RooX UIDM — комплексное решение для управления доступом

RooX UIDM учитывает современную архитектуру ИТ-систем, предоставляет широкие возможности интеграции и кастомизации.

С помощью RooX UIDM можно реализовать

• единую платформу аутентификации и авторизации для корпоративных ресурсов;
• надежную аутентификацию в высоконагруженные веб-сервисы (1млн+ активных пользователей);
• собственный IDP;
• технологию SSO (Single Sign On);
• систему доступа с асинхронными проверками по ЕГРЮЛ, ЕГРИП и черным спискам;
• адаптивные сценарии аутентификации и авторизации;
• сценарии многофакторной аутентификации;
• центр управления ролями и полномочиями в десятках информационных систем;
• и другие решения.

Для многих компаний RooX UIDM заменит два решения: систему управления пользователями и учетными записями и систему управления аутентификацией. Алексей Хмельницкий, генеральный директор RooX.

RooX UIDM подходит для импортозамещения: входит в реестр Минцифры (запись №10504 от 06.05.2021), учитывает российскую специфику, отвечает требованиям безопасности ГОСТ и ЦБ.

Функциональные возможности RooX UIDM

Возможности RooX UIDM позволяют создать полный комплект сценариев для следующих этапов управления доступом пользователя:

• идентификация,
• регистрация (самостоятельная или силами администратора),
• аутентификация,
• авторизация,
• самообслуживание.

Пользователи

RooX UIDM подходит для организации доступа различных типов пользователей: от сотрудников до корпоративных клиентов, а также поддерживает различные системные учетные записи.

Аутентификация

В RooX UIDM поддержано более 30 методов аутентификации «из коробки». Однако главная ценность не в количестве методов, а в том, что их можно объединять в гибкие сценарии-цепочки, в зависимости от контекста входа (можно учесть параметры пользователей, сессий, устройств, систем, сетей и много другого).

Авторизация

С помощью RooX UIDM можно настроить политики авторизации любой сложности с интеграцией по данным с другими системами (модели доступа RBAC, ABAC).

В RooX UIDM есть API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков.

Администрирование и эксплуатация

В RooX UIDM есть инструмент для организации рабочих мест:

• администратора пользователей и учетных записей,
• сотрудника поддержки (колл-центра).

Информационная безопасность

RooX UIDM поддерживает ролевую (RBAC) и атрибутную (ABAC) модели доступа. Политики доступа к ресурсам могут опираться на любые атрибуты пользователя, сессии, контекста и так далее. Ресурсом может быть как информационная система в целом, так и гранулярно вплоть до отдельного вызова конкретного API.

Правила предоставления и отзыва доступа могут быть автоматизированы: RooX UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу.

Детальный аудит событий хранится в СУБД. В состав событий входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения и другая информация. Также в RooX UIDM можно настроить отправку событий в системы антифрода.

В RooX UIDM есть полный набор API для активного реагирования на инциденты безопасности: блокировка учетных записей, разрыва сессий, блокировка приложений.

Важные обновления последнего года

Защита от перехвата токенов

Функция проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа. Функция работает на основе асимметричной криптографии, что позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.

Объединенная аутентификация пользователей из нескольких служб каталогов

Функция облегчит аутентификацию в различные сервисы, когда в компании развернут так называемый «мультилес», а также обеспечит единую аутентификацию в приложения, которые не поддерживают подключение к нескольким службам каталогов.

Идентификация устройств для усиленной аутентификации

Функция позволит определить, с каких гаджетов осуществлен вход в систему, а также контролировать права доступа с этих устройств. В рамках функции можно настроить уведомления пользователя о входе в сервис, а также дать возможность администрировать возможность беспарольного входа с того или иного устройства. Разметка устройств защищена от подделки с помощью асимметричной криптографии.

Проверка паролей по базам словарных и утекших паролей

Функция поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях. Проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей. Кроме этого можно запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.

Примеры проектов, реализованных с применением RooX UIDM

• Система аутентификации и авторизации для телеком-оператора. Особенностью проекта был его масштаб — база пользователей составляла более 25 млн человек.
• Система управления доступом для банка. Внедрение охватило несколько бизнес-направлений банка из топ-10: работа с физлицами, с компаниями МСБ-сегмента, с крупными корпоративными клиентами.
• Системы управления доступом для B2B маркетплейса. Проект характерен поддержкой адаптивных сценариев аутентификации для обеспечения многошагового взаимодействия между участниками бизнес-процессов.
• Системы управления доступом для госкомпании. Главной целью проекта было централизованного управления ролями и полномочиями в десятках информационных систем. В рамках проекта был реализован единый механизм для настройки прав, что упростило администрирование, снизило риски и издержки.

Архитектура RooX UIDM

RooX UIDM обладает следующими свойствами:

• микросервисная архитектура,
• полный охват функций API-методами для интеграции и кастомизации (разработка по принципу API-first),
• историчная СУБД,
• мультиорганизационная модель данных,
• производительная асинхронная система записи аудита,
• возможность горизонтального и вертикального масштабирования, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного.

Интеграции

RooX UIDM обладает множеством возможностей для интеграции с другими системами.

Точки кастомизации

В RooX UIDM есть возможность расширения функциональности (кастомизации) следующими способами:

• элементы пользовательского и административного интерфейсов (веб-компоненты);
• сценарии аутентификации и самообслуживания;
• модули обработки событий жизненного цикла учетных записей и сессий, в том числе включающих интеграции с внешними системами;
• политики авторизации.

RooX UIDM — это ключ к аутентификации и авторизации для крупных и средних компаний. В нашей системе есть много возможностей «из коробки», но также она может быть адаптирована под любые уникальные требования и интегрирована в сложные бизнес-процессы. Алексей Хмельницкий, генеральный директор RooX.

Варианты поставки

Поддерживаются следующие варианты поставки RooX UIDM:

• дистрибутивы модулей и конфигурационные пакеты (RPM-пакеты, DEB-пакеты, docker-образы, helm),
• библиотеки ядра и документация с описанием точек кастомизации,
• в виде облачного сервиса,
• исходный код ядра и кастомных модулей.