Поделиться
«Индид» представила Indeed Access Manager 9.4
Компания «Индид» представила Indeed Access Manager 9.4 — новую версию программного обеспечения для управления доступом пользователей и многофакторной аутентификации. В этом релизе ключевыми изменениями стали добавление поддержки новых каталогов пользователей, обновление возможностей модулей интеграции и функционала мастера конфигурации.
В Access Manager 9.4 поддержаны службы каталогов: ALD Pro; Samba DC; «Ред Адм»; FreeIPA версии 4.10 и ниже.
Access Manager поддерживает весь функционал данных каталогов. Для администраторов это управление пользователями и группами и полный контроль над учетными записями: создание, редактирование, блокировка и смена паролей. Для пользователей — безопасный вход с помощью защищенной аутентификации.
Настройка каталогов ALD Pro, Samba DC и «Ред Адм» легко выполняется через мастер конфигурации Access Manager.
Для версии 9.4 протестирована работа FreeIPA с модулем FreeRADIUS Extention. Теперь пользователи могут использовать двухфакторную аутентификацию в RADIUS-совместимых сервисах и приложениях для учетных записей каталога FreeIPA.
Для модуля LDAP Proxy добавлен новый провайдер Indeed AM Expess Provider. Он позволяет пользователям аутентифицироваться в корпоративных приложениях по протоколу LDAP с помощью push-уведомлений в мессенджере eXpress.
Работа провайдера реализована через бот, который отправляет запрос в мессенджер на подтверждение входа для прохождения двухфакторной аутентификации.
В версию 9.4 добавлен сервис Windows Authentication Reverse Proxy (WARP). Он предназначен для тех случае, когда необходима Windows-аутентификация в Linux-среде. WARP позволяет получать доступ к API Access Manager без явного ввода учетных данных.
Большое обновление в мастере конфигураций — теперь с помощью него можно установить компоненты Access Manager сразу на несколько физических или виртуальных серверов (хостов). Для каждого хоста мастер формирует отдельный набор конфигурации.
Обновление позволяет устанавливать и обновлять Access Manager сразу в продуктовой конфигурации, значительно сокращает время установки, минимизирует необходимость вручную изменять и добавлять настройки.
Для оптимизации настройки дополнительно добавлена возможность указать общий для всех серверов сертификат или, при необходимости, настроить соответствие отдельных сертификатов для каждого сервера.
В мастере также можно указать адрес балансировщика нагрузки, что вместе с покомпонентной установкой на разные хосты повышает производительность и отказоустойчивость.
В мастере стала доступна установка Indeed Key Server. Это значительно упрощает процесс и сокращает количество возможных ошибок при установке. Настройка Key Server производится на отдельной странице мастера.
Indeed Key Server позволяет пользователям аутентифицироваться с помощью push-уведомлений и одноразовых паролей. С новым обновлением эта возможность стала еще доступнее.
В мастер добавлена возможность создания резервной копии Access Manager при автоматической установке или изменении конфигурации. Конфигурация AM полностью сохраняется в отдельной папке по указанному при сохранении пути.
Это полезная функция для администраторов — при необходимости можно быстро вернуться к предыдущей версии конфигурации Access Manager.
Первичного администратора теперь можно назначить проще — достаточно указать логин и пароль учетной записи подходящего пользователя. Мастер сам определит и подставит GUID на основе введенных данных.
Возможность реализована для всех поддерживаемых каталогов пользователей.
Docker-образы компонентов Access Manager стали сохраняться в отдельные tar-архивы. Таким образом, на конечном хосте будут расположены только архивы тех компонентов, которые на нем устанавливаются.
Это оптимизирует время установки и уменьшает размер сохраненных данных.
В разделе мастера «Каталоги пользователей» добавлена проверка данных для подключения и LDAPS-соединения. Это ускоряет процесс установки и настройки Access Manager и минимизирует вероятность возможных ошибок при подключении к каталогам, так как мастер сразу покажет результаты проверки.
В мастер добавлена проверка подключения к хосту по SSH перед началом автоматической установки. Таким образом, администратор сразу сможет понять, доступен ли хост, на который планируется установка Access Manager.
Результат подключения отображается вместе с возможностью изменения конкретного хоста, что ускоряет процесс установки и локализации ошибок.
В сценарий установки AM добавлена возможность загрузки конфигурационных данных из версий AM 8 и AM 9. Эта функция упрощает миграцию с AM 8 и работу с настройками в том случае, если у пользователя нет резервной копии мастера конфигурации. После загрузки конфигурационных файлов мастер автоматически заполняет данные каталогов пользователей и баз данных.
Данные можно будет изменить как в сценарии установки, так и в сценарии изменения конфигурации.
С помощью мастера теперь можно сгенерировать клиентские сертификаты — они нужны для более безопасного взаимодействия модулей интеграции с Core Server. Ранее такие сертификаты создавались с помощью скрипта для каждого модуля отдельно.
Это обновление значительно сокращает время установки: сертификаты генерируются в интерфейсе мастера конфигурации, а их значения автоматически прописываются в конфигурационном файле Core Server.
В модуле Identity Provider добавлена возможность настройки бизнес-приложений на уровне политик. Теперь администратор может задавать собственные политики доступа для каждого приложения в Management Console.
Добавлена поддержка сценария смены доменного пароля при входе на случаи, если пароль истек или администратор установил требование на смену пароля при следующем входе. Это делает сценарий аутентификации доступным для пользователей, у которых нет прямого доступа к доменной рабочей станции.
В модуле Linux Logon добавлена поддержка многофакторной аутентификации (MFA) с помощью RFID-карт и считывателя IronLogic Z-2 USB.
Для использования в цепочке многофакторной аутентификации с Z-2 USB доступны доменный пароль, Passcode, Secured TOTP и Software TOTP. Аутентификация через Z-2 USB доступна при локальном входе в систему, разблокировке сессии и смене пользователя.
В Linux Logon протестирована поддержка работы с Core Server через балансировщик. Это позволяет распределять нагрузку при аутентификации пользователей на рабочих станциях с Linux и обеспечивает отказоустойчивость системы.
В модуле Windows Logon поддержано кеширование данных пользователя. Вход по кешированному аутентификатору позволяет войти в систему даже при отсутствии физического подключения к сети.
Кеширование настраивается в Management Console. Там же можно задать срок действия аутентификаторов и срок хранения сессии в кеше.
В Windows Logon реализована и аутентификация с помощью RFID-карт и считывателя IronLogic Z-2 USB.
Модуль FreeRADIUS теперь поддерживает протокол аутентификации MS-CHAPv2. Это расширяет сценарии применения решения и упрощает интеграцию с системами, в которых используется данный протокол.
В модуле LDAP Proxy добавлена поддержка современного протокола TLSv1.3 и автоматическое определение версии TLS. Модуль стал более адаптивным к разным требованиям инфраструктуры и теперь способен обеспечить высокий уровень безопасности и совместимости защищенных соединений.
В версии AM 9.4 добавлен NPS RADIUS Extension — это модуль расширения Microsoft Network Policy Server (NPS), который позволяет реализовать защищенную аутентификацию для RADIUS-совместимых сервисов и приложений. Ранее модуль был доступен только в AM 8.
В модуле доступны следующие аутентификаторы: Indeed Key, Telegram Provider, Email OTP, SMS OTP, Storage SMS OTP, Secured TOTP, Software OTP, Passcode, Hardware TOTP, Hardware OTP и MFA.
Поддержана возможность управлять доступом зарегистрированных мобильных устройств с помощью модуля Mobile Device Provisioning (MDP). Данную версию модуля можно использовать в AM 8 без перехода на AM 9.
MDP позволяет вывести из карантина или заблокировать доступ для мобильного устройства, на котором был настроен почтовый аккаунт через Exchange ActiveSync.
Дополнительно исправлена ошибка некорректного отображения устройств с пустыми полями — теперь такие устройства можно вывести из карантина.
И наконец, в AM 9.4 реализована возможность записи событий Indeed Key Server (IKS) в базу данных событий Core Server. Больше не нужно создавать отдельную базу данных для IKS — все события сервера записываются в общую базу данных. Однако сохранена и возможность записи событий в отдельную базу данных.
Поделиться
Короткая ссылка
