Avanpost Web SSO 2.0: новые возможности первого российского комплексного решения для аутентификации и единого входа в современное и унаследованное ПО
23 октября 2018 года, Москва. Компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — официально объявляет о выпуске Avanpost SSO 2.0 — этапного нового релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).
Изменения, включенные в данный релиз, существенно расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также впервые позволили одинаково эффективно реализовать аутентификацию как для современного ПО, так и для унаследованных систем. Новая версия одного из ключевых программных продуктов компании Аванпост представляют значительный интерес для всех категорий заказчиков: госструктур федерального и регионального масштаба, крупных муниципальных образований, госкорпораций, ведущих российских банков и финансовых организаций, интернет-компаний, а также коммерческих предприятий, корпораций и холдингов из верхней части сегмента Enterprise.
Avanpost Web SSO (первый релиз выпущен в марте 2017 года) — это системообразующее ПО, позволяющее крупной территориально распределенной организации или сети взаимодействующих предприятий (кластеру, деловой сети, расширенной цепочке поставок и др.) реализовать полный комплекс функций обычной и многофакторной аутентификации пользователей ИС, а также их безопасного входа во все необходимые приложения после однократной аутентификации. Построенная на базе Avanpost Web SSO единая система аутентификации охватывает все средства взаимодействия пользователей с современными ИС: тонких клиентов, мобильные приложения, SaaS-сервисы, настольные приложения традиционного типа и сложно организованные Web-ресурсы, страницы которых динамически обращаются к информационным системам одной или нескольких организаций. При этом Avanpost WebSSO способен эффективно поддерживать ИС с миллионами пользователей. По универсальности, набору функций, масштабируемости, простоте администрирования и разнообразию поддерживаемых видов ПО и информационных ресурсов Avanpost Web SSO не имеет аналогов на отечественном ИТ-рынке, превосходя как конкурирующие западные проприетарные продукты от ведущих мировых ИТ-компаний, так и разработки международного сообщества Open Source.
Среди нововведений Avanpost Web SSO 2.0 особо отметим поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего удобно вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. Кроме того, в новом релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.
Идентификация пользователей
Множественные идентификаторы пользователей позволяют им входить в систему не только по логину, но и по любым другим разрешенным заказчиком уникальным ключам, например, по номеру телефона, e-mail, СНИЛС и др. Под каким бы индикатором ни вошел в систему пользователь, ему будет доступен один и тот же набор приложений. Кроме того, каждому приложению Avanpost Web SSO 2.0 передаёт именно тот идентификатор и в том формате, который оно ожидает. Это позволяет подключать к единой системе аутентификации приложения, использующие разные варианты идентификации пользователей и имеющие собственные базы идентификаторов, которые надо сохранить. Такая ситуация чрезвычайно характерна для унаследованного ПО.
Система аутентификации и SSO для нового и унаследованного ПО
Для эффективной работы корпоративной системы аутентификации как с современным ПО принципиальное значение имеет поддержка в Web SSO 2.0 двух совершенно разных способов аутентификации. Начиная с первого релиза, в Avanpost Web SSO была реализована аутентификация через identity provider. Это современный способ, ставший фактическим стандартом для нового ПО и интернет/интранет-ресурсов. В такой схеме система Web SSO участвует только в самом процессе аутентификации, по завершении которого никакого взаимодействия с прикладным ПО больше не происходит. Соответственно, система аутентификации, использующая эту схему, наиболее устойчива и наименее нагружена.
Avanpost Web SSO 2.0 получила также возможность работать и по принципиально иной схеме — в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. В свое время именно этот недостаток привел к отказу от схемы reverse proxy. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное.
Сегодня у многих заказчиков (в том числе, у ряда крупных клиентов компании Аванпост) ИБ-инфраструктура использует аутентификацию через reverse proxy. Часть таких организаций уходит с этой схемы из-за трудностей масштабирования, но нуждается в решении, которое обеспечит гладкую постепенную миграцию. Тогда как другие организации желают сохранить схему reverse proxy на неопределенное время ради работы с унаследованными приложениями, а новое ПО подключать уже по схеме identity provider. Возможность совместного использования обеих схем, предоставляемая Avanpost Web SSO 2.0, позволяет тем и другим заказчикам максимально эффективно работать как с новыми, так и с унаследованными приложениями, поддерживая оптимальный жизненный цикл корпоративной системы аутентификации и SSO. Очевидно также, что использовать одну технологическую платформу, намного проще и удобнее, чем комбинировать и развивать независимые системы аутентификации.
Новая система управления данными
Ещё одно крупное изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Теперь вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP чрезвычайно затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым легко справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.
Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти чрезвычайно изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила все подобные проблемы, причем без каких-либо негативных побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.
Другие изменения
В новом релизе Avanpost Web SSO многочисленные менее масштабные нововведения, влияющие на удобство использования и функциональность продукта.
Так, теперь поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены все необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.
Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов теперь встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.
Отметим, что при подготовке Avanpost Web SSO 2.0 компания Аванпост впервые применила собственные методики дозирование изменений, включаемых в этапные и минорные обновления своих продуктов. Это новшество, введенное в связи с переходом на технологии Agile, упрощает освоение новых версий пользователями и администраторами продуктов линейки Avanpost и ускоряет переход к массовому использованию новых возможностей. При этом изменения, включенные в Avanpost Web SSO 2.0, выбраны на основе опыта реальных и крупных пилотных проектов. Все они относятся к числу наиболее востребованных и ожидаемых заказчиками или создают задел на будущее.
