Внедрение современной системы аутентификации на 60000 пользователей в ТМК (Трубная металлургическая компания)

Заказчик:
Трубная металлургическая компания (ТМК)
Руководитель проекта со стороны заказчика
Поставщик
ООО «Аванпост» / Avanpost
Год завершения проекта
2023
Сроки выполнения проекта
Май, 2022 - Май, 2023
Масштаб проекта
60000 абонентов
Цели
  • Объединение распределённой мульти доменной инфраструктуры компании в единый каталог пользователей систем аутентификации.
  • Уход от паролей в сторону современных методов аутентификации (через собственное мобильное приложение Avanpost Authenticator и Корпоративного приложения). И прозрачного входа (SSO).
  • Построение адаптивных сценариев аутентификации с учетом множества различных категорий сотрудников компании. В зависимости от риска информационной безопасности
  • Унификация процессов идентификации и аутентификации за счет использования современных протоколов и методов интеграции приложений.
  • Внедрение самообслуживания пользователей в части управления учетными записями и аутентификаторами.

Результаты
  • У пользователей (60 000+) появился портал (единое окно входа), через который сотрудники могут аутентифицироваться в информационных системах, куда предоставлен доступ.
  • Разработаны адаптивные сценарии аутентификации для различных категорий пользователей.

Уникальность проекта


  • Более 15 разнородных доменов со своей спецификой в части идентификации пользователей и аутентификации LDAP и Kerberos.
  • В рамках каждого приложения аутентификацию проходит более пяти категорий сотрудников со своим специфическим набором факторов, что потребовало применения адаптивного механизма аутентификации с динамическим вычислением шагов сценария.
  • Обогащение атрибутов пользователей, необходимых для интеграции с приложениями из кадровой базы данных.
  • Мультидоменный сервис смены паролей сотрудников с защитой 2FA.
  • Полномасштабный перевод сотрудников на современные методы аутентификации, предоставляемые мобильным приложением Avanpost Authentificator (беспарольный вход по QR- коду, вход посредством push-запросов).
  • Более 60000 пользователей
  • Интегрированный и реализовано SSO в основных и критичных информационных системах (ERP, Электронная почта, Терминальные сервера, Системы удаленного доступа, Корпоративные порталы, и другие)
  • Разработанные единые требования для всех новых ИС и являются обязательными


Проект решает задачи импортозамещения
Да
Использованное ПО
Avanpost FAM, Avanpost Authentificator, Кадровый портал.


Сложность реализации
  • Наличие множества доменов и лесов к структуре Windows AD
  • Множество ИС поддерживающих устаревшие протоколы авторизации
  • Высокие требования в вопросах ИБ и жизненного цикла учетных записей
  • Разные сценарии для разных сотрудников в разных окружениях
  • Массовое использование мобильного приложения.

Описание проекта
Этап 1: Критерии выбора исполнителя
Крупнейшей российской металлургической компании ТМК потребовалась реализация проекта по внедрению современной системы аутентификации пользователей. Основные потребности со стороны ИТ и ИБ подразделений были сформулированы следующим образом:
Поддержка современных протоколов авторизации (SAML\OpenID\Kerberos): Требовалась система, способная поддерживать актуальные протоколы аутентификации и безопасности.
Возможность интеграции с информационными системами компании: Система должна предоставлять лучшее инфраструктурное решение, которое можно было легко интегрировать с существующими информационными системами компании.
On-premise решение: решение должно быть развернуто на собственной инфраструктуре, чтобы обеспечить больший контроль над данными и безопасностью.
Поддержка личного кабинета сотрудника: Сотрудники должны иметь возможность самостоятельно управлять своими учетными записями через личный кабинет.
Возможность гибкого администрирования: Система должна позволять администраторам легко настраивать и управлять параметрами аутентификации.
Обеспечение отказоустойчивости: Важным критерием была надежность системы и ее отказоустойчивость.
Этап 2: Выбор решения на конкурентном рынке
Исходя из вышеуказанных критериев, ТМК выбрала систему Avanpost FAM, которая лучше всего соответствовала указанным требованиям. Это решение полностью отвечало необходимым потребностям бизнеса компании ТМК.
Этап 3: Готовая архитектура и реализованные интеграции
В ходе проекта была разработана отказоустойчивая архитектура, способная поддерживать современные методы кластеризации и обеспечивать надежность системы. Важно отметить, что система была развернута на отечественной операционной системе, что позволяет исключить влияние внешних факторов, связанных с уходом международных вендоров.
Одним из ключевых достижений проекта была успешная интеграция с кадровыми системами компании, что позволило обеспечить непрерывный жизненный цикл учетных записей сотрудников - от их приема до увольнения. Таким образом, процесс авторизации сотрудников стал более эффективным и автоматизированным.
Дополнительно были разработаны адаптивные сценарии аутентификации пользователей, обеспечивающие безопасный и удобный доступ для разных категорий сотрудников. Произведены доработки в важных и критичных информационных системах компании, чтобы поддержать современные протоколы автоматизации.
На данный момент эти системы успешно интегрированы и активно используются более чем 60,000 пользователей, что подтверждает успешную реализацию проекта и его важность для компании.


География проекта
Организационные рамки проекта: все предприятия группы компании ТМК.

Дополнительные презентации:
ТМК ID.pdf
Коментарии: 6

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Максим Часовиков
    Рейтинг: 4767
    РАНХиГС
    Директор Проектов проектного офиса ректора
    04.01.2024 21:58

    Добрый день, вы пишите, что " эти системы успешно интегрированы и активно используются более чем 60,000 пользователей, что подтверждает успешную реализацию проекта и его важность для компании " - это все сотрудники компании?

    • Дмитрий Якоб Максим
      Рейтинг: 1599
      Трубная металлургическая компания (ТМК)
      Директор по ИТ
      09.01.2024 16:54

      Максим, добрый день. Спасибо за вопрос.
      Да, более 60 000 пользователей – это персонал Группы компаний: сотрудники предприятий российского дивизиона ТМК.

  • Вячеслав Чупраков
    Рейтинг: 1284
    Прагматика Эксперт
    Заместитель ИТ директора по инфраструктуре и сервисам
    05.01.2024 22:16

    Добрый вечер, при интеграции с кадровыми системами, как вы решаете с учётными данными, если сотрудник перетек из одной компании в другую внутри холдинга?

    • Дмитрий Якоб Вячеслав
      Рейтинг: 1599
      Трубная металлургическая компания (ТМК)
      Директор по ИТ
      09.01.2024 16:56

      Вячеслав, добрый день.
      Это отличный вопрос, т.к. ситуация достаточно частая в нашем контуре и одной из задач проекта была ее правильная отработка.
      Для обеспечения уникальности пользователя при кадровых изменениях мы используем механизм синхронизации данных между кадровой учетной системой и системой SSO, а также уникальный идентификатор, который определяет именно физическое лицо. Его значение фиксируется как в кадровых системах, так и в SSO. Автоматизация учитывает этот параметр, и при переводе сотрудника между предприятиями внутри группы у него изменяется только кадровая информация, но не его учетная запись.

  • Дмитрий Турчановский
    Рейтинг: 2577
    Зарубежнефть
    Заместитель начальника Управления информационных технологий
    07.01.2024 13:01

    Добрый день. Масштабный проект, есть ли измеримые эффекты от внедрения системы, на каких объемах он окупается?

  • Дмитрий Якоб
    Рейтинг: 1599
    Трубная металлургическая компания (ТМК)
    Директор по ИТ
    09.01.2024 17:04

    Дмитрий, добрый день. Спасибо за вопрос.
    Да, внедрение SSO может иметь измеримые эффекты. Одно из основных преимуществ – увеличение производительности сотрудников за счет уменьшения времени, затрачиваемого на ввод учетных данных при доступе к различным системам, и в связи с этим снижение нагрузки на службу поддержки.
    Данный проект несет не только экономический эффект, он в первую очередь повышает удобство и безопасность использования информационных ресурсов компании. Это качественные эффекты, которые сложно посчитать, но они, исходя из нашего опыта, являются значительными.
    Что касается окупаемости внедрения SSO, то это зависит от конкретных условий и объема предприятия.
    Для расчета на своем предприятии вы можете воспользоваться, например, следующим подходом:
    1) Количество систем (без SSO) * Время входа пользователя * Количество пользователей * Стоимость труда (Средняя) = Эффект на пользователей.
    2) Количество систем (без SSO) * Количество сбросов (обращений) паролей * Количество пользователей * Время решения обращения * Стоимость минуты труда ИТ специалиста = Эффект ИТ.
    3) Эффект на пользователей + Эффект ИТ – Затраты на внедрения – Затраты на эксплуатацию = Эффект (в год).

Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.