База знаний FAM/MFA+ : 2.2. Компонент Avanpost FAM Mobile Services

Общие сведения

Avanpost FAM Mobile Services – набор бэкенд-сервисов, обеспечивающих работу мобильного приложения Avanpost Authenticator с on-premise экземпляром Avanpost FAM. Состоит из двух компонентов, предназначенных для размещения в DMZ при on-premise-развёртывании:

  • Push Service; обеспечивает доставку push-уведомлений в мобильное приложение Avanpost Authenticator через стандартный механизм push в ОС Android и iOS.
  • API Service; обеспечивает безопасную публикацию API для мобильных приложений Avanpost Authenticator в DMZ.

Функции, которые будут доступны для пользователей мобильного приложения-аутентификатора Avanpost Authenticator по результатам развёртывания компонентов Avanpost FAM Mobile Services:

  • Доставка push-запросов на аутентификацию в мобильное приложение Avanpost Authenticator.
  • Привязка мобильного аутентификатора посредством считывания QR-кода в мобильном приложении Avanpost Authenticator;
  • Привязка мобильного аутентификатора посредством ввода одноразового кода в мобильное приложение Avanpost Authenticator;
  • Подтверждение/отклонение запросов на аутентификацию в мобильном приложении Avanpost Authenticator;
  • Получение актуальной информации об аккаунтах на стороне Avanpost FAM Server (получение информации о блокировке аккаунта админстратором и т.д.);
  • Блокировка и удаление аккаунта из мобильного приложения с уведомлением об этом Avanpost FAM Server.

Компоненты Avanpost FAM Mobile Services обладают следующими характеристиками:

  • Хранят все обрабатываемые данные в embedded-хранилищах, поэтому не требуют развёртывания отдельных компонентов для хранения данных.
  • Готовы к размещению в DMZ, позволяют исключить прямой сетевой доступ со стороны демилитаризованной зоны (DMZ) и интернета во внутреннюю сеть.

Системные требования

Компоненты Avanpost FAM Mobile Services работают на следующих серверных платформах:

  • Oracle Linux 8;
  • RHEL (Red Hat Enterprise Linux) 7, RHEL 8;
  • CentOS 7, CentOS 8, CentOS Stream;
  • Альт 8 СП Сервер;
  • Astra Linux 1.6 CE, Astra Linux 1.6 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 10, Debian 11, Debian 12, Debian 13.

Варианты развёртывания

Компоненты Avanpost FAM Mobile Services поддерживают несколько вариантов развёртывания.

Развёртывание двух компонентов API Service с Push Service из состава FAM Mobile Services

Данный вариант разёртывания подойдёт в том случае, если:

  • Необходимо использование механизма push-уведомлений пользователя о запросах аутентификации.
  • Имеется организационная и техническая возможность обеспечить сетевую доступность внутренних сервисов до URL Google Firebase ( https://fcm.googleapis.com/ , https://firestore.googleapis.com/, https://oauth2.googleapis.com/ ).

В данном варианте развёртывания доступны все функции мобильного аутентификатора Avanpost Authenticator.

Для реализации данной схемы развёртывания необходимо:

  • Установить и выполнить настройку компонента Push Service из состава Avanpost FAM Mobile Services.
  • Установить и выполнить настройку компонента API Service из состава Avanpost FAM Mobile Services.

Установка зависит от платформы и подробно описана в инструкциях:

Развёртывание компонента API Service без Push Service из состава FAM Mobile Services

Данный вариант развёртывания подойдёт в тех случаях, если:

  • Нет потребности в использовании механизма push-уведомлений пользователя о запросах аутентификации.
  • Нет организационной и технической возможности обеспечить сетевую доступность внутренних сервисов до URL Google Firebase ( https://fcm.googleapis.com/ , https://firestore.googleapis.com/, https://oauth2.googleapis.com/ ).
  • Имеются ограничения на использование зарубежных сервисов (Google Firebase, Android)

В данном варианте развёртывания доступны все функции мобильного аутентификатора Avanpost Authenticator, за исключением функции доставки push-запросов на аутентификацию в мобильное приложение Avanpost Authenticator.

Установка зависит от платформы и подробно описана в инструкциях:

Безопасность

Защита входящих подключений от Avanpost FAM Server посредством токена

Токен, сгенерированный для проверки входящих подключений, представляет собой уникальный набор символов от 5 знаков .

При подключении Avanpost FAM Server к API Service производится проверка совпадения токена, указанного на стороне сервера, с токеном, указанным при запуске API сервиса. В случае совпадения токенов производится подключение.

Использование токена для входящих подключений обеспечивает:

  • Безопасность. Токен выступает в роли временного ключа доступа к сервису, и может быть ограничен по времени.
  • Аудит и отчетность. С помощью токена можно отслеживать использование сервиса и регистрировать каждое подключение к нему, что способствует точному отслеживанию ошибок и инцидентов в Системе.
  • Удобство. Токены могут быть легко и быстро созданы и переданы внутри и между системами. Использование токенов не требует конфигурирования SSL, управления паролями и других сложных настроек.

Проверка подписи запросов от мобильных приложений Avanpost Authenticator

При привязке приложения Avanpost Authenticator к УЗ в системе FAM и впоследствии при отправке всех ключевых запросов используется алгоритм хеширования RSA SHA256 (асимметричный криптографический алгоритм, который использует два ключа: публичный и приватный).

Приватный ключ хранится на устройстве и используется для создания новых подписей. Все запросы, передаваемые устройством, подписываются закрытым ключом и отправляются на сервер для дальнейшей проверки посредством открытого ключа. Запрос или привязка выполняются только в случае успешной проверки.

наоборот запросы от устройства к серверу подписываются закрытым ключем, а уже на сервере проверяются открытым ключем

TLS-шифрование передаваемых данных

При подключении Avanpost FAM к Push Service и API Service есть возможность использовать TLS-шифрование для обеспечения безопасной передачи данных.

TLS использует симметричное и асимметричное шифрование для защиты данных. При установлении соединения между Avanpost FAM и Push Service/API Service происходит процесс SSL/TLS handshake, который включает в себя обмен цифровыми сертификатами, установление типа шифрования и ключей для обеспечения безопасной связи.

В рамках подключения есть возможность настраивать и использовать протокол HTTPS.