Avanpost FAM/MFA+ : 3.5.7. Мобильное приложение Avanpost Authenticator

Мобильное приложение Avanpost Authenticator – простой и удобный для пользователя, надёжный и безопасный метод аутентификации, который может использоваться в сценариях аутентификации 2FA/MFA, предоставляемых Avanpost FAM.

Avanpost Authenticator доступен бесплатно в магазинах приложений для смартфонов под управлением iOS и Android:

Мобильное приложение Avanpost Authenticator обеспечивает следующие методы аутентификации:

  • Запрос на аутентификацию. Приходит в мобильное приложение пользователю при аутентификации в различные приложения (веб-приложения, десктопные приложения, сервисы и т.д.). Может доставляться либо посредством механизма push-запросов (если выполнена необходимая настройка для push-запросов), либо посредством механизма получения запросов на аутентификацию от Avanpost FAM Server через компоненты Avanpost FAM Mobile Services.
  • Ввод одноразового TOTP-кода. Работает либо как классический TOTP, либо в качестве резервного метода аутентификации при отсутствии связи.
  • Беспарольный вход посредством сканирования QR-кода на экране компьютера камерой мобильного устройства в мобильном приложении Avanpost Authenticator.

Для того, чтобы пользователь мог пользоваться своим смартфоном в качестве аутентификатора, требуется выполнить привязку пользовательского приложения Avanpost Authenticator к аккаунту в Avanpost FAM. Привязка Avanpost Authenticator возможна в следующих сценариях:

  • В личном кабинете Avanpost FAM посредством считывания QR-кода;
  • В процессе аутентификации посредством считывания QR-кода (веб-приложения, десктоп-приложения);
  • В процессе аутентификации посредством ввода в Avanpost Authenticator секретного одноразового кода (VPN, VDI и другие RADIUS-приложения).

Avanpost Authenticator может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

Системные требования

Системные требования к смартфону для работы мобильного приложения Avanpost Authenticator:

ПлатформаОперационная системаФормат поставкиПрочие требования
Современный смартфон с актуальной ОС из перечня, выпущенный после 2015 годаAndroid 6.0 или новее

Установка через магазин приложений Google Play

Установка через магазин приложений RuStore

.apk-архив

Наличие свободного дискового пространства для установки приложения

iOS 12.4 или новееУстановка через магазин приложений Apple AppStore
Huawei (без Google Services)Установка через магазин приложений Huawei AppGallery

Архитектура

Мобильное приложение Avanpost Authenticator ориентировано на взаимодействие с on-premise системой Avanpost FAM. 

Для использования всех функций мобильного приложения Avanpost Authenticator предполагается развёртывание в демилитаризованной сети (DMZ) двух компонентов из состава Avanpost FAM Mobile Services:

  • Push Service, который обеспечивает доставку push-запросов в мобильные приложения Avanpost Authenticator;
  • API Service, который обеспечивает подтверждение и отклонение запросов на аутентификацию, обновление информации с сервера Avanpost FAM и многое другое.

Архитектурная схема взаимодействия компонентов Avanpost FAM Mobile Services, используемых для обслуживания мобильного приложения Avanpost Authenticator, изображена на схеме:

Безопасность и меры защиты

Для безопасности использования Avanpost Authenticator предпринят ряд важных мер.

Изолированное размещение внешних компонентов Avanpost FAM Mobile Services в DMZ

Для полноценной работы функций push-аутентификации требуется открытие сетевого доступа из интернета до компонента API из состава Avanpost FAM Mobile Services. API может быть размещён в DMZ без необходимости открытия сетевого доступа в направлении Avanpost FAM Server. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services. 

Такая схема позволяет полностью изолировать внешние компоненты Avanpost FAM от внутренних, что значительно повышает защищённость системы аутентификации.

Проверка всех push-запросов на основе сертификата сервера Avanpost FAM

Компонент Avanpost FAM Server при формировании QR-кода предоставляет мобильному приложению Avanpost Authenticator свой сертификат. Каждое сообщение в направлении Avanpost Authenticator от Avnapost FAM Server подписывается этим сертификатом.

Мобильное приложение проверяет каждое сообщение. Некорректно подписанные запросы и сообщения отклоняются.

Защита входа в приложение Avanpost Authenticator PIN-кодом и отпечатком пальца

При доступе пользователя к приложению с целью подтверждения push-запроса либо с целью получения одноразового кода Avanpost Authenticator запрашивает у пользователя разблокировку. Пользователю доступны 2 метода: 

  • PIN-код;
  • Отпечаток пальца.

Блокировка мобильных аутентификаторов в Avanpost Authenticator по инициативе администраторов

Администратор может заблокировать мобильный аутентификатор через административную консоль. После блокировки пользователь не сможет воспользоваться этим аутентификатором.

Часто задаваемые вопросы

Для чего в Avanpost Authenticator используется механизм push-уведомлений?

Для улучшения пользовательского опыта взаимодействия с приложением. Push-запросы функционируют на базе механизмов операционной системы (Android, iOS и т.д.) и позволяют присылать пользователю всплывающие уведомления в панели уведомлений без запуска или выполнения в фоне приложения. На сегодняшний день это единственный доступный способ оперативного отображения пользователю оповещений от мобильного приложения.  

Для чего Push Service из состава Avanpost FAM Mobile Services взаимодействует с Google Firebase?

Под каждую платформу (Android, iOS, Huawei) существуют свои сервисы доставки push-уведомлений:

  • На устройство под управлением Android используется механизм Google Cloud Messaging, для отправки сообщений в который требуется послать запрос в сервис Google Firebase. 
  • На устройство под управлением iOS используется механизм Apple Push Notification Service. Для отправки сообщения в iOS его можно отправить как напрямую в APN, но для этого требуется в APN зарегистрировать сертификат сервера системы, которая отправляет запрос. Либо воспользоваться промежуточным сервисом, например, Google Firebase.
  • На устройство под управлением Huawei используется механизм push-уведомлений Huawei. Аналогично, push-запросы в него можно отправлять либо напрямую, либо через Google Firebase.

Google Firebase является наиболее универсальным сервисом, позволяющим доставлять push-уведомления на устройства под управлением Android, iOS и Huawei. При этом его использование является обязательным для доставки push-уведомлений на устройства Android.

Существуют ли российские сервисы push-уведомлений?

Для устройств под управлением ОС Android, iOS и Huawei для работы push-уведомлений необходимо использование сервисов производителя ОС.  

Насколько безопасно использование сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в процессе корпоративной аутентификации?

Если приложение подключено к Avanpost FAM, а для аутентификации используется Avanpost Authenticator, то для защиты корпоративных ресурсов применяется ряд мер:

  • Шифрование всех взаимодействий при помощи TLS.
  • Безопасное размещение компонентов Avanpost FAM Mobile Services в DMZ. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services, размещаемыми в DMZ.
  • Проверка электронной подписи всех push-запросов и сообщений от Avanpost FAM Server в сторону мобильного устройства с Avanpost Authenticator при помощи сертификата сервера, который хранится в приложении Avanpost Authenticator. Если подпись запроса на аутентификацию некорректна, то такое push-сообщение или запрос на аутентификацию отклоняется приложением Avanpost Authenticator.
  • Проверка электронной подписи всех запросов от мобильного приложения Avanpost Authenticator в сторону сервера Avanpost FAM. Для каждого аккаунта в Avanpost Authenticator выпускается ключ, который хранится на устройстве и используется для подписи всех сообщений, отправляемых в сторону API-компонента Avanpost FAM. На сервере Avanpost FAM хранится сертификат этого ключа и используется для проверки электронной подписи каждого сообщения. Если подпись некорректна, то сообщение отклоняется компонентом Avanpost FAM Server.

Описанный перечень мер является достаточным для максимальной защиты процесса аутентификации в корпоративные информационные системы, в том числе с использованием иностранных сервисов типа Google Firebase, Google Cloud Messaging, Apple Push Notification Services и т.д. Кроме этого Avanpost Authenticator может функционировать без механизма push-уведомлений.

Будет ли работать аутентификация через Avanpost Authenticator при возможной блокировке или недоступности сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в России?

Да, будет.

Станет невозможной лишь доставка всплывающих push-уведомлений на устройства под управлением Android и iOS. Сам же процесс аутентификации через Avanpost FAM и Avanpost Authenticator будет работать в этом случае следующим образом:

  1. Пользователь открывает мобильное приложение Avanpost Authenticator.
  2. Мобильное приложение Avanpost Authenticator обращается к серверу Avanpost FAM через API Service-компоненту в DMZ и получает список всех актуальных запросов на аутентификацию. Эти запросы отображаются пользователю с возможностью подтвердить/отклонить.
  3. Пользователь одобряет/отклоняет запрос. Запрос с решением пользователя отправляется API Service-компонент, размещённый в DMZ.
  4. После обработки запроса пользователя Avanpost FAM аутентифицирует пользователя в целевом приложении.

Будет ли доступно мобильное приложение Avanpost Authenticator в случае блокировки магазинов Google Play и Apple AppStore?

Да, для Android приложение доступно бесплатно в российском магазине приложений RuStore.

Для iOS возможности установки приложений из альтернативных магазинов нет.

Обсуждение