«Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»
В докладе были рассмотрены возможные подходы к решению задач идентификации, аутентификации и авторизации на уровне инфраструктуры организации.
Защита приложения требует наличия в нем встроенных функций идентификации/аутентификации/авторизации пользователя. Однако полагаться на встроенные функции становится сложно, когда необходимо обеспечить работу пользователей с множеством приложений, развернутых внутри организации и в облаке, и к тому же дать пользователям доступ с разнообразных устройств (ПК, мобильные устройства) и из сети организации, и вне ее периметра. В таких случаях задача обеспечения идентификации/аутентификации/авторизации должна быть решена на уровне инфраструктуры организации.
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Cisco Russia
Сертификация решений Cisco по требованиям безопасности. Часто задаваемые вопросы по сертификатам ФСТЭК.
Видеоролик: https://www.youtube.com/watch?v=hawTszgKiig
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...Kaspersky
В феврале этого года ФСТЭК утвердила методику оценки угроз, которая подразумевает формирование перечня актуальных сценариев реализации угроз ИБ, в том числе и на АСУ ТП. Перечень тактик и техник из методики ФСТЭК очень похож по своей идеологии на матрицу MITRE ATT&CK, но при этом они не синхронизированы, так как Россия не ищет легких путей и всегда идет своим маршрутом, что создает определенные сложности для владельцев АСУ ТП, которые вынуждены практически с нуля писать модель угроз по требованиям ФСТЭК, не имея возможность использовать имеющиеся по MITRE ATT&CK наработки. И так как составить перечень всех сценариев реализации угроз невозможно (хотя пока это и требуется по методике), необходимо приоритизировать возможные последовательности действий злоумышленников, опираясь на известные инциденты, которые уже происходили в АСУ ТП. Алексей Лукацкий, Бизнес-консультант по безопасности в Cisco, в своем докладе приводит типовые сценарии реализации угроз на АСУ ТП и их соответствие матрице MITRE ATT&CK. Ввиду несоответствия матрицы ATT&CK и перечня техник и тактик ФСТЭК в докладе соотносятся сценарии по ATT&CK и по ФСТЭК. В заключение спикер приводит примеры ключевых параметров модели угроз, которые должны присутствовать в ней согласно обязательной к применению методики оценки угроз ФСТЭК.
Подробнее о конференции: https://kas.pr/kicsconf2021
О том, как время влияет на информационную безопасность - с точки зрения производителей средств защиты информации, с точки зрения злоумышленников и с точки зрения специалистов по ИБ потребителей.
Сертификация решений Cisco по требованиям безопасности Часто задаваемые вопро...Cisco Russia
Сертификация решений Cisco по требованиям безопасности. Часто задаваемые вопросы по сертификатам ФСТЭК.
Видеоролик: https://www.youtube.com/watch?v=hawTszgKiig
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломле...Kaspersky
В феврале этого года ФСТЭК утвердила методику оценки угроз, которая подразумевает формирование перечня актуальных сценариев реализации угроз ИБ, в том числе и на АСУ ТП. Перечень тактик и техник из методики ФСТЭК очень похож по своей идеологии на матрицу MITRE ATT&CK, но при этом они не синхронизированы, так как Россия не ищет легких путей и всегда идет своим маршрутом, что создает определенные сложности для владельцев АСУ ТП, которые вынуждены практически с нуля писать модель угроз по требованиям ФСТЭК, не имея возможность использовать имеющиеся по MITRE ATT&CK наработки. И так как составить перечень всех сценариев реализации угроз невозможно (хотя пока это и требуется по методике), необходимо приоритизировать возможные последовательности действий злоумышленников, опираясь на известные инциденты, которые уже происходили в АСУ ТП. Алексей Лукацкий, Бизнес-консультант по безопасности в Cisco, в своем докладе приводит типовые сценарии реализации угроз на АСУ ТП и их соответствие матрице MITRE ATT&CK. Ввиду несоответствия матрицы ATT&CK и перечня техник и тактик ФСТЭК в докладе соотносятся сценарии по ATT&CK и по ФСТЭК. В заключение спикер приводит примеры ключевых параметров модели угроз, которые должны присутствовать в ней согласно обязательной к применению методики оценки угроз ФСТЭК.
Подробнее о конференции: https://kas.pr/kicsconf2021
О том, как время влияет на информационную безопасность - с точки зрения производителей средств защиты информации, с точки зрения злоумышленников и с точки зрения специалистов по ИБ потребителей.
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
Мы представляем ежегодный отчет Cisco по информационной безопасности, в котором рассмотрены в контексте ИБ 3 ключевые направления:
- злоумышленники и угрозы
- защитники
- геополитика
Описание нескольких кейсов, в которых возможно продемонстрировать обоснование финансовых инвестиций в ИБ на примере типичных банковских процессов - кредитование, повышение продуктивности, удержание персонала, private banking, борьба с криптолокерами, отражение DDoS и т.п.
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Ежегодный отчет Cisco по информационной безопасности 2015Cisco Russia
Мы представляем ежегодный отчет Cisco по информационной безопасности, в котором рассмотрены в контексте ИБ 3 ключевые направления:
- злоумышленники и угрозы
- защитники
- геополитика
Описание нескольких кейсов, в которых возможно продемонстрировать обоснование финансовых инвестиций в ИБ на примере типичных банковских процессов - кредитование, повышение продуктивности, удержание персонала, private banking, борьба с криптолокерами, отражение DDoS и т.п.
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Similar to «Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
Выступление на семинаре "Безопасная разработка и защита приложений", прошедшем 20 апреля в Mail.Ru Group.
Видео доступно по ссылке https://it.mail.ru/video/568/
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014ISSP Russia
Построение безопасной аутентификации к сервисам приватных и публичных облаков на базе решений Gemalto – ключевого компонента безопасной инфраструктуры Microsoft
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Возрастанию значения подписания кода способствуют две тенденции: рост популярности пользовательских приложений для мобильных и настольных устройств и распространение вредоносных программ. Для киберпреступников это открывает возможность заставить пользователей обманным путем устанавливать вредоносные программы. Прежде чем принять код для распространения, издатели ПО и операторы мобильных сетей все чаще требуют сертификат подписания кода, выданный надежным центром сертификации. Узнайте о преимуществах подписания кода: загрузите нашу официальную публикацию и презентацию SlideShare.
V (Юбилейная) Конференция «Развитие информационной безопасности в Казахстане» 28.10.2016г Астана
Similar to «Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ» (20)
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Mail.ru Group
В рамках доклада мы поделимся примерами проектов, на которых есть автоматизация, но нет ни одного специально выделенного инженера для выполнения задач, связанных с автоматизацией тестирования. Затронем такие вопросы как:
что нас привело к такому решению (отказаться от test automation инженеров);
сложности, с которыми мы столкнулись;
бонусы, которые мы в итоге получили.
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...Mail.ru Group
Автоматизация тестирования UI — это всегда непростая задача, особенно в условиях активной разработки и постоянного изменения требований. Как мы решали эту проблему в mall.my.com. Как и почему пришли к BDD. Какие инструменты выбрали. И что из этого вышло.
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Mail.ru Group
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail.ru;
Свежий взгляд на Fiddler и его сравнение с Clumsy и Charles;
Небольшой обзор и сравнение функционала Fiddler и Charles.
Управление инцидентами в Почте Mail.ru, Антон ВикторовMail.ru Group
что такое инциденты и почему это важно;
как из непонятного сделать «рутину»;
про автоматизацию: OTRS, Jira, чат-боты;
про диагностику: логирование, как работает Bomgar;
про сообщество: специальная программа тестирования почты для сотрудников.
На сегодняшний день такие популярные анализаторы, как OWASP ZAP и Burp Suite, не всегда хорошо справляются с задачей автоматического сканирования приложений. Нередко они не могут найти какие-то специфические директории, автоматически отправить запрос без участия человека. И чаще данные инструменты запускаются локально. При этом, если в компании хорошо работает команда по автоматизации тестирования, их работу можно взять за основу динамического анализа и фазинга.
Как бонус, обсудим разницу Burp Suite Professional и Burp Suite Enterprise с точки зрения CI/CD и подключения автоматизированных тестов.
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Mail.ru Group
Почему каждый DL-инженер должен написать свою либу для обучения сеток, а потом отказаться от неё.
Расскажу про опыт написания kekas-а, и почему в своей команде мы пользуемся pytorch-lightning как более зрелым решением.
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...Mail.ru Group
Расскажу про различные полезные библиотеки и функции Python: от простых и известных, до специфичных и редких. Поделюсь тем, какие технологии мы используем при разработке, обучении и деплое наших моделей: что помогало улучшить качество, а что тормозило разработку.
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaMail.ru Group
Все мы знаем, что наш любимый Pandas исключительно однопоточный, а модели из scikit-learn часто учатся не очень быстро даже в несколько процессов. Поэтому в докладе я расскажу о проекте RAPIDS - наборе библиотек для анализа данных и построения предиктивных моделей с использованием NVIDIA GPU. В докладе я предложу подискутировать о том, что закон Мура больше не выполняется, рассмотрю принципы работы архитектуры CUDA. Разберу библиотеки cuDF и cuML, а также постараюсь предельно честно рассказать о том, ждать ли чуда от перехода на GPU и в каких случаях чудо неизбежно.
WebAuthn в реальной жизни, Анатолий ОстапенкоMail.ru Group
Я расскажу, как мы поддержали вход через WebAuthn в самом крупном почтовом сервисе рунета и какие сложности скрываются за красивыми презентациями о том, какой WebAuthn простой и безопасный:
как сделать WebAuthn понятным и доступным для пользователей;
как поддержать его во всех браузерах и устройствах;
как тестировать WebAuthn, в том числе автоматизированно;
куда двигаться дальше после его запуска и включения.
AMP для электронной почты, Сергей ПешковMail.ru Group
Библиотека AMP — это не только современный инструмент создания богатых функциональностью и производительных web-сайтов, адаптированных для работы на мобильных устройствах. AMP для электронной почты радикально обновляет традиционный формат электронных писем, позволяя создавать более привлекательные и полезные для пользователя рассылки.
В Почте Mail.ru очень вдохновляют новые возможности, которые может предоставить нашим пользователям и партнерам AMP для электронной почты. Этот доклад о том:
почему стандарт для по-настоящему интерактивных электронных писем не получалось создать раньше;
что из себя представляет стандарт AMP4Email, какие новые способы взаимодействия с письмом он дает;
как с его помощью повысить ценность рассылки для пользователя;
как мы реализовали поддержку AMP4Email в своих продуктах и обеспечили его безопасность;
как AMP4Email может повысить конверсию на примере внедрения AMP-рассылок в партнерстве с крупнейшим сервисом электронной коммерции в России.
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Mail.ru Group
Delivery Club — крупнейшая фудтех-платформа в России, которая объединяет более 12 000 ресторанов разной ценовой категории в более чем 120 городах.
Мы разработали приложение для наших партнеров, в котором они могут управлять заказами, меню, ингредиентами, статистикой в удобном интерфейсе. В докладе пойдет речь о том, как внедрение практик PWA помогло нам улучшить пользовательский опыт, решить вопросы, связанные с работой приложения на разных платформах. И как поддержка offline-режима избавила нас от проблем с вечными перепадами сети у наших партнеров.
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Mail.ru Group
AI Journey — двухдневная конференция с ведущими международными и российскими спикерами — экспертами в области искусственного интеллекта и анализа данных, а также представителями компаний — лидеров по развитию и применению технологий ИИ в бизнес-процессах.
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Mail.ru Group
AI Journey — двухдневная конференция с ведущими международными и российскими спикерами — экспертами в области искусственного интеллекта и анализа данных, а также представителями компаний — лидеров по развитию и применению технологий ИИ в бизнес-процессах.
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Mail.ru Group
AI Journey — двухдневная конференция с ведущими международными и российскими спикерами — экспертами в области искусственного интеллекта и анализа данных, а также представителями компаний — лидеров по развитию и применению технологий ИИ в бизнес-процессах.
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Mail.ru Group
AI Journey — двухдневная конференция с ведущими международными и российскими спикерами — экспертами в области искусственного интеллекта и анализа данных, а также представителями компаний — лидеров по развитию и применению технологий ИИ в бизнес-процессах.
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Mail.ru Group
AI Journey — двухдневная конференция с ведущими международными и российскими спикерами — экспертами в области искусственного интеллекта и анализа данных, а также представителями компаний — лидеров по развитию и применению технологий ИИ в бизнес-процессах.
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
«Идентификация, аутентификация, авторизация – встроенные функции приложений или задачи специализированного сервиса организации?», Михаил Ванин, генеральный директор, ООО «РЕАК СОФТ»
3. Возможные варианты реализации в приложении
парольной аутентификации
Использование встроенных
возможностей браузерови
протокола HTTP
Создание в приложении
формы парольной
аутентификации
4. HTTP Basic парольная аутентификация
Клиент Сервер
GET /private HTTP/1.1
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic
realm= "Site name"
Пользователь
GET /private HTTP/1.1
Authorization: Basic dXNlcjpwYXNz==
HTTP/1.1 200 OK
* base64encode("user:pass")="dXNlcjpwYXNz"
5. Другие виды HTTP аутентификации
1. Digest
2. NTLM (Windows Authentication)
3. Negotiate
6. Аутентификация с использованиемформы
Клиент Сервер
GET /login HTTP/1.1
HTTP/1.1 200 OK
Пользователь
POST /login HTTP/1.1
login=user@mail.ru&password=pass
HTTP/1.1 302 Found
Set-Cookie: token=AwM1ZW…Ni;
Secure; HttpOnly
GET /private HTTP/1.1
Cookie: token=AwM1ZW…Ni
HTTP/1.1 200 OK
7. Пользователи не доверяют паролям
Источник: 2015Accenture Digital Consumer Survey
Я нуждаюсь в
альтернативе
логинам/паролям для
своей защиты в
Интернете
Логины и
пароли
громоздки в
использовании
В следующем
году я бы
использовал
уникальный чипв
моем
телефоне/ПК для
своей защиты в
Интернете
В следующем
году я бы
использовал
биометрию для
своей защиты в
Интернете
Я знаю не менее
одной
альтернативы
логину/паролю
для своей
защиты в
Интернете
8. Повышение надежности аутентификации
Строгая аутентификация
(криптографические
средства и электронная
подпись)
Усиленная
аутентификация
(усиление парольной
аутентификацией –
проверка 2 фактора)
9. Строгая аутентификация с использованием
TLS/SSL Handshake
Клиент Сервер
Фаза 1. Определение параметров шифрования
Пользователь
Фаза 3. Отправка серверу сертификата клиента
(в открытом виде и в зашифрованном на
приватном ключе), проверка сертификата клиента
Фаза 4. Выработка предварительного ключа,
отправка серверу в зашифрованном на открытом
ключе сервера виде, взаимная выработка
сессионного ключа
Фаза 5. Завершение handshake, взаимный обмен
данными по шифрованному каналу
Фаза 2. Получение и проверка сертификата
сервера, запрос сертификата клиента
10. Строгая аутентификация с использованием
формы аутентификации
Для возможности взаимодействия веб-браузера с USB-токеном /
смарт-картой необходим браузерный плагин
11. Критерии выбора плагина
1. Поддержка различных ОС и браузеров
- Поддерживается ли GoogleChrome? Или работа только через NPAPI?
- Поддерживаются ли Linux и MacOS X последних версий, и какие их
браузеры?
2. Поддержка средств электронной подписи различных
производителей
- Поддерживаются ли смарт-карты и токены толькоодного производителя
или разных?
- Обеспечивается ли поддержка только вWindows или и в других ОС?
3. Уровень технической поддержки производителя
плагина
- Имеет ли разработчик плагина обязательства по технической поддержке и
SLA?
4. Безопасность плагина
- Не помещает ли плагин в ОС корневые доверенные сертификаты?
- Не требует ли плагин ввода пользователемПИН-кода в веб-страницы
браузера?
16. Примеры файлов описанийHOTP-устройств
Существует большоеразнообразие формата файлов, описывающих
HOTP-устройства
Пример файла для Aladdin eToken Pass
Пример файла для YubiKey
Пример файла для NagraID
Security Display Card
17. ПримерыTOTP мобильных приложений
Google Authenticator
(наиболее известный)
Authy
(наиболее
функциональный)
Bitrix24 OTP
(сделан компанией
из РФ)
RFC6238 «TOTP: Time-Based One-Time Password Algorithm»
19. FIDO U2F устройство (Universal 2nd Factor)
Регистрация
устройства
Проверка
при входе
20. Еще разработчикибеспокоятся о …
Регистрация и
администрирование
учетных записей
Применениепарольных
политик
Регистрация событий
входа/выхода
Сервисы самостоятельного
восстановленияпароля
Отчеты о событиях
входа
Сервисы смены пароля,
управления
аутентификаторами
Информирование
пользователейо
событиях входа
Сервисы выхода из
приложений
21. А правильно ли разработчики поступают, когда
создают все эти функции безопасности в своем
приложении?
23. Пользователи устали от парольного хаоса
Я не хочу запоминать много паролей от
своих рабочих учетных записей.
И мне не нравится, что при смене пароля
в каждом приложении своиправила его
задания.
Мне не нравится, что когдапереключаюсь
между приложениями, то у меня каждый
раз просят вновь ввестилогин и пароль.
И что мешает сделать, чтобыэкраны
входа выглядели одинаково?
Я редко использовала приложение и
забыла отнего пароль.
И как мне его теперь восстановить?
24. Беспорядок с входом в приложения беспокоит и
администраторов ИБ
Я не могу гибко настроить в
приложениях правила
аутентификации.
Придется довольствоваться
парольной аутентификацией
При внедрении нового приложения мне
нужно готовить для него учетные
записи, давать доступы, выдавать
пользователям пароли. На это я
трачу своивремя и энергию
Пользователи не могут
быстро усвоить новые
пароли. Внедрение новых
приложений происходит
медленно
Чем больше приложений со
своей системой входа, тем
чаще инциденты «забыл
пароль». Порачто-то с
этим предпринять
25. Беспорядок с входом в приложения беспокоит и
администраторов
У меня нет единой картины,
в какие приложения кто из
пользователей и как часто
ходит
Я не уверен, что всеэти механизмы
аутентификации в разных
приложениях безопасны. Сделанное
«плохо» приложение компрометирует
пароли и несет угрозу безопасности
Пользователи выбирают
ненадежные пароли. Вход
не защищен. Парольные
политики не эффективны
26. Организациямнужен единый сервис доступа
Пользовательсиспользованиемлюбого
устройстваединождыпроходит
идентификациюи аутентификацию
Получаетдоступкразрешенным приложениям
как внутри, таки вне организации
Единый сервис
доступа
организации
27. Преимущества использования единого сервиса
Пользователям:
1) используявсего одну учётную
запись пользователь получает
доступко всем приложениям
организации.Пользователи
избавлены от необходимости
помнить много логинов и
паролей
2) используют надежные методы
двухфакторной
аутентификации
3) имеют средства для
самостоятельногоконтроля
событий безопасности,
связанныхс входом/выходомв
приложения
Владельцам/администраторам:
1) централизуют управление
аутентификацией,снижают
эксплуатационные затраты
2) внедрение новыхприложений
происходит быстрее – не нужно
раздавать пользователям
логины и пароли
3) увеличивают безопасность
4) снижают зависимость от
поставщиков решений по
аутентификации.Легко можно
заменять поставщиков смарт-
карт/токенов
5) с меньшими затратами
добиваютсясоответствия
нормативным требованиям по
ИБ
28. Единыйсервис доступа – это в тренде
Для пользователейИнтернет привычно,когда онииспользуют любимую
учетнуюзапись соц.сетидля доступак множеству сайтов.
29. Эволюция условий, в которых должен
функционировать единый сервис доступа
Пользователи приложений –
исключительно сотрудники компании
Все устройства доступа – это ПК
Все приложения развернуты
исключительно внутри организации
Вчерашний день
Люди
(пользователи)
Устройства
доступа
Приложения
и данные
31. Как можно создать единыйсервис доступа?
Традиционный метод Современный метод
«Парольный менеджер»
(Enterprise SSO, PasswordWallet)
Identity Provider и использование
протоколов федеративного доступа
(SAML / WS-Federation/ OAuth 2.0 +
OpenID Connect)
32. Парольный менеджер, Enterprise Single Sign On
Клиентская часть
приложения
Серверная часть
приложения
GET /login HTTP/1.1
HTTP/1.1 200 OK
Пользователь
POST /login HTTP/1.1
login=user@mail.ru&password=pass
HTTP/1.1 302 Found
Set-Cookie: token=AwM1ZW…Ni;
Secure; HttpOnly
GET /private HTTP/1.1
Cookie: token=AwM1ZW…Ni
HTTP/1.1 200 OK
ESSO-агент на ПК
пользователя
ESSO-агент перехватывает
окна входа приложений и
подставляет в них логины и
пароли пользователя
33. Идентификация/аутентификация с поставщиком
идентификации SAML
Поставщик услуг
(приложение, SP)
Поставщик идентификации
(SAML IDP)
GET /private HTTP/1.1
Пользователь Браузер
GET /SAML/Redirect/SSO?
SAMLRequest=…&RelayState=01c..a95b9c
HTTP/1.1
HTTP/1.1 200 OK
POST /private HTTP/1.1
RelayState=01c..a95b9c
SAMLResponse=…
Установлено доверие,
произведен обмен
метаданными SP и IDP
38. OAuth-клиент
(бэкэнд приложения)
Поставщик идентификации
(OpenID Connect сервер)Пользователь Браузер
Идентификация/аутентификация с поставщиком
идентификацииOpenID Connect (OAuth 2.0)
Обновление маркера доступа при устаревании
POST /oauth/te HTTP/1.1
Authorization: Basic bG9jYWxo…
grant_type=refresh_token
&refresh_token=FepnjwwA…
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token": "OVrfAj0B…",
"token_type": "bearer",
"expires_in": 3600,
"refresh_token": "jj2DAYsP…",
"scope": "openid phone email"
}
39. ПО для созданияединого сервиса доступа
Решения крупнейших
вендоров
Специализированное ПО
Облачные сервисы
(IDaaS)
Российское ПО
Решения на основеметода
«парольный менеджер»
Решения на основе
протоколовфедеративного доступа
RSA Access
Management
Blitz Identity Provider
Open-source
40. Заключение
1. Создание в приложении функций идентификации,
аутентификации,авторизациитребуетусилий и
компетенции
2. Результатполучаетсялучшеприрешении задач
идентификации, аутентификации,авторизациисторонними
средствамизащиты, а не путем созданиявстроенных
функций безопасности
3. Есть большойвыборвариантовплатформыдлясоздания
единого сервисадоступа.Естьнесколько популярныхи
устоявшихсястандартовипротоколовдля взаимодействия
приложенийи единого сервисадоступа
ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
41. Материалы по теме презентации
1. ДистрибутивПОBlitz Identity Provider для созданияединого
сервисадоступа(Linux/Windows)-
http://identityblitz.ru/products/blitz-identity-provider/download/
2. ОбзорнаястатьянаХабре о способахи протоколах
аутентификации(Дмитрий Выростков,DataArt) -
https://habrahabr.ru/company/dataart/blog/262817/
3. Мои презентациина SlideShare -
http://www.slideshare.net/MikhailVanin
Пожалуйста, задавайте вопросы!
ООО «РЕАКСОФТ» http://identityblitz.ru +7 (499) 322-14-04 info@reaxoft.ru
Мои контакты: Михаил Ванин, mvanin@reaxoft.ru