Доменная аутентификация и единый вход (SSO)

Зона ответственности: Printum + Заказчик / Интегратор

Коротко: Printum поддерживает доменную аутентификацию и единый вход через LDAP/Active Directory, SAML 2.0 и Kerberos/GSSAPI. Пользователи, группы и организационная структура могут синхронизироваться из корпоративной службы каталогов.

Требование

Система должна поддерживать централизованную аутентификацию пользователей через корпоративную инфраструктуру управления учётными записями.

Использование доменной аутентификации и единого входа позволяет централизованно управлять пользователями, применять корпоративные политики безопасности и снизить необходимость ведения отдельных локальных учётных записей.

Как это реализовано в Printum

Printum поддерживает интеграцию с корпоративными службами каталогов и механизмами единого входа.

Поддерживаются следующие механизмы аутентификации:

LDAP / Active Directory;
SAML 2.0;
Kerberos / GSSAPI.

LDAP / Active Directory

Printum поддерживает синхронизацию пользователей, групп и организационной структуры из службы каталогов.

Поддерживаются:

Microsoft Active Directory;
FreeIPA;
Samba DC;
РЕД АДМ;
ALD Pro.

Синхронизация выполняется независимо для каждого подключённого домена. Ошибки синхронизации одного домена не блокируют обработку остальных доменов.

Пользователи, отсутствующие в службе каталогов в течение нескольких циклов синхронизации, автоматически помечаются как удалённые в домене.

SAML 2.0

Printum поддерживает аутентификацию через внешнего поставщика удостоверений (Identity Provider) по протоколу SAML 2.0.

Автоматическое создание неизвестных пользователей при входе через SAML не используется. Пользователь должен быть предварительно создан или синхронизирован в Printum.

Kerberos / GSSAPI

Printum поддерживает доменную аутентификацию через Kerberos/GSSAPI.

При использовании Kerberos возможно применение механизмов сквозной доменной аутентификации в соответствии с настройками инфраструктуры организации.

Сопоставление пользователей

Для SAML и Kerberos настраивается правило сопоставления пользователя внешней системы с учётной записью Printum.

После успешной аутентификации пользователю предоставляется доступ в соответствии с назначенной ролью и действующей моделью разграничения доступа.

Что требуется от инфраструктуры

Настройка и сопровождение LDAP/Active Directory, SAML, Kerberos/GSSAPI и связанных политик безопасности выполняются администраторами инфраструктуры заказчика.

Для использования доменной аутентификации должны быть настроены соответствующие службы каталогов, поставщики удостоверений и необходимые параметры доверия между системами.

Совместимость с антивирусным ПО

Атрибутный состав записи в журнале

Аудит действий администраторов

Журналы без чувствительных данных

Защита журналов от изменения и доступ к журналам

Мониторинг и анализ событий безопасности

Передача событий в SIEM

Перечень регистрируемых событий безопасности

Синхронизация времени (NTP)

Мандатное управление доступом

Профили безопасности

Хранение паролей в хэшированном и зашифрованном виде

Rootless режим контейнера

Отсутствие SUID-SGID файлов и утилит повышения привилегий

Соответствие рекомендациям CIS Benchmark

Фиксированные теги контейнерных образов

Хранение секретов в контейнерных образах

Контроль целостности ПО и конфигурационных файлов

Механизмы резервного копирования и восстановления

Использование небезопасных сетевых протоколов

Сегментация сети и зоны безопасности

Анонимный доступ запрещён

Блокировка и управление учётными записями

Доменная аутентификация и единый вход (SSO)

Идентификация и аутентификация пользователей

Парольная политика

Ролевая модель RBAC

Тайм-аут сессии и автоматическое завершение сеанса

Технические учётные записи

Использование СКЗИ и ГОСТ-криптографии

Управление сертификатами

Шифрование каналов связи

Доменная аутентификация и единый вход (SSO)

Требование

Как это реализовано в Printum

LDAP / Active Directory

SAML 2.0

Kerberos / GSSAPI

Сопоставление пользователей

Что требуется от инфраструктуры