Общие сведения
Avanpost Identity Cloud позволяет обеспечить аутентификацию в различные приложения при помощи смарт-карт.
Поддерживается и протестирована работа со следующими смарт-картами:
- Рутокен ЭЦП 2.0;
- Рутокен ЭЦП 3.0;
- Рутокен Lite;
JaCarta 2-SE;
- JaCarta PRO.
Компонент Avanpost Authenticator Desktop поддерживает механизм расширений при помощи плагинов, за счёт которого возможна реализация поддержки других смарт-карт.
Смарт-карты могут использоваться для 2FA/MFA-аутентификации в приложения, подключенные посредством следующих механизмов интеграции:
- OAuth/OpenID Connect;
- SAML;
- Reverse Proxy;
- RADIUS;
- Enterprise SSO через Avanpost Authenticator Desktop;
- Windows Logon через Avanpost FAM Credential Provider;
- Linux Logon через Avanpost FAM PAM Linux.
Требования для аутентификации по смарт-картам в веб-приложения, десктопные приложения и инфраструктурные сервисы:
- Установленный и настроенный тенант в инфраструктуре Avanpost Identity Cloud;
- Установленный и настроенный компонент Avanpost Authenticator Desktop на рабочей станции пользователя;
- Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.
Требования для аутентификации по смарт-картам на рабочие станции под управлением Windows:
- Установленный и настроенный компонент Avanpost Identity Cloud в инфраструктуре;
- Установленный и настроенный компонент Avanpost Credential Provider на рабочей станции пользователя;
- Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.
Сценарии использования
Аутентификация в веб-приложения с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost Identity Cloud, может выполнить аутентификацию в веб-приложения, подключенные к Avanpost FAM посредством механизмов OpenID Connect, SAML и Reverse Proxy, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost Identity Cloud под той же учётной записью, под которой он выполняет аутентификацию в веб-приложение.
При аутентификации по смарт-карте в браузере будет выведено сообщение о том, что необходимо подтвердить аутентификацию по смарт-карте в Avanpost Identity Cloud, а Avanpost Authenticator Desktop выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.
После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом веб-приложении.
Аутентификация в VPN/VDI (RADIUS) с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost Authenticator Desktop, может выполнить аутентификацию в VPN/VDI и другие инфраструктурные сервисы, подключенные к Avanpost Identity Cloud посредством механизма RADIUS, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost Authenticator Desktop под той же учётной записью, под которой он выполняет аутентификацию в VPN/VDI или другой инфраструктурный сервис.
При аутентификации по смарт-карте в RADIUS-приложение компонент Avanpost Authenticator Desktop выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.
После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом VPN/VDI/инфраструктурном сервисе.
Аутентификация в десктопные приложения (Enterprise SSO) с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost Authenticator Desktop, может выполнить аутентификацию в приложения, подключенные к Avanpost Identity Cloud посредством механизма Enterprise SSO, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost Authenticator Desktop. Сотрудник запускает целевое десктопное приложение, после чего Avanpost Authenticator Desktop выводит сотруднику запрос на предъявление смарт-карты.
После предъявления одной из разрешённых для аутентификации сотрудника смарт-карт и успешной проверки, в том числе с использованием PIN-кода, Avanpost Authenticator Desktop выполняет автоматический ввод учётных данных, полученных от Avanpost Identity Cloud, в окно аутентификации целевого десктопного приложения.
Аутентификация на рабочие станции с подтверждением посредством предъявления смарт-карты
Сотрудник может выполнить аутентификацию при помощи смарт-карты на рабочую станцию под управлением Windows с установленным компонентом Avanpost FAM Credential Provider.
Для аутентификации по смарт-карте сотрудник по запросу компонента Avanpost FAM Credential Provider предъявляет смарт-карту. После предъявления одной из разрешённых для аутентификации сотрудника смарт-карты и успешной проверки, в том числе с использованием PIN-кода, Avanpost FAM Credential Provider успешно выполнит аутентификацию сотрудника на рабочей станции.
Выдача смарт-карт пользователям через административную консоль
Для регистрации смарт-карты через административную консоль и выдачи её сотруднику администратор должен указать её параметры:
- Тип смарт-карты;
- Серийный номер либо другой идентификатор, используемый для выбранного типа смарт-карт;
- Требование использовать PIN-код (при наличии функции проверки пин-кода на смарт-карте).
После указания данных параметров смарт-карта может быть назначена сотруднику.
Выдача смарт-карт пользователям через Avanpost Authenticator Desktop
Для регистрации смарт-карты через компонент Avanpost Authenticator Desktop администратор может в сеансе административной учётной записи выполнить считывание параметров предъявленной смарт-карты, после чего ему становятся доступны функции назначения смарт-карты определённому сотруднику.