ПРОЕКТ В ФОКУСЕ

Создание подсистемы управления ИТ-инфраструктурой КИС. >>
все проекты

РЕШЕНИЯ И УСЛУГИ

Центр аутентификации и авторизации на базе продуктов IBM Tivoli Access Manager и Thales SafeSign Authentication Server

Область применения

Широкое распространение электронного бизнеса, основанного на использовании информационных технологий, внесло совершенно новый подход к ведению дел.  Основной задачей электронного бизнеса является обеспечение эффективного взаимодействия деловых партнеров за счет использования современных информационных технологий. Применение электронного бизнеса немыслимо без наличия развитых средств информационной безопасности.

Основой любой системы безопасности является контроль доступа, использующий процедуры аутентификации и авторизации для проверки подлинности пользователей и определения полномочий доступа к защищаемым ресурсам.

Для организации эффективного управления доступом к информационным ресурсам предприятия компания CompuTel предлагает решение «Центр аутентификации и авторизации» на базе следующих программных продуктов:

  • IBM Tivoli Access Manager for e-business (ITAM) – программный продукт, предназначенный для централизованного управления доступом к веб-ресурсам на основе корпоративных политик информационной безопасности и организации безопасного доступа к веб-ресурсам из сети Интернет.
  • Thales SafeSign Authentication Server (SSAS) – универсальная платформа, призванная надежно решать вопросы аутентификации, контроля целостности информации и обеспечения безотзывности операций, освобождая разработчиков прикладных систем от необходимости самостоятельной разработки механизмов строгой аутентификации и иных механизмов, использующих криптографию.

Предлагаемое решение позволяет создать современную инфраструктуру контроля доступа, обеспечивает централизованную аутентификацию и авторизацию пользователей. Возможно применение аппаратного  криптографического модуля HSM – SafeSign Crypto Module для выполнения строгой аутентификации пользователей.
Типовые применения решения: системы интернет-банкинга, системы 3D-Secure, системы биржевой торговли.

Продукты, используемые при построении решения:

Для реализации решения «Центр аутентификации и авторизации»  используются следующие продукты и их компоненты:

  • IBM Tivoli Access Manager for e-business:
    • реверсивный прокси-сервер WebSEAL;
    • база авторизации.
  • Thales SafeSign Authentication Server:
    • Authentication Server;
    • SafeSign Crypto Module.

Описание функций

Основными функциями предлагаемого решения являются:

  1. Аутентификация и авторизация пользователей при обращениях к защищаемым информационным системам по протоколам HTTP или HTTPS.
  2. Реализация различных механизмов аутентификации:
    • аутентификация по имени пользователя и пароля, включая возможность использования одноразовых паролей;
    • аутентификация с использованием инфраструктуры сертификатов PKI;
    • аутентификация с использование разнообразных токенов;
    • аутентификация с использованием протокола SPNEGO (Kerberos).
  3. Обеспечение единой точки входа в веб-пространство защищаемой IT-инфраструктуры за счет использования реверсивного прокси-сервера.
  4. Управление клиентскими сессиями при работе с информационными системами.
  5. Возможность использования аппаратного криптографического модуля для обеспечения строгой  аутентификации пользователей.

Реализация решения

Общая схема управления доступом с использованием «Центра аутентификации и авторизации» представлена ниже:

Сценарий взаимодействия клиента с защищаемым ресурсом реализуется  следующим образом:

  1. При обращении пользователя к информационному ресурсу, контролер политик (WebSEAL) перехватывает запрос для проверки аутентификационной информации.
  2. Для аутентификации пользователя происходит обращение WebSEAL к Thales SafeSign Authentication Server. Обращение осуществляется посредством компонента  External Authentication Interface (EAI), обеспечивающего взаимодействие IBM Tivoli Access Manager for e-business с Thales SafeSign Authentication Server.
  3. Сервер Thales SafeSign Authentication Server выполняет проверку подлинности аутентификационной информации и сообщает о   результатах аутентификации в контролер политик WebSEAL. Проверка, в зависимости от требований, предъявляемых Заказчиком к процедуре аутентификации, может осуществляться как программными средствами Thales SafeSign Authentication Server, так и с использованием аппаратного криптографического модуля SafeSign Crypto Module.
  4. В случае успешного прохождения процедуры аутентификации происходит авторизация пользователя, в ходе которой WebSEAL обращается к Базе авторизации для того, чтобы определить, имеет ли пользователь право выполнить запрошенное действие с информационным ресурсом. База авторизации содержит каталог защищаемых информационных ресурсов и информацию о полномочиях пользователей при доступе к этим ресурсам.
  5. В случае успешного прохождения процедуры авторизации WebSEAL предоставляет пользователю доступ к запрашиваемому ресурсу.

В дополнении к этому решению, для обеспечения безопасного доступа в систему, возможно использование аппаратных устройств многофакторной аутентификации.

Решение центра аутентификации и авторизации работает со следующими типами устройств:

  • EMV Authentication – Card Authentication Program (CAP);
  • Vasco Authentication, представленных продукцией компании VASCO AC;
  • OATH OTP Authentication, представляющих решения ряда компаний, например ActivIdentity, Aladdin;
  • PDF Verification.


к началу раздела