Avanpost FAM/MFA+ : 5.3. Управление приложениями

Управление приложениями - функциональность в Avanpost FAM, предназначенная для контроля и настройки приложений. Данная функциональность необходима для управления соединением между структурными элементами Avanpost FAM и внешними приложениями, предоставляющими услуги, такими, например, как 1C или Zoom. 

Предположим, что организация использует 1С:Предприятие для управления бизнес-процессами. Для Avanpost FAM приложение 1С:Предприятие является внешним. Организация может интегрировать 1С:Предприятие с продуктом Avanpost FAM при помощи функциональности управления приложениями. После настройки параметров интеграции приложения администратор может назначить доступ к нему группам или отдельным пользователям Avanpost FAM.

Функциональность управления приложениями в Avanpost FAM позволяет администратору решать следующие задачи:

  1. Создавать, удалять и настраивать приложения.
  2. Управлять доступом пользователей и групп пользователей к приложению.
  3. Настраивать сценарии аутентификации для приложения.
  4. Передавать информацию о приложении в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации.
  5. Настраивать параметры интеграции приложений для корректной работы с Avapost FAM.
  6. Настраивать параметры безопасности для приложения.
  7. Настраивать модель доступа и права (scopes) приложения для OIDC-приложений.
  8. Управлять сертификатами OIDC-приложений.

  9. Управлять атрибутами SAML-приложений.
  10. Управлять атрибутами вендоров (VSA) для RADIUS-приложений.
  11. Получать информацию о прохождении аутентификации в приложении в режиме отладки.
  12. Отображать администратору информацию о приложениях.

Функциональность управления приложениями позволяет администратору осуществлять следующие операции:

  • поиск и получение информации о приложениях;
  • добавление/удаление приложений;
  • настройка параметров интеграции приложений;
  • настройка сценариев аутентификации для приложений;
  • заполнение и редактирование данные техподдержки;
  • настройка специфических параметров для OIDC-приложений, SAML-приложений, RADIUS-приложений;
  • проверка правильности функционирования внешнего приложения в режиме отладки.

Подробные данные о механизмах интеграции приложений доступны в разделы Механизмы интеграции.

Управление приложениями осуществляется в режиме "Приложения", который содержит:

  • реестр приложений, отображающий базовую информацию о приложениях;
  • элементы управления поиском;
  • кнопку "Добавить приложение", переводящую на вкладку с формой добавления приложения.

Типы приложений

Avapost FAM поддерживает интеграцию со следующими типами приложений:

Графическое обозначениеТип приложения Краткое описание

OAuth/OpenID ConnectВ Avanpost FAM поддерживается набор HTTP(S)-методов в соответствии с протоколами OAuth 2.0 и OpenID Connect, позволяющий реализовывать SSO/SLO/2FA/MFA-сценарии для десктопных, мобильных и веб-приложений.

SAMLв Avanpost FAM встроен сервер SAML 2.0, функционирующий в роли Identity Provider и позволяющий подключать корпоративные системы с поддержкой SAML 2.0, SaaS-решения, другие Identity Provider с поддержкой аутентификации SAML 2.0 через сторонние провайдеры аутентификации

RADIUSВ Avanpost FAM встроен сервер RADIUS, позволяющий реализовывать 2FA/MFA-сценарии для любых NAS (Network Access Service), поддерживающих аутентификацию через сторонний RADIUS-сервер

Reverse ProxyAvanpost FAM способен выступать в роли прокси-сервера, позволяя подключить к системе единой аутентификации унаследованное веб-приложение, не поддерживающее стандартные IdP-протоколы.

Agent (Enterpise SSO)

Клиентский компонент Avanpost FAM Agent поддерживает ряд приложений и сервисов, включая веб-приложения, SaaS-платформы, корпоративные приложения, а также реализует сценарии аутентификации в унаследованных десктопных приложениях.

Windows LogonВ Avanpost FAM встроен механизм Avanpost FAM Windows Logon, поддерживающий возможность аутентификации в ОС Windows посредством механизма Windows Logon (Credential Provider).

Linux LogonВ Avanpost FAM  встроен механизм Avanpost FAM Linux Logon, поддерживающий возможность аутентификации в ОС Linux посредством механизма Linux Logon, реализуемого компонентом Avanpost FAM Linux Logon (PAM Linux).

LDAP ProxyAvanpost FAM позволяет использовать LDAP-каталог в качестве средства аутентификации, причем аутентификация возможна как в одном, так и одновременно в нескольких LDAP-каталогах.


Exchange  ActiveSyncAvanpost FAM позволяет использовать приложения, подключаемые посредством механизма Microsoft Exchange ActiveSync, предназначенного для синхронизации PIM-данных с Microsoft Exchange Server.

Подробная информация об управлении и настройке приложений различных типов расположена в соответствующих разделах:

Поиск приложений

Управление поиском осуществляется при помощи поисковой строки. Поисковая строка позволяет искать пользователей по наименованиям приложений. При этом в реестре отображается следующая информация.

Название параметраЗначение параметра
НаименованиеНазвание приложения
Тип
  • Тип - Тип механизма интеграции приложения:
    • saml - SAML;
    • oidc - OAuth/OpenID Connect;
    • reverseproxy - Reverse Proxy;
    • desktop - Avanpost FAM Agent; 
    • linuxlogon - Linux Logon;
    • windowslogon - Windows Logon;
    • ldapproxy - LDAP Proxy;
    • radius - RADIUS.
Статус

Статус приложений в продукте:

  • Активно (Active);
  • Неактивно (Inactive).

Профиль приложения

Для перехода в профиль приложения требуется нажать на наименование данного приложения в реестре режима "Приложения". Профиль приложения содержит следующие возможности:

  • включить/выключить приложение нажатием на / соответственно;
  • включить/выключить режим отладки приложения нажатием на / соответственно;
  • удалить приложение путем нажатия на кнопку  и подтверждения выбранного действия;
  • внести изменения в настройки приложения.

Каждое из приложений обладает собственным набором параметров, которые можно разделать на два типа:

  • общие - параметры, имеющиеся у всех приложений в системе Avanpost FAM и представленные во вкладках "Основное", "MFA", "Техподдержка";
  • специфические - параметры, имеющиеся лишь у конкретных типов приложений, и представленные в соответствующих вкладках:
    • вкладка "Настройки", содержание которой меняется в зависимости от типа приложения;
    • вкладки "Scopes", "Модель доступа" и "Сертификаты" для приложений типа OAuth/OpenID Connect;
    • вкладка "Attributes" для приложений типа SAML;
    • вкладка "VSA" для приложений типа RADIUS.

Специфические параметры приложений рассмотрены в разделах с настройками данных типов приложений

Доступна следующая настройка общих параметров приложений.

Вкладка Описание вкладки
Основное

Вкладка "Основное" предназначена для получения информации об основных атрибутах приложения и их редактировании.

После нажатия во вкладке "Основное" появятся следующие возможности для редактирования атрибутов:

  • Наименование - В текстовом поле допускается изменить наименование приложения;
  • Допускается установить или убрать флажок "Показывать приложение пользователям":
    • при установленном флажке приложение показывается пользователям;
    • при выключенном флажке приложение не показывается пользователям.

Чтобы сохранить внесенные изменения требуется нажать "Сохранить". Для отмены следует нажать "Отмена".

MFA

Вкладка "MFA" предназначена для управления сценариями аутентификации, которые необходимо пройти для получения доступа к приложению. 

Вкладка "MFA" содержит следующие возможности:

  • выбор одного из существующих сценариев аутентификации для выбранного приложения;
  • настройка нового сценарий аутентификации для данного приложения.

Вкладка содержит следующие элементы интерфейса:

  • кнопка "Сменить процесс аутентификации";
  • поле настройки сценария аутентификации.

При нажатии на кнопку "Сменить процесс аутентификации" появляется выпадающий список вариантами аутентификации.  В списке присутствует выбор следующих вариантов аутентификации:

  • выбор варианта, уже настроенного и сохраненного ранее;
  • создании собственного варианта при выборе "Новый процесс аутентификации".

После нажатия кнопки "Сменить процесс аутентификации" у администратора появляются следующие возможности:

  • отвязать текущий процесс аутентификации путем нажатия на кнопку "Отвязать" (появляется, если в выпадающем списке выбран уже привязанный процесс аутентификации);
  • выбрать процесс аутентификации путем нажатия на кнопку "Выбрать" (появляется, если в выпадающем списке выбран еще не привязанный процесс аутентификации из настроенных ранее);
  • отменить изменения путем нажатия на кнопку "Отмена".

Поле "Настройки аутентификации" служит для настройки сценария аутентификации. При этом в нем можно как создать новый сценарий, так и изменить существующий. Начать настройку сценария можно следующими способами:

  • при открытии вкладка "MFA" в профиле приложения, для которой сценарий аутентификации еще не настраивался;
  • при отвязке ранее установленного сценария аутентификации;
  • нажатием на кнопку   напротив заголовка "Настройки аутентификации".

Поле настройки позволяет настраивать шаги сценария аутентификации и состоит из следующих элементов интерфейса:

  • текстовое поле "Наименование" (у администратора есть возможность присвоить новое имя сценарию аутентификации или сохранить под одним из существующих, заменив его);
  • поле "Шаги", содержащее данные об одном или более шагах и факторах аутентификации и позволяющее при помощи переключателей включать/выключать использование того или иного фактора на данном шаге;
  • кнопка "Добавить шаг" для добавления второго и последующих шагов сценария аутентификации;
  • кнопка для удаления шага в сценарии аутентификации (доступна для второго и последующих шагов);
  • кнопка "Сохранить" для сохранения выбранного сценария (сохранение возможно после ввода наименования сценария и установки переключателя в положение "включено" хотя бы для одного фактора в каждом из шагов);
  • кнопка "Отмена" для отмены внесенных изменений.
Техподдержка

Вкладка "Техподдержка" содержит общую информацию о технической поддержке приложения:

  • Общедоступное имя приложения - Наименования приложения, отображаемое пользователям;
  • URL политик приложения - URL-адрес, по которому можно ознакомиться с документацией по политикам приложения;
  • URL условий обслуживания приложения - URL-адрес, по которому можно получить информацию об условиях обслуживания приложения;
  • Email службы поддержки - Электронная почта техподдержки;
  • Телефон службы поддержки - Телефон техподдержки.

Режим отладки

Режим отладки предназначен для сбора и анализа данных о работе приложения. Включить/выключить режим отладки приложения можно нажатием в профиле приложения на / соответственно. При включении режима отладки в профиле приложения появится вкладка "Журнал отладки". 

В версии Avanpost FAM Server 1.12 режим отладки доступен только для приложений типа OpenID и SAML. С версии 1.13 режим отладки доступен для всех gRPC-приложений (приложения типа Windows Logon, Linux Logon, Enteprise SSO, LDAP Proxy, Exchane ActiveSync) и RADIUS-приложений.

В профиле приложения представлен журнал отладки данного приложения. Администратор может ознакомиться с данными журнала отладки по всем приложениям. Для этого необходимо перейти во вкладку "Журнал отладки приложений" режима "Сервис".

Внесение записей в "Журнал отладки" происходит, когда пользователи предпринимают попытки аутентификации в приложении, находящемся в режиме отладки. Для оптимизации работы системы записи появляются в журнале с небольшой задержкой (по умолчанию от 0 до 10 секунд).

Вкладка "Журнал отладки" содержит реестр записей со следующими данными.

Название параметраЗначение параметра
Дата и времяДата и время создания записи.
ПриложениеНазвание приложения, к которому относится запись и графическое обозначение типа приложения.
СообщениеИнформационные сообщения о завершении того или иного события по мере прохождения сценария аутентификации.
Данные

Атрибуты и значения, присваиваемые им при прохождении сценария аутентификации. Набор данных для каждого события отличается в зависимости от типа приложения и события.

Если поле какого-либо параметра слишком длинное, чтобы вместиться строку, вместо данных появляется кнопка  . При нажатии на кнопку данные из поля будут скопированы в буфер обмена.

Если информация, содержащаяся в параметре конфиденциальная (например, пароль), значение скрывается от администратора и не может быть скопировано.

Чтобы обновить данные журнала, следует нажатьЧтобы очистить удалить данные из журнала отладки следует нажать "Очистить журнал". При очистке журнала в профиле приложения удаляются данные по этому приложению. При очистке общего журнала отладки приложений удаляются данные по отладке всех приложений. 

Различным типам приложения свойственны различные сообщения с разными наборами данных, представленные в таблице.

Тип приложенияСообщениеДанные
OpenID

Authorization endpoint has been called - Запрошен endpoint авторизации. 

Endpoint авторизации (Authorization endpoint) используется для аутентификации и авторизации и возвращает клиенту разрешение на авторизацию при аутентификации посредством Authorization Code Flow (обмен кода авторизации на Access token).


В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:

  • id_token_hint - параметр используется, чтобы убедиться, что личность пользователя совпадает с теми данными, которые находятся в токене идентификации, представленном id_token_hint;
  • authorization - код авторизации (значение скрыто из-за политики конфиденциальности);
  • scope - области действия (scopes) приложения, определяющие доступ приложения к данным пользователя ;
  • response_type - параметр, сообщающий серверу авторизации, какой грант выполнить;
  • client_id - идентификатор приложения, запрашивающего авторизацию.
  • redirect_uri - URL-адрес перенаправления после успешной аутентификации;
  • state - параметр, используемый в целях безопасности: если этот параметр установлен в запросе, он возвращается приложению как часть redirect_uri;
  • responce_mode - необязательный параметр, формирующийся в результате запроса авторизации;
  • nonce - значение, используемое для привязки клиентского сеанса к ID Token для предотвращения атак повторного воспроизведения;
  • display - необязательный параметр, указывающий как сервер авторизации отображает конечному пользователю страницы интерфейса аутентификации и согласия на доступ к данным пользователя;
  • prompt - необязательный параметр, который определяет, запрашивает ли сервер авторизации конечного пользователя повторную аутентификацию и согласие на доступ к данным пользователя;
  • max_age - параметр, показывающий максимально допустимое время в секундах, прошедшее с момента последней аутентификации конечного пользователя при помощи OpenID-провайдера;
  • ui_locales - необязательный параметр, указывающий предпочтительные языки пользовательского интерфейса и представленный в виде разделенного пробелами списка значений языковых тегов;
  • login_hint - параметр, являющийся подсказкой для центра идентификации, может использоваться в качестве логина, если пользователь зарегистрирован под таким логином в DSS;
  • acr_values - параметр, ссылающийся на класс контекста аутентификации, чтобы определить набор требований к уровню доверия, которые защищенный ресурс требует от события аутентификации, связанного с Access token и ID token;
  • grant_type - параметр, указывающий какой тип grant type использовался в процессе аутентификации;
  • code - код, используемый при запросе endpoint токена; 
  • username - логин пользователя;
  • password - пароль (значение скрыто из-за политики конфиденциальности);
  • access_token - значение Access token (токен доступа); 
  • refresh_token - значение Refresh token;
  • client_secret - секрет клиента (значение скрыто из-за политики конфиденциальности);
  • iss - идентификатор отправителя ответа (URL-адрес);
  • target_link_uri - URL-адрес, на который клиентское приложение OAuth 2.0 Relying Party (RP), запрашивает перенаправление после аутентификации;
  • request - необязательный параметр, позволяет передавать запросы OIDC одним автономным параметром, дополнительно подписывая и/или шифруя их;
  • claims - необходимые утверждения (claims), запрашиваемые областями действия (scopes);
  • registration - необязательный параметр, используется клиентом для предоставления информации о себе Self-Issued OpenID-провайдеру, который обычно предоставляется OpenID-провайдеру при динамической регистрации (OpenID Connect Dynamic Client Registration).
  • code_challenge - вычисляется путем применения code_challenge_method (логики вычислений) к code_verifier.
  • code_challenge_method - метод (алгоритм) вычисления;
  • code_verifier - случайная строка, которая создается пользователем при начале процесса авторизации;
  • error - наименование ошибки аутентификации;
  • error_description - описание ошибки аутентификации;
  • error_hint - подсказка о причине ошибки аутентификации;
  • jwt_claims - утверждения (claims), которыми должен обладать JSON Web Token;
  • result - результат произошедшего события аутентификации.

Token endpoint has been called - Запрошен endpoint токена

Endpoint токена (Token endpoint) используется для запроса токенов посредством отправки запроса Authorization Grant к endpoint'у токена


UserInfo endpoint has been called - Запрошен endpoint пользовательской информации.

Endpoint пользовательской информации (UserInfo endpoint) представляет собой защищенный ресурс OAuth 2.0, возвращающий утверждения (claims) об аутентифицированном конечном пользователе.


Endsession endpoint has been called - Запрошен endpoint завершения сессии

Endpoint завершения сессии (Endsession endpoint) используется для централизованного завершения сеансов приложений (Single Logout).


SAML

Received AuthN request - Осуществление запроса Received AuthN request (логирование запроса происходит после завершения процесса аутентификации)

Запрос AuthnRequest направляется  от SP (Service Provider) к IdP (Identity provider) для прохождения пользователем аутентификации с использованием механизма SSO. 


В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:

  • XML - поле, при нажатии на которое запрос/ответ SAML будет скопирован в буфер обмена;
  • ID - сгенерированный идентификатор;
  • AssertionConsumerServiceURL - необязательный параметр, представляющий собой URL-адрес SP, на который IdP будет направлять утверждение (Assertion), т.е. XML Security Token;
  • Issuer - параметр, идентифицирующий приложение клиента для IdP;
  • Destination - адрес для отправки ответа SAML, определенный в утверждении (Assertion);
  • IssueInstant - строка DateTime со значением в формате всемирного времени (SP может пользоваться более строгими правилами проверку достоверности Assertion, требуя, чтобы значение атрибута IssueInstant не выходило за пределы заданного временного интервала с момента получения Assertion от SP);
  • ProtocolBinding - параметр, указывающий методы запроса, поддерживаемые для сообщений SAML (HTTP Redirect, HTTP POST, HTTP Artifact и SOAP);
  • Version - версия SAML;
  • AssertionSubject - пользователь, проходящий аутентификацию посредством отправки Assertion;
  • AssertionSubjectFormat - формат передачи формата идентификатора имени;
  • InResponseTo - идентификатор запроса SAML, на который отправлен данный ответ;
  • SAMLP - формат используемого протокола;
  • SAML - формат передающегося утверждения (Assertion); 
  • Status - параметр, указывающий был ли запрос от SP к IdP успешным;
  • error - наименование ошибки аутентификации;
  • error_description - описание ошибки аутентификации;
  • error_hint - подсказка о причине ошибки аутентификации;
  • result - результат произошедшего события аутентификации.

AuthN response - Полученный ответ AuthN response

Ответ AuthN response направляется от IdP (Identity provider) к SP (Service Provider) при успешном прохождении пользователем процесса аутентификации и содержит NameID и атрибутами пользователя.


Received Logout request - Осуществление запроса Received Logout request

Logout request - запрос на одновременное завершение несколько сеансов работы в приложениях посредством выполнения единого выхода из системы (SLO).


Logout response - Полученный ответ Logout response

Logout response - ответ на Запрос Logout request на осуществление единого выхода, который может отправить как Service Provider, так Idp.


RADIUS

Received RADIUS request - RADIUS-пакет отправлен/получен.

Описание каждого RADIUS-пакета состоит из описания атрибутов (Attribute) и их значений (Value Pair) для данного типа пакета. Атрибуты могут быть как стандартными, так и специфичными атрибутами вендоров VSA (Vendor-Specific Attribute).


В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих параметров:

  • nas_identifier - RADIUS-атрибут, используемый для идентификации клиента;
  • nas_ip_address - IP-адрес, используемый в качестве идентификатора клиента;
  • remote_address - IP-адрес удаленного RADIUS-сервера;
  • username - логин пользователя;
  • passcode - пароль (значение скрыто из-за политики конфиденциальности);
  • response.code - тип пакета, отправляемый RADIUS-серверу или получаемый от RADIUS-сервера;
  • response.attributes - атрибуты, направляемые в ответе от RADIUS-сервера;
  • attributes - атрибуты, направляемые в пакете RADIUS-серверу;
  • error - наименование ошибки аутентификации;
  • error_description - описание ошибки аутентификации;
  • error_hint - подсказка о причине ошибки аутентификации;
  • result - результат произошедшего события аутентификации.
gRPC (Windows Logon, Linux Logon, Enteprise SSO, LDAP Proxy, Exchane ActiveSync)Received ‘Authenticate’ request - Получен запрос на аутентификацию.

Для gRPC-приложений регистрируется все параметры, которые поступают на сервер и уходят с него. В зависимости от типа события в режиме отладки можно получить информацию о каких-либо из следующих наиболее часто встречаемых параметров:

  • factors - факторы аутентификации, использовавшиеся в запросе;factorsDisplayNames - ;
  • metadata - тип данных, передаваемых в запросе/ответе
  • sessionID - уникальный идентификатор сессии;
  • state - системный атрибут, позволяющий клиенту отслеживать, что ответ приходит именно на тот запрос, который был послан;
  • status - параметр, сообщающий о результате аутентификации;
  • userID - уникальный идентификатор пользователя;
  • applicationID - наименование приложения, в котором проходила аутентификация;
  • passcode - пароль (значение скрыто из-за политики конфиденциальности);
  • username - логин;
  • error - наименование ошибки аутентификации;
  • error_description - описание ошибки аутентификации;
  • error_hint - подсказка о причине ошибки аутентификации;
  • result - результат произошедшего события аутентификации.
Sent ‘Authenticate’ request - Отравлен запрос на аутентификацию.
Received ‘Authenticate’ response - Получен ответ на запрос аутентификации.
Sent ‘Authenticate’ response - Отправлен ответ на запрос аутентификации.

В Журнале отладки предусмотрена возможность фильтрации для поиска нужной информации. Чтобы открыть настройку фильтров следует нажать, чтобы закрыть - .  Фильтрация предоставляет возможности поиска событий по следующим параметрам.

Название фильтраЗначение фильтра
Приложение

Название искомого приложения из выпадающего списка. При выборе опции "Все приложения" предоставляются данные по всем приложениям.

Возможность фильтрации по наименованиям приложений доступна для общего журнала отладки ("Сервис" - "Журнал отладки приложений"). В журнале отладки, доступном в профиле конкретного приложения, собирается информация только по данному приложению, и фильтр по приложениям недоступен.

Сообщение содержитТекст, который содержится в сообщении искомых событий.
Начало событияНижняя граница временного диапазона, в котором произошли искомые события.
Окончание события Верхняя граница временного диапазона, в котором произошли искомые события.
Поля 

Наименования и значения атрибутов искомых событий. Фильтр содержит следующие элементы:

  • Выбрать атрибут - Следует выбрать атрибут из выпадающего списка;
  • Значение - Текстовое поля для введения значения атрибута;
  • Кнопка - Следует нажать, чтобы добавить атрибут с заданным значением к условиям поиска;
  • Реестр с атрибутами, добавленными в условия поиска (появляется при добавлении хотя бы одного атрибута к условиям поиска), который содержит:
    • Атрибут - Название добавленного атрибута;
    • Значение - Значение добавленного атрибута;
    • Кнопка - Следует нажать для удаления атрибута из условий поиска.

Для запуска поиска следует нажать "Найти". Для очистки фильтров следует нажать "Сбросить". 



Обсуждение