База знаний FAM/MFA+ : 1. Возможности и решения

Avanpost FAM (Federated Access Manager) – корпоративный Identity & Access Manager (IAM). Предназначен для обеспечения защищённой аутентификации сотрудников организаций и холдинговых структур во все корпоративные информационные системы.

Система обеспечивает готовые и масштабируемые решения для следующих задач:

  1. Защита корпоративных систем, публикуемых в интернет, при помощи 2FA/MFA .
  2. Прозрачная аутентификация при переходе между приложениями при помощи SSO/SLO .
  3. 2FA для серверов и компьютеров под управлением Windows и Linux .
  4. Единая точка входа для мультидоменных инфраструктур .
  5. Защита унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA .

Продукт является отечественной разработкой, соответствует требованиям регуляторов и обеспечивает выполнение требований импортозамещения:

  1. Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям .
  2. Содержится в реестре отечественного ПО под регистрационным номером ПО 6824 .
  3. Поддерживает работу на базе отечественных операционных систем.

Решение является законченным программным продуктом и не требует разработки дополнительных программных средств или иного дополнительного ПО . Системный язык пользовательского интерфейса – русский.

Функции системы

Система Avanpost FAM предоставляет следующий набор функций:

  • IdP (Identity Provider, провайдер аутентификации);
  • SSO (Single-Sign On, однократная аутентификация);
  • SLO (Single Logout, однократное завершение сессии);
  • MFA (Multifactor-Authentication, многофакторная аутентификация);
  • Windows и Linux Logon;
  • Единый каталог пользователей;
  • Контроль и управление сессиями;
  • Авторизация;
  • Самообслуживание;
  • Восстановление доступа.

Поддерживаемые типы приложений

Продукт Avanpost FAM обеспечивает подключение всех типов и вариантов исполнения информационных систем, применяемых в корпоративной инфраструктуре:

  1. Рабочие станции пользователей под управлением ОС семейства Linux и Microsoft Windows.
  2. Веб-приложения с поддержкой OpenID Connect 1.0, OAuth 2.0 и SAML 2.0.
  3. Унаследованные веб-приложения без поддержки OpenID Connect 1.0 и SAML 2.0.
  4. API и микросервисы с возможностью реализации OpenID Connect 1.0.
  5. Унаследованные десктопные приложения и современные десктопные приложения с поддержкой OpenID Connect 1.0 и SAML 2.0.
  6. Мобильные приложения с поддержкой или возможностью реализации OpenID Connect 1.0.
  7. SaaS/PaaS-решения с поддержкой SAML 2.0, OpenID Connect 1.0 и с поддержкой федераций.
  8. VPN и межсетевые экраны с поддержкой аутентификации через RADIUS-сервер.
  9. VDI и системы удалённых рабочих столов (VNC, RDP) с поддержкой аутентификации через RADIUS-сервер.

Поддерживаемые технологии подключения приложений

Продукт Avanpost FAM поддерживает следующие технологии интеграции:

  1. Enterprise SSO (агентская аутентификация путём перехвата окон десктопных приложений).
  2. Reverse Proxy (технология Web Access Manager).
  3. RADIUS .
  4. Windows Logon для Microsoft Windows-систем (Windows Desktop 7, 8, 10 и Windows Server 2012R2, 2016, 2019).
  5. Linux Logon для Linux-систем (PAM Linux-модуль).
  6. SAML (IdP в рамках протокола SAML 2.0).
  7. OpenID Connect (IdP в рамках протокола OAuth 2.0/OpenID Connect 1.0).

Поддерживаемые методы и факторы аутентификации

Продукт Avanpost FAM поддерживает следующие методы аутентификации:

  1. Пароль, в том числе с проверкой в LDAP-каталоге.
  2. TOTP (Avanpost Authenticator, Google Authenticator, Яндекс.Ключ и другие программные TOTP-аутентификаторы).
  3. SMS (одноразовый код, направляемый в SMS-сообщении).
  4. E-mail (одноразовый код, направляемый в E-mail-сообщении).
  5. Аутентификация через собственное мобильное приложение Avanpost Authenticator (Android/iOS/Huawei) посредством целого набора методов:
    1. Push в мобильное приложение Avanpost Authenticator;
    2. Запрос в мобильное приложение Avanpost Authenticator без использования механизма push для изолированных инсталляций без возможности доступа к push-сервисам Google/Apple/Huawei;
    3. Беспарольная аутентификация посредством сканирования QR-кода в мобильном приложении Avanpost Authenticator;
    4. Резервная аутентификация посредством TOTP при отсутствии связи на мобильном устройстве.
  6. SafeTech PayControl (Android/iOS).
  7. Push в мессенджер Telegram.
  8. FIDO WebAuthn/FIDO U2F.
  9. Электронная подпись (в том числе ГОСТ).
  10. Аппаратный токен с возможностью проверки PIN-кода на смарт-карте:
    • Rutoken;
    • некоторые токены JaCarta;
    • некоторые токены eToken.
  11. Прозрачная доменная SPNEGO/Kerberos-аутентификация (в том числе мультидоменная Kerberos-аутентификация).

Поддерживаемые технологии федерации

Продукт Avanpost FAM поддерживает выстраивание доверенных федеративных отношений со следующими провайдерами:

Поддерживаемые технологии мониторинга

Продукт Avanpost FAM поддерживает следующие технологии мониторинга и сбора информации:

  1. Экспорт событий в SIEM/агрегатор журналов по syslog.
  2. Сбор показателей функционирования в формате Prometheus для дальнейшего анализа или визуализации при помощи Grafana.