База знаний FAM/MFA+ : Установка FAM Agent в ОС Windows локально

Общие сведения

Компонент Avanpost FAM Agent может устанавливаться локально для решения следующих задач:

  • 2FA/MFA в унаследованные десктопные приложении при использовании механизма аутентификации Enterprise SSO .
  • SSO при переключении между унаследованными десктопными приложениями, подключенными посредством механизма Enterprise SSO.

Локальная установка Avanpost FAM Agent может быть удобна в следующих случаях:

  • Рабочая станция находится не в домене. К примеру, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника.
  • Сервер находится не в домене из соображений безопасности.

В случае большого числа машин, на которые планируется установка Avanpost FAM Agent, рекомендуется использовать способ установки через GPO .

Поддерживаются следующие ОС Windows:

  • Microsoft Windows Desktop 7;
  • Microsoft Windows Desktop 8;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Дистрибутив компонента Avanpost FAM Agent доступен по ссылке: https://packages.avanpost.ru/#browse/browse:fam-dists:fam-agent%2Favanpost_fam_agent-1.0-20.windows.rus.zip .

Компонент Avanpost FAM Agent представляет собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка и настройка

На стороне административной консоли Avanpost FAM Server

  1. Создать приложение с типом "Open ID" ( Рисунок ).

  2. На вкладке "Настройки интеграции" установить настройки ( Рисунок ):
    Secret: задать секретный ключ ;

    Смена секретного ключа производится на вкладке "Настройки" созданного приложения ( Рисунок ).


    Redirect URIs: любой URL-адрес (требуется для первоначального создания приложения, на дальнейшее функционирование которого не влияет);

  3. На вкладке "Настройки аутентификации" задать факторы аутентификации приложения. Доступные факторы:
    – Password;
    – TOTP;
    Avanpost Authenticator;
    – OTP via Email;
    SMS;
    Telegram;
    – Сертификат;
    – WebAuthn;

  4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить.
  5. Зайти в приложение после сохранения и на вкладке "Настройки":
    – в строке ID synonym установить синоним идентификатора ( Рисунок );

    – в разделе "Allowed grant types" перевести переключатель " Refresh token" и "Password"в положение "Активно" ( Рисунок ).
  6. Создать приложение типа "Desktop" ( Рисунок ).

    Рисунок 2 – Создание приложения типа "Desktop"

  7. На вкладке "Настройки интеграции" в терминал добавить шаблон приложения:

    Шаблон может меняться по мере развития FAM Agent.

    {
      "authenticateTemplates": [
        {
          "commands": [
            {
              "commandType": "Sleep",
              "sleepTime": 100
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$user"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
     
              "textMessage": "$password"
            },
            {
              "commandType": "KeyPress",
              "code1": "RETURN"
            }
          ],
          "grab": [
            {
              "windowName": "Login",
              "processName": "mockauth"         
            },
            {
              "windowName": "Login2",
              "processName": "mockauth",
              "windowClassName": "SomeWindowClassNameIfItNeed"
            }
          ]
        }
      ],
      "changePasswordTemplates": [
        {
          "commands": [
            {
              "commandType": "Sleep",
              "sleepTime": 100
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$user"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$password"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
              "TextMessage": "$newpassword"
            },
            {
              "commandType": "KeyPress",
              "code1": "RETURN"
            }
          ],
          "grab": [
            {
              "windowName": "ChangePassword",
              "processName": "mockauth"
            }
          ]
        }
      ]
    }
    
    
  8. На вкладке "Настройки аутентификации" задать факторы аутентификации приложения (по умолчанию "Password").

  9. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить ( Рисунок ).

  10. Создать новую группу ( Рисунок ):

  11. Добавить в группу УЗ пользователя, через которую будет производиться аутентификация (вкладка "Пользователи" см. Рисунок ):

  12. Добавить предварительно созданные Open ID и Desktop-приложения в группу, установив переключатель в положение "Активно" в строке с каждым элементом (вкладка "Приложения" см. Рисунок ):

  13. Для централизованной аутентификации в desktop-приложении через систему FAM перейти в карточку пользователя и добавить учетные данные:

На стороне рабочей станции под управлением ОС Microsoft Windows

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Запустить установку MSI-пакета.
  3. В ходе установки заполнить поля конфигурации агента в соответствии с примером ( Рисунок ).


    Рисунок 1 – Конфигурация агента

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса

Открытый ключ передается администратором сервера и сохраняется на развернутой среде с агентом.

Для настройки TLS-шифрования необходимо:

  1. В ходе инсталляции на визарде "Конфигурация агента" установить флажок в поле "Использовать TLS" ( Рисунок );
  2. В поле "Сертификат сервера" внести путь к файлу сертификата или выбрать его в диалоговом окне выбора файла;
  3. В поле "CN сертификат сервера" внести домен, на который был выдан сертификат.

Обновление

Для стандартного обновления необходимо:

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Запустить установку MSI-пакета.
  3. Установщик предложит выполнить обновление. Перенос файла конфигурации произведется автоматически.
  4. После завершения обновления перезагрузить устройство, на котором было произведено обновление Avanpost FAM Agent.

Проверка установки и обновления

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Agent.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.