Avanpost FAM/MFA+ : 3.1.4. Единая точка входа для мультидоменных инфраструктур

3.1.4. Единая точка входа для мультидоменных инфраструктур

Задача

Интеграция разрозненных доменов и каталогов пользователей в единую корпоративную систему идентификации и аутентификации. Обеспечение единой точки входа для холдинговых организаций с разрозненной доменной инфраструктурой.

Решение

Построить единый каталог пользователей на основе решения корпоративной аутентификации с поддержкой мультидоменности и функций управления паролями.

Для решения задачи при помощи Avanpost FAM применяются следующие подходы:

  1. Объединение нескольких доменов Microsoft Active Directory и LDAP-каталогов в единый каталог пользователей.
  2. Идентификация и аутентификация пользователей из различных доменов в корпоративные информационные системы и приложения.
  3. Организация процесса управления паролями пользователей в части соблюдения парольных политик, смены пароля и защиты от подбора пароля.
  4. Объединение прозрачной доменной Kerberos-аутентификации пользователей из различных доменов в рамках единой системы аутентификации.

Выгоды

Интеграция доменов через корпоративную систему централизованной аутентификации Avanpost FAM позволяет достичь следующих результатов:

  1. Построить единый каталог пользователей организации вне зависимости от сложности доменной инфраструктуры и без внесения изменений в доменную инфраструктуру.
  2. Обеспечить корректную идентификацию пользователей из различных доменов при доступе к различным информационным системам. 
  3. Повысить защиту учётных записей за счёт соблюдения гибких парольных политик и безопасного сброса и замены паролей пользователей.

Примеры прикладных решений

Объединение нескольких доменов Microsoft Active Directory и LDAP-каталогов в единый каталог пользователей

Для холдинговых структур и организаций со сложной доменной инфраструктурой часто возникает проблема существования разрозненных каталогов пользователей. Построение единого LDAP-каталога из нескольких разрозненных доменов является технически сложной и ресурсоёмкой задачей. Объединение каталогов пользователей при помощи Avanpost FAM не требует перестроения существующей LDAP-инфраструктуры и позволяет учесть потребности и особенности каждого имеющегося LDAP-каталога без необходимости построения «ещё одного единого домена».

Данная возможность обеспечивается следующими функциями:

  • Одновременное подключение к системе аутентификации нескольких LDAP-каталогов.
  • Настройка правил загрузки пользователей и правил маппинга атрибутов пользователей на основе LDAP-фильтров, учитывающих специфику каждого подключаемого LDAP-каталога.
  • Настройка правил загрузки и синхронизации пользователей в группах.

Примеры готовых решений по подключению корпоративных доменов и LDAP-каталогов с целью объединения пользователей в единый каталог:

Идентификация и аутентификация пользователей из различных доменов в корпоративные информационные системы и приложения

В независимых LDAP-каталогах встречаются независимые доменные префиксы, при этом иногда пользователи в различных доменах пересекаются по логинам, что значительно усложняет построение единого каталога пользователей организации. Кроме того специфика работы одного конкретного приложения, подключенного к LDAP-каталогу, может потребовать пересмотра подходов к ведению данных пользователей в самом LDAP-каталоге. Avanpost FAM позволяет учесть специфику идентификации и определения домена пользователя для каждого корпоративного приложения без необходимости внесения изменений в LDAP-инфраструктуру.

Данная возможность обеспечивается следующими функциями:

  • Настройка доменных префиксов, используемых в процессах идентификации пользователей, для каждого подключенного к Avanpost FAM домена и LDAP-каталога.
  • Идентификация пользователей в приложениях (к примеру, VPN и VDI-систем, подключаемых по RADIUS) с учётом доменных префиксов пользователей и с учётом стратегии идентификации пользователя каждого конкретного приложения.

Организация процесса управления паролями пользователей в части соблюдения парольных политик, смены пароля и защиты от подбора пароля

Пароли пользователей остаются важным элеметном информационной безопасности корпоративных инфраструктур. При этом соблюдение парольных политик чаще всего обеспечивается возможностями LDAP-каталогов. Такой подход создаёт определённые сложности и риски:

  • Учётная запись пользователя в приложениях, использующих LDAP-аутентификацию, уязвима для атак перебора пароля с последующей блокировкой учётной записи в домене.
  • Пользователям для смены пароля требуется пользоваться изначально не предназначенными для этого инструментами – Microsoft Exchange Outlook Web Access, функцией смены пароля на рабочей станции под управлением ОС Windows и т.д. В условиях удалённой работы сотрудников и при наличии сложной доменной инфраструктуры это становится настоящей проблемой.
  • Для смены пароля используется метод подтверждения на основе знания предыдущего пароля, что делает учётные записи некоторых пользователей уязвимыми.

Использование Avanpost FAM в связке с существующей доменной инфраструктурой позволяет решить эти проблемы.

Это достигается за счёт следующих функций:

  • Смены пароля пользователя в доменах вне зависимости от их количества.
  • Защиту функции смены пароля при помощи дополнительного фактора.
  • Централизованное соблюдение парольных политик с возможностью настройки отдельных парольных политик для различных групп пользователей.
  • Защиту от блокировки учётной записи в домене в случае попыток подбора пароля.

Обсуждение