ВХОД ДЛЯ КЛИЕНТОВ

Система двухфакторной аутентификации и управления токенами

CargoSoft TMS — кроссплатформенное IDM- и SSO-решение с поддержкой жизненного цикла устройств для двухфакторной аутентификации (токенов).

Продукт создан на основе opensource-проекта KeyCloak разработки компании RedHat, Inc.

Аутентификация и единый вход (Single Sign-On)

CargoSoft TMS является сервером аутентификации и единого входа. Продукт предназначен в первую очередь для аутентификации в веб-приложениях, но не ограничивается ими (см. раздел Интеграция). Помимо стандартной аутентификации по логину и паролю, поддерживается ряд механизмов двухфакторной аутентификации.

Поддерживаемые протоколы:

  • OpenID Connect (на базе OAuth 2.0);
  • SAML

Двухфакторная аутентификация:

  • Google Authenticator;
  • аппаратные токены: eToken PASS, JaCarta WebPass (а также любые с поддержкой OATH HOTP);
  • FIDO U2F (в разработке);
  • смарт-карты, в т.ч. с поддержкой криптографии ГОСТ (в разработке)

Управление учётными записями (Identity Management)

CargoSoft TMS предоставляет гибкие возможности для управления пользователями, группами и ролями:

  • Эргономичная web-консоль для администрирования;
  • поддержка хранилищ: РСУБД или NoSQL (MongoDB);
  • интеграция с внешними LDAP-каталогами (включая Active Directory);
  • REST-интерфейс

Управление токенами

CargoSoft TMS обеспечивает полный жизненный цикл устройств аппаратной аутентификации:

  • импорт инвентаризационного XML-файла (поддерживаются форматы для устройств Aladdin eToken PASS и JaCarta WebPass);
  • присвоение, отзыв, временная блокировка, синхронизация;
  • задание/снятие PIN-кода;
  • просмотр и редактирование криптографической информации (seed, алгоритм, длина генерируемого пароля и т.д.)

Управление токенами может осуществляться как интерактивно (через веб-консоль), так и программно (через REST-интерфейс).

Аудит

CargoSoft TMS записывает в журнал аудита события следующих типов:

  • события жизненного цикла пользователя (регистрация, блокировка/разблокировка, удаление и т.д.);
  • события жизненного цикла устройства (регистрация, присвоение/отзыв, блокировка/разблокировка, удаление и т.д.);
  • события аутентификации (успешный вход, ошибка входа, выход и т.д.)

Просмотр журнала событий доступен через веб-консоль и REST-интерфейс. Возможна также отправка событий в системную службу (syslog для Linux/UNIX, eventlog для Windows).

Интеграция

Интеграция с CargoSoft TMS максимально упрощается благодаря открытым стандартам и большому количеству имеющихся библиотек. В большинстве случаев это лишь вопрос конфигурации, а не написания дополнительного кода.

Web-технологии и решения:

  • Java EE: адаптер KeyCloak для популярных серверов приложений (WildFly/JBoss, Jetty, Tomcat/TomEE); generic-адаптер для всех остальных серверов;
  • Spring: адаптеры для Spring Boot и Spring Security;
  • .NET: IdentityServer
  • HTML5/JavaScript: keycloak.js
  • Apache: mod_auth_openidc
  • (полный список библиотек)

Non-web-технологии:

  • Linux PAM: аутентификация на рабочих станциях Linux;
  • OpenVPN (через Linux PAM);
  • 1C в режиме "веб-клиент" или "тонкий клиент" (в разработке)

Масштабирование

CargoSoft TMS поддерживает функционирование в режиме кластера. В режиме кластера рекомендуется использование частной сети с поддержкой IP multicast.

Системные требования

CargoSoft TMS является кроссплатформенной разработкой, не создающей рисков vendor lock-in.

Продукт включает в себя мини-СУБД H2, которую можно использовать в демонстрационных целях. Для развёртываний production-класса рекомендуется использовать внешнюю СУБД.

  • ОС: любая ОС с поддержкой Java (Windows, Linux, Mac OS X и т.д.; рекомендуется использование серверных вариантов ОС);
  • RAM: 512MB
  • Диск: 1ГБ
  • СУБД: любая СУБД с JDBC-интерфейсом (PostgreSQL, MySQL/MariaDB, Oracle, DB2, MS SQL Server и т.д.)