Общие сведения
Компонент Avanpost FAM Agent может устанавливаться локально для решения следующих задач:
- 2FA/MFA в унаследованные десктопные приложении при использовании механизма аутентификации Enterprise SSO.
- SSO при переключении между унаследованными десктопными приложениями, подключенными посредством механизма Enterprise SSO.
Локальная установка Avanpost FAM Agent может быть удобна в следующих случаях:
- Рабочая станция находится не в домене. К примеру, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника.
- Сервер находится не в домене из соображений безопасности.
В случае большого числа машин, на которые планируется установка Avanpost FAM Agent, рекомендуется использовать способ установки через GPO.
Поддерживаются следующие ОС Windows:
- Microsoft Windows Desktop 7;
- Microsoft Windows Desktop 8;
- Microsoft Windows Desktop 10;
- Microsoft Windows Desktop 11;
- Microsoft Windows Server 2012R2;
- Microsoft Windows Server 2016;
- Microsoft Windows Server 2019;
- Microsoft Windows Server 2022.
Загрузка дистрибутива
Дистрибутив компонента Avanpost FAM Agent доступен по ссылке: https://packages.avanpost.ru/#browse/browse:fam-dists:fam-agent%2Favanpost_fam_agent-1.0-20.windows.rus.zip.
Компонент Avanpost FAM Agent представляет собой zip-архив, содержащий:
- установочный MSI-файл;
- стандартный конфигурационный файл для MSI-файла.
Установка и настройка
На стороне административной консоли Avanpost FAM Server
- Создать приложение с типом "Open ID" (Рисунок).
На вкладке "Настройки интеграции" установить настройки (Рисунок):
Secret: задать секретный ключ;
Смена секретного ключа производится на вкладке "Настройки" созданного приложения (Рисунок).
Redirect URIs: любой URL-адрес (требуется для первоначального создания приложения, на дальнейшее функционирование которого не влияет);На вкладке "Настройки аутентификации" задать факторы аутентификации приложения. Доступные факторы:
– Password;
– TOTP;
– Avanpost Authenticator;
– OTP via Email;
– SMS;
– Telegram;
– Сертификат;
– WebAuthn;- На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить.
- Зайти в приложение после сохранения и на вкладке "Настройки":
– в строке ID synonym установить синоним идентификатора (Рисунок);
– в разделе "Allowed grant types" перевести переключатель "Refresh token" и "Password"в положение "Активно" (Рисунок).
- Создать приложение типа "Desktop" (Рисунок).
Рисунок 2 – Создание приложения типа "Desktop" На вкладке "Настройки интеграции" в терминал добавить шаблон приложения:
Шаблон может меняться по мере развития FAM Agent.
{ "authenticateTemplates": [ { "commands": [ { "commandType": "Sleep", "sleepTime": 100 }, { "commandType": "TextEntry", "textMessage": "$user" }, { "commandType": "KeyPress", "code1": "TAB" }, { "commandType": "TextEntry", "textMessage": "$password" }, { "commandType": "KeyPress", "code1": "RETURN" } ], "grab": [ { "windowName": "Login", "processName": "mockauth" }, { "windowName": "Login2", "processName": "mockauth", "windowClassName": "SomeWindowClassNameIfItNeed" } ] } ], "changePasswordTemplates": [ { "commands": [ { "commandType": "Sleep", "sleepTime": 100 }, { "commandType": "TextEntry", "textMessage": "$user" }, { "commandType": "KeyPress", "code1": "TAB" }, { "commandType": "TextEntry", "textMessage": "$password" }, { "commandType": "KeyPress", "code1": "TAB" }, { "commandType": "TextEntry", "TextMessage": "$newpassword" }, { "commandType": "KeyPress", "code1": "RETURN" } ], "grab": [ { "windowName": "ChangePassword", "processName": "mockauth" } ] } ] }На вкладке "Настройки аутентификации" задать факторы аутентификации приложения (по умолчанию "Password").
- На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (Рисунок).
Создать новую группу (Рисунок):
Добавить в группу УЗ пользователя, через которую будет производиться аутентификация (вкладка "Пользователи" см.Рисунок):
Добавить предварительно созданные Open ID и Desktop-приложения в группу, установив переключатель в положение "Активно" в строке с каждым элементом (вкладка "Приложения" см.Рисунок):
Для централизованной аутентификации в desktop-приложении через систему FAM перейти в карточку пользователя и добавить учетные данные:
На стороне рабочей станции под управлением ОС Microsoft Windows
- Распаковать дистрибутив в формате zip-архива в любой каталог.
- Запустить установку MSI-пакета.
- В ходе установки заполнить поля конфигурации агента в соответствии с примером (Рисунок).
Рисунок 1 – Конфигурация агента
Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса
Открытый ключ передается администратором сервера и сохраняется на развернутой среде с агентом.
Для настройки TLS-шифрования необходимо:
- В ходе инсталляции на визарде "Конфигурация агента" установить флажок в поле "Использовать TLS" (Рисунок);
- В поле "Сертификат сервера" внести путь к файлу сертификата или выбрать его в диалоговом окне выбора файла;
- В поле "CN сертификат сервера" внести домен, на который был выдан сертификат.
Обновление
Для стандартного обновления необходимо:
- Распаковать дистрибутив в формате zip-архива в любой каталог.
- Запустить установку MSI-пакета.
- Установщик предложит выполнить обновление. Перенос файла конфигурации произведется автоматически.
- После завершения обновления перезагрузить устройство, на котором было произведено обновление Avanpost FAM Agent.
Проверка установки и обновления
В режиме доступа к рабочей станции:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Agent.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.