Identity Cloud : 4.2. Настройка Authenticator Desktop в ОС Windows

[ ] [ Общие сведения ] [ Установка и настройка компонента на стороне Identity Cloud ] [ Настройка конфигурации Authenticator Desktop ] [ Настройка аутентификации по сертификату ] [ Обычная установка Authenticator Desktop на рабочей станции под управлением ОС Microsoft Windows ] [ Установка и настройка компонента на стороне сервера MS AD ] [ Настройка Avanpost Authenticator Desktop на рабочей станции ] [ Обновление Avanpost Authenticator Desktop ] [ Настройка механизма дистрибуции ] [ Проверка установки установки Avanpost Authenticator Desktop ] [ Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config ] [ Приложение Б. Эндпоинты Authenticator Desktop ]

Общие сведения

Компонент Avanpost Authenticator Desktop (Avanpost FAM Agent) устанавливается локально для решения следующих задач:

осуществления 2FA/MFA в унаследованных десктопных приложениях при использовании механизма аутентификации Enterprise SSO;
SSO при переключении между унаследованными десктопными приложениями, подключенными посредством механизма Enterprise SSO.

В Authenticator Desktop осуществляется автоматическая передача информации о сессии из компонентов Windows Logon/Linux Logon. В случае успешной аутентификации пользователя посредством Windows Logon/Linux Logon повторная аутентификация с использованием Authenticator Desktop (FAM Agent) не требуется.

В случае, если пользователь проявляет активность на рабочей станции, Authenticator Desktop автоматически продлевает время жизни сессии, не требуя повторного прохождения аутентификации.

Avanpost Authenticator Desktop корректно работает в многопользовательской среде, такой как Windows Server с ролью «Службы удалённых рабочих столов» (RDS). В данном режиме работы каждый пользователь, подключающийся по RDP, запускает собственный экземпляр Агента в рамках своей сессии. Агент перехватывает только окна десктопных приложений, принадлежащие текущей сессии пользователя. При этом перехват окон других пользователей исключён, что обеспечивает изоляцию и безопасность.

Допускаются следующие варианты установки компонента на рабочих станциях пользователей:

локальная установка на рабочей станции;
настройка через групповые политики.

Локальная установка Avanpost Authenticator Desktop рекомендуется в следующих случаях:

Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
Сервер расположен не в домене из соображений безопасности.

Установка Avanpost Authenticator Desktop через групповые политики рекомендуется в следующих случаях:

Планируется установка Avanpost Authenticator Desktop на большое количество устройств.
Сервер и рабочие станции расположены в домене.

Локальная установка выполняется следующим образом:

Выполняется установка и настройка компонента на стороне Identity Cloud.
Выполняется установка и настройка компонента на рабочей станции пользователя.

Настройка через групповые политики выполняется следующим образом:

Выполняется установка и настройка компонента на стороне Identity Cloud.
Выполняется установка и настройка компонента на рабочей станции пользователя.

У администратора есть возможность настраивать конфигурационный файл Authenticator Desktop следующим образом:

автоматическая настройка через Discovery-документ;
настройка конфигурационного файла с вводом параметров вручную.

Поддерживаются следующие ОС Windows:

Microsoft Windows Desktop 7;
Microsoft Windows Desktop 8;
Microsoft Windows Desktop 10;
Microsoft Windows Desktop 11;
Microsoft Windows Server 2012R2;
Microsoft Windows Server 2016;
Microsoft Windows Server 2019;
Microsoft Windows Server 2022.

Установка и настройка компонента на стороне Identity Cloud

Настройка компонента в интерфейсе административной консоли Avanpost Identity Cloud осуществляется в следующей последовательности:

Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
На этапе "Основные настройки" требуется ввести наименование и выбрать тип OAuth/Open ID Connect (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление OpenID Connect-приложениями).
На этапе "Настройки интеграции" необходимо установить настройки приложения (более подробно описано в Шаг 2. Настройки интеграции для OIDC-приложения). Обязательно требуется задать значения параметров в графе Secret (произвольный секретный ключ, который будет использоваться для подключения к приложению) и Redirect URIs (URL-адрес, на который пользователь будет перенаправлен после успешной аутентификации).
Администратор может сменить секретный ключ (например, при компрометации ключа) в профиле созданного приложения во вкладке "Настройки" в разделе "Смена секрета". Секретный ключ должен совпадать с тем, который задается в конфигурационном файле/в мастере установки на рабочей станции пользователя.
На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для OIDC-приложения).
На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 4. Завершение для OIDC-приложения).
После создания приложения требуется найти его в режиме "Приложения" и зайти в профиль, нажав на название приложения. Зайти во вкладку "Настройки" и нажать для перехода в режим редактирования.
В режиме редактирования следует задать следующие параметры:
– ID synonym - Cиноним идентификатора приложения;
– Allowed grant types - Перевести переключатель в положение "Активно" () для следующих Grant Types: Refresh token и Password.
Перейти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
На этапе "Основные настройки" ввести наименование и выбрать тип Enterprise SSO (более подробно описано в разделе Шаг 1. Основные настройки для Enterprise SSO-приложений).

На этапе "Настройки интеграции" в текстовое поле ввести шаблон приложения (более подробно описано в Шаг 2. Настройки интеграции для Enterprise SSO-приложений):

Шаблон приложения представлен в виде JSON-блока, содержащего параметры, определяющие признаки перехвата окон десктопного приложения, и последовательный набор команд для заполнения и сабмита формы аутентификации десктопного приложения. Шаблон может меняться по мере развития Authenticator Desktop. Разработка шаблона приложения описана в разделе Разработка шаблона Enterprise SSO.

{
  "authenticateTemplates": [
    {
      "commands": [
        {
          "commandType": "Sleep",
          "sleepTime": 100
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$user"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
 
          "textMessage": "$password"
        },
        {
          "commandType": "KeyPress",
          "code1": "RETURN"
        }
      ],
      "grab": [
        {
          "windowName": "Login",
          "processName": "mockauth"         
        },
        {
          "windowName": "Login2",
          "processName": "mockauth",
          "windowClassName": "SomeWindowClassNameIfItNeed"
        }
      ]
    }
  ],
  "changePasswordTemplates": [
    {
      "commands": [
        {
          "commandType": "Sleep",
          "sleepTime": 100
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$user"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$password"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
          "TextMessage": "$newpassword"
        },
        {
          "commandType": "KeyPress",
          "code1": "RETURN"
        }
      ],
      "grab": [
        {
          "windowName": "ChangePassword",
          "processName": "mockauth"
        }
      ]
    }
  ]
}

На этапе "Настройки аутентификации" следует выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно в Шаг 3. Настройки аутентификации для Enterprise SSO-приложений).
На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить.
Создать новую группу. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно в Добавление новых групп).
Добавить в группу пользователей, которые будут аутентифицироваться в настроенных приложениях. Ручное добавление пользователей администратором реализуется в профиле группы. Также доступ пользователя к группам и ролям допускается редактировать в УЗ пользователя.
Назначить ранее созданные OAuth/Open ID Connect и Enterprise SSO-приложения в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" () напротив созданных приложений.
Для настройки централизованной аутентификации в desktop-приложениях через Avanpost Identity Cloud в учетных записях пользователей зайти во вкладку "Приложения" в раздел "Учетные записи" в графу "Приложение" и выбрать в выпадающем списке FAM_Agent.
Для Упрощения настройки на стороне клиента при помощи Discovery-документа следует:
1. Перейти в раздел "Системные настройки" режима "Сервис".
2. В разделе "Конфигурация FAM Агента" в параметре "OpenID-приложение для агента" выбрать из выпадающего списка настроенное OIDC-приложение и нажать кнопку "Сохранить".
Для использования Avanpost Authenticator Desktop совместно в контексте механизма Unified SSO требуется выполнить дополнительную настройку приложений, в которые пользователи смогут аутентифицироваться USSO (более подробная настройка описана в статье Настройка Unified SSO):
1. Для ранее созданных OpenID Connect/Reverse Proxy/SAML-приложений перейти во вкладку "Настройки интеграции" в профиле приложения и установить флаг в чекбокс "Включить USSO" (для приложений типа Enterprise SSO использование механизма USSO доступно автоматически и не требует дополнительной настройки).
2. При необходимости использования встроенных механизмов аутентификации операционных систем совместно с Unified SSO приложений настроить Windows Logon и/или Linux Logon-приложения.
3. При необходимости использования LDAP-аутентификации настроить Bridge-компонент (более подробно описание настройки LDAP-механизмов представлено в статье Настройка Bridge-компонента и Управление LDAP Proxy-приложениями).
  Для того, чтобы после входа через Windows/Linux Logon/LDAP-механизмы дальнейшая аутентификация проходила бесшовно, процесс аутентификации, настроенный для LDAP Proxy/Windows/Linux Logon-приложения, и процесс аутентификации, настроенный для OIDC-приложения Authenticator Desktop, должны быть идентичны. В случае, если процессы отличаются, будет запрошено прохождение дополнительных факторов, которые не запрашивались в процессе Windows/Linux Logon/LDAP-аутентификации. Для изменения факторов аутентификации настроенных приложений требуется скорректировать факторы во вкладке MFA в профиле настроенных приложений (функционал основных вкладок описан в разделе Управление приложениями). Если для приложений, в которые аутентифицируется пользователь посредством USSO, были настроены дополнительные факторы аутентификации, они также будут запрошены при попытке пользователя авторизоваться в данных приложениях.
4. Убедиться, что пользователи, которые должны аутентифицироваться посредством USSO, добавлены в группы, предоставляющие доступ к приложениям из всей цепочки USSO-аутентификации (например, если пользователь должен аутентифицироваться через встроенные механизмы аутентификации Windows в 1C:Предприятие, то ему должен предоставлен доступ к соответствующему Windows Logon-приложению, OIDC-приложению компонента Authenticator Desktop и OIDC-приложению, настроенному для 1C:Предприятие).

Настройка конфигурации Authenticator Desktop

Администратору доступны дополнительные настройки использования Avanpost Authenticator Desktop в административной консоли Identity Cloud. Настройки располагаются в разделе "Системные настройки" режима "Сервис". Настройка дополнительных параметров Authenticator Desktop доступна в подразделе "Конфигурация FAM Агента":

Параметр	Значение
Настройки Enterprise SSO
Отключено	Заполнить чекбокс: при выключенном чекбоксе позволяет аутентифицироваться в приложениях типа Enterprise SSO: FAM Агент перехватывает окно согласно шаблону Enterprise SSO-приложения, выполняется передача и объединение сессии; при включенном чекбоксе аутентификация в приложениях типа Enterprise SSO посредством Агента недоступна.
Время обновления конфигурации приложения (в секундах)	Ввести время обновления конфигурации Enterprise SSO-приложения.
Настройки Unified SSO
Блокировать ОС при завершении сессии	Заполнить чекбокс: при включенном чекбоксе происходит автоматическая блокировка сессии пользователя после выхода из привязанного OIDC-приложения; при выключенном чекбоксе ОС на рабочей станции пользователя не блокируется после завершения сессии.
OpenID приложение для агента	Выбрать из выпадающего списка OIDC-приложение, связанное с Агентом.

Настройка аутентификации по сертификату

Authenticator Desktop поддерживает аутентификацию пользователей с использованием сертификата, записанного на аппаратный ключевой носитель (смарт-карта, USB-токен). Данная функция позволяет входить в веб-приложения без ввода пароля учётной записи, используя только сертификат. Если у пользователя имеется один доступный сертификат, Агент выбирает автоматически выбирает его для аутентификации. Если сертификатов несколько, пользователю отображается список доступных сертификатов для выбора. Если токен защищён PIN-кодом, Authenticator Desktop запрашивает ввод.

Поддерживаются следующие токены:

Рутокен ЭЦП;
JaCarta;
Другие PKCS#11-совместимые токены.

Для полноценного использования функциональности требуется корректно настроенный метод аутентификации "Сертификат" в административной консоли Authenticator Desktop:

Создать и настроить метод аутентификации "Сертификат" (порядок настройки более подробно описан в шаге 7 статьи Настройка метода ЭП/сертификат).
Перейти в профиль OIDC и Enterprise SSO-приложений, настроенных для Authenticator Desktop, и войти на вкладку "MFA".
В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно".
Убедиться, что аутентификация по сертификату настроена корректно:
1. Во время авторизации через Агент выбрать фактор «Сертификат» и нажать "Продолжить".
2. В случае, если привязанных сертификатов несколько, выбрать один и инициировать аутентификацию.
3. Ввести PIN-код, в случае если он установлен на используемый аппаратный носитель.
4. Убедиться, что аутентификация прошла успешно.

Обычная установка Authenticator Desktop на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost Authenticator Desktop осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

Перед установкой следует загрузить компонент Authenticator Desktop, представляющий собой установочный MSI-файл.
Запустить скачанный MSI-файл и перейти в мастер установки Authenticator Desktop.
Ознакомиться с описанием и нажать кнопку "Далее".
Указать путь к директории, в которую будет установлен Агент и нажать кнопку "Далее".
Нажать кнопку "Установить" и дождаться окончания установки.
Дождавшись окончания установки, нажать кнопку "Готово".
Запустить установленное приложение Authenticator Desktop и ввести в открывшемся окне в графе "Адрес FAM Server" значение base URL Identity Cloud. Прочие настройки компонента будут актуализированы автоматически.
В случае, если установка проведена корректно, но Агент выдает информационное сообщение "Не удалось установить соединение с сервером системы аутентификации", следует выполнить следующие действия (подробнее настройки описаны в Настройка Authenticator Desktop на рабочей станции):
1. Во вкладке "Общие" установить флаг "Показать расширенную конфигурацию".
2. Перейти в появившуюся вкладку "Расширенные".
3. Установить флаг "Игнорировать ошибки сертификата SSL/TLS".
В случае, если планируется совместное использование Authenticator Desktop и Windows Logon, также необходимо:
1. Установить и настроить компонент FAM Windows Logon (для настройки следует использовать статью Установка и настройка FAM Windows Logon).
2. Перезагрузить рабочую станцию.
3. Выполните вход в ОС через Windows Logon и убедиться, что Authenticator Desktop запустился в аутентифицированном состоянии.

Установка и настройка компонента на стороне сервера MS AD

Если планируется установка Avanpost Authenticator Desktop на большое количество устройств, рекомендуется использовать способ установки через GPO (групповые политики).

Настройка компонента в интерфейсе сервера MS AD осуществляется в следующей последовательности:

Перед установкой следует загрузить в произвольный каталог компонент Avanpost Authenticator Desktop, представляющий собой установочный MSI-файл.
Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK.
Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.
В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера → Политики → Конфигурация программ → Установка программ, ЛКМ → Создать → Пакет).
Задать сетевой путь до установочного MSI-файла Avavpost Authenticator Desktop.
В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".
Убедиться, что установленный Avanpost Authenticator Desktop отобразился в списке раздела "Установка программ".
Для настройки Authenticator Desktop следует отредактировать конфигурационный файл avanpost_fam_agent.dll.config (находится в корневом каталоге c установочным файлом). Настройка параметров конфигурационного файла осуществляется согласно Приложению А.

Настройка Avanpost Authenticator Desktop на рабочей станции

Настройка Authenticator Desktop на рабочей станции пользователя осуществляется в интерфейсе запущенного приложения. Приложение содержит следующие вкладки:

О программе – Основные данные о компоненте (наименование, версия, ссылка для перехода в личный кабинет);
Общие – Базовые настройки компонента;
Расширенные – Владка расширенных конфигурационных настроек компонента (доступна после установки флага "Показать расширенную конфигурацию" во вкладке "Общие");
Плагины – Вкладка управления плагинами;
Токены – Вкладка управления токенами.

Параметр	Описание
Общие
Адрес сервера системы аутентификации	URL-адрес Identity Cloud, к которому будет подключаться Authenticator Desktop.
Автозапуск	Установить флаг в чекбокс: при установленном флаге Authenticator Desktop автоматически запускается при каждом входе пользователя в ОС; при выключенном флаге виджет Authenticator Desktop требует ручного запуска после входа в ОС.
Показать виджет управления	Установить флаг в чекбокс: при установленном флаге виджет Authenticator Desktop отображается в правой нижней части экрана. при выключенном флаге виджет Authenticator Desktop не отображается.
Язык интерфейса	Выбрать язык интерфейса из выпадающего списка.
Перезагрузить конфигурацию с сервера	При нажатии кнопки выполняется запрос к серверу для принудительной актуализации конфигурации клиентского компонента Authenticator Desktop.
Показать расширенную конфигурацию	Установить флаг в чекбокс (при установке чекбокса появляется окно подтверждения, в котором пользователь может согласиться или отказаться от появления вкладки расширенных настроек): при установленном флаге доступна вкладка "Расширенные", предназначенная для более тонкой настройки компонента; при выключенном флаге вкладка "Расширенные" не отображается.
Расширенные
Адрес gRPC	Хост и порт gRPC-интерфейса Authenticator Desktop для взаимодействия с Authenticator Desktop (по умолчанию указывается `avanpost.fam.local:9007`).
Канал обновлений	URL-адрес для получения автоматических обновлений системы: MSI-пакет для ОС Windows: https://packages.avanpost.ru/repository/fam-dists/apcast/avanpost-fam-agent/MSI/8.8.8/msiAppcast.xml RPM-пакет для ОС Linux: https://packages.avanpost.ru/repository/fam-dists/apcast/avanpost-fam-agent/RPM/8.8.8/rpmAppcast.xml DEB-пакет для ОС Linux: https://packages.avanpost.ru/repository/fam-dists/apcast/avanpost-fam-agent/DEB/8.8.8/debAppcast.xml После ввода адреса следует: Закрыть окно и в окне подтверждения согласиться на сохранение изменений. При повторном открытии вкладке "Перезагрузить конфигурацию сервера". Во вкладке "О программе" нажать кнопку "Обновить". Нажать кнопку "Загрузить и запустить". чтобы обновить и автоматически запустить Агент без изменения настроек.
Имя службы Kerberos	SPN (Service Principal Name) для Kerberos-аутентификации.
Идентификатор клиента службы	ID synonym OIDC-приложения, настроенного для аутентификации Authenticator Desktop в Identity Cloud
Секрет клиента службы	Секретный ключ клиента OpenID.
Время обновления шаблонов в минутах	Интервал опроса Identity Cloud для обновления конфигурации (в минутах).
Путь к сертификату сервера	Путь к файлу сертификата, подписанного центром сертификации. Предназначен для проверки SSL/TLS. Нажать кнопку , чтобы указать путь. Файл передается администратором Identity Cloud и сохраняется на устройстве с развернутым Avanpost Authenticator Desktop.
Переопределение целевого имени сертификата	Настройка gRPC-канала, которая позволяет переопределить имя хоста, используемое для проверки SSL/TLS-сертификата сервера и в поле SNI (Server Name Indication). Значение этого параметра должно совпадать с именем хоста, которое прописано в SSL-сертификате сервера.
Игнорировать ошибки сертификата SSL/TLS	Установить флаг в чекбокс: При включенном флаге игнорируются ошибки с ошибочным сертификатом при безопасном подключении; При выключенном флаге ошибки не игнорируются.
Захватить окно	Установить флаг в чекбокс: При включенном чекбоксе Включение режима захвата окон для Enterprise SSO. При выключенном флаге окна не перехватываются.
Журнал захваченных окон	Нажать кнопку "Открыть журнал захваченных окон" для просмотра логов захваченных окон (для отладки Enterprise SSO).
Журнал событий	Нажать кнопку "Открыть запись с журнала событий" для перехода к полной записи журнала событий для детального анализа использования компонента.
Перезапустить как администратор	Нажать кнопку для выполнения перезапуска Authenticator Desktop с правами администратора.
Плагины
Добавить	Нажать, чтобы указать путь и подключить дополнительный PKCS#11-совместимый токен (Рутокен, JaCarta).
Удалить	Нажать, чтобы удалить ранее добавленный плагин.
Токены
Обновить	Нажать, чтобы обновить токены, привязанные к пользователю на стороне Identity Cloud.
Удалить	Нажать, чтобы удалить существующий токен.

Обновление Avanpost Authenticator Desktop

Стандартная процедура обновления включает в себя следующие действия:

Скачать актуальную версию Avanpost Authenticator Desktop (получать информацию о пакетах обновлений Authenticator Desktop возможно через облачный сервис компании Avanpost в соответствии с настройками механизма дистрибуции).
Запустить установку скачанного MSI-пакета.
Мастер установки предложит выполнить обновление Avanpost Authenticator Desktop (перенос настроек конфигурации в обновленную версию осуществляется автоматически).
Дождавшись завершения обновления, перезагрузить устройство, на котором было произведено обновление Avanpost Authenticator Desktop.

Identity Cloud интегрируется с облачным сервисом публикации информации о доступных пакетах обновлений через REST API. Эндпоинты для получения информации о версиях Authenticator Desktop представлены в приложении В.

Настройка механизма дистрибуции

В Avanpost Identity Cloud реализован механизм автоматического предложения загрузки и установки Authenticator Desktop (FAM Agent) пользователям в процессе аутентификации. При аутентификации через Identity Cloud автоматически определяется целевая платформу и проверяется, установлен ли Authenticator Desktop на рабочей станции пользователя. Если Authenticator Desktop не обнаружен, пользователю отображается экран с предложением загрузить дистрибутив для его ОС (при этом пользователь может вручную выбрать дистрибутив для другой платформы или пропустить шаг установки, если это не требуется).

Механизм дистрибуции предназначен для автоматизации процесса распространения и обновления клиентских компонентов Authenticator Desktop среди пользователей системы. Функциональность позволяет администратору централизованно управлять версиями дистрибутивов, обеспечивая пользователей актуальными пакетами для установки. Механизм дистрибуции предназначен для решения следующих задач:

предоставление пользователям ссылок для скачивания актуальных версий Authenticator Desktop;
централизованное управление версиями дистрибутивов для различных операционных систем;
автоматическое информирование пользователей о необходимости обновления
управление источниками дистрибутивов.

Настройка доступна в режиме "Сервис" из раздела "Настройка механизма дистрибуции". Раздел содержит следующую информацию и возможности:

Параметр	Значение
Включить механизм дистрибуции	Установить флаг в чекбокс: при установленном флаге механизм дистрибуции активен и пользователи автоматически получают доступ к скачиванию дистрибутивов; при выключенном флаге механизм дистрибуции не используется.
Источник для распространения	Выбрать источник получения дистрибутивов: Официальный источник компании Avanpost – загрузка информации о доступных версиях осуществляется из облачного репозитория; Из собственного источника – администратор вручную указывает URL-адреса для скачивания дистрибутивов. Рекомендуется использовать официальный источник Avanpost, обеспечивающий автоматическое получение актуальных версий дистрибутивов, отсутствие необходимости ручного управления ссылками, гарантию получения проверенных версий продукта. Если администратор использует собственный источник, то для корректной работы механизма требуется выполнить следующих требований: Доступность источника – Все указанные URL должны быть доступны для скачивания без дополнительной аутентификации; Безопасность источника – Обязательно использование протокола HTTPS; Стабильность источника – Сервер дистрибуции должен обеспечивать высокую доступность; Выполнять систематический контроль актуальности версий и обновляет ссылки на новые версии компонента.
Официальный источник компании Avanpost
Версия	Выбрать версию компонента для обновления: Последняя версия; Прочие версии (выбрать доступную для обновления).
Доступность репозитория пакетов	Статус доступности выбранного репозитория (доступен/недоступен)
Из собственного источника
Windows	Вставить в текстовое поле HTTPS-ссылку для скачивания MSI-пакета FAM Agent для ОС Windows.
Linux (deb)	Вставить в текстовое поле HTTPS-ссылку для скачивания DEB-пакета FAM Agent для Debian-based систем.
Linux (deb)	Вставить в текстовое поле HTTPS-ссылку для скачивания RPM-пакета FAM Agent для RPM-based систем.

Для сохранения изменений следует нажать кнопку "Сохранить", для отказа от изменений – кнопку "Отмена".

При отсутствии сетевого соединения с packages.avanpost.ru или при возникновении ошибок доступа система отображает сообщение об ошибке. В данном случае следует выполнить следующие действия:

Проверить сетевую доступность ресурса packages.avanpost.ru.
Убедиться, что межсетевые экраны и прокси-серверы не блокируют соединение.
При необходимости настроить исключения в правилах сетевого доступа.

Проверка установки установки Avanpost Authenticator Desktop

В режиме доступа к рабочей станции совершить следующие действия:

Инициировать вход на рабочую станцию.
Выбрать Avanpost Authenticator Desktop в качестве способа аутентификации.
Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP совершить следующие действия:

Инициировать подключение по RDP на рабочую станцию.
Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config

Для ОС семейства Windows: конфигурационный файл компонента Authenticator Desktop располагается по пути: C:\Users\<windowsUsername>\AppData\Local\Avanpost\appsettings.toml;

Конфигурационный файл "avanpost_fam_agent.dll.config" может быть настроен следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <appSettings>
    <add key="gRPCServerAddress" value="10.10.161.81:9007" />
    <add key="FAMServerUrl" value="https://apidp.ru" />
    <add key="OpenIDConfigurationUrl" value="https://apidp.ru/.well-known/openid-configuration" />
    <add key="OpenIDClientId" value="d9212935-1380-41ca-b100-dba7412827cf" />
    <add key="OpenIDSecret" value="d9212935" />
    <add key="ServerCertificatePath" />
    <add key="SSLTargetName" />
    <add key="TemplateRefreshTimerMinutes" value="125" />
    <add key="DefaultLanguage" value="ru-RU" />
    <add key="IgnoreFaultyCertificate" value="False" />
  </appSettings>
</configuration>

Таблица – Значения ключей конфигурационного файла


`gRPCServerAddress`	IP-адрес Avanpost Identity Cloud.
`FAMServerUrl`	URL-адрес сервера Identity Cloud.
`OpenIDConfigurationUrl`	URL-адрес файла конфигурации OpenID-сервера, который используется для аутентификации.
`OpenIDClientId`	Client ID приложения в системе Identity Cloud.
`OpenIDSecret`	Cекретный ключ клиента OpenID. Задается вручную.
`ServerCertificatePath`	Путь к сертификату сервера, который будет использоваться для безопасного подключения.
`SSLTargetName`	Имя, используемое для проверки подлинности сертификата SSL/TLS-сервера при установлении безопасного соединения.
`TemplateRefreshTimerMinutes`	Интервал обновления шаблонов в минутах.
`DefaultLanguage`	Язык по умолчанию.
`IgnoreFaultyCertificate`	Указывает, игнорировать ли ошибки с ошибочным сертификатом при безопасном подключении (True - игнорировать, False - не игнорировать).

Приложение Б. Эндпоинты Authenticator Desktop

Endpoint	Метод	Описание
Информация о пакетах обновлений
`/api/v1/packages/fam-agent%2Favanpost_fam_agent`	GET	Получение списка всех доступных версий пакета
`/api/v1/packages/fam-agent%2Favanpost_fam_agent/versions/{version}`	GET	Получение информации о конкретной версии пакета
`/api/v1/packages/fam-agent%2Favanpost_fam_agent/versions/latest`	GET	Получение информации о последней доступной версии
`/.well-known/agent-configuration`	GET	Discovery-endpoint для получения подробной информации о доступных версиях FAM Agent. Клиенты автоматически обращаются к данному endpoint для получения информации о текущей версии. После обращения к эндпоинту возвращается конфигурацию в формате JSON, содержащая следующую информацию о настройках USSO, gRPC, Enterprise SSO, версии Agent (имя, версия, источник, URL-адрес для скачивания).
Эндпоинты инстанса
`/api/v1/agent/instance/{id}`	GET	Получение информации об инстансе (конкретном отдельном экземпляре) компонента: идентификатор (id); статус – online, offline, pending.
`/api/v1/agent/instance/{id}/health`	PUT	Перевод инстанса Identity Cloud в статус online.
`/api/v1/agent/instance/{instanceID}/online`	PUT	Автоматическая отправка запроса на Identity Cloud для обновления статуса экземпляра агента при обработке вызова `famagent://healthcheck?instanceID=<InstanceID>`.