Настройка MFA/SSO для Google Workspace

Общие сведения

В статье описывается настройка многофакторной аутентификации (MFA) и Single-Sign On для системы Google Workspace посредством Enterprise SSO-механизма системы Avanpost FAM.

Интеграция Google Workspace с Avanpost FAM по протоколу SAML 2.0 позволяет использовать Avanpost FAM в качестве средства аутентификации и источника информации о пользователях.

Для Google Workspace могут использоваться следующие факторы аутентификации:

1. Мобильное приложение Avanpost Authenticator (push + TOTP);
2. SMS;
3. TOTP;
4. E-mail;
5. Мессенджер Telegram;
6. Электронная подпись;
7. FIDO WebAuthn/U2F;
8. Доменная Kerberos-аутентификация;
9. ЕСИА (Единая система идентификации и аутентификации) в режиме Federation;
10. OpenID Connect-провайдер в режиме Federation;
11. SAML-провайдер в режиме Federation.

Предварительные условия

1. Установлен Сервер системы Avanpost FAM.
2. Наличие аккаунта администратора системы Avanpost FAM с доступом к административной консоли Avanpost FAM (член группы adminconsole) и ролью admin. 
3. Наличие активной подписки Google Workspace с тарифным планом не ниже «Google Workspace Business Starter».
4. Наличие аккаунта корпоративного администратора с доступом к управлению Google Workspace через административный интерфейс.
5. Домен, на котором размещён Avanpost FAM, не является основным доменом в Google Workspace.

Настройка

На стороне сервиса Google Workspace

1. Перейти в раздел «Security» → «Settings», выбрать пункт «Set up single sign-on (SSO) with a third party IdP»:
   
   
   
2. Настроить подраздел «Set up single sign-on (SSO) with a third party IdP», указав:
   1. Флаг «Set up SSO with third-party identity provider» – установлен.
   2. В поле «Sign-in page URL» указать адрес http://hostname/saml2, где hostname – адрес Сервера Avanpost FAM.
   3. В поле «Sign-out page URL» указать адрес  http://hostname/, где hostname – адрес Сервера Avanpost FAM.
   4. В поле «Verification certificate» загрузить файл сертификата, который расположен на стороне Сервера Avanpost FAM в файле cert.pem (см. Руководство по установке и настройке Avanpost FAM).
   5. Флаг «Use a domain specific issuer» – не активен.
   6. Поле «Network masks» оставить пустым.
   7. В поле «Change password URL» указать адрес http://hostname, где hostname – адрес Сервера Avanpost FAM.
   8. Сохранить изменения.
      
      
3. Итоговый набор параметров должен выглядеть подобным образом:
   

На стороне административной консоли Avanpost FAM

1. Создать в административной консоли Avanpost FAM приложение с типом SAML, указав:
   1. В поле «Issuer» - указать «google.com».
   2. В поле «ACS» - указать «https://www.google.com/a/organization.ru/acs», где organization.ru – адрес организации в Google Workspace.
   3. Поле «Base URL» оставить пустым.
   4. Поле «Backchannel-logout URL» оставить пустым. 
   5. В списке «Подпись» выбрать «Подписывать Assertion».
   6. В списке «NameID Format» выбрать «Адрес электронной почты».
   7. В списке «Значение NameID» выбрать вариант «Имя пользователя».
2. Сохранить изменения.

Проверка настройки

1. Открыть адрес любого Google-приложения в формате: https://service.google.com/a/example.com/, где service – субдомен приложения из состава Google Workspace, а example.com - основной домен организации в Google Workspace. Пример адреса – «https://calendar.google.com/a/organization.ru».
2. Google Workspace перенаправит на интерфейс аутентификации через Avanpost FAM:
   
3. После прохождения аутентификации пользователь успешно получит доступ к приложению.