Управление приложениями - функциональность в Avanpost FAM, предназначенная для контроля и настройки приложений. Данная функциональность необходима для управления соединением между структурными элементами Avanpost FAM и внешними приложениями, предоставляющими услуги, такими, например, как 1C или Zoom.
Предположим, что организация использует 1С:Предприятие для управления бизнес-процессами. Для Avanpost FAM приложение 1С:Предприятие является внешним. Организация может интегрировать 1С:Предприятие с продуктом Avanpost FAM при помощи функциональности управления приложениями. После настройки параметров интеграции приложения администратор может назначить доступ к нему группам или отдельным пользователям Avanpost FAM.
Функциональность управления приложениями в Avanpost FAM позволяет администратору решать следующие задачи:
- Создавать, удалять и настраивать приложения.
- Управлять доступом пользователей и групп пользователей к приложению.
- Настраивать сценарии аутентификации для приложения.
- Передавать информацию о приложении в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации.
- Настраивать параметры интеграции приложений для корректной работы с Avapost FAM.
- Настраивать параметры безопасности для приложения.
- Настраивать модель доступа и права (scopes) приложения для OIDC-приложений.
Управлять сертификатами OIDC-приложений.
- Управлять атрибутами SAML-приложений.
- Управлять атрибутами вендоров (VSA) для RADIUS-приложений.
- Получать информацию о прохождении аутентификации в приложении в режиме отладки.
- Отображать администратору информацию о приложениях.
Функциональность управления приложениями позволяет администратору осуществлять следующие операции:
- поиск и получение информации о приложениях;
- добавление/удаление приложений;
- настройка параметров интеграции приложений;
- настройка сценариев аутентификации для приложений;
- заполнение и редактирование данные техподдержки;
- настройка специфических параметров для OIDC-приложений, SAML-приложений, RADIUS-приложений;
- проверка правильности функционирования внешнего приложения в режиме отладки.
Подробные данные о механизмах интеграции приложений доступны в разделы Механизмы интеграции.
Управление приложениями осуществляется в режиме "Приложения", который содержит:
- реестр приложений, отображающий базовую информацию о приложениях;
- элементы управления поиском;
- кнопку "Добавить приложение", переводящую на вкладку с формой добавления приложения.
Типы приложений
Avapost FAM поддерживает интеграцию со следующими типами приложений:
Графическое обозначение | Тип приложения | Краткое описание |
---|---|---|
OAuth/OpenID Connect | В Avanpost FAM поддерживается набор HTTP(S)-методов в соответствии с протоколами OAuth 2.0 и OpenID Connect, позволяющий реализовывать SSO/SLO/2FA/MFA-сценарии для десктопных, мобильных и веб-приложений. | |
SAML | в Avanpost FAM встроен сервер SAML 2.0, функционирующий в роли Identity Provider и позволяющий подключать корпоративные системы с поддержкой SAML 2.0, SaaS-решения, другие Identity Provider с поддержкой аутентификации SAML 2.0 через сторонние провайдеры аутентификации | |
RADIUS | В Avanpost FAM встроен сервер RADIUS, позволяющий реализовывать 2FA/MFA-сценарии для любых NAS (Network Access Service), поддерживающих аутентификацию через сторонний RADIUS-сервер | |
Reverse Proxy | Avanpost FAM способен выступать в роли прокси-сервера, позволяя подключить к системе единой аутентификации унаследованное веб-приложение, не поддерживающее стандартные IdP-протоколы. | |
Agent (Enterpise SSO) | Клиентский компонент Avanpost FAM Agent поддерживает ряд приложений и сервисов, включая веб-приложения, SaaS-платформы, корпоративные приложения, а также реализует сценарии аутентификации в унаследованных десктопных приложениях. | |
Windows Logon | В Avanpost FAM встроен механизм Avanpost FAM Windows Logon, поддерживающий возможность аутентификации в ОС Windows посредством механизма Windows Logon (Credential Provider). | |
Linux Logon | В Avanpost FAM встроен механизм Avanpost FAM Linux Logon, поддерживающий возможность аутентификации в ОС Linux посредством механизма Linux Logon, реализуемого компонентом Avanpost FAM Linux Logon (PAM Linux). | |
LDAP Proxy | Avanpost FAM позволяет использовать LDAP-каталог в качестве средства аутентификации, причем аутентификация возможна как в одном, так и одновременно в нескольких LDAP-каталогах. | |
Exchange ActiveSync | Avanpost FAM позволяет использовать приложения, подключаемые посредством механизма Microsoft Exchange ActiveSync, предназначенного для синхронизации PIM-данных с Microsoft Exchange Server. |
Подробная информация об управлении и настройке приложений различных типов расположена в соответствующих разделах:
- 5.3.1. Управление OpenID Connect-приложениями
- 5.3.2. Управление SAML-приложениями
- 5.3.3. Управление RADIUS-приложениями
- 5.3.4. Управление Reverse Proxy-приложениями
- 5.3.5. Управление Enterprise SSO-приложениями
- 5.3.6. Управление Windows Logon-приложениями
- 5.3.7. Управление Linux Logon-приложениями
- 5.3.8. Управление LDAP Proxy-приложениями
- 5.3.9. Управление Exchange ActiveSync-приложениями
Поиск приложений
Управление поиском осуществляется при помощи поисковой строки. Поисковая строка позволяет искать пользователей по наименованиям приложений. При этом в реестре отображается следующая информация.
Название параметра | Значение параметра |
---|---|
Наименование | Название приложения |
Тип |
|
Статус | Статус приложений в продукте:
|
Профиль приложения
Для перехода в профиль приложения требуется нажать на наименование данного приложения в реестре режима "Приложения". Профиль приложения содержит следующие возможности:
- включить/выключить приложение нажатием на / соответственно;
- включить/выключить режим отладки приложения нажатием на / соответственно;
- удалить приложение путем нажатия на кнопку и подтверждения выбранного действия;
- внести изменения в настройки приложения.
Каждое из приложений обладает собственным набором параметров, которые можно разделать на два типа:
- общие - параметры, имеющиеся у всех приложений в системе Avanpost FAM и представленные во вкладках "Основное", "MFA", "Техподдержка";
- специфические - параметры, имеющиеся лишь у конкретных типов приложений, и представленные в соответствующих вкладках:
- вкладка "Настройки", содержание которой меняется в зависимости от типа приложения;
- вкладки "Scopes", "Модель доступа" и "Сертификаты" для приложений типа OAuth/OpenID Connect;
- вкладка "Attributes" для приложений типа SAML;
- вкладка "VSA" для приложений типа RADIUS.
Специфические параметры приложений рассмотрены в разделах с настройками данных типов приложений.
Доступна следующая настройка общих параметров приложений.
Вкладка | Описание вкладки |
---|---|
Основное | Вкладка "Основное" предназначена для получения информации об основных атрибутах приложения и их редактировании. После нажатия кладке "Основное" появятся следующие возможности для редактирования атрибутов:
Чтобы сохранить внесенные изменения требуется нажать "Сохранить". Для отмены следует нажать "Отмена". |
MFA | Вкладка "MFA" предназначена для управления сценариями аутентификации, которые необходимо пройти для получения доступа к приложению. Вкладка "MFA" содержит следующие возможности:
Вкладка содержит следующие элементы интерфейса:
При нажатии на кнопку "Сменить процесс аутентификации" появляется выпадающий список вариантами аутентификации. В списке присутствует выбор следующих вариантов аутентификации:
После нажатия кнопки "Сменить процесс аутентификации" у администратора появляются следующие возможности:
Поле "Настройки аутентификации" служит для настройки сценария аутентификации. При этом в нем можно как создать новый сценарий, так и изменить существующий. Начать настройку сценария можно следующими способами:
Поле настройки позволяет настраивать шаги сценария аутентификации и состоит из следующих элементов интерфейса:
|
Техподдержка | Вкладка "Техподдержка" содержит общую информацию о технической поддержке приложения:
|
Режим отладки
Режим отладки предназначен для сбора и анализа данных о работе приложения. Включить/выключить режим отладки приложения можно нажатием в профиле приложения на / соответственно. При включении режима отладки в профиле приложения появится вкладка "Журнал отладки".
В версии Avanpost FAM Server 1.12 режим отладки доступен только для приложений типа OpenID и SAML. С версии 1.13 режим отладки доступен для всех gRPC-приложений (приложения типа Windows Logon, Linux Logon, Enteprise SSO, LDAP Proxy, Exchane ActiveSync) и RADIUS-приложений.
В профиле приложения представлен журнал отладки данного приложения. Администратор может ознакомиться с данными журнала отладки по всем приложениям. Для этого необходимо перейти во вкладку "Журнал отладки приложений" режима "Сервис".
Внесение записей в "Журнал отладки" происходит, когда пользователи предпринимают попытки аутентификации в приложении, находящемся в режиме отладки. Для оптимизации работы системы записи появляются в журнале с небольшой задержкой (по умолчанию от 0 до 10 секунд).
Вкладка "Журнал отладки" содержит реестр записей со следующими данными.
Название параметра | Значение параметра |
---|---|
Дата и время | Дата и время создания записи. |
Приложение | Название приложения, к которому относится запись и графическое обозначение типа приложения. |
Сообщение | Информационные сообщения о завершении того или иного события по мере прохождения сценария аутентификации. |
Данные | Атрибуты и значения, присваиваемые им при прохождении сценария аутентификации. Набор данных для каждого события отличается в зависимости от типа приложения и события. Если поле какого-либо параметра слишком длинное, чтобы вместиться строку, вместо данных появляется кнопка . При нажатии на кнопку данные из поля будут скопированы в буфер обмена. Если информация, содержащаяся в параметре конфиденциальная (например, пароль), значение скрывается от администратора и не может быть скопировано. |
Чтобы обновить данные журнала, следует нажать. Чтобы очистить удалить данные из журнала отладки следует нажать "Очистить журнал". При очистке журнала в профиле приложения удаляются данные по этому приложению. При очистке общего журнала отладки приложений удаляются данные по отладке всех приложений.
Различным типам приложения свойственны различные сообщения с разными наборами данных, представленные в таблице.
Тип приложения | Сообщение | Данные |
---|---|---|
OpenID |
Endpoint авторизации (Authorization endpoint) используется для аутентификации и авторизации и возвращает клиенту разрешение на авторизацию при аутентификации посредством Authorization Code Flow (обмен кода авторизации на Access token). | В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:
|
Endpoint токена (Token endpoint) используется для запроса токенов посредством отправки запроса Authorization Grant к endpoint'у токена. | ||
Endpoint пользовательской информации (UserInfo endpoint) представляет собой защищенный ресурс OAuth 2.0, возвращающий утверждения (claims) об аутентифицированном конечном пользователе. | ||
Endpoint завершения сессии (Endsession endpoint) используется для централизованного завершения сеансов приложений (Single Logout). | ||
SAML |
Запрос AuthnRequest направляется от SP (Service Provider) к IdP (Identity provider) для прохождения пользователем аутентификации с использованием механизма SSO. | В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:
|
Ответ AuthN response направляется от IdP (Identity provider) к SP (Service Provider) при успешном прохождении пользователем процесса аутентификации и содержит NameID и атрибутами пользователя. | ||
Logout request - запрос на одновременное завершение несколько сеансов работы в приложениях посредством выполнения единого выхода из системы (SLO). | ||
Logout response - ответ на Запрос Logout request на осуществление единого выхода, который может отправить как Service Provider, так Idp. | ||
RADIUS |
Описание каждого RADIUS-пакета состоит из описания атрибутов (Attribute) и их значений (Value Pair) для данного типа пакета. Атрибуты могут быть как стандартными, так и специфичными атрибутами вендоров VSA (Vendor-Specific Attribute). | В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:
|
gRPC (Windows Logon, Linux Logon, Enteprise SSO, LDAP Proxy, Exchane ActiveSync) | Received ‘Authenticate’ request - Получен запрос на аутентификацию. | Для gRPC-приложений регистрируется все параметры, которые поступают на сервер и уходят с него. В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих наиболее часто встречаемых параметров:
|
Sent ‘Authenticate’ request - Отравлен запрос на аутентификацию. | ||
Received ‘Authenticate’ response - Получен ответ на запрос аутентификации. | ||
Sent ‘Authenticate’ response - Отправлен ответ на запрос аутентификации. |
В Журнале отладки предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - . Фильтрация предоставляет возможности поиска событий по следующим параметрам.
Название фильтра | Значение фильтра |
---|---|
Приложение | Название искомого приложения из выпадающего списка. При выборе опции "Все приложения" предоставляются данные по всем приложениям. Возможность фильтрации по наименованиям приложений доступна для общего журнала отладки ("Сервис" - "Журнал отладки приложений"). В журнале отладки, доступном в профиле конкретного приложения, собирается информация только по данному приложению, и фильтр по приложениям недоступен. |
Сообщение содержит | Текст, который содержится в сообщении искомых событий. |
Начало события | Нижняя граница временного диапазона, в котором произошли искомые события. |
Окончание события | Верхняя граница временного диапазона, в котором произошли искомые события. |
Поля | Наименования и значения атрибутов искомых событий. Фильтр содержит следующие элементы:
|
Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить".