Внедрение современной системы аутентификации на 60000 пользователей в ТМК (Трубная металлургическая компания)
- Заказчик
- Трубная металлургическая компания (ТМК)
- Руководитель проекта со стороны заказчика
-
- ИТ-поставщик
- ООО «Аванпост» / Avanpost
- Год завершения проекта
- 2023
- Сроки выполнения проекта
- Май, 2022 - Май, 2023
- Масштаб проекта
- 60000 абонентов
- Цели
-
- Объединение распределённой мульти доменной инфраструктуры компании в единый каталог пользователей систем аутентификации.
- Уход от паролей в сторону современных методов аутентификации (через собственное мобильное приложение Avanpost Authenticator и Корпоративного приложения). И прозрачного входа (SSO).
- Построение адаптивных сценариев аутентификации с учетом множества различных категорий сотрудников компании. В зависимости от риска информационной безопасности
- Унификация процессов идентификации и аутентификации за счет использования современных протоколов и методов интеграции приложений.
- Внедрение самообслуживания пользователей в части управления учетными записями и аутентификаторами.
- Результаты
-
- У пользователей (60 000+) появился портал (единое окно входа), через который сотрудники могут аутентифицироваться в информационных системах, куда предоставлен доступ.
- Разработаны адаптивные сценарии аутентификации для различных категорий пользователей.
Уникальность проекта
- Более 15 разнородных доменов со своей спецификой в части идентификации пользователей и аутентификации LDAP и Kerberos.
- В рамках каждого приложения аутентификацию проходит более пяти категорий сотрудников со своим специфическим набором факторов, что потребовало применения адаптивного механизма аутентификации с динамическим вычислением шагов сценария.
- Обогащение атрибутов пользователей, необходимых для интеграции с приложениями из кадровой базы данных.
- Мультидоменный сервис смены паролей сотрудников с защитой 2FA.
- Полномасштабный перевод сотрудников на современные методы аутентификации, предоставляемые мобильным приложением Avanpost Authentificator (беспарольный вход по QR- коду, вход посредством push-запросов).
- Более 60000 пользователей
- Интегрированный и реализовано SSO в основных и критичных информационных системах (ERP, Электронная почта, Терминальные сервера, Системы удаленного доступа, Корпоративные порталы, и другие)
- Разработанные единые требования для всех новых ИС и являются обязательными
- Проект решает задачи импортозамещения
- Да
- Использованное ПО
-
Avanpost FAM, Avanpost Authentificator, Кадровый портал.
- Сложность реализации
-
- Наличие множества доменов и лесов к структуре Windows AD
- Множество ИС поддерживающих устаревшие протоколы авторизации
- Высокие требования в вопросах ИБ и жизненного цикла учетных записей
- Разные сценарии для разных сотрудников в разных окружениях
- Массовое использование мобильного приложения.
- Описание проекта
-
Этап 1: Критерии выбора исполнителяКрупнейшей российской металлургической компании ТМК потребовалась реализация проекта по внедрению современной системы аутентификации пользователей. Основные потребности со стороны ИТ и ИБ подразделений были сформулированы следующим образом:
Поддержка современных протоколов авторизации (SAML\OpenID\Kerberos): Требовалась система, способная поддерживать актуальные протоколы аутентификации и безопасности.
Возможность интеграции с информационными системами компании: Система должна предоставлять лучшее инфраструктурное решение, которое можно было легко интегрировать с существующими информационными системами компании.
On-premise решение: решение должно быть развернуто на собственной инфраструктуре, чтобы обеспечить больший контроль над данными и безопасностью.
Поддержка личного кабинета сотрудника: Сотрудники должны иметь возможность самостоятельно управлять своими учетными записями через личный кабинет.
Возможность гибкого администрирования: Система должна позволять администраторам легко настраивать и управлять параметрами аутентификации.
Обеспечение отказоустойчивости: Важным критерием была надежность системы и ее отказоустойчивость.
Этап 2: Выбор решения на конкурентном рынке
Исходя из вышеуказанных критериев, ТМК выбрала систему Avanpost FAM, которая лучше всего соответствовала указанным требованиям. Это решение полностью отвечало необходимым потребностям бизнеса компании ТМК.
Этап 3: Готовая архитектура и реализованные интеграции
В ходе проекта была разработана отказоустойчивая архитектура, способная поддерживать современные методы кластеризации и обеспечивать надежность системы. Важно отметить, что система была развернута на отечественной операционной системе, что позволяет исключить влияние внешних факторов, связанных с уходом международных вендоров.
Одним из ключевых достижений проекта была успешная интеграция с кадровыми системами компании, что позволило обеспечить непрерывный жизненный цикл учетных записей сотрудников - от их приема до увольнения. Таким образом, процесс авторизации сотрудников стал более эффективным и автоматизированным.
Дополнительно были разработаны адаптивные сценарии аутентификации пользователей, обеспечивающие безопасный и удобный доступ для разных категорий сотрудников. Произведены доработки в важных и критичных информационных системах компании, чтобы поддержать современные протоколы автоматизации.
На данный момент эти системы успешно интегрированы и активно используются более чем 60,000 пользователей, что подтверждает успешную реализацию проекта и его важность для компании.
- География проекта
-
Организационные рамки проекта: все предприятия группы компании ТМК.
- Дополнительные презентации:
- ТМК ID.pdf
