрирована в сложные бизнес-процессы.
Алексей Хмельницкий, генеральный директор RooX.
»

Варианты поставки

Поддерживаются следующие варианты поставки RooX UIDM:

  • дистрибутивы модулей и конфигурационные пакеты (RPM-пакеты, DEB-пакеты, docker-образы, helm),
  • библиотеки ядра и документация с описанием точек кастомизации,
  • в виде облачного сервиса,
  • исходный код ядра и кастомных модулей.

Image:07_RooX_UIDM_Варианты_поставки.jpg