INFRAX
Личный кабинет
INFRAX
Личный кабинет

IDENTYX / Identity & Access Management

Центр доверия для пользователей, проектов и приложений

IDENTYX отвечает за идентификацию, права, SSO и аудит во всей платформе. Он заменяет отдельный IAM-контур и дает единый вход для INFRAX, NODYX и внешних корпоративных приложений.

Запросить демонстрациюК модулям платформы
IDENTYX управляет пользователями, MFA, OIDC-приложениями, проектами и журналом безопасности

Зона ответственности IDENTYX — все, что связано с доверием: кто входит в систему, каким способом подтверждает личность, какие проекты и приложения ему доступны, какие учетные записи можно использовать и как потом доказать каждое действие в журнале безопасности.

Зона ответственности

  • Пользователи, группы, проекты и multi-tenancy через единое дерево Projects.
  • SSO для внутренних и внешних приложений через OpenID Connect и IDENTYX Proxy.
  • MFA: WebAuthn/FIDO2, TOTP и одноразовые коды по email.
  • LDAP/Active Directory/FreeIPA, массовый импорт и привязка доменных учетных записей.
  • RBAC/ACL с наследованием, deny-приоритетом и вычисляемыми привилегиями.
  • Личные и групповые учетные записи приложений, SSH-ключи, автоподстановка credentials.

Что получает заказчик

  • Один вход вместо набора разрозненных логинов в каждом приложении.
  • Централизованное управление правами для холдингов, MSP и проектных контуров.
  • Контроль сильной аутентификации без внешних сервисов и отдельной интеграции.
  • Полный след безопасности: сессии, MFA, OIDC, LDAP, изменения пользователей и прав.

Ключевые функции

Пользователи и проекты

Локальные пользователи, группы, LDAP-импорт, блокировки, назначение в проекты и ограниченное администрирование внутри своего контура.

SSO и OIDC

OIDC-приложения, redirect URI, client secrets, backchannel logout, userinfo, permissions scope и брендированные приложения.

MFA и passkeys

WebAuthn/FIDO2, TOTP, email-коды, обязательная настройка второго фактора и выбор предпочтительного метода для пользователя.

RBAC и ACL

Деревья объектов и действий, allow/deny-правила, наследование, wildcard-доступ и просмотр эффективных прав пользователя или группы.

LDAP и внешние входы

Active Directory и FreeIPA, вход через LDAP, Сбер ID, ЕСИА, Яндекс ID, VK ID, Telegram и электронную подпись КриптоПро.

Credentials и аудит

Личные и групповые credentials, SSH-ключи, автоподстановка учетных записей, журнал аутентификации, MFA, сессий и изменений прав.

Типовые сценарии

Подключение корпоративного приложения через SSO

Администратор регистрирует приложение в IDENTYX, и пользователи входят в него без отдельного пароля — через единую сессию платформы.

  1. Создает OIDC-приложение: задает client_id, client_secret, redirect URI, разрешенные scopes (openid, profile, email, permissions) и, при необходимости, брендирование и пользовательское соглашение.
  2. Настраивает лимит сессий, таймаут неактивности и блокировку экрана, если приложение требует повышенного контроля доступа.
  3. Приложение выполняет Authorization Code Flow: получает код, обменивает его на access_token, refresh_token и подписанный JWT ID Token (HS512) с данными пользователя.
  4. Scope permissions возвращает в токене RBAC-права пользователя, отфильтрованные по приложению, — приложению не нужно хранить собственную модель ролей.
  5. При выходе из IDENTYX все связанные OIDC-сессии завершаются, а журнал фиксирует каждый вход, выпуск и обновление токенов.

Подключение домена Active Directory

Организация подключает существующий домен AD или FreeIPA, и сотрудники входят доменным логином без ручного заведения учетных записей.

  1. Администратор создает LDAP-домен: адрес контроллера, сервисную учетную запись, провайдер (Active Directory или FreeIPA), протокол (LDAP/LDAPS), таймаут и привязку к проектам.
  2. IDENTYX проверяет подключение с автоматическим повтором (до 3 попыток) и показывает список найденных доменных пользователей.
  3. При первом LDAP-входе система автоматически создает локальную учетную запись, привязывает ее к доменному логину и назначает в проекты, указанные для домена.
  4. Фоновый сервис синхронизации каждые 10 минут сверяет email и отображаемое имя с доменом и обновляет локальные карточки пользователей при расхождении.
  5. При удалении домена привязка ldap-login снимается, но учетные записи и другие способы входа сохраняются — пользователи не теряют доступ.

Внедрение двухфакторной аутентификации

Служба безопасности включает MFA для всех или выбранных пользователей и контролирует процесс через журнал событий.

  1. Администратор устанавливает флаг обязательного второго фактора — для конкретных пользователей или через политику проекта.
  2. При следующем входе пользователь выбирает метод: TOTP-приложение (6-значный код, окно 30 секунд), одноразовый код на email или WebAuthn-ключ (FIDO2, биометрия).
  3. Для TOTP — сканирует QR-код в приложении-аутентификаторе и подтверждает первый код. Для WebAuthn — регистрирует аппаратный ключ или биометрию браузера.
  4. Пользователь может задать предпочтительный метод и разрешить пропуск дополнительного фактора при входе через WebAuthn, если политика это допускает.
  5. Каждое событие MFA фиксируется в журнале: запрос настройки, успешная и неуспешная верификация, регистрация устройства — с IP-адресом, временем и идентификатором пользователя.

Изоляция контуров для холдинга или MSP

Проекты разделяют пользователей, узлы, тикеты и процессы. Локальный администратор видит только свой контур и не может выдать лишние права.

  1. Глобальный администратор создает проекты — по одному на каждую компанию, подразделение или клиента MSP — и назначает в них пользователей и группы.
  2. LDAP-домены привязываются к проектам: при первом входе сотрудник автоматически попадает в правильный контур, а его данные не видны соседним проектам.
  3. Локальный администратор проекта управляет пользователями, группами и LDAP-доменами только внутри разрешенных проектов — создание, блокировка и назначение прав ограничены его контуром.
  4. RBAC-правила наследуются по дереву объектов с приоритетом deny: даже если пользователь получает доступ через несколько групп, запрет в любом из них перекроет разрешение.
  5. При удалении проекта привязка автоматически снимается со всех пользователей и групп, а OIDC-приложения и INFRAX-данные перестают видеть этот контур.

Расследование инцидента безопасности

Офицер ИБ анализирует цепочку событий через журнал: от подозрительного входа до установления причины и блокировки скомпрометированной учетной записи.

  1. Фильтрует журнал по типу события — неуспешная аутентификация, блокировка, изменение прав, внешний вход — и сужает выборку по IP-адресу, пользователю или периоду.
  2. Видит цепочку: множественные auth_failure с одного IP, затем auth_success после смены пароля или сброса MFA — понимает вектор атаки.
  3. Проверяет, были ли после успешного входа события permission_management или session_management — определяет, пытался ли злоумышленник расширить доступ.
  4. Блокирует учетную запись, IDENTYX фиксирует событие account_lockout_admin, завершает все активные сессии и OIDC-токены пользователя.
  5. Формирует отчет: хронология событий с IP, user agent, результатами MFA-проверок и действиями администратора — для внутреннего разбора или регулятора.

Вход через Госуслуги, Сбер ID или Яндекс

Организация подключает внешние провайдеры, и пользователи входят через привычную учетную запись без регистрации нового пароля.

  1. Администратор настраивает провайдер: для ЕСИА — ID приложения, сертификат КриптоПро и PIN подписи; для Сбер ID — client_id, client_secret и сертификаты mTLS; для Яндекс или VK — только client_id и secret.
  2. На странице входа появляются кнопки доступных провайдеров. Пользователь выбирает, проходит аутентификацию на стороне провайдера и возвращается в IDENTYX с подтвержденным токеном.
  3. При первом входе система создает локальную учетную запись, привязывает внешний идентификатор и назначает в проект по умолчанию. При повторном входе — находит существующую привязку.
  4. Один пользователь может иметь несколько привязок: доменный LDAP-вход на работе, Сбер ID с мобильного, Telegram для уведомлений — каждый метод включается и отключается отдельно.
  5. Все внешние аутентификации фиксируются в журнале с кодами external_auth_success и external_auth_failure, именем провайдера, IP-адресом и временем.

Соседние модули

INFRAX

Операционный контур: мониторинг, ITSM, CMDB, удаленный доступ, бэкап, автоматизация и AIOps.

NODYX

Low-code портал: процессы, формы, документы, справочники, сервисный каталог и AI.

Все модули

Вернуться к общей витрине трех зон ответственности платформы.