Вышел новый релиз Avanpost Web SSO 2.0

Компания Аванпост — ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия (IDM) — официально объявляет о выпуске Avanpost Web SSO 2.0 — этапного нового релиза программного продукта для создания корпоративных систем с функцией единого входа (Single Sign-On, или SSO).

 

Изменения, включенные в данный релиз, существенно расширили возможности систем аутентификации, создаваемых на базе Avanpost Web SSO, упростили внедрение и сопровождение продукта, а также впервые позволили одинаково эффективно реализовать аутентификацию как для современного ПО, так и для унаследованных систем.  
 

Среди нововведений Avanpost Web SSO 2.0 особо отметим поддержку множественных идентификаторов пользователей, эффективную работу с унаследованным ПО, появление полнофункционального административного интерфейса, позволяющего удобно вести внутренний каталог пользователей, включая управление группами и назначение группам и отдельным пользователям доступа к приложениям. Кроме того, в новом релизе Avanpost Web SSO полностью изменена технология управления данными, что упростило внедрение и конфигурирование продукта, а также обеспечило возможность изменения модели данных и внесение соответствующих обновлений в системы аутентификации без участия пользователей.

 

Avanpost Web SSO 2.0 получила также возможность работать и по принципиально иной схеме — в качестве специального аутентифицирующего прокси-сервера (reverse proxy). Сервис аутентификации и SSO, помещаемый перед информационной системой, перехватывает все запросы к приложениям и добавляет к ним тот или иной авторизационный атрибут (например, один из идентификаторов пользователя), что позволяет приложению знать, от какого пользователя пришёл запрос. Системы SSO, работающие по этой схеме, участвуют в обработке всех запросов каждого приложения и поэтому могут масштабироваться только вместе с ними. Ведь от пропускной способности reverse proxy зависит скорость передачи данных в приложения. Получается нагруженная трудно масштабируемая система аутентификации. В свое время именно этот недостаток привел к отказу от схемы reverse proxy. Однако, у этой схемы есть и сильная сторона, связанная с возможностью подключить к корпоративной системе аутентификации и SSO унаследованные приложения, которые никогда не будут поддерживать ни SAML, ни OpenID или что-то подобное.

 

Ещё одно крупное изменение связано с полной переработкой системы управления данными в Avanpost Web SSO 2.0. Теперь вместо двух программных продуктов (OpenLDAP и Redis) используется СУБД Tarantool. Хранение информации о пользователях в OpenLDAP чрезвычайно затрудняло обновление схемы данных. Добавление полей и расширение схемы, с которым легко справляется любая реляционная СУБД, в случае OpenLDAP является сложной задачей, требующей от администратора высокой квалификации и больших трудозатрат. В то же время, необходимость в изменениях схемы данных возникает достаточно часто (например, этого требовала реализация множественных идентификаторов пользователей и административного интерфейса Avanpost Web SSO 2.0). Переход на СУБД Tarantool обеспечил расширяемость схемы данных и её обновление без участия пользователей.

 

Высокодоступное сетевое журналируемое хранилище данных типа «ключ — значение» Redis позволило Avanpost Web SSO 1.х держать в памяти чрезвычайно изменчивую информацию о множестве сессий на множестве нод и своевременно корректировать эти связи (например, при перемещении сервисов или переключении пользователей между нодами). И хотя эта функция работала безупречно, ряд особенностей Redis приводил к неоправданному усложнению ИТ-решения и росту затрат на внедрение и администрирование. Так, в кластерном режиме Redis требует не менее трёх нод, тогда как большинству заказчиков Avanpost Web SSO достаточно двух. Замена Redis на Tarantool устранила все подобные проблемы, причем без каких-либо негативных побочных эффектов. Испытания показали, что СУБД Tarantool высокодоступна, быстро реплицируется, хранит информацию как в оперативной, так и во внешней памяти, эффективна в высоконагруженном режиме и в отказоустойчивых конфигурациях. Кроме того, конфигурирование и администрирование одной системы управления данными вместо двух значительно снизило сложность настройки и администрирования высокодоступных кластеров.

 

В новом релизе Avanpost Web SSO  многочисленные менее масштабные нововведения, влияющие на удобство использования и функциональность продукта. Так, теперь поддерживается большее число факторов аутентификации, причём их можно использовать в любых сочетаниях. В полном объеме реализована доменная аутентификация Kerberos. А в многофакторной аутентификации можно задействовать SMS, для этого в состав продукта встроены все необходимые инструменты интеграции с внешними шлюзами SMS любых провайдеров.

 

Изменилась и система подготовки отчётов. В частности, на основе опыта практического применения Avanpost Web SSO был разработан выверенный набор отчетов, позволяющих увидеть, кто и когда работал с той или иной системой и сколько в неё было входов за определенное время, собрать различную статистику по системам, пользователям и группам, получить срезы по учетным записям и другим элементам модели данных. Этот фиксированный набор отчётов теперь встроен в Avanpost Web SSO 2.0 и не требует ни администрирования, ни интеграции с другими приложениями, ни сложной настройки. При этом сохраняется и возможность создавать во внешнем ПО отчёты любой сложности.

 

 

Оригинал новости: https://www.avanpost.ru/news/666/