4.5. E-mail

Общие сведения

E-mail OTP – один из наиболее распространённых методов аутентификации, использующий в качестве средства доставки одноразового кода SMTP/SMTPs механизм корпоративного почтового сервера. При использовании данного механизма на E-mail сотрудника отправляется E-mail, содержащее одноразовый код. После ввода одноразового кода пользователь считается успешно аутентифицированным.

Для того, чтобы сотрудник мог пользоваться методом аутентификации E-mail OTP, требуется как минимум указать в профиле сотрудника его адрес электронной почты. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:

• Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки E-mail.
• Привязка в административной консоли Avanpost FAM посредством указания администратором E-mail сотрудника.
• Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory, LDAP-синхронизации с FreeIPA и т.д.).

E-mail OTP может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

• OAuth/OpenID Connect;
• SAML;
• Reverse Proxy;
• RADIUS;
• Enterprise SSO через Avanpost FAM Agent;
• Windows Logon через Avanpost FAM Credential Provider;
• Linux Logon через Avanpost FAM PAM Linux.

Системные требования к инфраструктуре для работы метода аутентификации E-mail OTP:

• Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.2.0 или новее.
• Доступный из внутренней сети HTTP SMTP-шлюз, соответствующий требованиям.

Сценарии использования

Аутентификация в веб-приложения с вводом одноразового кода из E-mail

Возможно использование OTP-аутентификации через E-mail OTP для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:

• OAuth 2.0/OpenID Connect;
• SAML;
• Reverse Proxy.

Примеры некоторых корпоративных систем, для которых применим данный сценарий:

• MFA/SSO в Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS;
• MFA/SSO в CRM Creatio (Terrasoft bpm'online);
• MFA/SSO в Grafana;
• MFA/SSO в Atlassian Jira Server;
• MFA/SSO в Atlassian Confluence Server.

Аутентификация в VPN/VDI (RADIUS) с вводом одноразового кода из E-mail

Возможно использование OTP-аутентификации через E-mail OTP для всех приложений, подключаемых с целью 2FA посредством RADIUS, с поддержкой метода RADIUS Access-Challenge.

Примеры корпоративных систем, для которых применим данный сценарий:

• 2FA в Cisco AnyConnect, Cisco ASA, Cisco ASAv.

Аутентификация в десктопные приложения (Enterprise SSO) с вводом одноразового кода из E-mail

Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.

Примеры корпоративных систем, для которых применим сценарий:

• MFA/SSO в 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO);
• MFA/SSO в SAP Logon;
• MFA/SSO в TrueConf.

Аутентификация на рабочие станции и сервера с вводом одноразового кода из E-mail

Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.

Примеры задач, для которых применим сценарий:

• 2FA/MFA при подключении по RDP к Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019;
• 2FA/MFA при входе в Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019.

Привязка E-mail OTP в процессе аутентификации

Avanpost FAM позволяет выполнить установку E-mail адреса в процессе аутентификации. После указания E-mail адреса сотрудник может использовать указанный почтовый адрес в качестве средства доставки 2FA E-mail OTP.

Привязка E-mail OTP через личный кабинет

Avanpost FAM позволяет выполнить установку или замену E-mail адреса через личный кабинет. После заполнения E-mail сотрудник может использовать E-mail в качестве метода 2FA.

Привязка E-mail OTP в рамках LDAP-синхронизации

Avanpost FAM в рамках интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) может осуществлять загрузку E-mail-адресов сотрудников. После чего будет доступен к использованию сотрудниками для аутентификации по E-mail OTP.

Привязка E-mail OTP через административную консоль

Администратор системы Avanpost FAM может воспользоваться административной консолью для установки сотруднику требуемого E-mail адреса.

Требования к SMTP-шлюзу

SMTP-шлюз для использования с Avanpost FAM должен обладать следующими характеристиками:

• Предоставлять доступный из внутренней сети, в которой развёрнут компонент Avanpost FAM Server, SMTP-шлюз позволяющий при помощи SMTP-запроса осуществить отправку E-mail сообщения.