[ Общие сведения ] [ Функции механизма аутентификации ] [ Приложение Б. Способы привязки аутентификаторов при аутентификации ]
Общие сведения
Avanpost FAM обладает следующими функциями в части аутентификации:
- MFA (многофакторная аутентификация);
- 2FA (двухфакторная аутентификация) как частный случай MFA;
- Выбор метода (фактора) аутентификации пользователем при наличии альтернатив;
- Inline-привязка (enrollment) аутентификатора в процессе аутентификации, если аутентификатор не настроен;
- Single Sign-On-аутентификация (SSO-аутентификация) на основании наличия проверенных факторов в рамках сессии;
- Single Logout (SLO) во всех приложениях при обнаружении факта завершения сеанса в одном из приложений.
Avanpost FAM предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации:
- Мобильное приложение Avanpost Authenticator;
- Локальный пароль;
- Доменный пароль;
- TOTP;
- SMS;
- Мессенджер Telegram;
- E-mail;
- FIDO WebAuthn/U2F;
- Смарт-карты и USB-токены (Rutoken, JaCarta);
- Электронная подпись;
- ЕСИА.
Функции механизма аутентификации
Система Avanpost FAM предоставляет возможность построения сложных сценариев многофакторной аутентификации.
Доступные возможности, предоставляемые механизмом многофакторной аутентификации системы Avanpost FAM:
- Централизованное управление сценарием MFA через административную консоль.
- Настройка произвольного сценария многофакторной аутентификации для любого приложения вне зависимости от технологии интеграции (веб-приложения, мобильные и десктопные приложения, VPN/VDI, Enterprise SSO и т.д.).
- Настройка произвольного сценария многофакторной аутентификации для любой группы пользователей, в том числе с указанием определённогоп приложения.
- Настройка многошаговых сценариев аутентификации (состоящих из одного, двух, трёх или N шагов аутентификации).
- Настройка на каждом шаге одного или нескольких факторов аутентификации с возможностью выбора метода аутентификации пользователем.
- Пропуск шага аутентификации, если пользователь подключается из внутренней сети.
Приложение А. Методы аутентификации, реализуемые факторами
Сводная таблица поддержки способов аутентификации для различных факторов и интеграционных механизмов системы Avanpost FAM:
| № | Фактор | Способ аутентификации | OpenID Connect | SAML | Reverse Proxy | RADIUS | Enterprise SSO | Windows Logon | Linux Logon |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Пароль | Ввод локального пароля (без LDAP-аутентификации) | Да | Да | Да | Да | Да | Да | Да |
| 2 | Ввод доменного пароля (LDAP-аутентификация) | Да | Да | Да | Да¹ | Да | Да | Да | |
| 3 | Мобильное приложение Avanpost Authenticator | Подтверждение запроса на аутентификацию в мобильное приложение Avanpost Authenticator (без использования механизма push-уведомлений) | Да | Да | Да | Да | Да | Да | Да |
| 4 | Подтверждение push-запроса на аутентификацию в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да | Да | Да | Да | |
| 5 | Ввод одноразового кода из мобильного приложения Avanpost Authenticator | Да | Да | Да | Да² | Да | Да | Да | |
| 6 | SMS OTP | Ввод одноразового кода из SMS-сообщения | Да | Да | Да | Да² | Да | Да | Да |
| 7 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да | Да | Да | Да |
| 8 | Ввод одноразового кода из письма | Да | Да | Да | Да² | Да | Да | Да | |
| 9 | Мессенджер Telegram | Подтверждение push-запроса в чат-боте Telegram | Да | Да | Да | Да | Да | Да | Да |
| 10 | FIDO WebAuthn/U2F | Предъявление USB-токена с поддержкой FIDO WebAuthn/U2F | Да | Да | Да | Нет | Нет | Нет | Нет |
| 11 | Ввод PIN-кода в ОС Windows с поддержкой Windows Hello | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 12 | Предъявление биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев (биометрия Android, Apple Face ID в iOS) | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 13 | Смарт-карты и USB-токены | Предъявление смарт-карты Rutoken с поддержкой PKCS#11 с установленным драйвером Rutoken | Нет | Нет | Нет | Нет | Да | Да | Нет |
| 14 | Предъявление смарт-карты eToken с поддержкой PKCS#11 с установленным драйвером eToken | Нет | Нет | Нет | Нет | Да | Да | Нет | |
| 15 | Предъявление смарт-карты JaCarta с поддержкой PKCS#11 с установленным драйвером JaCarta | Нет | Нет | Нет | Нет | Да | Да | Нет | |
| 16 | Электронная подпись | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи по списку фактически привязанных к пользователю сертификатов | Да | Да | Да | Нет | Нет | Нет | Нет |
| 17 | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи и сертификата на основе корневого доверенного сертификата | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 18 | OpenID Connect-провайдеры аутентификации (Federation) | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 19 | SAML-провайдеры аутентификации (Federation) | Да | Да | Да | Нет | Нет | Нет | Нет |
¹ – при использовании PAP и Passwordless-механизма аутентификации; при использовании CHAP и MS-CHAPv2 требуется обеспечить соответствие пароля в Avanpost FAM и доменного пароля.
² – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.
Приложение Б. Способы привязки аутентификаторов при аутентификации
Сводная таблица поддержки способов привязки аутентификаторов для различных факторов и интеграционных механизмов системы Avanpost FAM:
| Фактор | Метод привязки аутентификатора | OpenID Connect | SAML | Reverse Proxy | RADIUS | Enterprise SSO | Windows Logon | Linux Logon | |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Пароль | Установка пароля при самостоятельной регистрации | Да | Да | Да | Нет | Нет | Нет | Нет |
| 2 | Установка пароля при восстановлении доступа | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 3 | Установка нового пароля при сбросе/истечении пароля в домене MS AD | Нет | Нет | Нет | Нет | Нет | Да | Нет | |
| 4 | Мобильное приложение Avanpost Authenticator | Привязка аутентификатора путём считывания QR-кода в мобильноом приложении Avanpost Authenticator | Да | Да | Да | Нет | Нет | Нет | Нет |
| 5 | Привязка аутентификатора в процессе аутентификации путём ввода одноразового кода и PIN-кода в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да¹ | Нет | Нет | Нет | |
| 6 | SMS OTP | Привязка номера телефона в процессе аутентификации путём ввода номера телефона и подтверждения по одноразовому коду | Да | Да | Да | Да¹ | Да | Да | Да |
| 7 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да¹ | Да | Да | Да |
| 8 | Привязка E-mail в процессе аутентификации путём ввода адреса электронной почты и активации аккаунта | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 9 | Мессенджер Telegram | Привязка путём сканирования QR-кода | Да | Да | Да | Нет | Нет | Нет | Нет |
| 10 | FIDO WebAuthn/U2F | Привязка USB-токена с поддержкой FIDO WebAuthn/U2F в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет |
| 11 | Привязка PIN-кода в ОС Windows с поддержкой Windows Hello в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 12 | Привязка биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 13 | Смарт-карты и USB-токены | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 14 | Электронная подпись | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 15 | OpenID Connect-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 16 | SAML-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
¹ – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.