Пакет безопасности корпоративного уровня

Для:
маркетологов
Последнее обновление:

Краткий обзор: Улучшите защиту своего аккаунта с помощью пакета безопасности корпоративного уровня – премиального решения, созданного для корпоративного управления идентификацией, контроля доступа по токенам и расширенной прозрачности аудита.

Введение

Пакет безопасности корпоративного уровня объединяет три ключевые функции, повышающие безопасность вашей организации:

  • Управление несколькими токенами с ограничениями на уровне сервисов.: Масштабируемое создание токенов и тонкая настройка прав доступа для API, S2S и OneLink.
  • API журнала аудита с расширенным сроком хранения: Обеспечьте долгосрочную видимость активности на платформе и интегрируйте события аудита в свою систему мониторинга.
  • SCIM-провиженинг: Автоматизируйте и централизуйте контроль доступа пользователей через вашего провайдера идентификации.
  • Список разрешенных IP-адресов для входа: Предотвращайте несанкционированный доступ, обеспечивая вход в дэшборд AppsFlyer только из доверенных сетей и с доверенных IP-адресов.

Сравните стандартный пакет и пакет безопасности корпоративного уровня:

Функция Стандартный пакет Пакет безопасности корпоративного уровня
Единый вход (SSO) Вход через SSO (только для существующих клиентов). SSO SAML 2.0 и SCIM-провиженинг для автоматизированного управления пользователями и ролями.
Управление токенами Управляйте токенами — до двух каждого типа (API, S2S или OneLink). Управляйте множеством токенов каждого типа (до 30) с гранулярным управлением правами доступа.
Доступ к журналу аудита Доступ только к пользовательскому интерфейсу, срок хранения данных — 90 дней. Доступ к пользовательскому интерфейсу и API, хранение данных за 180 дней 
Управление пользователями на основе ролей (RBAC) До 10 пользовательских ролей До 50 пользовательских ролей
Список разрешенных IP-адресов Список разрешенных IP-адресов для API Список разрешенных IP-адресов для входа и API для повышения безопасности
Круглосуточный мониторинг безопасности Включено Включено
Многофакторная аутентификация Включено Включено

 

Управление несколькими токенами с ограничениями

Создавайте и управляйте максимум 30 токенами каждого типа (API, S2S, OneLink) с ограничениями на уровне сервисов, чтобы повысить масштабируемость, безопасность и контроль над токенами.

Основные характеристики

  • Администраторы могут создавать до 30 токенов каждого типа, тогда как в стандартном пакете доступно только 2 токена, что позволяет обслуживать большие команды и сложные процессы.
  • Назначайте разрешения доступа на уровне сервисов для API-токенов, ограничивая доступ к чувствительным операциям.
  • Токены могут быть отозваны или заменены без нарушения интеграций или автоматизации.
  • Упрощает взаимодействие внутренних команд и внешних партнёров благодаря разрешениям, назначаемым на уровне отдельных токенов.

Пример

Создайте два токена, чтобы сохранять принцип наименьших привилегий и предотвратить случайное раскрытие данных.

Токен с доступом только к данным: Создайте токен, который будет получать доступ только к агрегированным данным. Этот токен не сможет получать доступ к сырым данным или выполнять действия, такие как изменение конфигурации. Используйте его для команд аналитиков или пользователей с доступом только для чтения. 

Токен доступа только к настройкам: Выпустите токен, который позволит внутренним командам управлять настройками конфигурации, но не даст им выгружать данные. Это отделяет административные возможности от доступа к данным.

Примечание

Общую информацию о стандартных токенах см. в разделе управление токенами AppsFlyer.

Как получить доступ к токенам и управлять ими

Чтобы создать ограниченный токен

  1. На верхней панели откройте меню аккаунта (выпадающий список под адресом электронной почты) > Центр безопасности.
  2. Перейдите на страницу Управление токенами .
  3. Нажмите кнопку Создать токен.
  4. Выберите тип токена:
    • API
    • S2S
    • OneLink
  5. Для токенов API, выберите один или несколько сервисов из выпадающего списка Ограничение доступа .
    Доступ двоичный: полный доступ или его отсутствие.  
  6. Нажмите кнопку Сохранить

Управление токенами

Чтобы управлять своими токенами, в верхней панели откройте меню аккаунта (выпадающий список с адресом электронной почты) -> Центр безопасности -> Управление токенами.

Здесь вы можете:

  • Просмотреть метаданные токена: имя, тип, ограничения, создание/истечение срока
  • Удалить токены по отдельности
  • Мониторить активность токенов в журналах аудита

Примечание

Токены нельзя редактировать. Чтобы изменить доступ, удалите токен и создайте его заново.

Журнал аудита API и расширенный срок хранения

Расширяя текущие возможности журнала аудита, эта функция предоставляет API для получения данных журнала и увеличивает срок их хранения с 90 до 180 дней. Идеально подходит для команд, которым необходим долгосрочный доступ к журналам действий пользователей или интеграция событий аудита с внешними инструментами мониторинга, такими как SOC и SEIM.

Основные характеристики

  • Получайте доступ к журналам аудита программно с помощью выделенного API 
  • Храните журналы до 180 дней вместо 90 дней в стандартном журнале аудита
  • Фильтруйте и экспортируйте данные для обеспечения соблюдения правовых норм, безопасности или оперативного использования.
  • Используйте токены, специфичные для сервиса, чтобы изолировать доступ к журналам.
  • Экспортируйте данные в инструменты SIEM, дэшборды или облачное хранилище

Примечание

Для получения общей информации о стандартном журнале аудита см. раздел Стандартный журнал аудита.

Как получить доступ к журналу аудита через API

Чтобы использовать API журнала аудита:

  1. На верхней панели откройте меню учетной записи (выпадающий список адресов электронной почты): Центр безопасности.
  2. В разделе Журнал аудита нажмите Смотреть журнал аудита.
  3. Перейдите на страницу Управление токенами .
  4. Используйте существующий или создайте новый Токен API.
  5. В разделе Ограничение доступавыберите Журнал аудита .
  6. Используйте токен для аутентификации запросов к конечной точке API журнала аудита. 

Примечание

Убедитесь, что вы надёжно храните свой токен API. Его невозможно восстановить после создания.

SSO и SCIM-провиженинг

SCIM-провижнинг расширяет возможности SSO в AppsFlyer, автоматизируя управление жизненным циклом пользователей напрямую через ваш провайдер идентификации (IdP), например Okta, Entra ID (Azure), OneLogin, JumpCloud или самоуправляемые IdP с поддержкой доступа на основе атрибутов. Это позволяет организациям добавлять, обновлять или деактивировать пользователей без вмешательства вручную.

Синхронизируя пользователей через SCIM, вы сохраняете полный контроль над разрешениями на доступ в реальном времени. В сочетании с SAML 2.0 SSO это формирует комплексное решение для управления идентификацией и доступом для корпоративных клиентов. 

Основные характеристики

  • Автоматически создает пользователей в AppsFlyer на основе записей вашего провайдера идентификации (IdP).
  • Изменения ролей или статуса пользователей в IdP мгновенно отображаются в AppsFlyer.
  • Использует SAML 2.0 для безопасного SSO и SCIM для провижнинга, совместим с ведущими IdP, такими как Okta и Azure AD.

 Как настроить SCIM-провиженинг

Чтобы начать использовать SCIM-провиженинг в AppsFlyer, вам нужно:

  1. Настроить SSO
  2. Включить SCIM

Настройка SSO

Чтобы настроить SSO, вам нужно:

Включить SCIM

Примечание

Чтобы включить SCIM, сначала нужно настроить SSO.

Чтобы включить SCIM, необходимо выполнить несколько шагов:

Ссылки на инструкции IdP

Инструкции для IdP приведены ниже. Okta, Entra ID (Azure), OneLogin, JumpCloud

SCIM-соединения

В SCIM-соединениях необходимо заполнить следующие поля:

Название поля Значение
Базовый URL-адрес коннектора SCIM (конечная точка SCIM) https://hq1.appsflyer.com/api/scim/v2
Уникальное поле идентификатора для пользователей Имя пользователя
Метод аутентификации: Заголовок HTTP под названием "Авторизация" Носитель <Ваш токен API AppsFlyer>

Атрибуты SCIM

Атрибут Тип Обязательный Название поля Внешнее пространство имен Описание
Роль Строка ✅  роль urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User
  • Назначьте пользователю предопределённую либо пользовательскую роль.
  • Ниже приведен список ролей AppsFlyer, которые необходимо ввести
Разрешить доступ ко всем будущим приложениям логический allowAccessToAllFutureApps urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User Если включено, пользователю будет автоматически предоставлен доступ к новым приложениям.
Разрешенные идентификаторы приложений Строка appIDs urn:ietf:params:scim:schemas:extension:AppsFlyer:2.0:User Список идентификаторов приложений, разделенных запятыми. Оставьте поле пустым, чтобы включить все приложения, или укажите «None», чтобы не выбирать ни одного.

Роли

Роли должны соответствовать Роли в AppsFlyer. В таблице ниже показаны текущие роли AppsFlyer и их значения. Можно добавить пользовательские роли. Для JumpCloud см. раздел ограничения ниже.

Отображаемое имя Значение
Администратор admin
Менеджер команды team_manager
Руководитель отдела маркетинга marketing_lead
Маркетинг marketing
Маркетинг (ограниченный доступ) marketing_limited
Соавтор developer
Бухгалтерия accounting
Безопасность security
Проверка качества quality_assurance
Пользовательские роли [введите значение пользовательской роли]

Ограничения

Ограничение Описание
JumpCloud - пользовательские атрибуты Пользовательские атрибуты не поддерживаются. В качестве альтернативного решения сопоставьте поле Роль с поддерживаемым полем Рабочий адрес (улица). Смотреть Поддержка JumpCloud SCIM.

Список разрешенных IP-адресов для входа в систему

Расширенный список разрешенных IP-адресов повышает безопасность, предотвращая несанкционированный доступ, и гарантирует, что только доверенные сети могут взаимодействовать с платформой. Эта функция особенно полезна для предприятий, применяющих строгие политики безопасности или управляющих удаленным доступом.

Основные характеристики

  • Снижает количество атак, блокируя попытки входа с неизвестных IP-адресов.
  • Позволяет указывать IP-адреса или диапазоны, чтобы гарантировать, что доступ к платформе имеют только авторизованные пользователи и сети.
  • Идеально подходит для организаций, использующих VPN или требующих более строгих ограничений доступа.

Добавление IP-адресов в список

  1. На верхней панели откройте меню аккаунта (выпадающий список под адресом электронной почты) > Центр безопасности.
  2. В разделе Список разрешенных IP-адресов для входа , нажмите Управление списком разрешенных IP-адресов.
  3. Добавляйте IP-адреса вручную или с помощью загрузки CSV.
    1. Если вы добавляете вручную, введите IP-адрес или диапазон CIDR и нажмите Добавить IP в список.
      1. Примеры: 192.168.1.1185.114.120.140
      2. Для ввода диапазона IP-адресов используйте следующий формат: 185.114.120.1/32
        (где 185.114.120.1/32 — первый адрес в диапазоне, а 185.114.120.32 — последний адрес в диапазоне).
  4. Добавленные IP-адреса будут отображаться справа под заголовком Посмотреть свои IP-адреса в списке разрешенных IP.
  5. Нажмите кнопку Сохранить список.

Важно!

  • Убедитесь в том, что добавленные IP-адреса или диапазоны корректны. Неверные данные могут лишить вас доступа к аккаунту.
  • Список разрешенных адресов должен содержать как минимум один IP-адрес или диапазон, прежде чем вы сможете сохранить и активировать его. В список можно добавить до 100 IP-адресов или диапазонов.
  • После нажатия кнопки Сохранить список ограничения по IP-адресам будут применены начиная с вашего следующего входа в систему.

Удаление IP-адресов из списка

  1. На верхней панели откройте меню аккаунта (выпадающий список под адресом электронной почты) > Центр безопасности.
  2. В разделе Список разрешенных IP-адресов для входа , нажмите Управление списком разрешенных IP-адресов.
  3. Добавленные IP-адреса будут отображаться справа под заголовком Посмотреть свои IP-адреса в списке разрешенных IP.
  4. Нажмите на значок корзины рядом с IP-адресом, который нужно удалить.
  5. Обязательно сохраните изменения, нажав кнопку Сохранить список.

Часто задаваемые вопросы о нашем пакете безопасности

Что такое пакет безопасности корпоративного уровня AppsFlyer?

Безопасное масштабирование с помощью продвинутых функций безопасности, которые выходят за рамки стандартных средств защиты. Получите SSO со SCIM-провиженингом, детализированные средства контроля доступа, расширенные журналы аудита и инструменты обеспечения соответствия, разработанные для руководителей предприятий и ИТ-отделов.

Для кого предназначен пакет безопасности корпоративного уровня?

Руководители по корпоративной безопасности и ИТ, готовящиеся к аудитам, отделы закупок и юридические команды в регулируемых отраслях, которые оценивают SaaS-поставщиков, а также администраторы платформ, управляющие сложными требованиями к доступу для нескольких команд и интеграций.

Как работает SCIM-провиженинг?

Автоматизируйте управление жизненным циклом пользователей, напрямую подключаясь к вашему провайдеру идентификации. SCIM автоматически синхронизирует доступ и роли пользователей, обрабатывает мгновенный онбординг и оффбординг, автоматизирует управление учетными записями и устраняет риски бесхозных доступов.

Какие стандарты соответствия поддерживаются?

Обеспечьте готовность к аудиту по требованиям SOC 2, ISO 27001 и GDPR благодаря 180-дневному хранению журналов аудита, полной документации по доступам и интеграции с SIEM в реальном времени для непрерывного мониторинга и верификации соответствия.

Сколько ролей и токенов API я могу создать?

Создавайте до 50 настраиваемых ролей, адаптированных под структуру вашей организации, и до 30 специализированных API-токенов с детализированными правами доступа.  Изолируйте доступ для различных интеграций и рабочих функций, сохраняя при этом принципы минимальных привилегий.

Можно ли интегрироваться с моими существующими инструментами безопасности?

Да. Передавайте данные аудита напрямую в вашу SIEM и инструменты безопасности посредством потоковой передачи логов по API. Включите мониторинг в реальном времени, обнаружение аномалий и автоматические меры реагирования на угрозы в рамках вашей существующей инфраструктуры SOC. 

Какие сетевые ограничения я могу применить?

Контроль доступа к платформе с помощью списков разрешенных IP-адресов и географических ограничений. Определяйте доверенные сети и местоположения, чтобы предотвратить несанкционированный доступ, при этом поддерживая сценарии удалённой работы и безопасное сотрудничество с партнёрами.

Как долго хранятся журналы аудита?

Получайте полный журнал аудита с хранением логов в течение 180 дней, фиксирующий каждое взаимодействие с платформой. Полный обзор действий пользователей, вызовов API и шаблонов доступа для тщательной документации соблюдения правовых норм и расследований проблем безопасности.

Заменяет ли это стандартные функции безопасности?

Нет. Пакет безопасности корпоративного уровня добавляет расширенные возможности к стандартным функциям безопасности. Вы получаете расширенные средства контроля, автоматизацию и полную видимость, сохраняя при этом все существующие механизмы безопасности.

Как быстро я могу внедрить эти средства контроля безопасности?

Быстро разверните средства контроля безопасности корпоративного уровня с помощью бесшовной интеграции SSO и и автоматизированному SCIM-провижнингу. Большинство организаций могут внедрить основные функции в течение нескольких дней, сохраняя при этом непрерывность работы и производительность пользователей.