Настройка MFA/SSO для SAP Logon

[ ] [ Общие сведения ] [ Настройка ] [ Проверка настройки ] [ Сценарии использования ] [ Загрузка пользователей Тонкого клиента SAP Logon из домена (LDAP) ] [ Контроль попыток аутентификации пользователей к Тонкому клиенту SAP Logon через Avanpost FAM ] [ Управление доступом пользователей к клиенту SAP Logon через Avanpost FAM ] [ Управление доступом пользователей к клиенту SAP Logon через домен (LDAP) ] [ Управление сценарием аутентификации (2FA/MFA) для клиента SAP Logon через Avanpost FAM ] [ Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к клиенту SAP Logon, через Avanpost FAM ] [ Привязка учётной записи SAP Logon для нового пользователя в процессе аутентификации ] [ Приложение А. Шаблон аутентификации в SAP Logon ]

Общие сведения

В статье описывается настройка двухфакторной аутентификации (2FA), многофакторной аутентификации (MFA) и Single-Sign On для SAP Logon посредством Enterprise SSO-механизма системы Avanpost FAM.

Для SAP Logon с целью 2FA/MFA могут использоваться следующие факторы аутентификации: 

• Avanpost Authenticator;
• Мобильное приложение SafeTech PayControl;
• SMS;
• TOTP;
• E-mail;
• Мессенджер Telegram;
• Смарт-карты.

SAP Logon поддерживает функциональность SSO, обеспечиваемую компонентом Avanpost FAM Agent: если пользователь прошёл аутентификацию в соответствии с настроенным сценарием, то система не будет запрашивать повторное подтверждение аутентификации.

Системные требования для интеграции SAP Logon с Avanpost FAM:

• Сервер Avanpost FAM 1.3.0 или выше;
• Сервер SAP, совместимый с SAP Logon;
• Клиент SAP Logon.

Для выполнения настройки 2FA в в соответствии с инструкцией необходимо выполнить следующие предварительные условия:

1. Установить в сети сервер SAP.
2. Установить в сети компонент Avanpost FAM Server.
3. На стороне Avanpost FAM Server настроить Avanpost FAM Agent.
4. Установить на АРМ пользователя коиент SAP Logon.

При необходимости аутентификации через:

• Мобильное приложение Avanpost Authenticator – установить компонент Avanpost FAM Mobile Services;
• Мобильное приложение SafeTech PayControl – установить сервер SafeTech PayControl;
• SMS – настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
• E-mail – настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
• Telegram – настроить подключение к Telegram Bot API.

Настройка

На стороне сервера Avanpost FAM:

1. Через административную консоль Avanpost FAM создать приложение с типом Desktop.
2. В карточке приложения на вкладке «Настройки»:

   1. В разделе «Основные атрибуты» в поле Шаблон скопировать и указать шаблон аутентификации из приложения А текущей инструкции.
      

   2. В разделе «Учётные записи приложения»:
      
      • Управление – установить флаг «Разрешить пользователям управление учётными записями»;
      • Время действия пароля в днях – указать в соответствии с парольными политиками для паролей в SAP Logon;
      • Минимальная длина пароля – указать в соответствии с парольными политиками для паролей в SAP Logon;
      • Минимальное количество изменённых символов пароля – указать в соответствии с парольными политиками для паролей в SAP Logon;
      • Пароль должен... – установить флаги в соответствии с парольными политиками для паролей в SAP Logon.
        
        

Проверка настройки

1. Запустить на АРМ Avanpost FAM Agent, выполнить аутентификацию через УЗ в Avanpost FAM.
2. Запустить SAP Logon, дождаться перехвата Avanpost FAM Agent окна аутентификации.
3. Если запрашивается аутентификация по дополнительным методам – выполнить аутентификацию.
4. Если запрашивается УЗ пользователя SAP Logon – предоставить реквизиты УЗ.

В результате пользователь должен успешно пройти аутентификацию в SAP Logon.

При закрытии клиента SAP Logon и повторном открытии аутентификации пользователь должен пройти прозрачную аутентификацию посредством механизма SSO, обеспечиваемого компонентами Avanpost FAM Server и Avanpost FAM Agent.

Сценарии использования

Загрузка пользователей Тонкого клиента SAP Logon из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в клиенте SAP Logon, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в клиенте SAP Logon. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к Тонкому клиенту SAP Logon через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к клиенту SAP Logon через Avanpost FAM

Для предоставления доступа, пользователя необходимо включить в группу, которая имеет доступ к созданному приложению.

Доступно автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к клиенту SAP Logon через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.) может автоматизировать управление членством пользователей в группах Avanpost FAM, предоставляющих доступ к клиенту SAP Logon, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление сценарием аутентификации (2FA/MFA) для клиента SAP Logon через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения SAP Logon, необходимо в административной консоли в карточке приложения открыть вкладку MFA. В качестве первого шага указать метод аутентификации – Password. В качестве второго шага – выбрать один из следующих факторов:

• Мобильное приложение Avanpost Authenticator;
• Мобильное приложение SafeTech PayControl;
• TOTP;
• SMS;
• E-mail;
• Мессенджер Telegram.

Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к клиенту SAP Logon, через Avanpost FAM

Необходимо в административной консоли Avanpost FAM в карточке группы на вкладке «MFA» настроить дополнительный сценарий аутентификации. При этом пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Таким образом, можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к клиенту SAP Logon.

Привязка учётной записи SAP Logon для нового пользователя в процессе аутентификации

Если у пользователя учётная запись не привязана и включен параметр «Управление» приложения «Разрешить пользователям управлять учётными записями», то Avanpost FAM Agent выполнит запрос учётной записи у пользователя. 

Приложение А. Шаблон аутентификации в SAP Logon

Содержимое шаблона:

{
	"authenticateTemplates": [{
		"commands": [
			{
        		"CommandType": "Sleep",
       			"SleepTime": 100
   			},            
    		{
        		"CommandType": "TextEntry",
        		"TextMessage": "$user"
    		},
    		{
       		 	"CommandType": "KeyPress",
        		"Code1": "TAB"                
    		},
    		{
        		"CommandType": "TextEntry",
        		"TextMessage": "$password"
    		},
    		{
        		"CommandType": "KeyPress",
        		"Code1": "RETURN"                
    		}
		],
		"grab": [{
			"windowName": "SAP",
			"processName": "saplogon"
		}]
	}],
	"changePasswordTemplates": [{
		"commands": [{
		}],
		"grab": [{
		}]
	}]
}