Web‑консоль

SSO, несколько протоколов и типов аутентификации, RBAC/ABAC, ролевая и объектная модель прав доступа, MAC.

Web‑консоль RedMule поддерживает современные механизмы аутентификации и авторизации. Единый вход (SSO) распространяется на пользователей, администраторов и разработчиков. Платформа умеет работать с несколькими протоколами и типами аутентификации, от логина и пароля до сертификатов и доменных ролей. Для коммуникационных пользователей доступны специализированные методы авторизации. Разграничение прав строится на сочетании RBAC и ABAC, с поддержкой ролей для разных категорий пользователей, объектного уровня доступа и мандатного управления (MAC).

• Single Sign‑On (SSO) — единый вход для пользователей, администраторов и разработчиков.

• Поддержка одновременного использования нескольких способов аутентификации для приложений (например, токен + TLS).

• Возможность внедрения одноразовых паролей (OTP) рассматривается, но не используется в текущей версии платформы.

• Поддерживаемые протоколы аутентификации: LDAP(S), SAML 2.0, SSL, OpenID Connect (OIDC), Kerberos.

• Поддерживаемые типы аутентификации: логин/пароль (хранится в приложении), токены, сертификаты, доменная аутентификация и роли LDAP, доменная аутентификация и роли Keycloak.

• Методы аутентификации коммуникационных пользователей (системных соединений): Basic Authentication (логин и пароль), аутентификационные сертификаты, OAuth 2.0, SAML, SPNEGO, NTLM.

• Гибкие методы авторизации и разграничения доступа на основе RBAC (Role‑Based Access Control) и ABAC (Attribute‑Based Access Control).

• Разграничение прав по ролям для разработчиков интеграций (потоки, узлы, компоненты, инструменты разработки).

• Разграничение прав по ролям для администраторов (системные и конфигурационные настройки, управление компонентами).

• Разграничение прав по ролям для операторов и бизнес‑пользователей (доступ к истории, отчётам, обработке данных).

• Разграничение прав для процессов и коннекторов (вычислительные ресурсы, взаимодействие с внешними системами).

• Настройка прав доступа на уровне отдельных объектов системы.

• Поддержка мандатного управления доступом (MAC).

• Собственная реализация средств идентификации и разграничения прав доступа на основе ролей.

• Использование доменных учётных записей службы каталогов для аутентификации находится в разработке и может быть добавлено по запросу заказчика.

Шифрование данных и конфигураций, TLS 1.2+, ГОСТ‑совместимая DMZ, WAF, защита по OWASP Top 10, DDoS‑защита и контроль CORS.

Web‑консоль RedMule использует те же подходы к безопасности, что и вся платформа. Данные и конфигурации шифруются при хранении и передаче, каналы связи защищены по TLS 1.2 и выше, а при необходимости могут подключаться внешние криптобиблиотеки. Платформа поддерживает организацию защищённой DMZ с использованием отечественных криптоалгоритмов и сертифицированных решений. Безопасность API обеспечивается встроенным WAF, защитой от уязвимостей OWASP Top 10, DDoS‑атак и гибким контролем CORS Дополнительно реализована синхронизация времени с доверенным NTP‑сервером и автоматическая блокировка сессий.

• Шифрование пользовательских данных как при хранении, так и при передаче.

• Шифрование конфигураций и настроек с использованием симметричных и асимметричных алгоритмов, а также хеширования.

• Поддержка TLS версии 1.2 и выше для защиты каналов web‑консоли.

• Возможность подключения внешних криптографических библиотек по требованиям заказчика.

• Собственные средства организации защищённой DMZ с поддержкой ГОСТ Р 34.10‑2001 и ГОСТ 28147‑89 (СКЗИ класс не ниже КС2).

• Наличие сертифицированного бандла с решением «Континент» (КС3).

• Комплексная безопасность API: встроенный WAF, защита от уязвимостей по OWASP Top 10, аудит и маскирование чувствительных данных, DDoS‑защита и контроль CORS.

• Шифрование каналов и данных, включая TLS и шифрование данных в транзакционной базе.

• Отдельного внешнего IAM‑продукта для доступа к интеграциям и данным не используется; разграничение реализовано встроенными механизмами RBAC/ABAC и MAC.

• Синхронизация времени с доверенным NTP‑сервером для соблюдения требований безопасности и корректного аудита.

• Автоматическая блокировка пользовательского сеанса при бездействии.