RooX UIDM Система управления аутентификацией и авторизацией

2026

RooX UIDM CIAM для аутентификации клиентов и развития клиентского ID

RooX 5 февраля 2026 года представила RooX UIDM CIAM — специализированный российский продукт для аутентификации клиентов и развития клиентского ID.

RooX UIDM CIAM ориентирован на веб-сервисы, которым требуется удобные сценарии регистрации и входа клиентов, а также поддержка многофакторной аутентификации. Продукт от российского разработчика позволит любому бизнесу собрать собственный клиентский ID, встроенный в продуктовый сервис и соответствующий корпоративному дизайну.

RooX UIDM CIAM включает сценарии регистрации, аутентификации и самообслуживания пользователей. В части аутентификации RooX UIDM CIAM поддерживает многофакторные сценарии доступа, включая комбинации логина и пароля, WebAuthn, одноразовые коды (OTP) на email или по SMS, TOTP, PIN-коды и использование долгоживущих токенов. Решение также обеспечивает Single Sign-On (SSO) для клиентских веб- и мобильных приложений.

RooX UIDM CIAM спроектирован по принципу API first и предоставляет развитый набор REST API, SDK и SPI для глубокой интеграции с прикладными системами заказчика. Это позволяет легко встраивать CIAM-функциональность в клиентские веб- и мобильные приложения, а также расширять стандартные сценарии под требования конкретного цифрового продукта.

В части пользовательского интерфейса RooX UIDM CIAM предлагает три уровня гибкости: использование готового UI-шаблона для быстрого запуска, его брендирование и настройку под дизайн сервиса либо полную реализацию собственного интерфейса аутентификации через API — без ограничений по UX/UI.

Также продукт включает базовый набор функций прикладной безопасности: управление и отзыв пользовательских сессий, учёт и контроль доверенных устройств, а также централизованный аудит аутентификационных событий. Это позволяет ИБ-службам отслеживать аномальную активность и оперативно реагировать на инциденты.Эффективность вместо расходов: на чем реально будет держаться ИБ в 2026 году 19.8 т

Архитектура RooX UIDM CIAM рассчитана на высокую нагрузку и масштабирование, что делает продукт применимым для массовых клиентских сервисов, личных кабинетов и цифровых платформ с большим числом одновременных пользователей.

Продукт разворачивается on-premise или в приватном облаке заказчика. Это полностью российская разработка, входит в реестр Минцифры, соответствует требованиям импортозамещения и поддерживает отечественный стек.

Стоимость лицензий зависит от количества активных пользователей.

RooX UIDM CIAM является логическим развитием линейки продуктов на базе платформы RooX UIDM. Если ранее в продуктах RooX UIDM Base и RooX UIDM Pro фокус был сделан на сотрудниках, то новый продукт расширяет линейку в сторону клиентов и других внешних пользователей, формируя целостную IAM-стратегию для бизнеса.

Совместимость с «Рутокен ЭЦП» 3.0

Компании RooX и «Актив» подтвердили совместимость комплексной платформы управления доступом RooX UIDM с USB-токенами и смарт-картами Рутокен ЭЦП 3.0. Об этом RooX сообщила 29 января 2026 года.

Совместимость системы управления доступом RooX UIDM с аутентификаторами Рутокен позволяет компаниям гибко настраивать уровень безопасности под разные категории пользователей и сценарии доступа. Устройства Рутокен помогают построить защищенное TLS-соединение с взаимной аутентификацией между браузером пользователя и сервером системы управления многофакторной аутентификации.

Токены и смарт-карты Рутокен обеспечивают строгую аутентификацию для доступа к критически важным системам и инфраструктуре. Это инструмент, который отлично решает задачу усиленной безопасности там, где она действительно необходима. В то же время строгая аутентификация может оказаться избыточной для повседневных задач. В таких случаях RooX UIDM позволяет включать адаптивную аутентификацию: система сама определяет, когда нужно применять устройства Рутокен, а когда достаточно базовых факторов. Правила можно настраивать по рисковым сигналам — типу устройства, сегменту сети, чувствительности запрашиваемого ресурса и другим, — сказал Константин Корсаков, директор по безопасной разработке RooX.

Применение аутентификаторов Рутокен совместно с RooX UIDM позволяет обеспечить защиту канала связи между рабочим местом пользователя и сервером аутентификации с взаимной аутентификацией. Использование mutual TLS с хранением ключа на токене или смарт-карте относится к лучшим практикам по информационной безопасности. Такой подход позволяет строить сложные ИТ-системы с гибким управлением доступом и гарантией безопасности корпоративной информации, — отметил Андрей Шпаков, директор по продуктам Рутокен Компании «Актив».

RooX UIDM Pro для централизованного управления доступом сотрудников к приложениям

RooX 20 января 2026 года представила RooX UIDM Pro — продукт для централизованного управления доступом сотрудников к приложениям.

RooX UIDM Pro объединяет базовые возможности IAM и IDM в одном продукте. Продукт позволяет быстро навести порядок в учетных записях и доступах, обеспечить SSO и 2FA для корпоративных сервисов и сократить совокупную стоимость владения за счет отказа от нескольких разрозненных систем. RooX UIDM Pro ориентирован на компании, которым важны простота внедрения, предсказуемость и контроль, но при этом нужен запас по развитию.

Объединение возможностей систем двух классов — IAM и IDM — в одном продукте позволяет компаниям управлять доступом и жизненным циклом учетных записей в едином контуре. Это снижает общую стоимость решения задачи доступов сотрудников: компании не нужно внедрять и сопровождать несколько решений, поддерживать интеграции между ними и дублирующие процессы.

Как система аутентификации RooX UIDM Pro обеспечивает единую точку доступа сотрудников с поддержкой Single Sign-On (SSO) для веб-приложений, удаленных и виртуальных рабочих мест (VDI), что позволяет пользователям входить в разные корпоративные приложения через одну учётную запись. Также RooX UIDM Pro поддерживает двухфакторную аутентификацию с использованием различных методов: логин и пароль, протокол Kerberos, TOTP, одноразовые коды в SMS и push-уведомлениях.

В части поддержки IDM-функциональности RooX UIDM Pro реализует базовые механизмы управления учетными записями и доступом сотрудников к приложениям. Платформа позволяет автоматизировать работу с учетными записями сотрудников через интеграцию с кадровыми системами или по API, а также управлять учетными записями и паролями в корпоративном каталоге пользователей.

Модель доступа в RooX UIDM Pro сфокусирована на понятной логике «есть доступ/нет доступа» для конкретного пользователя и приложения. В продукте осознанно не используются сложные модели доступа, характерные для IGA-решений, которые востребованы далеко не во всех компаниях. Такой подход позволяет быстрее внедрить решение, снизить операционные издержки и сохранить контроль над доступами там, где важны простота, предсказуемость и скорость изменений.

Мы создавали RooX UIDM Pro как продукт для реального бизнеса — без избыточной сложности, но с запасом по развитию. Функциональные ограничения носят исключительно продуктовый характер — платформа RooX UIDM, лежащая в основе решения, поддерживает и другие IAM, MFA и IDM-функции и позволяет при необходимости нарастить функциональность без перехода на другую систему. Это решение для компаний, которые уже переросли точечные решения и которым важно быстро получить работающую систему управления доступом, — сказал генеральный директор RooX Алексей Хмельницкий.

2025

Решение для создания цифрового ID

RooX 9 декабря 2025 года представила российским компаниям решение для создания цифрового ID.

Платформа управления доступом RooX UIDM теперь позволяет компаниям создавать собственный цифровой ID для клиентов. Это решение ориентировано на российские бизнесы и экосистемы, которым требуется современный, удобный и безопасный процесс регистрации и входа, полностью контролируемый внутри компании.

Цель RooX — дать организациям технологическую основу для построения собственного клиентского ID, сопоставимого по уровню зрелости с решениями крупных международных сервисов, но полностью локального и соответствующего российским требованиям. Это гибкий механизм идентификации и входа на базе платформы управления доступом RooX UDIM. Его можно органично встроить в свои сервисы, адаптировать под бренд, пользовательские сценарии и требования безопасности.

Развитие российских решений класса CIAM (Сustomer identity and access management) важны для рынка. Популярный подход на базе open source продуктов, таких как Keycloak, становится всё менее подходящим: возникают риски безопасности, отсутствует гарантия стабильного развития продукта, а также есть потенциальное несоответствие регуляторным требованиям и ограничениям на использование зарубежных компонентов. RooX предлагает технологически современную и безопасную альтернативу: российскую, поддерживаемую, соответствующую нормам и продолжающую активно развиваться, — сказал генеральный директор RooX Алексей Хмельницкий.

Требования к аутентификации внешних пользователей существенно отличаются от задач контроля доступа сотрудников. Для клиентов логин — часть продукта: а значит, он должен быть удобным, быстрым и надёжным. RooX UIDM помогает бизнесу обеспечить лёгкую регистрацию, привычные методы входа, минимальное трение и единый аккаунт для всей экосистемы сервисов.

Продуктовые команды, в свою очередь, ожидают, что система аутентификации будет максимально предсказуемой, легко интегрируемой и управляемой. Для них платформа RooX UIDM предлагает технологический стек без устаревших зависимостей, продуманную архитектуру, готовые SPI, прозрачные API и возможность тонкой настройки любого сценария входа.

Цифровизация продолжается, люди регистрируются во всё большем числе систем — и именно логин становится первым и ключевым шагом взаимодействия с продуктом. В этом контексте цифровой ID становится обязательным элементом клиентского опыта и конкурентным преимуществом. Сценарии должны легко расширяться: добавили новое приложение — доступ появился, изменили логику входа — изменения сразу внедрились, выросла нагрузка — система выдержала, — добавил Алексей Хмельницкий.

На декабрь 2025 года в линейке решений RooX доступны два готовых продукта для создания цифрового ID. Для организации многофакторной аутентификации в онлайн-сервис или личный кабинет клиента подойдет продукт RooX UIDM CIAM. Для зрелых команд и решения более сложных задач — продукт для организации централизованного сервиса аутентификации и авторизации RooX UIDM CIAM++.

Запуск RooX UIDM Base

Компания RooX 17 ноября 2025 года объявила о запуске продукта RooX UIDM Base на базе комплексной платформы управления авторизацией и аутентификации RooX UIDM. Он ориентирован на компании, которые хотят быстро внедрить систему управления доступом в ситуации ограниченных ресурсов. Продукт обеспечивает SSO (единую точку входа) и 2FA (двухфакторную аутентификацию) для корпоративных приложений. RooX UIDM Base поддерживает интеграцию с LDAP-совместимыми каталогами и разворачивается в локальной сети или приватном облаке.

RooX UIDM Base обеспечивает единую точку входа (SSO) для всех ключевых систем компании — веб-приложений, удаленных и виртуальных рабочих мест (VDI), позволяя сотрудникам использовать один набор учетных данных для доступа к популярным корпоративным ресурсам. Также RooX UIDM Base поддерживает двухфакторную аутентификацию с использованием различных методов: логин и пароля, протокол Kerberos, TOTP, одноразовые коды в SMS и push-уведомлениях.

Продукт поддерживает интеграцию с LDAP-совместимыми каталогами пользователей, такими как, например, Microsoft Active Directory, Astra ALD Pro и другими.

В поставку включены личный кабинет сотрудника и приложение-аутентификатор. В личном кабинете пользователь может просматривать или редактировать данные своего профиля и управлять двухфакторной аутентификацией. Приложение-аутентификатор реализовано на технологии PWA, может быть оформлено в дизайне заказчика и не требует размещения в магазинах приложений. Оно поддерживает подтверждение входа через одноразовый код в push-уведомлении. Такой подход исключает зависимость от SMS, снижает эксплуатационные затраты и делает процесс аутентификации быстрее и надёжнее.

Установка RooX UIDM Base осуществляется в периметре компании — на собственных серверах (on-premise) или в приватное облако. Для запуска потребуется минимальная подготовка инфраструктуры и процессов: будет достаточно одного сервера и ответственного за внедрение.

Три часто встречающихся ситуации, для которых мы сделали RooX UIDM Base: нужно вчера, бюджета почти нет, сейчас не сможем глубоко проработать сценарии доступа. RooX UIDM Base — продукт, который можно внедрить быстро, без больших инвестиций и сложных изменений инфраструктуры. Это готовый фундамент, который обеспечивает базовую безопасность и при этом позволяет развивать систему дальше, когда появится возможность, — сказал генеральный директор RooX Алексей Хмельницкий.

В RooX UIDM Base реализован базовый набор функций, который при минимальной сложности обеспечивает защиту доступа в корпоративные системы. При этом решение может масштабироваться и развиваться — благодаря возможностям платформы RooX UIDM, на которой оно построено.

Единый подход к управлению доступом

Компания RooX 28 октября 2025 года сообщила об очередном этапе развития своей системы управления доступом RooX UIDM. Из продукта она модернизирована в платформу, которая объединяет ключевые направления — IAM, IDM и MFA — в единой архитектуре. На базе платформы доступна линейка продуктов для сотрудников и внешних пользователей. Платформа также поддерживает глубокую кастомизацию и самостоятельную доработку вне зависимости от вендора.

Эта трансформация стала результатом анализа актуальных потребностей крупных и средних компаний, а также изменений в отрасли, которые произошли за несколько последних лет. Управление доступом уже невозможно эффективно реализовывать в виде разрозненных решений. Поддержка IAM и IDM как отдельных продуктов ведёт к избыточной сложности и высоким затратам. обновленный подход RooX UIDM устраняет этот барьер: компании получают целостную платформу, способную закрыть весь спектр задач — от многофакторной аутентификации и обеспечения защиты приложений до управления учётными записями и правами доступа.

Особое внимание уделено гибкости и кастомизации. Платформа открыта для доработки силами заказчика:

• можно адаптировать пользовательский и административный интерфейсы;
• настраивать сценарии аутентификации и самообслуживания;
• управлять обработчиками событий жизненного цикла учётных записей и сессий;
• добавлять модули интеграции;
• формировать собственные политики авторизации.

Для упрощения этих задач RooX предоставляет готовые интеграционные API, систему подключаемых пользовательских сценариев и выделенных точек расширения (SPI), что позволяет ускорить внедрение и интеграцию. При этом компании не оказываются технологически привязаны к вендору — RooX готова поддерживать клиентов консультациями по технологиям и вопросам безопасности, но даёт им свободу самостоятельной работы.

На базе платформы создана линейка решений, ориентированных на разные сценарии:

• для управления доступом сотрудников: простое решение RooX UIDM Base для запуска SSO и MFA, единая точка доступа сотрудников RooX UIDM Pro, комплексная автоматизация управления доступами RooX UIDM Enterprise;
• для управления доступом внешних пользователей: многофакторная аутентификация в сервис для клиентов RooX UIDM CIAM и централизованный сервис аутентификации и авторизации для зрелых команд RooX UIDM CIAM++.

Эти продукты позволяют компаниям разного масштаба — от средних до крупнейших корпораций — решать задачи управления доступом с учётом специфики и требований бизнеса.

Компании ищут не просто готовые решения, а гибкие платформы, которые можно адаптировать под свои процессы. RooX UIDM стала именно такой платформой: мы объединяем IAM, IDM и MFA, убираем избыточность и даём клиентам свободу доработки. Это делает управление доступом быстрее, проще и безопаснее, — отметил генеральный директор RooX Алексей Хмельницкий.

Поддержка алгоритмов подписи токенов ECDSA и EdDSA

Компания RooX расширила возможности своей платформы управления доступом RooX UIDM, добавив поддержку современных криптографических алгоритмов семейств ECDSA (Elliptic Curve Digital Signature Algorithm) и EdDSA (Edwards-Curve Digital Signature Algorithm). Использование этих алгоритмов обеспечит компаниям более быстрый и безопасный вход пользователей, высокую производительность и готовность к работе с IoT-устройствами. Об этом компания сообщила 4 сентября 2025 года.

Алгоритмы семейств ECDSA и EdDSA относятся к современному классу криптографических решений на основе эллиптических кривых. Их использование обеспечивает высокий уровень безопасности при меньшем размере ключей и более высокой скорости операций по сравнению с традиционными алгоритмами, такими как RSA. Благодаря поддержке этих алгоритмов RooX UIDM может обрабатывать гораздо больше запросов на аутентификацию в единицу времени. Это особенно важно для компаний с большими потоками пользователей и высокими требованиями к скорости работы сервисов.

Отдельное качество алгоритма EdDSA — его эффективность на устройствах с ограниченными ресурсами. Это делает его оптимальным выбором для сценариев с участием IoT, терминалов и других «лёгких» клиентов, где критичны как безопасность, так и скорость.

Поддержка ECDSA и EdDSA в RooX UIDM позволит организациям:

• обеспечивать более быстрый вход сотрудников в приложения и сервисы за счет использования более компактных цифровых подписей в процессах аутентификации и авторизации;
• повышать совместимость с современными приложениями и сервисами, требующими поддержку алгоритмов на базе эллиптических кривых;
• соответствовать отраслевым требованиям и лучшим практикам информационной безопасности.

Мы смотрим на управление доступами не только через призму технологий, но и через призму удобства бизнеса. Поддержка алгоритмов ECDSA и EdDSA делает платформу RooX UIDM ещё более гибкой и устойчивой к актуальным угрозам, а нашим клиентам открывает больше возможностей для построения безопасных и производительных сценариев аутентификации, — отметил Константин Корсаков, директор по безопасной разработке RooX.

Поддержка аутентификации с использованием клиентских сертификатов в рамках протокола Mutual TLS

В платформе управления доступом RooX UIDM реализована поддержка аутентификации с использованием клиентских сертификатов в рамках протокола Mutual TLS (mTLS). Это позволило расширить возможности безопасного входа в веб-приложения, обеспечивая более универсальный и стандартизированный подход к проверке подлинности. Об этом RooX Solutions (Рукс Солюшенс) сообщила 28 августа 2025 года.

Mutual TLS представляет собой расширение стандартного TLS-шифрования, при котором не только сервер подтверждает свою подлинность клиенту, но и клиент должен предъявить сертификат для аутентификации серверу. В отличие от альтернативных методов входа по сертификату, mTLS не требует установки дополнительных плагинов или специальной обработки данных на стороне клиентского приложения.

Благодаря поддержке mTLS в RooX UIDM расширяется спектр применяемых в корпоративной среде методов аутентификации. В зависимости от настроек, вход по mTLS может быть одним из доступных беспарольных способов входа по выбору пользователя или использоваться как способ бесшовного входа.

Поддержка mTLS — это ещё один шаг в развитии гибких и безопасных механизмов аутентификации в веб-приложения. Мы развиваем платформу RooX UIDM, чтобы наши клиенты получали больше вариантов для построения надежных сценариев доступа к приложениям и компонентам ИТ-среды в соответствии с их корпоративными стандартами и отраслевыми требованиями, — отметил Егор Леднев, директор по сервисам RooX.

Ранее к существующим в RooX UIDM возможностям аутентификации в веб- и мобильные приложения (логин-пароль, биометрия, OTP и TOTP, КЭП, аутентификация по протоколу Kerberos и др.) были добавлены аутентификация по протоколу RADIUS, а также адаптивная многофакторная аутентификация в ОС Windows и Linux.

Функция ротации криптографических ключей

В системе RooX UIDM появилась функция ротации криптографических ключей. Об этом RooX Solutions (Рукс Солюшенс) сообщила 16 июля 2025 года.

Эта функция позволяет корпоративным заказчикам регулярно обновлять ключи, не нарушая работу подключённых приложений и сервисов.

Криптографический ключ в токенах аутентификации — это специальная информация, которая используется для подписания токена, чтобы удостовериться, что он не был подделан, или шифрования содержимого токена, если нужно скрыть передаваемые данные от посторонних. Ротация ключей — часть системы управления безопасностью. Необходимость ротации регламентируется как внутренними политиками компаний, так и международными стандартами информационной безопасности.

Смена криптографических ключей в большой корпорации — задача не столько техническая, сколько организационная. Их замена требует чёткой стратегии и межкомандной координации между ИТ, ИБ и DevOps. Несинхронная смена ключей может привести к массовому разлогину пользователей, блокировке доступа к приложениям, остановкам бизнес-процессов, ущербу для партнёрских SLA, утечкам.

По нашим наблюдениям во многих организациях не меняют ключи годами из-за риска «обрушить» работу всех подключенных приложений. Теперь этого можно не бояться. В RooX UIDM мы реализовали мягкую ротацию с перекрытием ключей, — пояснил Константин Корсаков, директор по безопасной разработке компании RooX.

Функция реализована в версии 25.1 платформы RooX UIDM и доступна всем клиентам после обновления. В данной модели оба ключа действуют одновременно — токены, подписанные любым из них, считаются действительными. Это позволяет плавно перейти на новый ключ и отключить старый по завершении внутренней миграции.

Мы рекомендуем ротировать ключи не реже раза в год, а также проводить эту процедуру при подозрении на утечки, при смене ответственных сотрудников и если обнаружены проблемы с хранением ключей, например, хранение в открытом виде в конфигурационных файлах, избыточные права доступа к хранилищу ключей, загрузка в оперативную память без защиты и другие, — добавил Константин Корсаков.

Функция подтверждает зрелость и надёжность платформы RooX UIDM, ориентированной на реальные задачи крупных заказчиков.

Поддержка алгоритма хеширования Argon2

В системе управления доступом RooX UIDM реализована поддержка алгоритма Argon2 — устойчивого к вычислительным атакам способа хеширования паролей. Об этом 18 июня 2025 года сообщили представители компании RooX. Используется версия Argon2id с гибкой настройкой параметров. Поддерживается два варианта перехода на данный алгоритм хеширования.

Пароли на сервере аутентификации не хранятся в открытом виде. Вместо этого на сервере, как правило, сохраняются только хеши. Интеграция Argon2 в RooX UIDM — это следующий шаг в развитии платформы управления доступом, направленный на соответствие высоким требованиям информационной безопасности и повышение доверия со стороны корпоративных заказчиков. Используемая в RooX UIDM версия Argon2id, настроенная в соответствии с рекомендациями OWASP, повышает стойкость системы аутентификации к вычислительным атакам, что снижает риск компрометации паролей, отметили в RooX.

В отличие от устаревающих решений, Argon2 позволяет гибко настраивать параметры безопасности: например, объём используемой памяти, количество итераций, уровень параллелизма, соль, длину хеша. Это обеспечивает устойчивость к атакам с использованием специализированного оборудования (GPU, ASIC) и делает подбор паролей экономически нецелесообразным. В RooX UIDM поддержана функция настройки этих параметров.

Кроме того, Argon2 поддерживает пароли произвольной длины, что является его преимуществом по сравнению с некоторыми другими алгоритмами, например, bcrypt, где длина ограничена 72 байтами. Пользователи могут использовать длинные парольные фразы. Это согласуется с современными рекомендациями уделять большее значение длине пароля, а не только разнообразию символов в нем.

«Для текущих клиентов мы предлагаем два регламента перехода на новый алгоритм хеширования. В первом варианте смена алгоритма произойдет при плановой смене пароля, например, регламентной смене согласно политикам безопасности. В этом случае пользователи сохранят возможность использовать старый пароль до этого момента. Также в RooX UIDM есть функция принудительной смены пароля. С ее помощью можно оперативно перейти на алгоритм хеширования Argon2 в любой момент», — прокомментировал директор по сервисам RooX Егор Леднев.

Оптимизация настройки прав доступа по модели ABAC

В RooX UIDM усовершенствовали настройку прав доступа по модели ABAC. Теперь правила для вычисления политик можно создавать и редактировать с помощью языка выражений SpEL. Благодаря этому обновлению процесс настройки политик стал более гибким и удобным, что, в свою очередь, дает больше возможностей по обеспечению безопасности доступа в корпоративные системы. Об этом RooX Solutions (Рукс Солюшенс) сообщил 27 мая 2025 года.

Ранее системы управления доступом ограничивались формированием политик доступа на основе модели RBAC и её, действительно, было достаточно во многих ситуациях. Однако с развитием моделей работы (удаленные и «полевые» сотрудники, аутсорс и аутстаф, и так далее) и ростом кибернапряженности становится важным реализовывать более сложные проверки при использовании корпоративных приложений. Например, является ли пользователь владельцем объекта, над которым выполняется операция, или разрешено ли выполнять вход в приложение из данной сети.

В RooX UIDM реализована полноценная атрибутивная модель (ABAC, Attribute-based access control), что дает возможность задавать произвольные проверки с использованием различных атрибутов для управления доступом пользователей. Чтобы сделать использование этой модели более комфортным и быстрым, теперь для задания политик используется язык написания выражений SpEL (Spring Expression Language). Он позволяет выполнять сложные операции над атрибутами объектов, используемых при вычислении политик, например: учетной записи, сессии токена, контекста, параметров операции.

Это позволяет бизнесу внедрять по-настоящему гибкие политики доступа, а также сделать аутентификацию адаптивной: автоматически ужесточать или ослаблять сценарии входа в зависимости от контекста.

Такой подход упрощает внедрение risk-based механик и адаптивной аутентификации — например, уровень доступа к корпоративным системам теперь можно динамически изменять в зависимости от факторов риска, выявленных в момент обращения пользователя, — сказал Егор Леднев, директор по сервисам RooX.

2024: Добавление возможностей аутентификации сотрудников

Система RooX UIDM расширена дополнительными возможностями для доступа сотрудников к корпоративным приложениям, операционным системам и сетевой инфраструктуре. Это увеличивает покрытие сценариев безопасного доступа в неоднородном ИТ-ландшафте, характерном для крупных и средних компаний. Об этом RooX Solutions (Рукс Солюшенс) сообщила 11 февраля 2025 года.

Сотрудники крупных и средних компаний ежедневно используют в работе множество программ: системы управления проектами, ERP, CRM, КЭДО и другие. В каждой отдельной программе могут быть разные типы пользователей с разными правами доступа. Также в крупных компаниях ИТ-ландшафт часто включает в себя разные типы устройств (серверы, стационарные компьютеры, ноутбуки, мобильные устройства, Wi-Fi роутеры и многие другие) с различными ОС. И для всех этих вариантов необходимо обеспечить безопасный и удобный доступ.

В системе RooX UIDM были расширены функциональные возможности аутентификации, типично востребованные в корпоративном сегменте, чтобы обеспечить максимальное покрытие сценариев доступа. К существующим возможностям аутентификации в веб- и мобильные приложения (логин-пароль, биометрия, OTP и TOTP, КЭП, аутентификация по протоколу Kerberos и др.) были добавлены аутентификация по протоколу RADIUS, адаптивная многофакторная аутентификация в ОС Windows и Linux.

Поддержка RADIUS-протокола в RooX UIDM дает возможность подключить к единой учетной записи сотрудника не только веб-приложения, но и сетевую инфраструктуру и сервисы, которые работают по другим протоколам, в частности, VPN, WiFi, FTP-серверы, Linux-машины и RDP-серверы.

Что касается многофакторной аутентификации при входе в операционные системы, то в этом случае также можно реализовать дополнительные шаги и проверки. В частности, можно блокировать доступ на некоторое время после нескольких неудачных попыток входа, проверять наличие у пользователя ограничений доступа или любых внешних блокировок.

Риски кибербезопасности растут соразмерно масштабам цифровой трансформации и изменениям в геополитике. Любая уязвимость может стать критичной и пренебрегать защитой какой-либо из систем недопустимо. Понимая запрос бизнеса на продвинутые методы аутентификации, мы продолжаем развивать RooX UIDM и добавлять новые функции, которые позволят закрывать большинство потребностей корпоративного сектора, — сказал генеральный директор RooX Алексей Хмельницкий.

2024

Возможность астомизировать сценарий входа в операционные системы на базе Linux

В системе управления доступом RooX UIDM появилась возможность кастомизировать сценарий входа в операционные системы на базе Linux. Теперь можно реализовать дополнительные шаги проверки при входе, например, второй фактор по OTP. Об этом разработчик сообщил 18 ноября 2024 года.

Вход в операционную систему только по логину и паролю – такая мера защиты не отвечает требованиям информационной безопасности. Компании могут хотеть применять многофакторную аутентификацию и другие проверки при входе сотрудников в Linux. При этом, в базовой поставке ОС такой возможности нет.

Данная функция RooX UIDM позволяет добавить при входе запрос второго и последующих факторов (через SMS, TOTP, push и др.), таким образом делая аутентификацию усиленной. Кроме того, можно реализовать дополнительные проверки, в частности, на наличие у пользователя ограничений доступа или любых внешних блокировок.

Функция разработана на базе библиотек Linux PAM и реализуется через подключение PAM-модуля RADIUS. Все необходимые проверки делегируются в RADIUS-сервер, который производит их согласно настроенному сценарию. Запрос ввода дополнительных факторов производится с помощью механизма Challenge. RADIUS-сервер входит в поставку RooX UIDM.

Обновление RooX UIDM будет полезно корпоративным заказчикам, которые пользуются Linux-подобными операционными системами и хотят повысить степень защиты инструментами адаптивной аутентификации. Ранее мы уже реализовали такую функцию для пользователей ОС Windows, — сказал директор по безопасной разработке RooX Константин Корсаков.

Добавление протокола RADIUS

В систему управления доступом RooX UIDM добавлена поддержка протокола RADIUS. Это позволяет расширить спектр устройств и ПО, подключенных к единой учетной записи сотрудника. В рамках обновления появилась возможность подключать, в частности, VPN, Wi-Fi, FTP-сервера, Linux-машины и RPD-сервера. Об этом RooX Solutions сообщил 11 ноября 2024 года.

Большинство IAM-систем хорошо решают задачу централизации управления доступами в случае, когда доступ к системам осуществляется через web-протоколы (например, OAuth2.0, OIDC, SAML). Однако кроме таких систем у бизнеса, как правило, есть сетевая инфраструктура и сервисы, которые работают по другим протоколам.

Возможности кастомизации сценариев входа в указанное ПО и устройства остаются почти такими же широкими, как и любых других сценариев, реализованных в RooX UIDM. Сценарии настраиваются согласно корпоративным политикам доступа, которые могут опираться на множество параметров (например, быть как организационными, так и риск-ориентированными). Единственное ограничение накладывает сам протокол RADIUS - для настройки многофакторной аутентификации можно использовать только способы, основанные на вводе текстовой информации (пароль, одноразовый код, ответ на секретный вопрос и так далее).

В данной функции поддержано подключение множества сетевых устройств доступа.

Поддержка протокола RADIUS в RooX UIDM позволит компаниям быстрее и эффективнее реализовать стратегию ZTNA. Благодаря использованию централизованной учетной записи для входа в большее число приложений и устройств, будет проще соблюдать ИБ-политики и можно будет сэкономить на поддержке, — сказал директор по безопасной разработке RooX Константин Корсаков.

Возможность кастомизировать сценарий входа в Windows

В системе управления доступом RooX UIDM появилась возможность кастомизировать сценарий входа в Windows. Теперь в него можно добавлять факторы аутентификации и дополнительные проверки. Также можно добавить на форму входа логотип компании. Об этом RooX Solutions (Рукс Солюшенс) сообщил 18 сентября 2024 года.

Ввода логина и пароля становится недостаточно для защиты данных. Эксперты рекомендуют использовать многофакторную аутентификацию и множество приложений и сервисов уже дают возможность включать и настраивать ее. Однако в базовой поставке Windows форма входа по-прежнему предполагает только ввод логина и пароля.

С помощью добавленной функциональности в системе управления доступом RooX UIDM можно повысить безопасность входа в популярную операционную систему. Теперь стало возможным добавить в сценарий аутентификации шаги с запросом второго и последующих факторов (OTP SMS, TOTP, push и другие). Кроме того, можно осуществлять дополнительные проверки: например, блокировать доступ на некоторое время после нескольких неудачных попыток входа или обрабатывать события из SIEM. Добавлять шаги в сценарии входа в Windows можно с учетом различных условий (доверенное устройство, версия Windows, наличие критичных обновлений и так далее), то есть можно делать аутентификацию адаптивной. Функция разработана на базе WinAPI путем реализации кастомного Credential Provider.

Также данная функциональность позволяет добавить на форму входа логотип компании.

Возможность брендирования интерфейса входа в Windows способствует развитию корпоративной культуры и позволяет сотрудникам крупных компаний работать в привычной визуальной среде, — сказал технический директор RooX Егор Крутихин.

Возможность автоматически выбирать LDAP-сервер с данными пользователя в зависимости от домена

В системе управления доступом RooX UIDM появилась возможность автоматически выбирать LDAP-сервер с данными пользователя в зависимости от домена. Функция обеспечивает единый вход сотрудников из разных подразделений и компаний-партнеров без необходимости мигрировать данные из нескольких источников в общее хранилище. Об этом разработчик сообщил 28 августа 2024 года.

Как правило, компании используют службы каталогов для хранения учетных данных пользователей внутренних систем (используются сервера Active Directory или аналоги). По разным причинам в компании может быть несколько доменов пользователей, которые обслуживаются разными серверами. Например, пользователи могут быть сотрудниками разных филиалов или работать в компании-партнере.

Если компания стремится обеспечить единый вход пользователей в различные системы, то перед ней встает задача, как объединить разные источники учетных данных в момент входа пользователя в систему.

Добавленная функция в системе управления доступом RooX UIDM решает эту задачу. При входе через форму входа или с использованием Kerberos RooX UIDM определяет домен пользователя и в зависимости от домена выбирает, какое подключение к LDAP-серверу использовать в данном случае.

С помощью этой функции можно реализовать единую форма входа для всех пользователей, независимо от источника учетных данных. В этом случае нет необходимости мигрировать данные из нескольких источников в единое хранилище доступа.

Обновление расширило возможности существующей в RooX UIDM функции объединенной аутентификации пользователей из нескольких служб каталогов, которая облегчает вход в различные корпоративные сервисы, когда в компании развернут так называемый «мультилес».

Это обновление RooX UIDM подходит для крупных и средних компаний, стремящихся упростить и унифицировать процесс входа для своих пользователей, обеспечивая при этом высокий уровень безопасности.

Функция создания порталов приложений

В системе управления доступом RooX UIDM появилась функция создания порталов приложений, объединяющих доступ к множеству систем и сервисов в едином интерфейсе. Политики доступа к приложениям можно строить на основе как ролевой (RBAC), так и атрибутной (ABAC) модели. Об этом разработчик сообщил 11 июля 2024 года.

Порталы приложений — это инструмент для компаний из различных отраслей, позволяющий объединить в едином интерфейсе собственные и сторонние сервисы, которые часто требуются сотрудникам в работе.

Например, преподавателям вузов нужен доступ в платформу для создания обучающих курсов, сервис по проверке текстов на оригинальность, в библиотечное приложение и другие. Сотруднику компании из сегмента HoReCa могут понадобиться приложение бронирования, обучающая платформа, сервис электронных чаевых и так далее.

Портал приложений RooX UIDM консолидирует доступ к приложениям, необходимым пользователю. Это поможет упростить поиск приложений и вход в них, снизить время на выполнение задач, а также повысить уровень комфорта пользователя и информационной безопасности.

Портал приложений — это то, с чего сотрудники многих компаний начинают каждый рабочий день. Мы добавили эту функцию в RooX UIDM, чтобы упростить и одновременно обезопасить вход в корпоративные приложения, — сказал Алексей Хмельницкий, генеральный директор RooX.

Портал приложений RooX UIDM может существовать как самостоятельно, так и бесшовно встраиваться в текущие цифровые сервисы (веб, PWA, десктопные приложения), например, личный кабинет сотрудника. Перечень доступных приложений формируется автоматически и индивидуально для каждого пользователя в зависимости от его полномочий. Политики доступа можно строить согласно как ролевой (RBAC), так и атрибутной (ABAC) модели доступа. Пользователь может добавить в избранное наиболее важные из доступных ему сервисов и тогда эти сервисы будут показаны ему выше остальных.

В RooX UIDM можно настраивать доступ в приложения на основании полноценной атрибутной модели, — отметил Константин Корсаков, главный архитектор RooX. — Эта модель позволяет учитывать любые атрибуты пользователя, сессии, контекста и так далее, что значительно снижает риски несанкционированного доступа.

Портал приложений, как и остальные функциональные возможности RooX UIDM, сделан по принципу API first. «Из коробки» поставляется white label дизайн, также можно подключить свой дизайн без каких-либо ограничений.

Комплексное решение для управления доступом

RooX UIDM — российское комплексное решение для управления аутентификацией и авторизацией, которое объединяет аутентификацию и управление доступом в единой системе. Подробнее здесь.

Защита от перехвата токенов доступа

В системе управления авторизацией и аутентификацией RooX UIDM появилась защита от перехвата токенов доступа. Она позволит бизнесу усилить защиту приложений от несанкционированных действий. Об этом разработчик сообщил 4 июня 2024 года.

Токен доступа — это специально генерируемый код, который используется для аутентификации и авторизации пользователя или приложения. Такой токен формируется в момент успешной аутентификации и используется для проверки подлинности пользователя каждый раз, когда тот совершает действие, например, просматривает баланс счета, данные профиля, переводит деньги, совершает покупку и т.д. Он позволяет избежать повторного ввода учетных данных при каждом таком действии пользователя.

Однако токен может быть перехвачен злоумышленниками из-за недостаточной защиты данных или ошибки в коде, что даст возможность совершать несанкционированные действия от лица пользователя. Поэтому важно регулярно обновлять токены и внедрять дополнительные меры безопасности.

Добавленная функция в RooX UIDM является одной из таких мер безопасности. Она проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа.

Функция работает на основе асимметричной криптографии. Сначала на устройстве, с которого пользователь входит в приложение, генерируется пара криптографических ключей: закрытый и открытый. В момент аутентификации выданный токен связывается с ключом. Далее при каждом запросе на действие на сервер передается не только токен доступа, но и дополнительная информация о действии, подписанная закрытым ключом. Сервер, получивший запрос, использует открытый ключ клиента для проверки подписи. Если подпись подтверждается, сервер может быть уверен, что запрос исходит от того же устройства.

Использование асимметричной криптографии позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.

Механизмы подобных проверок постепенно становятся базовым требованием информационной безопасности при операциях с персональными данными. Эту тенденцию подтверждают крупнейшие технологические компании мира. Так, недавно Google встроил в браузер Google Chrome похожий инструмент. Мы следим за развитием рынка и дополняем RooX UIDM актуальными и востребованными функциями, — сказал Константин Корсаков, главный архитектор RooX.

Совместимость с Astra Linux 1.7

Завершены испытания совместимости системы управления доступом RooX UIDM с ОС Astra Linux 1.7. Корректную работу программного стека подтверждает сертификат, выданный «Группой Астра». Для конечных пользователей это означает, что у них появились возможности для создания и развития ИБ-контуров, отвечающих их индивидуальным потребностям. Об этом 27 марта 2024 года сообщила «Группой Астра».

Получению сертификата предшествовало комплексное тестирование работоспособности программного стека. Для этого эксперты RooX использовали стенд с СУБД Postgres PRO Standard, ОС Astra Linux, а также созданной в VK платформой in-memory вычислений Tarantool, предназначенной для хранения токенов и другой оперативной информации. На этом стенде специалисты проверили все пользовательские сценарии регистрации, аутентификации, авторизации и самообслуживания и убедились, что RooX UIDM корректно работает в связке с российским ПО, а функционал для вычисления политик доступа, авторизации пользователей и аутентификации, в том числе федеративной, доступен в полном объеме.

RooX UIDM и раньше был совместим с ОС на базе Linux. Мы доработали дистрибутивы, чтобы система устанавливалась и запускалась на Astra Linux так же удобно, как и на других импортонезависимых платформах, , — прокомментировал главный архитектор RooX Константин Корсаков.

Одна из первоочередных задач импортозамещения — обеспечить полную совместимость отечественных программных продуктов из разных сегментов. Пользователям должна быть доступна максимально широкая экосистема решений, которые корректно и стабильно работают в связке. Сейчас, когда успешно завершены тесты и подтверждена работоспособность RooX UIDM в среде Astra Linux, у организаций появились возможности для выстраивания и модернизации ИБ-систем, — отметил Алексей Трубочев, директор департамента сопровождения «Группы Астра».

Напомним, что сейчас на уровне министерства обсуждается вопрос об обязательном обеспечении совместимости с Linux-подобными платформами продуктов, входящих в реестр Минцифры.

Совместимость с «Ред ОС»

RooX и Ред Софт подтвердили совместимость системы аутентификации и авторизации RooX UIDM с операционной системой Ред ОС. Теперь бизнесу доступно совместное решение для безопасного управления доступом, а также для построения импортонезависимых ИТ-экосистем. Об этом Ред Софт сообщил 27 февраля 2024 года.

Операционная система используется у государственных и коммерческих заказчиков. Партнёрство с таким разработчиком и подтверждение совместимости наших решений — стратегический шаг для нашей компании, который позволит предложить ещё большему количеству отечественных бизнес-пользователей надежные инструменты для управления доступом, — сказал Константин Корсаков, главный архитектор RooX.

РЕД СОФТ постоянно расширяет партнёрскую сеть, включая в неё востребованные решения для обеспечения информационной безопасности. Мы благодарим команду RooX за активное и плодотворное сотрудничество, — отметил Рустам Рустамов, заместитель генерального директора РЕД СОФТ.

2023

Добавление API Gateway

В систему управления доступом RooX UIDM добавлен API Gateway — универсальный конфигурируемый шлюз для управления доступом в информационные системы. API Gateway облегчит переход на единую систему аутентификации (Single Sign-On), усилит безопасность приложений и API, снизит затраты на безопасность. Благодаря этому шлюзу подключение новых приложений к системе аутентификации можно осуществлять без участия разработчиков. Об этом RooX Solutions (Рукс Солюшенс) сообщил 21 декабря 2023 года.

При внедрении единой системы аутентификации в крупной компании могут встретиться следующие обстоятельства, усложняющие цифровую трансформацию: необходимо обеспечить единообразной авторизацией десятки и даже сотни приложений и API, которые созданы в рамках различных технологических стеков, и среди которых могут быть легаси-приложения и облачные сервисы.

При этом выделенный ресурс на доработки в части функций управления доступом органичен, а доступ к исходным кодам приложений может быть затруднен или невозможен.

Кроме того, защищенность приложений может быть недостаточна или не соответствовать актуальным стандартам и нормативам безопасности (например, может отсутствовать поддержка мультифакторной аутентификации).

API Gateway в RooX UIDM облегчит внедрение Single Sign-On: избавит от необходимости дорабатывать функциональность авторизации в каждом приложении или API, предоставит возможность простой настройки подключения новых приложений. Также он обеспечит надежный уровень защиты приложений благодаря применению единых современных правил авторизации.

В рамках микросервисной архитектуры RooX UIDM мы отделяем вопросы безопасности от бизнес-логики. Такой подход позволяет обеспечивать более высокий уровень защиты, — сказал главный архитектор RooX Константин Корсаков.

API Gateway в RooX UIDM работает по принципу обратного прокси, прерывая входящие HTTP-запросы. Он анализирует данные пользовательской сессии, URL, заголовки и фрагменты тела запроса, IP-адрес источника, данные из HTTPS-сертификата и другие параметры.

Подключение приложений и API и настройка правил доступа для них может осуществляться без участия разработчиков. Для каждого URL можно задать критерии отбора запроса и перечень необходимых действий при удовлетворении этому критерию. Среди доступных действий проверка прав доступа, переадресация на форму аутентификации или ввода OTP-кода, видоизменение, маршрутизация или блокировка запроса и другие.

В целях безопасности API Gateway в RooX UIDM осуществляет регистрацию событий обработки запросов, а также может ограничить информацию, передаваемую в приложение.

Для легаси-приложений API Gateway может скрытно запустить сессию, поддерживать ее и предоставлять многопользовательский доступ к этому приложению.

API Gateway в RooX UIDM рассчитан на высокую нагрузку, поддерживает трассировку запросов, централизованное логирование и мониторинг.

Добавление аутентификации пользователей из нескольких служб каталогов

В RooX UIDM появилась объединенная аутентификация пользователей из нескольких служб каталогов. Об этом 14 ноября 2023 года сообщила компания RooX Solutions (Рукс Солюшенс).

Данная функция системы управления доступом RooX UIDM облегчит аутентификацию в различные корпоративные сервисы, когда в компании развернут так называемый «мультилес», а также обеспечит единую аутентификацию в приложения, которые не поддерживают подключение к нескольким службам каталогов.

Служба каталогов — это распространённый компонент ИТ-инфраструктуры, который позволяет обеспечить авторизацию и аутентификацию пользователей во внутренние домены. Она имеет древовидную структуру и хранит всю информацию о подразделениях компании, пользователях сети, группах, в которые они входят, и др.

Самым популярным продуктом этого класса в российский кампаниях до недавнего времени был Microsoft Active Directory (AD) на базе Windows Server. Примерами open source решений являются Samba DC и FreeIPA. Среди российских служб каталогов можно назвать ALD Pro от ГК «Астра», РЕД АДМ от РЕД СОФТ, модуль, встроенный в «Альт Рабочая станция» и Avanpost Directory Service.

Крупные компании могут использовать несколько серверов служб каталогов по разным причинам. Такой подход распространен среди холдингов с множеством филиалов и дочерних организаций. Несколько служб каталогов также применяет бизнес, проходящий процедуру слияния. Иногда группы пользователей размещаются в отдельных хранилищах в соответствии с политикой ИБ компании. Наконец, и это актуальный паттерн в последнее время, компании могут одновременно использовать несколько служб каталогов – старую и новую – в процессе миграции на отечественное ПО.

В то же время необходимость поддерживать несколько разных форм входа в одинаковые приложения для разных групп пользователей усложняет управление, повышает риски для безопасности и приводит к неудобству для пользователей. Кроме того, некоторые приложения в принципе не поддерживают подключение к нескольким службам каталогов и для входа в них нужен механизм единой учетной записи.

Данная функция в системе управления доступом RooX UIDM обеспечивает объединенную аутентификацию пользователей из нескольких служб каталогов.

С помощью нее можно настроить поиск пользователя сразу в нескольких службах каталогов с заданными настройками приоритетов. Параметры подключения к каждому серверу службы каталогов при этом настраиваются независимо с учётом особенностей его структуры. Так, в RooX UIDM можно задать адрес сервера каталогов, учетную запись для подключения, а также ряд фильтров для поиска пользователя — например, в каких группах, в каком поддереве или по каким условиям его искать. Кроме того, можно настроить правила определения атрибутов учетной записи (маппинга).

Указанные настройки можно применять как к разным каталогам, так и к одному и тому же. Несколько подключений с различными настройками к одному и тому же каталогу позволят запрашивать данные пользователей из разных поддеревьев по разным шаблонам и по-разному их фильтровать. Это может потребоваться, если данные в службе каталогов не гармонизированы.

С обновлением в RooX UIDM также стала доступна аутентификация пользователей из нескольких каталогов по протоколу Kerberos.

Возможность подключения к нескольким службам каталогов доступна всем клиентам RooX в рамках продуктового roadmap RooX UIDM. Также мы консультируем по вопросам настроек под конкретную задачу клиента — например, в каком порядке лучше приоритизировать выбор деревьев при поиске данных или по каким параметрам прав искать пользователей, — сказал главный архитектор RooX Константин Корсаков.

Добавление функции «Идентификация устройствами»

Компания RooX 4 сентября 2023 года сообщила о том, что добавила в систему управления доступом RooX UIDM возможность адаптивной аутентификации устройств. Функция «Идентификация устройствами» («device identification») позволит определить, с каких гаджетов осуществлен вход в систему, а также контролировать права доступа с этих устройств. Это поможет защитить пользователей массовых сервисов от несанкционированных действий.

Ежедневно люди используют десятки цифровых сервисов — они входят в интернет-банки, совершают покупки, смотрят кино, регистрируются на приём к врачу и выполняют другие операции. И когда речь заходит об аутентификации, обычно имеется в виду аутентификация пользователя. То есть аутентификация человека с помощью таких методов, как логин/пароль, многофакторная аутентификация, вход по биометрии и так далее. Однако для повышения уровня безопасности также необходимо аутентифицировать устройство, с которого пользователь входит в сервис.

При правильной реализации аутентификация устройства может обеспечить надежную защиту от таких распространенных векторов атак, как социальная инженерия, использование скомпрометированных учетных данных, перехват сессии, использование скомпрометированного устройства.

В рамках функции «Идентификация устройств» в RooX UIDM можно настроить уведомления пользователя о входе в сервис, а также дать возможность администрировать возможность беспарольного входа с того или иного устройства.

Уведомление о каждом входе, скорее всего, станет для пользователя "белым шумом" и только ослабит бдительность. Поэтому в RooX UIDM можно настроить уведомления только о необычных входах: вход с незнакомого ранее устройства, необычное использование старого устройства, например, "невозможное перемещение", смена операционной системы или браузера и другие», — сказал Константин Корсаков, главный архитектор RooX UIDM.

Кроме того, функция позволяет администрировать устройства и сессии входа. Пользователь может просмотреть список устройств, с которых когда-либо производился вход в сервис, проанализировать историю аутентификаций на них, просмотреть список текущих сессий и прервать неактуальные, а также отозвать возможность беспарольного входа на определенном устройстве или удалить неиспользуемые девайсы.

Чтобы уведомления и администрирование были возможны, RooX UIDM собирает информацию о всех устройствах, с которых происходит вход в приложение или онлайн-сервис. Разметка устройств защищена от подделки с помощью асимметричной криптографии. Благодаря этой защите невозможно замаскировать одно устройство под другое, например, компьютер злоумышленника под компьютер легального пользователя.

Возможность регулировать сценарии аутентификации в зависимости от параметров устройств

В российской системе управления доступом RooX UIDM реализована возможность регулировать сценарии аутентификации в зависимости от параметров устройств, с которых осуществляется вход. С помощью этой функции, в том числе, можно ограничить вход в системы и сервисы с устройств Apple. Об этом 25 июля 2023 года сообщила компания RooX Solutions (Рукс Солюшенс).

В июле 2023 г. несколько государственных ведомств запретили сотрудникам использовать технику Apple при выполнении должностных обязанностей. По мнению экспертов рынка, тенденция на ограничение использования устройств этого производителя в дальнейшем может распространиться и на другие крупные ведомства.

Система управления доступом RooX UIDM помогает компаниям выстраивать безопасные сценарии аутентификации с учетом подобных ограничений. RooX UIDM определяет ряд параметров устройства, с которого пользователь пытается зайти в систему, в том числе производителя. Сценарии входа можно настроить с учетом значений этих параметров, в частности, можно ограничить вход с устройств конкретного производителя или, наоборот, разрешить вход только с доверенных устройств.

Помимо этого, в RooX UIDM реализована функция логирования попыток входа. Это поможет внутренним службам безопасности предприятия проводить оперативный мониторинг всех событий аутентификации.

Возможность ограничения входа в цифровые сервисы, корпоративные порталы и приложения с определенных устройств – важная часть корпоративной информационной безопасности. RooX UIDM поможет закрыть такую потребность бизнеса и госкомпаний, а также проконтролировать процесс введения подобных ограничений. При необходимости решение можно кастомизировать под специфические задачи компаний, — сказал Алексей Хмельницкий, генеральный директор RooX.

Совместимость с Java Axiom JDK Pro

19 июня 2023 года компания RooX сообщила о том, что обеспечила совместимость отечественной системы управления аутентификацией и авторизацией RooX UIDM со средой разработки и исполнения Java Axiom JDK Pro. Совместимость этих решений позволит применять RooX UIDM в ИТ-ландшафтах, развёрнутых на российском Java-стеке.

RooX UIDM

По информации компании, технологически среда исполнения Java Axiom JDK Pro является необходимым связующим звеном при запуске системы RooX UIDM на отечественных ОС и СУБД. Тесты подтвердили корректность совместной работы решений. Это дает возможность рекомендовать систему управления аутентификацией и авторизацией RooX UIDM для использования в сертифицированном отечественном Java-окружении при реализации проектов импортозамещения.

RooX UIDM — это IAM-система, предназначенная для управления доступом пользователей к бизнес-приложениям, веб-порталам и цифровым сервисам. Решение обеспечивает аутентификацию физических и юридических лиц, а также предоставляет широкие возможности интеграции. RooX UIDM входит в Реестр российского программного обеспечения и соответствует стандартам безопасности ГОСТ и ЦБ.

Axiom JDK Pro — российская платформа Java, которая применяется в системах, требующих высокого уровня безопасности, критических информационных инфраструктурах (КИИ), а также в сложных ИТ-ландшафтах банковских, биржевых и других систем, требовательных к высокой пропускной способности Java-приложений. Это кроссплатформенное решение для облачных, серверных и десктопных систем, соответствующее стандарту Java SE. Axiom JDK Pro входит в реестр Минцифры России и поддерживает множество системных конфигураций, включая отечественные ОС и СУБД, аппаратные и процессорные платформы, приложения и облака.

Платформа Axiom JDK Pro, созданная на базе открытых технологий и поддерживаемая российскими инженерами, выступает достойной альтернативой проприетарным продуктам Oracle, IBM и других западных вендоров, что вызывает интерес среди наших клиентов из финансового сектора и ритейла, планирующих миграцию на отечественное ПО. рассказал Константин Корсаков, главный архитектор RooX

Мы приветствуем RooX UIDM в экосистеме отечественной Java и рады, что все больше поставщиков ИБ-решений обеспечивают совместимость с Axiom JDK Pro. Это способствует формированию безопасного и суверенного Java-стека, стимулируя практическое импортозамещение и минимизируя ИБ-риски. Мы инвестируем в совместимость со всеми популярными платформами и планомерно расширяем функциональность наших профессиональных продуктов. поведал Алексей Кузнецов, директор по работе с партнерами Axiom JDK

Совместимость с платформой Tarantool

Компания RooX 29 мая 2023 года сообщила об обновлении системы управления аутентификацией и авторизацией RooX UIDM. Теперь решение совместимо с ПО промежуточного слоя для обработки данных Tarantool. Это позволит клиентам обрабатывать информацию о сессиях и профилях пользователей в оперативной памяти, что существенно ускоряет процесс без дополнительных расходов на вычислительные мощности.

Аутентификация и авторизация являются неотъемлемой частью почти любой ИТ-системы. Они необходимы для корректного доступа и использования приложений. Поэтому мы постоянно улучшаем RooX UIDM и работаем над расширением сети партнерских программных продуктов. Совместимость с Tarantool является важным шагом в стратегическом развитии системы, — прокомментировал Константин Корсаков, главный архитектор RooX.

Команда RooX имеет большой опыт в построении сложной ИТ-инфраструктуры, отвечающей высоким требованиям информационной безопасности. Поэтому совместимость ее системы управления доступом с программным обеспечением Tarantool позволит упростить создание гибких и безопасных ИТ-решений, — сообщил Александр Виноградов, руководитель направления Tarantool компании VK.

Запуск технологии проверки паролей по базам словарных и утёкших паролей

Компания RooX реализовала в системе управления доступом RooX UIDM технологию проверки паролей по базам словарных и утёкших паролей. Это позволит компаниям в банковском секторе, ритейле, e-commerce и других отраслях ещё больше обезопасить аккаунты пользователей.

По данным разных исследований от 50% до 75% пользователей устанавливают простые пароли, а также используют повторяющиеся комбинации логина и пароля на разных сервисах. Как следствие, ежегодно огромное количество взломов становится возможным просто потому, что хакеры автоматизируют перебор известных утекших паролей. Например, берут базу логинов и паролей сервиса доставки и проверяют их на интернет-банке.

Данная функциональность в системе управления аутентификацией и авторизацией RooX UIDM поможет уведомить пользователя о скомпрометированном или слабом пароле и даже запретить его использование в некоторых случаях.

Злоумышленники регулярно выкладывают в открытый доступ базы паролей. Например, в 2021 был выложен файл объемом около 100 ГБ, содержащий 8,4 млрд паролей. Мировое сообщество специалистов по информационной безопасности регулярно проводит мониторинг утечек и добавляет данные из них в специализированные базы. RooX UIDM использует эти базы для проверок паролей. Кроме того, наши клиенты имеют возможность подключать для проверок свои собственные базы "плохих" паролей, — сообщил Константин Корсаков, главный архитектор RooX.

В RooX UIDM проверки паролей можно встроить в сценарии регистрации, аутентификации и авторизации пользователей в следующие точки: установка пароля, его восстановление или смена, вход в сервис, выполнение действия, для которого требуется дополнительная авторизация.

Кроме этого есть возможность запустить полномасштабную проверку всей базы пользователей на совпадения со словарями и скомпрометированными данными по запросу (например, после очередной новости об утечке) или по расписанию.

Насколько жесткой будет реакция системы при обнаружении скомпрометированного пароля, определяется настройками. Система может просто уведомить пользователя о том, что пароль перестал быть надёжным, предоставить возможность сразу его сменить или даже запретить выполняемое действие, пока пароль не будет сменен на безопасный.

Совместимость с СУБД PostgreSQL и Postgres Pro

Компания RooX 24 апреля 2023 года объявила о совместимости системы управления аутентификацией и авторизацией RooX UIDM с открытой СУБД PostgreSQL и ее сборкой Postgres Pro от российской компании Postgres Professional. Текущее обновление RooX UIDM позволит расширить перечень доступных баз данных и дополнить их безопасным импортонезависимым ПО.

СУБД Postgres Pro является одной из наиболее востребованных баз данных среди крупных корпоративных клиентов, которых мы обслуживаем в рамках комплексных проектов по построению систем управления доступом пользователей. Включение СУБД в реестр Минцифры гарантирует полное соответствие требованиям информационной безопасности и отсутствие уязвимостей. Помимо этого, для наших клиентов важно, что решение полностью адаптировано для работы на российском рынке. Так, все варианты СУБД Postgres Pro имеют полную техническую документацию и системные сообщения на русском языке. Мы продолжим обеспечивать совместимость с будущими сборками этой СУБД и развивать наше сотрудничество с компанией Postgres Professional, — сказал Константин Корсаков, главный архитектор RooX.

Бизнес нуждается в безопасных отечественных ИТ-решениях по авторизации и аутентификации, поэтому тестирование и обеспечение совместимости с СУБД Postgres Pro стало закономерным этапом развития RooX UIDM. Мы рады видеть компанию RooX в числе своих партнеров и готовы оказывать команде разработчика всю необходимую консультационную помощь и техническую поддержку, — отметил Иван Панченко, заместитель генерального директора Postgres Professional.

2022

В основе решения по защите приложении от удаления из сторов

Компания RooX 9 августа 2022 года представила ИТ-решение, которое позволяет обезопасить крупные компании от потери клиентов вследствие удаления мобильных приложений из сторов. В основе решения лежат веб-приложение в виде Progressive Web App (PWA) и система аутентификации и авторизации RooX UIDM. Решение помогает сохранить привычный для клиентов интерфейс, а также обеспечить простоту и безопасность доступа. При этом скачивать на смартфон ничего не нужно.

Данное решение RooX предназначено для компаний, которые могут потерять клиентов из-за удаления мобильных приложений из популярных магазинов: для банков, страховых и медицинских компаний, государственных и новостных порталов, телеком-операторов, e-commerce, образовательных платформ и других организаций. Предпосылкой к разработке решения стали санкции США и ЕС, которые привели к удалению приложений российских банков и других компаний из AppStore, Google Play и Huawei AppGallery.

Российская аудитория привыкла к удобству мобильных приложений. Если им не предложить хорошую замену, пользователи могут начать переходить к конкурирующим поставщикам услуг.

Популярный выход — миграция на APK — требует больших организационных и рекламных затрат, так как необходимо убедить клиентов выполнить непривычные шаги — скачать приложение с сайта и разобраться с настройками безопасности смартфона. Кроме того, этот выход не подходит владельцам устройств с iOS, так как без взлома установить сторонние программы на iPhone невозможно.

Личный кабинет или интернет-банк, даже адаптированный под мобильные устройства, также не может полностью заменить нативное приложение. Сайты проигрывают приложениям по UX — по скорости, плавности и эргономике интерфейса. Им недоступны некоторые функции, например, современные виды биометрической аутентификации, такие как Touch ID, Face ID и их аналоги для Android, — рассказал Никита Евгенов, директор по развитию бизнеса компании RooX.

Решить задачу поможет перевод сайтов на технологию прогрессивных веб-приложений (PWA) в связке с системой авторизации и аутентификации RooX UIDM. Такое приложение работает в браузере и на iOS, и на Android, ему не требуется установка на устройство, оно быстро загружается даже при нестабильном интернете, может работать офлайн, а обновления происходят автоматически.

Для пользователя оно выглядит как мобильное приложение. В него можно входить, в том числе, по Touch ID, Face ID или их аналогам для Android, можно использовать внутри него камеру и определение местоположения. Бизнесу такой апгрейд сайта даст экономию на транзакциях, ведь для входа в PWA-приложение и подтверждения операций можно использовать биометрию, а это бесплатно для компании, в отличие от подтверждения по смс. Кроме того, PWA-приложение можно поддерживать и развивать силами той же команды, которая занимается сайтом. Это сократит затраты на поддержку канала мобильных устройств.

В переходе на PWA+RooX UIDM есть плюсы и для маркетинга. Например, конверсия посетителей сайта в использование PWA выше по сравнению с конверсией в использование мобильных приложений, так как PWA не нужно устанавливать на телефон. Также Roox UIDM интегрируется с системами веб-аналитики, это дает дополнительные возможности сквозного анализа маркетинговых акций, — отметила Наталия Леднева, директор по маркетингу RooX.

Команда RooX вложила в данное решение свой опыт разработки сложных веб-приложений и экспертизу в области аутентификации и авторизации. Наши PWA-приложения максимально близки к нативным по удобству. Мы можем реализовать любые сценарии аутентификации — логин/пароль, через соцсети, через IDP, с помощью OTP или TOTP, через привычную для мобильных приложений биометрию и так далее. При этом доступ будет защищен по стандартам безопасности OWASP, NIST, ГОСТ и ЦБ, — добавил Никита Евгенов, директор по развитию бизнеса компании RooX.

Появление функционала для сквозной веб-аналитики

7 июня 2022 года компания RooX, разработчик системы аутентификации и авторизации RooX UIDM, сообщила, что добавила интеграцию с системами веб-аналитики. RooX UIDM может обогащать Яндекс.Метрику и Google Analytics данными о пути пользователя. Интеграция будет особенно полезна для сквозного анализа маркетинговых акций, рассчитанных на привлечение клиентов или заявок. Она позволит департаментам маркетинга лучше проанализировать привлеченные лиды и избежать их двойного учета.

Источник: revesecure.com

В некоторых отраслях регистрация нового клиента предполагает не просто заполнение формы с контактными данными. Регистрация может быть многошаговым бизнес-процессом с асинхронными проверками. Например, банки могут проверять пользователей в ЕСИА и на присутствие в «черных» списках (в частности, человек находится в розыске или не подтверждён его паспорт, компания проходит процедуру ликвидации или у нее отозвана лицензия).

Ранее путь такого пользователя по данным систем веб-аналитики заканчивался на нажатии кнопки «Отправить заявку на регистрацию». Собрать данные о дальнейших этапах обработки заявки было невозможно или трудоемко. После внедрения интеграции в RooX UIDM можно отследить все этапы, так как результаты проверок в процессе регистрации и многие другие события, касающиеся пользователя, фиксируются в специальной базе данных событий аудита. В рамках интеграции обезличенные, но ассоциированные с трекинг-идентификаторами данные об этих событиях через специальный адаптер транслируются в Яндекс.Метрику или Google Analytics. Система веб-аналитики достраивает из этих данных воронку конверсии. Так интеграция RooX UIDM c системами веб-аналитики позволяет получить более полную информацию о пути пользователя.

Кроме события создания пользователя подобным образом могут обрабатываться и другие события системы аудита RooX UIDM.

«Наши клиенты стремятся не просто массово предлагать своим пользователям (покупателям, поставщикам, партнерам) скидку, продукт или тариф, а сделать каждому актуальное индивидуальное предложение, основанное на анализе данных. Также и мы развиваем RooX UIDM как систему, обеспечивающую персонализированный пользовательский опыт в задачах аутентификации и авторизации. Интеграция аутентификации и веб-аналитики дает более полную информацию для анализа пути пользователя», комментирует Наталия Леднева, директор по маркетингу компании RooX

Усиление защиты доступа к корпоративным системам

20 апреля 2022 года компания RooX сообщила, что обновила российскую CIAM-систему RooX UIDM. Для выездных, аутсорсинговых и внештатных сотрудников крупных компаний реализован адаптивный сценарий аутентификации, в котором усилена защита доступа к корпоративным системам.

Многие компании привлекают к работе аутсорсинговых сотрудников, например, агентов по продажам, сотрудников колл-центров, курьеров. Кроме того, штатные сотрудники могут выполнять свои обязанности «в поле» - экипажи помощи при ДТП, выездные медслужбы, аудиторы сетевых магазинов и так далее.

В RooX UIDM теперь есть адаптивный безопасный сценарий входа для этих категорий сотрудников, который учитывает особенности удаленной работы.

Такие сотрудники обычно работают на мобильном гаджете. К интернету они подключаются через «чужую» сеть - мобильный интернет, публичные точки доступа, сеть клиента. На выезде у них меньший набор функций, чем в офисе, а иногда этот набор жестко ограничен функционалом специализированного приложения.

«Использовать доменную учетную запись в недоверенных сетях и устройствах опасно. В ряде случаев «полевым» сотрудникам вообще нежелательно знать свой логин и пароль в домене, так как они не должны иметь доступ ни к каким другим корпоративным ресурсам, кроме специализированного приложения. Кроме того, имеет смысл разграничить привилегии «мобильной» и «офисной» роли. Тогда даже если злоумышленник зайдет в систему через украденный гаджет, у него не будет полного доступа ко всем внутренним сервисам», - рассказывает Константин Корсаков, архитектор систем аутентификации и авторизации компании RooX.

Дополнительные функции RooX UIDM

В RooX UIDM ранее уже были реализованы управление ролями и возможности многофакторной аутентификации. В систему добавлены две функции - проверка подсети, из которой работает пользователь, и хранение дополнительных данных для аутентификации.

Первая функция позволяет различать недоверенные сети и ограничивать доступ из них к ресурсам компании. Вторая дает возможность привязывать к пользователю номер мобильного телефона в стандартизованном виде, УКЭП, идентификатор учетной записи стороннего IDP и так далее. Важно отметить, что практика использования номеров мобильных телефонов, указанных в домене, ненадежна. Данные в нем редко приведены к единому стандарту записи, могут быть неактуальны, невалидны, повторяться для разных сотрудников или попросту отсутствовать

С помощью указанных функций в RooX UIDM настраивается адаптивный безопасный сценарий входа, который охватывает все этапы взаимодействия с сотрудником.

Как настраивается адаптивный безопасный сценарий входа

Подключение сотрудника к возможностям удаленной работы происходит внутри корпоративной сети. Сотрудник логинится со своей доменной учетной записью и привязывает к ней данные для аутентификации «в поле». Если это номер мобильного телефона, он подтверждается с помощью одноразового пароля по SMS. В сценарии установки номера телефона могут быть предусмотрены варианты уведомлений и действий на случай, если этот номер использовался ранее другим сотрудником.

Если сотрудник ограничен в правах доступа к домену, привязку производит администратор.

Далее, когда сотрудник начинает работу в «чужой» сети, активируется ветка сценария с использованием альтернативного входа. При этом права на использование функций автоматически урезаются до «мобильной» роли. Эту ветку сценария можно дополнительно усилить использованием второго фактора.

Анонс RooX UIDM

10 марта 2022 года компания RooX представила в России отечественную систему управления аутентификацией и авторизацией RooX UIDM.

RooX UIDM

По информации компании, RooX UIDM разработана для защиты доступа к финансам и чувствительным данным клиентов и партнеров средних и крупных организаций. Система учитывает российскую специфику и требования законодательства, соответствует стандартам безопасности и быстро разворачивается.

RooX UIDM включает в себя несколько десятков готовых пользовательских методов аутентификации и авторизации, из которых собираются сценарии любой сложности, в том числе многофакторные. Среди доступных методов - логин-пароль, сертификаты КЭП, ЕСИА, биометрия, цифровой отпечаток, OTP (one-time password), TOTP, QR-код и другие.

RooX UIDM развивался как часть веб-решений, которые мы разрабатываем и внедряем, — интернет-банков, порталов поставщиков, личных кабинетов и других. В 2021 году мы провели работу по выделению этой функциональности в отдельный продукт и представляем его российскому рынку. рассказал Алексей Хмельницкий, генеральный директор RooX

В RooX подчеркивают, что система не зависит от сторонних компаний и продуктов других вендоров. Она спроектирована с пониманием требований к архитектуре и сценариям, специфичным для больших компаний. Так, «из коробки» доступны механизмы интеграции с системами антифрода, возможность кастомизации пользовательского UI, в том числе встраивание в SPA, интеграция с мобильными приложениями. Есть поддержка machine-2-machine интеграции для подключения партнерских сервисов или автоматизированных систем корпоративных клиентов. Решение поддерживает модель организаций и позволяет управлять доступами пользователей в зависимости от департамента или организации, к которой они принадлежат.

Мы понимаем, что в enterprise-решениях важно сохранять преемственность. Поэтому в RooX UIDM предусмотрены разнообразные механизмы работы с легаси (унаследованными) системами для плавной миграции к управлению доступом на базе единой учётной записи. добавил Алексей Хмельницкий

RooX UIDM входит в реестр отечественного ПО, запись в реестре №10504 от 06.05.2021.

Техподдержка осуществляется в России на русском языке.

Решение соответствует стандартам безопасности OWASP, NIST, ГОСТ, ЦБ и обеспечивает надлежащую производительность и отказоустойчивость.