Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Внедрение системы аутентификации на 60000 пользователей в ТМК

Благодаря реализации проекта появился портал (единое окно входа), через который сотрудники (60 000+ человек) могут аутентифицироваться в информационных системах, к которым предоставлен доступ.

Разработаны сценарии аутентификации для различных категорий пользователей с использованием современных подходов (двухфакторная аутентификация, мобильное приложение, QR-код), интегрировано и реализовано SSO в основных и критичных информационных системах и др.

Сроки выполнения проекта: май, 2022 г. – май, 2023 г.

Масштаб проекта: 60000 абонентов.

Голосовать.png

Цели проекта:

  • Объединение распределённой мультидоменной инфраструктуры компании в единый каталог пользователей систем аутентификации.

  • Уход от паролей в сторону современных методов аутентификации (через собственное мобильное приложение Avanpost Authenticator и Корпоративного приложения). И прозрачного входа (SSO).

  • Построение адаптивных сценариев аутентификации с учетом множества различных категорий сотрудников компании. В зависимости от риска информационной безопасности

  • Унификация процессов идентификации и аутентификации за счет использования современных протоколов и методов интеграции приложений.

  • Внедрение самообслуживания пользователей в части управления учетными записями и аутентификаторами.

Уникальность проекта для рынка:

  • Более 15 разнородных доменов со своей спецификой в части идентификации пользователей и аутентификации LDAP и Kerberos.

  • В рамках каждого приложения аутентификацию проходит более пяти категорий сотрудников со своим специфическим набором факторов, что потребовало применения адаптивного механизма аутентификации с динамическим вычислением шагов сценария.

  • Обогащение атрибутов пользователей, необходимых для интеграции с приложениями из кадровой базы данных.

  • Мультидоменный сервис смены паролей сотрудников с защитой 2FA.

  • Полномасштабный перевод сотрудников на современные методы аутентификации, предоставляемые мобильным приложением Avanpost Authentificator (беспарольный вход по QR- коду, вход посредством push-запросов).

  • Более 60000 пользователей.

  • Интегрировано и реализовано SSO в основных и критичных информационных системах (ERP, Электронная почта, Терминальные сервера, Системы удаленного доступа, Корпоративные порталы, и другие).

  • Разработанные единые требования для всех новых ИС и являются обязательными.

Внедрение решения:

Этап 1: Критерии выбора исполнителя

Крупнейшей российской металлургической компании ТМК потребовалась реализация проекта по внедрению современной системы аутентификации пользователей. Основные потребности со стороны ИТ и ИБ-подразделений были сформулированы следующим образом:

Поддержка современных протоколов авторизации (SAML\OpenID\Kerberos): Требовалась система, способная поддерживать актуальные протоколы аутентификации и безопасности.

Возможность интеграции с информационными системами компании: Система должна предоставлять лучшее инфраструктурное решение, которое можно было легко интегрировать с существующими информационными системами компании.

On-premise решение: решение должно быть развернуто на собственной инфраструктуре, чтобы обеспечить больший контроль над данными и безопасностью.

Поддержка личного кабинета сотрудника: Сотрудники должны иметь возможность самостоятельно управлять своими учетными записями через личный кабинет.

Возможность гибкого администрирования: Система должна позволять администраторам легко настраивать и управлять параметрами аутентификации.

Обеспечение отказоустойчивости: Важным критерием была надежность системы и ее отказоустойчивость.

Этап 2: Выбор решения на конкурентном рынке

Исходя из вышеуказанных критериев, ТМК выбрала систему Avanpost FAM, которая лучше всего соответствовала указанным требованиям. Это решение полностью отвечало необходимым потребностям бизнеса компании ТМК.

Этап 3: Готовая архитектура и реализованные интеграции

В ходе проекта была разработана отказоустойчивая архитектура, способная поддерживать современные методы кластеризации и обеспечивать надежность системы. Важно отметить, что система была развернута на отечественной операционной системе, что позволяет исключить влияние внешних факторов, связанных с уходом международных вендоров.

Одним из ключевых достижений проекта была успешная интеграция с кадровыми системами компании, что позволило обеспечить непрерывный жизненный цикл учетных записей сотрудников – от их приема до увольнения. Таким образом, процесс авторизации сотрудников стал более эффективным и автоматизированным.

Дополнительно были разработаны адаптивные сценарии аутентификации пользователей, обеспечивающие безопасный и удобный доступ для разных категорий сотрудников. Произведены доработки в важных и критичных информационных системах компании, чтобы поддержать современные протоколы автоматизации.

На данный момент эти системы успешно интегрированы и активно используются более чем 60,000 пользователей, что подтверждает успешную реализацию проекта и его важность для компании.

Сложность реализации:

  • Наличие множества доменов и лесов к структуре Windows AD.

  • Множество ИС, поддерживающих устаревшие протоколы авторизации.

  • Высокие требования в вопросах ИБ и жизненного цикла учетных записей.

  • Разные сценарии для разных сотрудников в разных окружениях.

  • Массовое использование мобильного приложения.

Результаты:

  • У пользователей (60 000+) появился портал (единое окно входа), через который сотрудники могут аутентифицироваться в информационных системах, куда предоставлен доступ.

  • Разработаны адаптивные сценарии аутентификации для различных категорий пользователей.

Голосовать.png

Реклама. ПАО «ТМК»

1188

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.