РешенияПродуктыКонсалтингПоддержкаКонтакты
Перейти на предыдущую страницу  Перейти на главную страницу  Версия для печати  

TFS ApplicationControl

В перечне индустриальных способов решения задачи однократной аутентификации и авторизации доступа пользователей к приложениям, TFS ApplicationControl, безусловно, в самом верху списка.

Это решение основано на использовании цифровых сертификатов и позволяет исчерпывающим образом примененить все возможности, предоставляемые технологией PKI.

Внедрение TFS ApplicationControl исключит необходимость многократной аутентификации, столь типичной для корпоративных информационных систем - пользователю нужно будет аутентифицироваться только один раз при включении компьютера, после чего TFS ApplicationControl предоставит доступ ко всем разрешенным политикой безопасности приложениям, избавляя от необходимости запоминать, или, того хуже, записывать большое количество паролей.

Администраторам приложений больше не нужно будет тратить время на восстановление забытых пользователями паролей.

Администраторы безопасности получат мощное средство централизованного контроля и управления правами пользователей и исчерпывающую информацию о их действиях в сети.

Компоненты TFS ApplicationControl

  • TFS BoKS Manager Server - центральный сервер безопасности, осуществляющий администрирование пользователей, их аутентификацию, авторизацию доступа к приложениям, ведение и аудит лог-файлов.
  • TFS DeskTop – клиентское программное обеспечение, устанавливаемое на рабочую станцию пользователя. С его помощью осуществляется доступ к серверу безопасности и бизнес-приложениям, контролируемым и защищаемым TFS ApplicationControl. Доступ к таким приложениям возможен только со станций с установленным клиентом TFS DeskTop, что практически полностью снимает риск неавторизованного получения информации с других компьютеров. Для аутентификации и авторизации пользователей TFS Desktop дает возможность использовать цифровые сертификаты и ключи, которые могут храниться на смарт-картах, в виде виртуальных карт (электронный эквивалент смарт-карты), или их комбинации.
  • TFS- Агенты – программные модули, устанавливаемые на серверы приложений для предотвращения неавторизованного доступа. В зависимости от типа приложения, Агенты устанавливаются либо как прокси перед самим приложением, либо, если приложение это допускает, как разделяемые библиотеки (DLL файлы). Для некоторых приложений Агент устанавливается на рабочую станцию пользователя вместе с TFS Desktop.

    Особенности TFS ApplicationControl

  • Легкость установки – Как правило, установка TFS Агентов не требует внесения изменений в приложения.
  • SSO (Однократная аутентификация и авторизация) – обеспечивается однократная регистрация пользователя, его аутентификация после которых пользователю предоставляется доступ у разрешенным приложениям без ввода дополнительных паролей.
  • Ролевые функции – в зависимости от настроек, пользователь может получать доступ к приложениям либо как администратор, либо как оператор или рядовой пользователь.
  • Управление доступом – Вы решаете- кому когда и к каким приложениям допускать пользователей.
  • Надежная двух-факторная аутентификация - удостоверяет личность пользователя.
  • Поточное шифрование – обеспечивает шифрование канала между пользователем и сервером приложений.
  • Централизованное администрирование – позволяет управлять правами пользователей из одной точки сети. Избавляет администраторов от необходимости настраивать права пользователей на каждом сервере приложений – вместо этого, администратор отзывает, приостанавливает или настраивает права доступа только на сервере безопасности.
  • Централизованное ведение журнала событий – все попытки получить доступ к приложениям регистрируются сервером безопасности в защищенном журнале.

    Агенты для удаленного администрирования

    Безусловно важно обеспечить возможность безопасного удаленного администрирования таких компонент информационной системы как серверы приложений, файловые серверы, межсетевые экраны , маршрутизаторы и т.д. - для этого компания TFS разработала Агенты для наиболее распространенных протоколов:

  • TFS Агент для Telnet
  • TFS Агент для FTP
  • TFS Агент для web-серверов
  • TFS Агент для поточного шифрования – позволяет осуществлять удаленный доступ к средствам администрирования череш шифрованный туннель.

    Применение Агентов в конфигурации, исключающей доступ к серверам приложений иначе чем через них, обеспечивает абсолютную безопасность при удаленном администрировании.

    Архитектура системы

    TFS BoKS Manager выполняет функции сервера безопасности для всей группы решений компании TFS Technology – TFS ApplicationControl, TFS DocumentControl, TFS UnixControl и TFS WorkStationControl. Ниже описаны основные функции выполняемые TFS BoKS Managerом.

    TFS BoKS Manager

    TFS BoKS Manager – основной компонент системы ApplicationControl. Он ведет базу данных настроек безопасности и журнальные файлы. В системе ApplicationControl, BoKS Manager выполняет три основные задачи:

    1. Генерация ключей RSA и создание пользовательских сертификатов и хранение их в виде виртуальных карт (если не используются смарт-карты).
    2. Предоставляет клиентской компоненте - TFS Desktop набор сервисов: загрузка виртуальных карт (обеспечивает функцию роуминга) , выполняет аутентификацию пользователя, загружает сертификаты доверенных серверов сертификатов
    3. Обеспечивает TFS Desktop информацией о правах доступа пользователя к приложениям и ведет журнальные файлы.

    Установленный сервер TFS BoKS формирует домен и состоит из Мастер-сервера и Реплики.

    И Desktop и Агенты могут взаимодействовать с обоими серверами что обеспечивает равномерность нагрузки и повышает надежность и произвочительность системы .

    В дополнение к сервисам непосредственно касающимся функционирования ApplicationControl, TFS BoKS Manager играет центральную роль в системах UnixControl и DocumentControl, предоставляя сервисы по аутенификации пользователей и выпуская ключи для группового и индивидуального шифрования файлов пользователям TFS Desktop.

    Взаимодействие между компонентами осуществляется по защищенному SSL – соединению.

    TFS BoKS Manager поддерживает все основные реализации UNIX, что позволяет создавать гетерогенные системы на различных платформах.

    Последовательность операций при регистрации пользователей

    1. Первоначальный вход в DeskTop: Пользователь проводит первоначальную регистрацию в DeskTop, который соединяется с BoKS – Менеджером и проверяет права пользователя. При регистрации пользователь использует один из трех методов аутентификации:

  • смарт-карту,
  • логин/ пароль,
  • средства усиленной аутентификации – токен RSA SecurID, биометрические средства , или их сочетание.
    При использовании смарт-карты, пользователь, как правило, вводит PIN-код для получения доступа к сертификатам и ключам подписи и шифрования, хранящимся в защищенной области смарт-карты. В двух последних случаях, после успешной аутентификации пользователь (с помощью DeskTop) получает доступ к своим сертификатам и ключам подписи и шифрования, хранящимся на сервере безопасности в виде виртуальной карты.

    2. Пользователь запускает приложение: как только пользователь пытается запустить приложение, DeskTop, установленный на ПК пользователя, перехватывает запрос и открывает SSL-соединение с Агентом, установленным на сервере приложений для аутентификации сессии.

    3. Авторизация доступа Менеджером TFS BoKS: Аутентифицировав и защитив таким образом эту сессию, DeskTop, на основании информации, содержащейся в сертификате пользователя и полученной на этапе 1, проверяет записи на сервере безопасности в которых определены права пользователя на доступ к данному приложению. В случае положительного результата, открывает ему доступ и делает запись об этом в журнал. Таким образом пользователю нет необходимости знать свои параметры доступа к приложениям.

    Последовательность действий 2 и 3 повторяется и для последующих приложений – пока доступ к смарт-карте или виртуальной карте пользователя открыт, пользователь автоматически получает доступ к разрешенным приложениям.

    Описание (в формате .pdf)
  • Перейти в начало страницы