База знаний FAM/MFA+ : 4. Методы аутентификации

Общие сведения

Avanpost FAM обладает следующими функциями в части аутентификации:

  • MFA (многофакторная аутентификация);
  • 2FA (двухфакторная аутентификация) как частный случай MFA;
  • Выбор метода (фактора) аутентификации пользователем при наличии альтернатив;
  • Inline-привязка (enrollment) аутентификатора в процессе аутентификации, если аутентификатор не настроен;
  • Single Sign-On-аутентификация (SSO-аутентификация) на основании наличия проверенных факторов в рамках сессии;
  • Single Logout (SLO) во всех приложениях при обнаружении факта завершения сеанса в одном из приложений.

Avanpost FAM предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации:

Функции механизма аутентификации

Система Avanpost FAM предоставляет возможность построения сложных сценариев многофакторной аутентификации.

Доступные возможности, предоставляемые механизмом многофакторной аутентификации системы Avanpost FAM:

  • Централизованное управление сценарием MFA через административную консоль.
  • Настройка произвольного сценария многофакторной аутентификации для любого приложения вне зависимости от технологии интеграции (веб-приложения, мобильные и десктопные приложения, VPN/VDI, Enterprise SSO и т.д.).
  • Настройка произвольного сценария многофакторной аутентификации для любой группы пользователей, в том числе с указанием определённогоп приложения.
  • Настройка многошаговых сценариев аутентификации (состоящих из одного, двух, трёх или N шагов аутентификации).
  • Настройка на каждом шаге одного или нескольких факторов аутентификации с возможностью выбора метода аутентификации пользователем.
  • Пропуск шага аутентификации, если пользователь подключается из внутренней сети.


Приложение А. Способы аутентификации, реализуемые факторами

Сводная таблица поддержки способов аутентификации для различных факторов и интеграционных механизмов системы Avanpost FAM:

Фактор Способ аутентификации OpenID Connect SAML Reverse Proxy RADIUS Enterprise SSO Windows Logon Linux Logon
1 Пароль Ввод локального пароля (без LDAP-аутентификации) Да Да Да Да Да Да Да
2 Ввод доменного пароля (LDAP-аутентификация) Да Да Да Да¹ Да Да Да
3 Мобильное приложение Avanpost Authenticator Подтверждение запроса на аутентификацию в мобильное приложение Avanpost Authenticator (без использования механизма push-уведомлений) Да Да Да Да Да Да Да
4 Подтверждение push-запроса на аутентификацию в мобильное приложение Avanpost Authenticator Да Да Да Да Да Да Да
5 Ввод одноразового кода из мобильного приложения Avanpost Authenticator Да Да Да Да² Да Да Да
6 SMS OTP Ввод одноразового кода из SMS-сообщения Да Да Да Да² Да Да Да
7 TOTP (Time-based OTP) Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) Да Да Да Да Да Да Да
8 E-mail Ввод одноразового кода из письма Да Да Да Да² Да Да Да
9 Мессенджер Telegram Подтверждение push-запроса в чат-бот Telegram Да Да Да Да Да Да Да
10 FIDO WebAuthn/U2F Предъявление USB-токена с поддержкой FIDO WebAuthn/U2F Да Да Да Нет Нет Нет Нет
11 Ввод PIN-кода в ОС Windows с поддержкой Windows Hello Да Да Да Нет Нет Нет Нет
12 Предъявление биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев (биометрия Android, Apple Face ID в iOS) Да Да Да Нет Нет Нет Нет
13 Смарт-карты и USB-токены

Предъявление смарт-карты Rutoken с поддержкой PKCS#11 с установленным драйвером Rutoken Нет Нет Нет Нет Да Да Нет
14 Предъявление смарт-карты eToken с поддержкой PKCS#11 с установленным драйвером eToken Нет Нет Нет Нет Да Да Нет
15 Предъявление смарт-карты JaCarta с поддержкой PKCS#11 с установленным драйвером JaCarta Нет Нет Нет Нет Да Да Нет
16 Мобильное приложение SafeTech PayControl Подтверждение push-запроса на аутентификацию в мобильном приложении-аутентификаторе SafeTech PayControl Да Да Да Да Да Да Да
17 Электронная подпись Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи по списку фактически привязанных к пользователю сертификатов Да Да Да Нет Нет Нет Нет
18 Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи и сертификата на основе корневого доверенного сертификата Да Да Да Нет Нет Нет Нет
19 ЕСИА Прозрачная аутентификация на основе факта успешного выполнения аутентификации через УЗ ЕСИА при ЕСИА, подключенной к Avanpost FAM в качестве OpenID Connect Id Да Да Да Нет Нет Нет Нет
20 OpenID Connect-провайдеры аутентификации (Federation)
Да Да Да Нет Нет Нет Нет
21 SAML-провайдеры аутентификации (Federation)
Да Да Да Нет Нет Нет Нет

¹ – при использовании PAP и Passwordless-механизма аутентификации; при использовании CHAP и MS-CHAPv2 требуется обеспечить соответствие пароля в Avanpost FAM и доменного пароля.

² – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.

Приложение Б. Способы привязки аутентификаторов при аутентификации

Сводная таблица поддержки способов привязки аутентификаторов для различных факторов и интеграционных механизмов системы Avanpost FAM:


Фактор Метод привязки аутентификатора OpenID Connect SAML Reverse Proxy RADIUS Enterprise SSO Windows Logon Linux Logon
1 Пароль Установка пароля при самостоятельной регистрации Да Да Да Нет Нет Нет Нет
2 Установка пароля при восстановлении доступа Да Да Да Нет Нет Нет Нет
3 Установка нового пароля при сбросе/истечении пароля в домене MS AD Нет Нет Нет Нет Нет Да Нет
4 Мобильное приложение Avanpost Authenticator Привязка аутентификатора путём считывания QR-кода в мобильноом приложении Avanpost Authenticator Да Да Да Нет Нет Нет Нет
5 Привязка аутентификатора в процессе аутентификации путём ввода одноразового кода и PIN-кода в мобильное приложение Avanpost Authenticator Да Да Да Да¹ Нет Нет Нет
6 SMS OTP Привязка номера телефона в процессе аутентификации путём ввода номера телефона и подтверждения по одноразовому коду Да Да Да Да¹ Да Да Да
7 TOTP (Time-based OTP) Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) Да Да Да Да¹ Да Да Да
8 E-mail Привязка E-mail в процессе аутентификации путём ввода адреса электронной почты и активации аккаунта Да Да Да Нет Нет Нет Нет
9 Мессенджер Telegram Привязка путём сканирования QR-кода Да Да Да Нет Нет Нет Нет
10 FIDO WebAuthn/U2F Привязка USB-токена с поддержкой FIDO WebAuthn/U2F в процессе аутентификации Да Да Да Нет Нет Нет Нет
11 Привязка PIN-кода в ОС Windows с поддержкой Windows Hello в процессе аутентификации Да Да Да Нет Нет Нет Нет
12 Привязка биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев в процессе аутентификации Да Да Да Нет Нет Нет Нет
13 Смарт-карты и USB-токены - Нет Нет Нет Нет Нет Нет Нет
14 Мобильное приложение SafeTech PayControl - Нет Нет Нет Нет Нет Нет Нет
15 Электронная подпись - Нет Нет Нет Нет Нет Нет Нет
16 ЕСИА - Нет Нет Нет Нет Нет Нет Нет
17 OpenID Connect-провайдеры аутентификации (Federation) - Нет Нет Нет Нет Нет Нет Нет
18 SAML-провайдеры аутентификации (Federation) - Нет Нет Нет Нет Нет Нет Нет

¹ – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.