Общие сведения

Мобильное приложение Avanpost Authenticator – простой и удобный для пользователя, надёжный и безопасный метод аутентификации, который может использоваться в сценариях аутентификации 2FA/MFA , предоставляемых Avanpost FAM.

Avanpost Authenticator доступен бесплатно в магазинах приложений для смартфонов под управлением iOS и Android:

Мобильное приложение Avanpost Authenticator обеспечивает следующие методы аутентификации:

  • Запрос на аутентификацию. Приходит в мобильное приложение пользователю при аутентификации в различные приложения (веб-приложения, десктопные приложения, сервисы и т.д.). Может доставляться либо посредством механизма push-запросов (если выполнена необходимая настройка для push-запросов), либо посредством механизма получения запросов на аутентификацию от Avanpost FAM Server через компоненты Avanpost FAM Mobile Services .
  • Ввод одноразового TOTP-кода. Работает либо как классический TOTP, либо в качестве резервного метода аутентификации при отсутствии связи.
  • Беспарольный вход посредством сканирования QR-кода на экране компьютера камерой мобильного устройства в мобильном приложении Avanpost Authenticator.

Для того, чтобы пользователь мог пользоваться своим смартфоном в качестве аутентификатора, требуется выполнить привязку пользовательского приложения Avanpost Authenticator к аккаунту в Avanpost FAM. Привязка Avanpost Authenticator возможна в следующих сценариях:

  • Привязка в личном кабинете Avanpost FAM посредством считывания QR-кода;
  • Привязка в процессе аутентификации посредством считывания QR-кода (веб-приложения, десктоп-приложения);
  • Привязка в процессе аутентификации посредством ввода в Avanpost Authenticator секретного одноразового кода (VPN, VDI и другие RADIUS-приложения).

Avanpost Authenticator может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции :

Системные требования

Системные требования к смартфону для работы мобильного приложения Avanpost Authenticator:

Платформа Операционная система Формат поставки
Современный смартфон с актуальной ОС из перечня, выпущенный после 2015 года Android 6.0 или новее

Установка через магазин приложений Google Play

Установка через магазин приложений RuStore

.apk-архив

iOS 12.4 или новее Установка через магазин приложений Apple AppStore
Huawei (без Google Services) Установка через магазин приложений Huawei AppGallery

Архитектура

Мобильное приложение Avanpost Authenticator ориентировано на взаимодействие с on-premise системой Avanpost FAM.

Для использования всех функций мобильного приложения Avanpost Authenticator предполагается развёртывание в демилитаризованной сети (DMZ) двух компонентов из состава Avanpost FAM Mobile Services :

  • Компонента Push Service, который обеспечивает доставку push-запросов в мобильные приложения Avanpost Authenticator;
  • Компонента API Service, который обеспечивает подтверждение и отклонение запросов на аутентификацию, обновление информации с сервера Avanpost FAM и многое другое.

Архитектурная схема взаимодействия компонентов Avanpost FAM Mobile Services, используемых для обслуживания мобильного приложения Avanpost Authenticator, изображена на схеме:

Безопасность и меры защиты

Для безопасности использования Avanpost Authenticator предпринят ряд важных мер.

Изолированное размещение внешних компонентов Avanpost FAM Mobile Services в DMZ

Для полноценной работы функций push-аутентификации требуется открытие сетевого доступа из интернета до компонента API из состава Avanpost FAM Mobile Services . API может быть размещён в DMZ без необходимости открытия сетевого доступа в направлении Avanpost FAM Server. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services.

Такая схема позволяет полностью изолировать внешние компоненты Avanpost FAM от внутренних, что значительно повышает защищённость системы аутентификации.

Проверка всех push-запросов на основе сертификата сервера Avanpost FAM

Компонент Avanpost FAM Server при формировании QR-кода предоставляет мобильному приложению Avanpost Authenticator свой сертификат. Каждое сообщение в направлении Avanpost Authenticator от Avnapost FAM Server подписывается этим сертификатом.

Мобильное приложение проверяет каждое сообщение. Некорректно подписанные запросы и сообщения отклоняются.

Защита входа в приложение Avanpost Authenticator PIN-кодом и отпечатком пальца

При доступе пользователя к приложению с целью подтверждения push-запроса либо с целью получения одноразового кода Avanpost Authenticator запрашивает у пользователя разблокировку. Пользователю доступны 2 метода:

  • PIN-код;
  • Отпечаток пальца.

Блокировка мобильных аутентификаторов в Avanpost Authenticator по инициативе администраторов

Администратор может заблокироватьм мобильный аутентификатор через административную консоль. После блокировки пользователь не сможет воспользоваться этим аутентификатором.

Часто задаваемые вопросы

Для чего в Avanpost Authenticator используется механизм push-уведомлений?

Для улучшения пользовательского опыта взаимодействия с приложением. Push-запросы функционируют на базе механизмов операционной системы (Android, iOS и т.д.) и позволяют присылать пользователю всплывающие уведомления в панели уведомлений без запуска или выполнения в фоне приложения. На сегодняшний день это единственный доступный способ оперативного отображения пользователю оповещений от мобильного приложения.

Для чего Push Service из состава Avanpost FAM Mobile Services взаимодействует с Google Firebase?

Под каждую платформу (Android, iOS, Huawei) существуют свои сервисы доставки push-уведомлений:

  • Для доставки push-уведомлений на устройство под управлением Android используется механизм Google Cloud Messaging, для отправки сообщений в который требуется послать запрос в сервис Google Firebase.
  • Для доставки push-уведомлений на устройство под управлением iOS используется механизм Apple Push Notification Service. Для отправки сообщения в iOS его можно отправить как напрямую в APN, но для этого требуется в APN зарегистрировать сертификат сервера системы, которая отправляет запрос. Либо воспользоваться промежуточным сервисом, например, Google Firebase.
  • Для доставки push-уведомлений на устройство под управлением Huawei используется механизм push-уведомлений Huawei. Аналогично, push-запросы в него можно отправлять либо напрямую, либо через Google Firebase.

Google Firebase является наиболее универсальным сервисом, позволяющим доставлять push-уведомления на устройства под управлением Android, iOS и Huawei. При этом его использование является обязательным для доставки push-уведомлений на устройства Android.

Существуют ли российские сервисы push-уведомлений?

Для устройств под управлением ОС Android, iOS и Huawei для работы push-уведомлений необходимо использование сервисов производителя ОС.

Насколько безопасно использование сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в процессе корпоративной аутентификации?

Если приложение подключено к Avanpost FAM, а для аутентификации используется Avanpost Authenticator, то для защиты копроративных ресурсов применяется ряд мер:

  • Шифрование всех взаимодействий при помощи TLS.
  • Безопасное размещение компонентов Avanpost FAM Mobile Services в DMZ. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services, размещаемыми в DMZ.
  • Проверка электронной подписи всех push-запросов и сообщений от Avanpost FAM Server в сторону мобильного устройства с Avanpost Authenticator при помощи сертификата сервера, который хранится в приложении Avanpost Authenticator. Если подпись запроса на аутентификацию некорректна, то такое push-сообщение или запрос на аутентификацию отклоняется приложением Avanpost Authenticator.
  • Проверка электронной подписи всех запросов от мобильного приложения Avanpost Authenticator в сторону сервера Avanpost FAM. Для каждого аккаунта в Avanpost Authenticator выпускается ключ, который хранится на устройстве и используется для подписи всех сообщений, отправляемых в сторону API-компонента Avanpost FAM. На сервере Avanpost FAM хранится сертификат этого ключа и используется для проверки электронной подписи каждого сообщения. Если подпись некорректна, то сообщение отклоняется компонентом Avanpost FAM Server.

Описанный перечень мер является достаточным для максимальной защиты процесса аутентификации в корпоративные информационные системы, в том числе с использованием иностранных сервисов типа Google Firebase, Google Cloud Messaging, Apple Push Notification Services и т.д. Кроме этого Avanpost Authenticator может функционировать без механизма push-уведомлений.

Будет ли работать аутентификация через Avanpost Authenticator при возможной блокировке или недоступности сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в России?

Да, будет.

Станет невозможной лишь доставка всплывающих push-уведомлений на устройства под управлением Android и iOS. Сам же процесс аутентификации через Avanpost FAM и Avanpost Authenticator будет работать в этом случае следующим образом:

  1. Пользователь открывает мобильное приложение Avanpost Authenticator.
  2. Мобильное приложение Avanpost Authenticator обращается к серверу Avanpost FAM через API Service-компоненту в DMZ и получает список всех актуальных запросов на аутентификацию. Эти запросы отображаются пользователю с возможностью подтвердить/отклонить.
  3. Пользователь одобряет/отклоняет запрос. Запрос с решением пользователя отправляется API Service-компонент, размещённый в DMZ.
  4. После обработки запроса пользователя Avanpost FAM аутентифицирует пользователя в целевом приложении.

Будет ли доступно мобильное приложение Avanpost Authenticator в случае блокировки магазинов Google Play и Apple AppStore?

Да, для Android приложение доступно бесплатно в российском магазине приложений RuStore .

Для iOS возможности установки приложений из альтернативных магазинов приложений нет.