[ ] [ Общие сведения ] [ Настройка фактора ЭП/Сертификат ] [ Этап 1. Установка криптопровайдера (КриптоПро CSP) на ARM пользователя ] [ Этап 2. Установка КриптоПро ЭЦП Browser plug-in ] [ Этап 3. Добавление сертификата в карточку пользователя ] [ Этап 4. Настройка фактора на стороне Identity Cloud ] [ Этап 5. Настройка аутентификации по сертификату ] [ Этап 6. Проверка правильности настройки метода ]
Общие сведения
ЭП/сертификат – один из методов 2FA/MFA аутентификации в веб-приложениях, интегрированных с системой Avanpost Identity Cloud, при помощи криптографического сертификата или электронной подписи (ЭП).
Криптопровайдер (КриптоПро CSP) и сертификаты удостоверяющего центра КриптоПро уже установлены и настроены в облачном сервисе Avanpost Identity Cloud. При входе пользователя на веб-ресурс и выборе метода аутентификации с помощью ЭП/Сертификата веб-ресурс направляет запрос на аутентификацию по сертификату на сервер Identity Cloud. В ответ сервер отправляет секрет для подписи сертификатом. Браузер при помощи плагина КриптоПро ЭЦП Browser Plug-in запрашивает подпись секрета через КриптоПро CSP. Затем браузер направляет подпись в формате pksc7 на сервер проверки подписи. Сервер отправляет в КриптоПро CSP запрос на проверку и получает ответ на базе которого разрешается/запрещается аутентификация пользователя.
Настройка фактора ЭП/Сертификат
Настройка фактора проводится в результате последовательности действий, осуществляемых как на стороне Avanpost Identity Cloud Server, так и на рабочей машине конечного пользователя:
- Установка криптопровайдера на рабочую машину пользователя.
- Установка плагина КриптоПро ЭЦП Browser plug-in в браузер на рабочей машине пользователя.
- Прикрепление сертификата к учетной записи пользователя.
- Настройка фактора Certificate на стороне Avanpost Identity Cloud.
- Активация и привязка метода аутентификации фактора ЭП/Сертификат.
- Проверка правильности настройки метода.
Этап 1. Установка криптопровайдера (КриптоПро CSP) на ARM пользователя
Для установки КриптоПро CSP на ARM пользователя необходимо:
- Cкачать нужную версию дистрибутива КриптоПро с официального сайта: https://cryptopro.ru/products/csp/downloads.
Запустить установочный файл и следовать инструкциям установщика.
Этап 2. Установка КриптоПро ЭЦП Browser plug-in
Для установки КриптоПро ЭЦП Browser plug-in необходимо:
- Скачать установочный файл плагина для соответствующей операционной системы пользователя (Windows, Linux, macOS) с официального сайта: https://docs.cryptopro.ru/cades/plugin
Запустить установочный файл и следовать инструкциям мастера установки.
Запустить браузер. Дальнейшие настройки отличаются в зависимости от используемого браузера:
Google Chrome: после запуска браузера выйдет оповещение об установленном расширении CryptoPro Extension for CAdES Browser Plug-in. Нажать "Включить расширение".Актуально только для первичной загрузки. В случае, если установка расширения выполнялась ранее и впоследствии оно было удалено, необходимо загрузить CryptoPro Extension for CAdES Browser Plug-in из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
Chromium Edge: загрузить и установить расширение из интернет-магазина Chrome: CryptoPro Extension for CAdES Browser Plug-in для Chrome
Opera или Яндекс.Браузер: загрузка расширения доступна по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Opera/Яндекс.Браузер (Рисунок).
Firefox:
1. Скачать расширение по ссылке: CryptoPro Extension for CAdES Browser Plug-in для Firefox.
2. Перейти в настройки браузера с помощью кнопки "шестеренка" (
)⟶ Управление дополнительными настройками ⟶ Расширения и темы ⟶ Установить дополнение из файла (Рисунок).
3. Выбрать загруженный файл в формате xpi и подтвердить добавление расширения в браузер с помощью кнопки "Добавить".
Microsoft Internet Explorer: дополнительная установка расширения не требуется.- Проверить корректность загруженного плагина на странице проверки.
Этап 3. Добавление сертификата в карточку пользователя
Привязка сертификата к конкретному пользователю проводится в следующей последовательности:
- В административной консоли Avanpost Identity Cloud перейти в режим "Пользователи" и найти искомого пользователя, при необходимости пользуясь инструментами интерфейса.
- Перейти в УЗ искомого пользователя во вкладку "Дополнительно" в раздел "Сертификаты" (более подробно об интерфейсе УЗ пользователя пользователя описано в соответствующем разделе).
- Добавить сертификат:
- Скопировать код сертификата (например, ).
- Добавить новый сертификат, нажав кнопку
. - Вставить скопированный код сертификата в окно терминала и нажать "Сохранить" .
- Убедиться, что добавленный сертификат отобразился в списке.
Этап 4. Настройка фактора на стороне Identity Cloud
Avanpost Identity Cloud предоставляет функционал привязки RDN субъекта сертификата к дополнительному атрибуту пользователя. Данный функционал позволяет связывать идентификационную информацию, указанную в поле RDN сертификата, с информацией, хранящейся в других атрибутах пользователя. В этом случае, если сертификат не был внесен в карточку пользователя напрямую, поиск пользователя осуществляется через дополнительный атрибут.
Настройка привязки сертификата доступна как через административную консоль Identity Cloud (рекомендуемый способ), так и через конфигурационный файл config.toml.
Настройка метода аутентификации Certificate осуществляется в административной консоли Avanpost Identity Cloud следующим образом:
- Войти в раздел "Настройки методов аутентификации" режима "Сервис".
- Нажать кнопку "Добавить метод аутентификации".
- Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".Настройка привязки через административную консоль осуществляется следующим образом:
Параметр Описание Название Ввести название. Фактор аутентификации Выбрать "Certificate". Метод активен Заполнить чекбокс:
- при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
- при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
- Установить параметры метода согласно таблице ниже.
Параметр Описание Название метода отображаемое пользователям Ввести название метода для отображения пользователям. Ключ-тэг Ввести уникальный тэг (используется для ориентации в логах). Фактор аутентификации Certificate Метод активен Установить чекбокс:
- При установленном чекбоксе метод аутентификации активен и может использоваться.
- При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
RDN OID (идентификатор объекта) для RDN (именованного дескриптора) сертификата пользователя.
В поле указывается значение OID RDN субъекта сертификата, которое будет сопоставлено с атрибутом пользователя.
Примеры значения параметра:
1.2.643.100.3- для сопоставления со СНИЛС пользователя;1.2.643.3.131.1.1- для сопоставления с ИНН пользователя.
Атрибут пользователя Имя атрибута пользователя, который будет использоваться при связывании сертификата с пользователем. - Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").
Этап 5. Настройка аутентификации по сертификату
Активацию фактора аутентификации ЭП/сертификат необходимо осуществлять следующим образом:
- Перейти в консоль администратора Avanpost Identity Cloud.
- В карточке нужного приложения перейти на вкладку "MFA".
- В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно".
Во время авторизации выбрать фактор «Сертификат» и нажать "Продолжить".
После подтверждения доступа выбрать из списка нужный сертификат.
Ввести пароль, указанный ранее во время выдачи сертификата, и нажать «ОК».
Этап 6. Проверка правильности настройки метода
Проверка правильности фактора осуществляется следующим образом.
- Инициировать вход в веб-приложение по сертификату.
- Выбрать нужный сертификат из списка и подтвердить выбор.
- При необходимости аутентифицироваться посредством прочих факторов, настроенных согласно сценарию аутентификации.
- Получить доступ к веб-ресурсу в результате успешного прохождения аутентификации.