База знаний FAM/MFA+ : Настройка MFA/SSO для Google Workspace

Общие сведения

В статье описывается настройка многофакторной аутентификации (MFA) и Single-Sign On для системы Google Workspace посредством Enterprise SSO-механизма системы Avanpost FAM.

Интеграция Google Workspace с Avanpost FAM по протоколу SAML 2.0 позволяет использовать Avanpost FAM в качестве средства аутентификации и источника информации о пользователях.

Для Google Workspace могут использоватться следующие факторы аутентификации:

  1. Мобильное приложение Avanpost Authenticator (push + TOTP) ;
  2. Мобильное приложение SafeTech PayControl (push) ;
  3. SMS ;
  4. TOTP ;
  5. E-mail ;
  6. Мессенджер Telegram ;
  7. Электронная подпись ;
  8. FIDO WebAuthn/U2F ;
  9. Доменная Kerberos-аутентификация ;
  10. ЕСИА (Единая система идентификации и аутентификации) в режиме Federation ;
  11. OpenID Connect-провайдер в режиме Federation ;
  12. SAML-провайдер в режиме Federation .

Предварительные условия

  1. Установлен Сервер системы Avanpost FAM.
  2. Наличие аккаунта администратора системы Avanpost FAM с доступом к административной консоли Avanpost FAM (член группы adminconsole ) и ролью admin .
  3. Наличие активной подписки Google Workspace с тарифным планом не ниже « Google Workspace Business Starter ».
  4. Наличие аккаунта корпоративного администратора с доступом к управлению Google Workspace через административный интерфейс.
  5. Домен, на котором размещён Avanpost FAM, не является основным доменом в Google Workspace.

Настройка

На стороне сервиса Google Workspace

  1. Перейти в раздел « Security » → « Settings », выбрать пункт « Set up single sign-on (SSO) with a third party IdP »:


  2. Настроить подраздел « Set up single sign-on (SSO) with a third party IdP », указав:
    1. Флаг « Set up SSO with third-party identity provider » – установлен.
    2. В поле « Sign-in page URL » указать адрес http://hostname/saml2 , где hostname – адрес Сервера Avanpost FAM.
    3. В поле « Sign-out page URL » указать адрес http://hostname/ , где hostname адрес Сервера Avanpost FAM.
    4. В поле « Verification certificate » загрузить файл сертификата, который расположен на стороне Сервера Avanpost FAM в файле cert.pem (см. Руководство по установке и настройке Avanpost FAM).
    5. Флаг « Use a domain specific issuer » – не активен.
    6. Поле « Network masks » оставить пустым.
    7. В поле « Change password URL » указать адрес http://hostname , где hostname адрес Сервера Avanpost FAM.
    8. Сохранить изменения.

  3. Итоговый набор параметров должен выглядеть подобным образом:

На стороне административной консоли Avanpost FAM

  1. Создать в административной консоли Avanpost FAM приложение с типом SAML, указав:
    1. В поле « Issuer » - указать « google.com ».
    2. В поле « ACS » - указать « https://www.google.com/a/ organization.ru /acs », где organization.ru – адрес организации в Google Workspace.
    3. Поле « Base URL » оставить пустым.
    4. Поле « Backchannel-logout URL » оставить пустым.
    5. В списке « Подпись » выбрать « Подписывать Assertion ».
    6. В списке « NameID Format » выбрать « Адрес электронной почты ».
    7. В списке « Значение NameID » выбрать вариант « Имя пользователя ».
  2. Сохранить изменения.

Проверка настройки

  1. Открыть адрес любого Google-приложения в формате: https://service.google.com/a/example.com/ , где service – субдомен приложения из состава Google Workspace, а example.com - основной домен организации в Google Workspace. Пример адреса – « https://calendar.google.com/a/organization.ru ».
  2. Google Workspace перенаправит на интерфейс аутентификации через Avanpost FAM:
  3. После прохождения аутентификации пользователь успешно получит доступ к приложению.

Сценарии использования

Загрузка пользователей Google Workspace из домена (LDAP)

Контроль попыток аутентификации пользователей к Google Workspace через Avanpost FAM

Управление доступом пользователей к Google Workspace через Avanpost FAM

Управление доступом пользователей к Google Workspace через домен (LDAP)

Управление сценарием аутентификации (2FA/MFA) для Google Workspace через Avanpost FAM

Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к Google Workspace, через Avanpost FAM