Avanpost FAM/MFA+ : 5.2. Управление доступом

Управление доступом - функциональность в Avanpost FAM, направленная на упрощение регулирования привилегий пользователей. 

Доступ к сетевым службам, включая бизнес-приложения, электронную почту и файловые сервисы, невозможен без прохождения пользователями аутентификации. Управление массами пользователей в индивидуальном порядке слишком трудоемко. Настройка доступа через группы упрощает управление пользователями, так как изменения в правах доступа и сценариях аутентификации группы автоматически применяются ко всем ее членам.

Функциональность управления доступом в Avanpost FAM позволяет администратору решать следующие задачи:

  1. Создавать, удалять и настраивать группы пользователей.
  2. Управлять членством пользователей в различных группах.
  3. Управлять сценариями аутентификации группы.
  4. Передавать информацию о группе, в которой состоят пользователи, в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации.
  5. Управлять доступом группы к конкретным приложениям и их отдельным функциям.
  6. Передавать информацию о группе, в которой состоят пользователи в механизм управления приложениями для разрешения/запрета доступа пользователя к конкретным приложениям и их отдельным функциям.

  7. Управлять парольной политикой групп пользователей.
  8. Управлять политикой уведомлений для групп пользователей.
  9. Отображать администратору информацию о группах, включая список ее членов, назначенные и доступные роли, возможности доступа к приложениям, настроенные сценарии аутентификации и параметры безопасности.

Функциональность управления группами позволяет администратору осуществлять следующие операции:

  • поиск и получение информации о группах;
  • создание, настройка и удаление групп;
  • добавление и удаление пользователей в группы;
  • назначение/отзыв доступа группы к тому или иному приложению;
  • настройка сценариев аутентификации для группы;
  • назначение/отзыв ролей для группы;
  • настройка парольной политики для группы;
  • настройка правил уведомления для групп.

Управление доступом осуществляется в режиме «Группы». Режим «Группы» содержит следующие компоненты:

  • реестр групп, отображающий базовую информацию;
  • элементы управления поиском, включающие поисковую строку;
  • кнопку «Добавить группу», переводящую на вкладку с формой добавления новой группы.

Поиск групп

Управление поиском осуществляется при помощи поисковой строки. Поиск осуществляется по наименованиям групп. При этом в реестре отображается следующая информация:

Название параметраЗначение параметра
НаименованиеНаименование группы

Домен

Домен группы
ПользователиКоличество пользователей в группе
ПриложенияКоличество приложений, к которым членство в группе дает доступ

Группа по умолчанию

В реестре присутствует возможность выбора группы по умолчанию. Это базовая группа, в которую добавляются новые пользователи системы, автоматически получая права, полномочия и сценарии аутентификации, настроенные для данной группы.

Новые пользователи не добавляются в группу по умолчанию в тех случаях, когда это настроил администратор. Данная настройка доступна как для добавления пользователей вручную, так и при загрузке при помощи LDAP-провайдеров, внешних провайдеров идентификации и пр. Более подробная информация дана в разделе Управление пользователями".

Для установки группы по умолчанию следует нажать напротив нее "Сделать по умолчанию" в реестре групп. После этого напротив выбранной группы появится некликабельная метка "По умолчанию". При этом только одна группа может быть выбрана по умолчанию. 

Добавление новых групп

Для добавления новой группы следует перейти в форму добавления новой группы, нажав на кнопку "Добавить группу" режима "Группы". В открывшейся вкладке требуется ввести следующие данные.

Название параметраЗначение параметра
НаименованиеНаименование группы
ДоменДомен группы (необязательно): администратор может ввести для упрощения идентификации группы.
ОписаниеОписание группы (необязательно): администратор может ввести для упрощения работы с группами.

После ввода параметров следует нажать "Сохранить" для сохранения или "Отмена", чтобы отменить создание. После сохранения новой группы администратор попадет в профиль созданной группы.

Управление профилем групп

Точная настройка параметров групп осуществляется через профиль группы. Во вкладку управления профилем групп можно перейти двумя способами из режима "Группы":

  • нажатием на название группы в реестре групп;
  • автоматически при создании новой группы.

Информация и возможности, содержащиеся в профиле группы, структурированы в подразделах вкладок "Пользователи", "Приложения", "MFA", "Роли", "Безопасность".

Наименование вкладкиОписание вкладки

Пользователи

Вкладка "Пользователи" предназначена для управления членством пользователей в группах и предоставляет следующие возможности:

  • поиск и получение информации о пользователях;
  • добавление и удаление пользователей;
  • переход в профиль пользователя.

Вкладка содержит следующие элементы интерфейса:

  • реестр с базовыми данными пользователей, состоящих в данной группе;
  • поисковая строка;
  • кнопка "Добавить пользователя".

Реестр пользователей содержит имя, фамилию, логин, адрес электронной почты и текущий статус пользователя в продукте. Реестр пользователей позволяет перейти в учетную запись пользователя для настройки параметров профиля конкретного пользователя. Для удаления пользователя из группы необходимо нажать напротив его имени.

Поиск проводится по имени, фамилии или логину пользователя путем ввода данных в поисковую строку.

При нажатии кнопки "Добавить пользователя" открывается форма добавления пользователей в группу. В форме добавления пользователей реализованы следующие возможности:

  • поиск пользователей по именам, фамилиям, логинам при помощи поисковой строки;
  • выбор добавляемых пользователей посредством установки флажка в строке имени пользователя;
  • выбор всех пользователей продукта посредством установки флажка в строке "Все";
  • добавление пользователя в группу посредством нажатия кнопки "Сохранить";
  • возвращение во вкладку группы без внесения изменений при нажатии кнопки "Отмена".

Приложения

Вкладка "Пользователи" предназначена для управления доступом группы к приложениям и предоставляет следующие возможности:

  • поиск и получение информации о доступных и недоступных для группы приложениях;
  • назначение/ отзыв прав доступа к приложению для группы;
  • переход в профиль приложения.

Вкладка содержит следующие элементы интерфейса:

  • реестр приложений с основными данными о приложении и переключателем доступа;
  • элементы поиска приложений.

В реестре приложений администратору предоставляются следующие данные и возможности: 

  • Приложение - Наименование приложения;
  • Тип - Тип механизма интеграции приложения:
    • saml - SAML;
    • oidc - OAuth/OpenID Connetct;
    • reverseproxy - Reverse Proxy;
    • desktop - Avanpost FAM Agent; 
    • linuxlogon - Linux Logon;
    • windowslogon - Windows Logon;
    • ldapproxy - LDAP Proxy;
    • radius - RADIUS.
  • Статус - Статус приложения в продукте:
    • Активно (Active);
    • Неактивно (Inactive);
  • Переключатель доступа:
    • при включении () члены группы получают доступ к выбранному приложению;
    • при выключении () члены группы теряют доступ к выбранному приложению, если только не состоят в другой группе, предоставляющей доступ к данному приложению.

Поиск приложений представляет следующие взаимодополняющие возможности:

  • поиск приложений по наименованию при помощи поисковой строки;
  • поиск приложений по типу механизма интеграции с FAM при помощи выпадающего списка.
MFA

Вкладка "MFA" предназначена для управления сценариями аутентификации применительно к тем или иным группам. 

Вкладка "MFA" содержит следующие возможности:

  • выбор одного из существующих сценариев аутентификации для выбранной группы;
  • настройка нового сценарий аутентификации для данной группы.

Вкладка содержит следующие элементы интерфейса:

  • кнопка "Сменить процесс аутентификации";
  • поле настройки сценария аутентификации.

При нажатии на кнопку "Сменить процесс аутентификации" появляется выпадающий список вариантами аутентификации.  В списке присутствует выбор следующих вариантов аутентификации:

  • выбор варианта, уже настроенного и сохраненного для той или иной группы;
  • создании собственного варианта при выборе "Новый процесс аутентификации".

После нажатия кнопки "Сменить процесс аутентификации" у администратора появляются следующие возможности:

  • отвязать текущий процесс аутентификации путем нажатия на кнопку "Отвязать" (появляется, если в выпадающем списке выбран уже привязанный процесс аутентификации);
  • выбрать процесс аутентификации путем нажатия на кнопку "Выбрать" (появляется, если в выпадающем списке выбран не привязанный процесс аутентификации из настроенных);
  • отменить изменения путем нажатия на кнопку "Отмена".

Поле "Настройки аутентификации" служит для настройки сценария аутентификации. При этом в нем можно как создать новый сценарий, так и изменить существующий. Начать настройку сценария можно следующими способами:

  • при открытии вкладка "MFA" в профиле группы, для которой сценарий аутентификации еще не настраивался;
  • при отвязке ранее установленного сценария аутентификации;
  • нажатием на кнопку   напротив заголовка "Настройки аутентификации".

Поле настройки позволяет настраивать шаги сценария аутентификации и состоит из следующих элементов интерфейса:

  • текстовое поле "Наименование" (у администратора есть возможность присвоить новое имя сценарию аутентификации или сохранить под одним из существующих, заменив его);
  • поле "Шаги", содержащее данные об одном или более шагах и факторах аутентификации и позволяющее при помощи переключателей включать/выключать использование того или иного фактора на данном шаге;
  • кнопка "Добавить шаг" для добавления второго и последующих шагов сценария аутентификации;
  • кнопка для удаления шага в сценарии аутентификации (доступна для второго и последующих шагов);
  • кнопка "Сохранить" для сохранения выбранного сценария (сохранение возможно после ввода наименования сценария и установки переключателя в положение "включено" хотя бы для одного фактора в каждом из шагов);
  • кнопка "Отмена" для отмены внесенных изменений.

Выбор сценария MFA для членов различных групп

Для пользователя, состоящего в группах с различными сценариями аутентификации, выбор сценария определяется следующим образом. Приоритет отдается сценарию, запускаемому скриптом MFA, исходя из значений различных параметров пользователя и его устройства. Следующим по приоритетности является сценарий аутентификации, настраиваемый для группы, в которой состоит пользователь. При этом, если пользователь состоит в нескольких группах с различными сценариями аутентификации, используется сценарий одной из групп, выбираемой случайно.

При выборе сценария учитывается настройка доступных/недоступных факторов аутентификации для конкретного пользователя, доступная в учетной записи. При аутентификации в приложении запрашиваются дополнительные факторы, если в сценарии аутентификации, настроенном для данного приложения, обязательна проверка по тем факторам, которые не проверялись во время аутентификации пользователя в Avanpost FAM.

Роли

Вкладка "Роли" предназначена для управления ролями групп пользователей. Более подробное описание механизма и функциональных возможностей ролей в Avanpost FAM представлено в разделе "Настройка ролей и прав".

Вкладка содержит следующие элементы интерфейса:

  • реестр с базовыми данными ролей и переключателями для назначения/отзыва роли для данной группы;
  • поисковая строка.

В поисковой строке предоставлена возможность поиска роли по ее наименованию.

Реестр содержит следующую информацию и возможности управления ролями:

  • Роль - Наименование роли;
  • Описание - Общее описание роли, которое может сделать администратор для упрощения работы;
  • Тип - Тип поли:
    • system - предустановленные системные роли, необходимые для правильного функционирования Avanpost FAM и не подлежащие удалению/редактированию/созданию;
    • custom - настраиваемые роли, которые администратор может создавать/удалять/редактировать по своему усмотрению.
  • Приложение - Приложения, в которых роль предоставляет те или иные полномочия:
    • system
    • внешние приложения (по наименованию приложения);
  • Назначена:
    • при включении () роль с соответствующими полномочиями присваивается группе;
    • при выключении () роль с соответствующими полномочиями отзывается.

Администратор может перейти в профиль роли, нажав на ее наименование. В профиле роли доступно управление правами доступа роли, назначением роли конкретным пользователям и группам. 

Безопасность

Вкладка "Безопасность" предназначена для управления парольной политикой и уведомлениями групп пользователей. 

Вкладка "Безопасность" предоставляет следующие возможности:

  • управление парольной политикой группы;
  • управление методами восстановления пароли для группы;
  • управление политикой уведомлений для группы.

Вкладка "Безопасность" состоит из трех разделов: "Настройки политики паролей", "Методы восстановления пароля", "Настройка правил уведомлений пользователей". 

Раздел "Настройки политики паролей" позволяет:

  • получить информацию о наименовании выбранной парольной политике;
  • установить или удалить парольную политику для группы.

Если политика не назначена, раздел будет содержать информацию о том, что выбрана парольная политика по умолчанию. 

Для замены парольной политики, установленной по умолчанию, на другую требуется нажать "Назначить другую политику". Перед администратором откроется список с существующими парольными политиками. Для обновления данных о политиках следует нажать . Для выбора нужной политики для группы следует нажать "Назначить". Затем выбранную политику "Сохранить" для сохранения или "Отмена", чтобы закрыть список без внесения изменений.

Если парольная политика назначена, ее название отображается разделе. Для возврата к стандартной парольной политике требуется нажать напротив названия парольной политики и подтвердить действие. 

Создание и настройка параметров конкретной парольной политики описана в разделе "Настройка парольных политик".

Раздел "Методы восстановления пароля" позволяет включать возможность восстановления пароля при помощи тех или иных факторов. Раздел содержит реестр со следующими факторами аутентификации:

  • Avanpost Authenticator;
  • TOTP;
  • SMS;
  • Email.

Чтобы позволить использовать фактор для восстановления пароля, следует перевести переключатель в положение "включено" (), чтобы запретить - в положение "выключено" ().

Раздел "Настройка правил уведомлений пользователей" предназначена для управления правилами отправки уведомлений пользователям в зависимости от тех или иных событий. Раздел позволяет:

  • выбирать те или иные наборы правил уведомлений для группы;
  • настраивать правила отправки уведомлений по SMS;
  • настраивать правила отправки уведомлений на электронную почту;
  • настраивать правила отправки уведомлений в приложение Avanpost Authenticator.

Если правила не назначены, в графе "Выбранная настройка" раздела будет отображаться "Стандартная настройка". Чтобы выбрать иной набор правил, следует нажать "Изменить". Перед администратором откроется список с существующими наборами правил. Для обновления данных о политиках следует нажать . Для выбора нужного набора правил для группы следует нажать "Назначить". Затем необходимо нажать "Сохранить" для сохранения выбранных правил или "Отмена", чтобы закрыть список без внесения изменений. Для возврата к стандартным правилам уведомлений требуется нажать напротив названия парольной политики и подтвердить действие. Правила сбросятся до стандартных.

Для изменения правил следует нажать на название набора правил в графе "Выбранная настройка" и перейти во вкладку настройки правил. 

Вкладка настройки правил содержит следующие данные:

  • Наименование - Наименование набора правил;
  • Отправка уведомлений на электронную почту (email):
    • Флажок "Отправка уведомлений на электронную почту (email)";
    • Флажок "Отправлять пользователю сообщение о смене адреса электронной почты указанной для учетной записи";
    • Флажок "Отправлять пользователю сообщение о смене номера телефона указанного для учетной записи";
    • Флажок "Отправлять пользователю сообщение о смене пароля учетной записи";
    • Флажок "Отправлять пользователю сообщение об успешном входе в систему";
  • Отправка уведомлений в мобильное приложение avanpost authenticator (при наличии):
    • Флажок "Отправлять приветственное сообщение при регистрации";
    • Флажок "Отправлять пользователю сообщение о смене адреса электронной почты указанной для учетной записи";
    • Флажок "Отправлять пользователю сообщение о смене номера телефона указанного для учетной записи";
    • Флажок "Отправлять пользователю сообщение о смене пароля учетной записи";
    • Флажок "Отправлять пользователю сообщение об успешном входе в систему".
  • Отправка уведомлений по SMS:
    • Отправлять пользователю сообщение о смене пароля учетной записи.

Для редактирования набора правил следует нажать , добавить/убрать флажки настроек и/или изменить наименование набора правил. Затем требуется нажать "Сохранить" для сохранения или "Отмена" для сброса изменений.

Для пользователя, состоящего в группах с различными настройками вкладки "Безопасность" применяется:

  • парольная политика по умолчанию, если для групп пользователя настроена различная политика.
  • методы восстановления пароля по принципу изъятия (отключения) метода;
  • правила уведомления пользователей по умолчанию, если для групп пользователя настроена различная политика.

Сценарий использования

Администратор хочет узнать, какая парольная политика, какие методы восстановления пароля и какие правила уведомления настроены для пользователей Петра (состоит в группах "По умолчанию", "Менеджмент"), Ивана (состоит в группах "Менеджмент", "Инженеры") и Павла (состоит только в группе "Менеджмент"). Для наглядности данные о настройках безопасности групп и фактических настройках безопасности двух пользователей можно представить в виде таблицы.

Объект/Тип настройкиГруппа "По умолчанию"Группа "Менеджмент"Группа "Инженеры"Фактические настройки ПетраФактические настройки ИванаФактические настройки Павла

Настройки политики паролей

Парольная политика по умолчаниюПолитика 1Политика 2Парольная политика по умолчаниюПарольная политика по умолчаниюПолитика 1

Методы восстановления пароля

Включены методы: Email, SMS, TOTP, Avanpost Authenticator.Включены методы: TOTP, Avanpost Authenticator.Все методы выключеныДоступные методы: TOTP, Avanpost Authenticator.Восстановление и сброс пароля запрещены.Доступные методы: TOTP, Avanpost Authenticator.

Настройки правил уведомления

Стандартная настройкаПравила 1Правила 2Стандартная настройкаСтандартная настройкаПравила 1



Обсуждение