RooX UIDM — комплексное решение для управления доступом
RooX UIDM — российское комплексное решение для управления аутентификацией и авторизацией, которое объединяет аутентификацию и управление доступом в единой системе. Система разработана для управления доступом сотрудников, клиентов и партнеров в веб-сервисы, мобильные и десктопные приложения и операционные системы.
Содержание |
RooX UIDM учитывает современную архитектуру ИТ-систем, предоставляет широкие возможности интеграции и кастомизации.
С помощью RooX UIDM можно реализовать
- единую платформу аутентификации и авторизации для корпоративных ресурсов;
- надежную аутентификацию в высоконагруженные веб-сервисы (1млн+ активных пользователей);
- собственный IDP;
- технологию SSO (Single Sign On);
- систему доступа с асинхронными проверками по ЕГРЮЛ, ЕГРИП и черным спискам;
- адаптивные сценарии аутентификации и авторизации;
- сценарии многофакторной аутентификации;
- центр управления ролями и полномочиями в десятках информационных систем;
- и другие решения.
 | Для многих компаний RooX UIDM заменит два решения: систему управления пользователями и учетными записями и систему управления аутентификацией.
Алексей Хмельницкий, генеральный директор RooX.
|  |
RooX UIDM подходит для импортозамещения: входит в реестр Минцифры (запись №10504 от 06.05.2021), учитывает российскую специфику, отвечает требованиям безопасности ГОСТ и ЦБ.
Функциональные возможности RooX UIDM
Возможности RooX UIDM позволяют создать полный комплект сценариев для следующих этапов управления доступом пользователя:
- идентификация,
- регистрация (самостоятельная или силами администратора),
- аутентификация,
- авторизация,
- самообслуживание.
Пользователи
RooX UIDM подходит для организации доступа различных типов пользователей: от сотрудников до корпоративных клиентов, а также поддерживает различные системные учетные записи.
Аутентификация
В RooX UIDM поддержано более 30 методов аутентификации «из коробки». Однако главная ценность не в количестве методов, а в том, что их можно объединять в гибкие сценарии-цепочки, в зависимости от контекста входа (можно учесть параметры пользователей, сессий, устройств, систем, сетей и много другого).
Авторизация
С помощью RooX UIDM можно настроить политики авторизации любой сложности с интеграцией по данным с другими системами (модели доступа RBAC, ABAC).
В RooX UIDM есть API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков.
Администрирование и эксплуатация
В RooX UIDM есть инструмент для организации рабочих мест:
- администратора пользователей и учетных записей,
- сотрудника поддержки (колл-центра).
Информационная безопасность
RooX UIDM поддерживает ролевую (RBAC) и атрибутную (ABAC) модели доступа. Политики доступа к ресурсам могут опираться на любые атрибуты пользователя, сессии, контекста и так далее. Ресурсом может быть как информационная система в целом, так и гранулярно вплоть до отдельного вызова конкретного API.
Правила предоставления и отзыва доступа могут быть автоматизированы: RooX UIDM инициирует выполнение бизнес-процессов, запускающихся по событиям безопасности (регистрация, вход, выход, блокировка) в интеграции с BPMN Camunda или другой по запросу.
Детальный аудит событий хранится в СУБД. В состав событий входит субъект доступа, объект доступа, контекстная информация: сетевые адреса, геолокация, свойства браузера или мобильного приложения и другая информация. Также в RooX UIDM можно настроить отправку событий в системы антифрода.
В RooX UIDM есть полный набор API для активного реагирования на инциденты безопасности: блокировка учетных записей, разрыва сессий, блокировка приложений.
Важные обновления последнего года
Функция проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа. Функция работает на основе асимметричной криптографии, что позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.
Объединенная аутентификация пользователей из нескольких служб каталогов
Функция облегчит аутентификацию в различные сервисы, когда в компании развернут так называемый «мультилес», а также обеспечит единую аутентификацию в приложения, которые не поддерживают подключение к нескольким службам каталогов.
Идентификация устройств для усиленной аутентификации
Функция позволит определить, с каких гаджетов осуществлен вход в систему, а также контролировать права доступа с этих устройств. В рамках функции можно настроить уведомления пользователя о входе в сервис, а также дать возможность администрировать возможность беспарольного входа с того или иного устройства. Разметка устройств защищена от подделки с помощью асимметричной криптографии.
Проверка паролей по базам словарных и утекших паролей
Функция поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях. Проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей. Кроме этого можно запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.
Примеры проектов, реализованных с применением RooX UIDM
- Система аутентификации и авторизации для телеком-оператора. Особенностью проекта был его масштаб — база пользователей составляла более 25 млн человек.
- Система управления доступом для банка. Внедрение охватило несколько бизнес-направлений банка из топ-10: работа с физлицами, с компаниями МСБ-сегмента, с крупными корпоративными клиентами.
- Системы управления доступом для B2B маркетплейса. Проект характерен поддержкой адаптивных сценариев аутентификации для обеспечения многошагового взаимодействия между участниками бизнес-процессов.
- Системы управления доступом для госкомпании. Главной целью проекта было централизованного управления ролями и полномочиями в десятках информационных систем. В рамках проекта был реализован единый механизм для настройки прав, что упростило администрирование, снизило риски и издержки.
Архитектура RooX UIDM
RooX UIDM обладает следующими свойствами:
- микросервисная архитектура,
- полный охват функций API-методами для интеграции и кастомизации (разработка по принципу API-first),
- историчная СУБД,
- мультиорганизационная модель данных,
- производительная асинхронная система записи аудита,
- возможность горизонтального и вертикального масштабирования, в том числе автоматическое при использовании оркестратора Kubernetes или аналогичного.
Интеграции
RooX UIDM обладает множеством возможностей для интеграции с другими системами.
Точки кастомизации
В RooX UIDM есть возможность расширения функциональности (кастомизации) следующими способами:
- элементы пользовательского и административного интерфейсов (веб-компоненты);
- сценарии аутентификации и самообслуживания;
- модули обработки событий жизненного цикла учетных записей и сессий, в том числе включающих интеграции с внешними системами;
- политики авторизации.
| | RooX UIDM — это ключ к аутентификации и авторизации для крупных и средних компаний. В нашей системе есть много возможностей «из коробки», но также она может быть адаптирована под любые уникальные требования и интегрирована в сложные бизнес-процессы. Алексей Хмельницкий, генеральный директор RooX.
| |
Варианты поставки
Поддерживаются следующие варианты поставки RooX UIDM:
- дистрибутивы модулей и конфигурационные пакеты (RPM-пакеты, DEB-пакеты, docker-образы, helm),
- библиотеки ядра и документация с описанием точек кастомизации,
- в виде облачного сервиса,
- исходный код ядра и кастомных модулей.
