Avanpost Identity Cloud обладает следующими функциями в части аутентификации:
- MFA (многофакторная аутентификация);
- 2FA (двухфакторная аутентификация) как частный случай MFA;
- Выбор метода (фактора) аутентификации пользователем при наличии альтернатив;
- Inline-привязка (enrollment) аутентификатора в процессе аутентификации, если аутентификатор не настроен;
- Single Sign-On-аутентификация (SSO-аутентификация) на основании наличия проверенных факторов в рамках сессии;
- Single Logout (SLO) во всех приложениях при обнаружении факта завершения сеанса в одном из приложений.
Avanpost Identity Cloud предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации:
- Push в мобильное приложение Avanpost Authenticator;
- Сканирование QR-кода мобильным приложением Avanpost Authenticator;
- Усиленный TOTP в мобильном приложении Avanpost Authenticator;
- Локальный/доменный пароль;
- Программный TOTP;
- Аппаратный TOTP;
- E-mail OTP;
- FIDO WebAuthn/U2F;
- Смарт-карты и USB-токены (Rutoken, JaCarta);
- Электронная подпись, в том числе с проверкой на аппаратных ключевых носителях;
- Сторонние SAML/OIDC IdP.
Функции механизма аутентификации
Avanpost Identity Cloud предоставляет возможность построения сложных сценариев многофакторной аутентификации.
Доступные возможности, предоставляемые механизмом многофакторной аутентификации системы Avanpost Identity Cloud:
- Централизованное управление сценарием MFA через административную консоль.
- Настройка произвольного сценария многофакторной аутентификации для любого приложения вне зависимости от технологии интеграции (веб-приложения, мобильные и десктопные приложения, VPN/VDI, Enterprise SSO и т.д.).
- Настройка произвольного сценария многофакторной аутентификации для любой группы пользователей, в том числе с указанием определённого приложения.
- Настройка многошаговых сценариев аутентификации (состоящих из одного, двух, трёх или N шагов аутентификации).
- Настройка на каждом шаге одного или нескольких факторов аутентификации с возможностью выбора метода аутентификации пользователем.
- Пропуск шага аутентификации, если пользователь подключается из внутренней сети.
Поддержка способов аутентификации в методах интеграции
Сводная таблица поддержки способов аутентификации для различных факторов и интеграционных механизмов системы Avanpost Identity Cloud:
| № | Фактор | Способ аутентификации | OpenID Connect | SAML | Reverse Proxy | RADIUS | Windows Logon | Linux Logon | LDAP | ADFS | IIS | Enterprise SSO |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | Пароль | Ввод локального пароля (без LDAP-аутентификации) | Да | Да | Да | Да | Да | Да | Да | Нет | Нет | Да |
| 2 | Ввод доменного пароля (LDAP-аутентификация) | Да | Да | Да | Да¹ | Да | Да | Да | Нет | Нет | Да | |
| 3 | Мобильное приложение Avanpost Authenticator | Подтверждение запроса на аутентификацию в мобильное приложение Avanpost Authenticator (без использования механизма push-уведомлений) | Да | Да | Да | Да | Да | Да | Да | Да | Да | Да |
| 4 | Подтверждение push-запроса на аутентификацию в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да | Да | Да | Да | Да | Да | Да | |
| 5 | Ввод одноразового кода из мобильного приложения Avanpost Authenticator | Да | Да | Да | Да² | Да | Да | Нет | Нет | Нет | Да | |
| 6 | Сканирование QR-кода мобильным приложением Avanpost Authenticator | Да | Да | Да | Нет | Да | Нет | Нет | Нет | Нет | Да | |
| 7 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да | Да | Да | Нет | Нет | Нет | Да |
| 8 | Ввод одноразового кода из письма | Да | Да | Да | Да² | Да | Да | Нет | Нет | Нет | Да | |
| 9 | FIDO WebAuthn/U2F | Предъявление USB-токена с поддержкой FIDO WebAuthn/U2F | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 10 | Ввод PIN-кода в ОС Windows с поддержкой Windows Hello | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
| 11 | Предъявление биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев (биометрия Android, Apple Face ID в iOS) | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
| 12 | Смарт-карты и USB-токены | Предъявление смарт-карты Rutoken с поддержкой PKCS#11 с установленным драйвером Rutoken | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да |
| 13 | Предъявление смарт-карты eToken с поддержкой PKCS#11 с установленным драйвером eToken | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да | |
| 14 | Предъявление смарт-карты JaCarta с поддержкой PKCS#11 с установленным драйвером JaCarta | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да | |
| 15 | Электронная подпись | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи по списку фактически привязанных к пользователю сертификатов | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 16 | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи и сертификата на основе корневого доверенного сертификата | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
| 17 | OpenID Connect-провайдеры аутентификации (Federation) | Аутентификация через сторонний Identity Provider по протоколу OpenID Connect | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 18 | SAML-провайдеры аутентификации (Federation) | Аутентификация через сторонний Identity Provider по протоколу SAML | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
¹ – при использовании PAP и Passwordless-механизма аутентификации; при использовании CHAP и MS-CHAPv2 требуется обеспечить соответствие пароля в Avanpost Identity Cloud и доменного пароля.
² – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.
Поддержка способов привязки аутентификаторов в методах интеграции
Сводная таблица поддержки способов привязки аутентификаторов для различных факторов и интеграционных механизмов системы Avanpost Identity Cloud:
| Фактор | Способ привязки аутентификатора | OpenID Connect | SAML | Reverse Proxy | RADIUS | Enterprise SSO | Windows Logon | Linux Logon | |
|---|---|---|---|---|---|---|---|---|---|
| 1 | Пароль | Установка пароля при самостоятельной регистрации | Да | Да | Да | Нет | Нет | Нет | Нет |
| 2 | Установка пароля при восстановлении доступа | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 3 | Установка нового пароля при сбросе/истечении пароля в домене MS AD | Нет | Нет | Нет | Нет | Нет | Да | Нет | |
| 4 | Мобильное приложение Avanpost Authenticator | Привязка аутентификатора путём считывания QR-кода в мобильном приложении Avanpost Authenticator | Да | Да | Да | Нет | Нет | Нет | Нет |
| 5 | Привязка аутентификатора в процессе аутентификации путём ввода одноразового кода и PIN-кода в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да¹ | Нет | Нет | Нет | |
| 6 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да¹ | Да | Да | Да |
| 7 | Привязка E-mail в процессе аутентификации путём ввода адреса электронной почты и активации аккаунта | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 8 | FIDO WebAuthn/U2F | Привязка USB-токена с поддержкой FIDO WebAuthn/U2F в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет |
| 9 | Привязка PIN-кода в ОС Windows с поддержкой Windows Hello в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 10 | Привязка биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
| 11 | Смарт-карты и USB-токены | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 12 | Электронная подпись | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 13 | OpenID Connect-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| 14 | SAML-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
¹ – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.