1.2. SSO/SLO при работе переходе между приложениями

Задача

Уменьшение числа паролей и исключение необходимости прохождения повторной аутентификации при переходе между различными приложениями и корпоративными информационными системами.

Решение

Уменьшение числа учётных записей и паролей, за которыми приходится следить сотруднику в своей повседневной работе, позволяет значительно снизить вероятность компрометации учётных записей. 

Для решения задачи при помощи Avanpost FAM применяются следующие подходы:

1. Подключение веб-приложений с целью SSO к системе аутентификации Avanpost FAM в режиме IdP (OpenID Connect, SAML), а также интеграция унаследованных веб-приложений посредством технологии Reverse Proxy.
2. Подключение десктопных приложений с целью SSO к системе Avanpost FAM в режиме Enterprise SSO через Avanpost FAM Agent.

Выгоды 

Однократный вход через корпоративную систему централизованной аутентификации Avanpost FAM позволяет достичь следующих результатов:

1. Отказаться от использования LDAP-аутентификации в различных приложениях, обладающей рядом серьёзных проблем и недостатков. Классическая LDAP-аутентификация, подключаемая к различными корпоративным системам, позволяет уменьшить число аккаунтов, но при этом сохраняет риск компрометации основного пароля сотрудника, хранимого в LDAP-каталоге.
2. Сократить потребность в выдаче сотрудникам и использовании различных паролей для систем с собственными хранилищами учётных записей.
3. Значительно упростить процесс аутентификации для сотрудников вне зависимости от варианта исполнения приложения – десктопное или мобильное приложение, веб-приложение или сайт.
4. Получить возможность использовать другие решения, например, 2FA/MFA для корпоративных ресурсов, обеспечить двухфакторную аутентификацию для серверов и компьютеров под управлением Windows и Linux.

Примеры прикладных решений

Подключение веб-приложений с целью SSO

Примеры готовых решений:

• Настройка MFA/SSO для 1С:Предприятие 8.3.14 и выше (OpenID Connect) через OpenID Connect;
• Настройка MFA/SSO для CRM Creatio (Terrasoft bpm'online) через SAML.

Подключение десктопных приложений с целью SSO

Примеры готовых решений по интеграции десктопных приложений:

• Настройка MFA/SSO для 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO);
• Настройка MFA/SSO для SAP Logon;
• Настройка MFA/SSO в TrueConf.