Журнал "Information Security/ Информационная безопасность" #1, 2026

Важно, что такая модель упрощает работу пользователя. Ему не нужно повторно вводить учетные данные в разных системах или проходить разные сценарии аутентификации. Все проверки выполняются в рамках одной сессии и по единым правилам. И это не просто удобство ради удобства. В корпоратив- ной среде сложные и неоднородные механизмы входа почти всегда приводят к исключениям: ослаблению требований, появлению временных обходов, локаль- ных настроек. В результате безопасность начинает работать выборочно. Единая модель сессии, напротив, позволяет при- менять политики последовательно, без необходимости адаптировать их под каждую систему. Avanpost Unified SSO Теоретическая модель единой точки контроля выглядит убедительно, а в качестве иллюстрации можно рассмот- реть Avanpost Unified SSO 1 – решение, ориентированное именно на гетероген- ный корпоративный ландшафт. Его архи- тектура строится вокруг идеи единой сессии и централизованного Policy Engine, который распространяет правила аутентификации и управления доступом на разные типы ресурсов. Во-первых, речь идет о кросс-прото- кольном охвате. Помимо поддержки стандартных механизмов федерации для веб-приложений, система ориентирована на интеграцию с инфраструктурными сервисами и корпоративной средой в целом. Это позволяет включать в единый контур как современные веб-системы, так и приложения, требующие более традиционных механизмов аутентифи- кации. Таким образом устраняется раз- рыв между федеративной частью ланд- шафта и теми системами, которые исто- рически существовали вне нее. Во-вторых, существенное внимание уделяется управлению сессией. Модель единой аутентификации предполагает, что после первичного входа пользователь получает доступ к различным ресурсам в рамках контролируемой сессии, а при необходимости возможен централизо- ванный отзыв и завершение доступа. Для эксплуатации это означает не только удобство, но и более предсказуемую реакцию на инцидент: при компромета- ции учетной записи или устройства адми- нистратор может прервать доступ не точечно, а на уровне всей сессии. Третий аспект – масштабирование многофакторной аутентификации. В Avanpost Unified SSO MFA не является надстройкой над отдельным сервисом, а встроена в общий контур входа. Допол- нительные факторы могут применяться в зависимости от политики и контекста – будь то тип ресурса, роль пользователя или параметры среды. Это позволяет избежать ситуации, когда усиленная аутентификация работает только на внешнем доступе, но не распростра- няется на внутренние сервисы. Отдельного внимания заслуживает механизм усиленной аутентификации E-Passport 2 , который привязывает сес- сию к конкретному пользовательскому устройству. После аутентификации на устройстве формируется криптографи- ческий идентификатор, который исполь- зуется при каждом обращении к ресур- сам. Это означает, что одного знания учетных данных недостаточно: попытка использовать их с другого устройства не приведет к доступу без дополнитель- ной проверки. В результате сессия пере- стает быть переносимой, а риск ее пере- хвата и повторного использования суще- ственно снижается. Наконец, решение Avanpost Unified SSO изначально ориентировано на интег- рацию с существующей доменной и ката- логовой инфраструктурой, а не на ее замену. Это позволяет внедрять единый контур аутентификации без радикальной перестройки ИТ-ландшафта – сильный фактор для крупных организаций, где изменения архитектуры неизбежно затрагивают бизнес-процессы. Unified SSO в подобной реализации выступает не как изолированный ком- понент, а как слой контроля, накрываю- щий разнородную среду. Он не устраняет все риски, связанные с учетными дан- ными, но делает их управляемыми: сни- жает число независимых точек входа, выравнивает политики аутентификации и позволяет централизованно реагиро- вать на инциденты. Давайте рассмотрим примеры сценариев из практики. Сценарий 1. VPN с MFA не контролирует вход в приложения MFA на VPN закрывает только пер- вичную аутентификацию на сетевом уровне: после подключения пользова- тель получает доступ к ресурсам, кото- рые аутентифицируются локально или доверяют внутреннему сегменту. Unified SSO переносит контроль на уровень приложений и сервисов: первичный вход формирует единую корпоративную SSO- сессию, а доступ к ресурсам выдается через единый Policy Engine с обязатель- ной проверкой политики (MFA/контекст) и сессионных условий. При компроме- тации учетной записи выполняется цент- рализованный отзыв SSO-сессии и Single Logout, что прекращает доступ к ресур- сам независимо от факта наличия актив- ного VPN-подключения. Сценарий 2. Аутентификация в легаси-системы Даже при наличии SSO для OIDC- /SAML-приложений в инфраструктуре почти всегда остается слой легаси: например, внутренние порталы, которые не поддерживают федерацию. Unified SSO закрывает этот класс ресурсов не модернизацией приложений, а под- ключением через Enterprise-механизмы (агенты/прокси/адаптеры), которые используют единую SSO-сессию и цент- рализованную аутентификацию вместо самостоятельной формы логина в при- ложении. В результате доступ к легаси- ресурсу становится производным от SSO-сессии и политик, а не отдельным входом с собственными правилами. Сценарий 3. Перехват сессии при долгоживущих токенах В классических схемах c SSO усилен- ная аутентификация часто является одноразовой: после входа сессия живет длительное время, токены не переоце- ниваются по контексту, а компрометация куки или токена дает доступ без повтор- ной проверки. Unified SSO вводит цент- рализованное управление жизненным циклом сессии: задается время жизни, условия принудительной реаутентифи- кации, правила контекстной повторной аутентификации для чувствительных действий, а также возможность мгно- венного отзыва сессии и токенов. При необходимости сессия привязывается к устройству и контексту, что снижает применимость перехваченных данных аутентификации вне исходной среды. Заключение Unified SSO – это не только про удоб- ство администрирования, но и про сокра- щение поверхности атаки. Пока в инфра- структуре сосуществуют разные меха- низмы аутентификации, безопасность определяется самым слабым из них. В отличие от классического веб-SSO, Unified SSO позволяет централизовать контроль входа, масштабировать MFA и управлять сессиями как единым конту- ром. Дополнительную роль играет меха- низм E-Passport, который привязывает доступ к конкретному устройству и тем самым снижает риск использования скомпрометированных учетных данных вне исходной среды. Такой подход по сути реализует прин- ципы Zero Trust на уровне доступа. Факт нахождения пользовательского устрой- ства в сети, наличие активной VPN-сес- сии или ранее пройденная аутентифи- кация не считаются достаточными. Каж- дый доступ к ресурсу проверяется отдельно на основе текущей сессии, условий входа и требований политики. Все описанные технические меры не отменяют необходимости других уровней защиты, но делают проникновение через учетные данные существенно более сложным и менее предсказуемым для атакующего. l • 49 ТЕХНОЛОГИИ www.itsec.ru На правах рекламы 1 https://www.avanpost.ru/products/avanpost-usso 2 https://www.avanpost.ru/news/technologiya-e-passport