4.3. SMS

Общие сведения

SMS OTP – один из наиболее распространённых методов аутентификации, использующий в качестве средства доставки одноразового кода механизм SMS, предоставляемый любым SMS-провайдером. При использовании данного механизма на номер сотрудника отправляется SMS, содержащее одноразовый код. После ввода одноразового кода пользователь считается успешно аутентифицированным.

Использование метода SMS OTP для доставки одноразовых паролей доступно на любом шаге аутентификации.

Для того, чтобы сотрудник мог пользоваться методом аутентификации SMS OTP, требуется как минимум указать в профиле сотрудника его номер телефона. Также доступна функциональность подтверждения номера телефона посредством механизма SMS OTP. Привязка аутентификатора SMS OTP возможна в следующих сценариях:

• Привязка в процессе аутентификации посредством ввода номера телефона и его подтверждения при помощи одноразового кода, отправляемого по SMS на номер телефона.
• Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки номера телефона и подтверждением при помощи одноразового кода, отправляемого по SMS на номер телефона.
• Привязка в административной консоли Avanpost FAM посредством указания администратором корректного номера телефона сотрудника.
• Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory).

SMS OTP может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

• OAuth/OpenID Connect;
• SAML;
• Reverse Proxy;
• RADIUS;
• Enterprise SSO через Avanpost FAM Agent;
• Windows Logon через Avanpost FAM Credential Provider;
• Linux Logon через Avanpost FAM PAM Linux.

Системные требования к инфраструктуре для работы метода аутентификации SMS OTP:

• Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.2.0 или новее;
• Доступный из внутренней сети HTTP SMS-шлюз, соответствующий требованиям;
• Выполненная настройка интеграции с SMS-шлюзом в соответствии с общей инструкцией по настройке отправки SMS.

Сценарии использования

Аутентификация в веб-приложения с вводом одноразового кода из SMS

Возможно использование OTP-аутентификации через SMS OTP для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:

• OAuth 2.0/OpenID Connect;
• SAML;
• Reverse Proxy.

Примеры некоторых корпоративных систем, для которых применим данный сценарий:

• MFA/SSO в Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS;
• MFA/SSO в CRM Creatio (Terrasoft bpm'online);
• MFA/SSO в Grafana;
• MFA/SSO в Atlassian Jira Server;
• MFA/SSO в Atlassian Confluence Server.

Аутентификация в VPN/VDI (RADIUS) с вводом одноразового кода из SMS

Возможно использование OTP-аутентификации через SMS OTP для всех приложений, подключаемых с целью 2FA посредством RADIUS, с поддержкой метода RADIUS Access-Challenge.

Примеры корпоративных систем, для которых применим данный сценарий:

• 2FA в Cisco AnyConnect, Cisco ASA, Cisco ASAv.

Аутентификация в десктопные приложения (Enterprise SSO) с вводом одноразового кода из SMS

Avanpost FAM позволяет выполнять OTP-аутентификацию через SMS OTP в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.

Примеры корпоративных систем, для которых применим сценарий:

• MFA/SSO в 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO);
• MFA/SSO в SAP Logon;
• MFA/SSO в TrueConf.

Аутентификация на рабочие станции и сервера с вводом одноразового кода из SMS

Avanpost FAM позволяет выполнять OTP-аутентификацию через SMS OTP для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.

Примеры задач, для которых применим сценарий:

• 2FA/MFA при подключении по RDP к Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019;
• 2FA/MFA при входе в Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019.

Привязка SMS OTP в процессе аутентификации

Avanpost FAM позволяет выполнить установку или замену номера телефона в процессе аутентификации посредством отправки одноразового кода в SMS на новый номер, указанный сотрудником. После выполнения подтверждения посредством ввода одноразового кода сотрудник может использовать указанный номер телефона в качестве метода 2FA.

Привязка SMS OTP через личный кабинет

Avanpost FAM позволяет выполнить установку или замену номера телефона через личный кабинет. Установка нового номера телефона осуществляется после подтверждения посредством отправки на новый номер телефона, указанный сотрудником. После выполнения подтверждения путём ввода одноразового кода сотрудник может использовать номер телефона в качестве метода 2FA.

Привязка SMS OTP в рамках LDAP-синхронизации

Avanpost FAM в рамках интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) может осуществлять загрузку номеров телефона сотрудников. В рамках синхронизации номер телефона может быть помечен как подтверждённый, после чего будет доступен к использованию сотрудниками для аутентификации по SMS OTP.

Привязка SMS OTP через административную консоль

Администратор системы Avanpost FAM может воспользоваться административной консолью для установки сотруднику требуемого номера телефона.

Требования к SMS-шлюзу

SMS-шлюз для использования с Avanpost FAM должен обладать следующими характеристиками:

• Предоставлять доступный из внутренней сети, в которой развёрнут компонент Avanpost FAM Server, HTTP/HTTPS API, позволяющий при помощи HTTP/HTTPS-запроса осуществить отправку SMS-сообщения.
• Использовать для отправки сообщения HTTP-запрос любого типа (GET, POST, PUT).
• Осуществлять аутентификацию запроса в составе этого запроса посредством методов:
  • Передачи заголовка, содержащего любую константу.
  • Передачи обработанного любым способом логина, пароля или их любой комбинации.