Avanpost FAM/MFA+ : 5.10. Управление устройствами

Управление устройствами – это функциональность в Avanpost FAM, предназначенная для адаптации динамического сценария аутентификации в зависимости от уровня доверия к устройству пользователя.

При регистрации устройство привязывается к пользователю(ям), аутентифицирующемуся с данного устройства. Каждое зарегистрированное устройство является уникальным объектом в универсальном каталоге Avanpost FAM и отображается в административной консоли на странице «Реестр устройств». Регистрация устройства происходит, когда пользователь создает учетную запись в продукте или аутентифицируется, используя данные своей УЗ. Администратор не может добавлять устройства из административной консоли.

Функциональность управления устройствами решает следующие задачи:

  1. Идентифицирует устройства пользователей вне зависимости от способа подключения и интеграции;
  2. Фиксирует факты использования устройств при аутентификации и подтверждении аутентификации;
  3. Фиксирует дополнительные признаки устройств, устанавливаемые для устройств продуктом, администратором и самим пользователем;
  4. Передает информацию о текущем устройстве, с которого аутентифицирован пользователь, в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;

  5. Запрещает аутентификацию со скомпрометированных устройств;

  6. Разбирает инциденты по устройствам;

  7. Отображать администратору сводную статистику по устройствам, используемым пользователями.

Идентификация выполняться для следующих типов устройств:

  • мобильных и десктопных устройств с браузером при использовании OpenID Connect, SAML и Reverse Proxy;

  • мобильных устройств с установленным приложением Avanpost Authenticator;

  • десктопных/серверных устройств с установленным Avanpost FAM Windows Logon;

  • десктопных/серверных устройств с установленным Avanpost FAM Linux Logon;

  • десктопных/серверных устройств с установленным Avanpost FAM Agent.

Avanpost FAM собирает следующие данные об устройствах:

  • тип устройства;
  • тип и версия ОС устройства;

  • идентификатор устройства;

  • fingerprint устройства;

  • cетевой адрес устройства.

Работа с устройствами пользователей доступна во вкладке «Реестр устройств» режима «Сервисы». Страница содержит:

  • административную консоль с возможностью перехода на вкладку профиля устройства.
  • элементы управления поиском, включающую фильтры и кнопку «Обновить» .

Поиск устройств

Поиск устройств реализован с помощью административной консоли и механизма фильтрации по заданным параметрам.

Административная консоль содержит следующие данные.

Название параметраЗначение параметра

Описание

Данные о браузере и операционной системе.

Тип

Тип устройства. В Avanpost FAM предусмотрены следующие типы устройств:

  • Mobile - мобильное устройство;
  • Tablet - планшет;
  • Desktop - рабочая станция;
  • Server - сервер;
  • Unknown - неизвестно (когда тип устройства определить невозможно)

Статус

Статус устройства в Avanpost FAM. От статуса зависят права и возможности, а также сценарии аутентификации пользователя в продукте.

В Avanpost FAM предусмотрены следующие статусы устройств:

  • Активно.
  • Приостановлено.
  • Деактивировано.

Последнее изменение статуса

Дата и время последнего изменения статуса устройства.

Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации. Управление фильтрами осуществляется выбором параметров из выпадающих списков, которые разворачиваются нажатием на кнопку управления фильтрами.

Название фильтраЗначение фильтра

Пользователи

Ввести логин пользователя.

Статус

Выбрать из списка:

  • Все статусы;
  • Активно;
  • Приостановлено;
  • Деактивировано.

Тип устройства

Выбрать из списка:

  • Все типы;
  • Мобильное устройство;
  • Планшет;
  • Десктоп;
  • Сервер;
  • Неизвестно.

Тип агента

Выбрать из списка:

  • Браузер;
  • Avanpost FAM Agent;
  • Avanpost FAM Linux Logon;
  • Avanpost FAM Windows Logon;
  • Avanpost Authenticator;
  • Неизвестно.

Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы сбросить выбранные параметры фильтров, нажать «Сбросить фильтр».

Чтобы обновить данные, необходимо нажать на кнопку «Обновить».

Профили устройств

Avanpost FAM позволяет централизованно получать данные об идентифицированных устройствах. Для получения подробной информации об устройстве следует перейти в профиль данного устройства. Для этого необходимо выбрать интересующее устройство из графы «Описание» на административной консоли. Страница выбранного устройства содержит вкладки «Данные и профиль устройства» и «Пользователи». Вкладка «Данные и профиль устройства» содержит следующие параметры.

Название параметраЗначение параметра

Id

Идентификатор устройства

agentType

Тип агента:

В Avanpost FAM предусмотрены следующие типы агентов:

  • browser - Браузер
  • desktopagent - Avanpost FAM Agent
  • nixlogon – Avanpost FAM Linux Logon
  • winlogon – Avanpost FAM Windows Logon
  • mobauthn - Avanpost Authenticator
  • unknown - неизвестно (когда тип агента определить невозможно)

deviceType

Тип устройства.

В Avanpost FAM предусмотрены следующие типы устройств:

  • Mobile - мобильное устройство;
  • Tablet - планшет;
  • Desktop - рабочая станция;
  • Server - сервер;
  • Unknown - неизвестно (когда тип устройства определить невозможно)

status

Статус устройства. Администратор при помощи скриптов устанавливает зависимость между сценарием аутентификации и статусом устройства. Предусмотрены следующие статусы для устройств в Avanpost FAM:

  • Активно
  • Приостановлено
  • Деактивировано

lastStatusChange

Дата и время последнего изменения статуса.

lastUse

Дата и время последней аутентификации.

lastUseIpAddr

IP-адрес устройства, использовавшийся при последнем входе в продукт.

profile.browser

Тип браузера устройства.

profile.browserFingerprint

Fingerprint устройства.

profile.browserUseragent

User Agent устройства. Идентификационная строка клиентского приложения, содержащая информацию об устройстве, его операционной системе и браузере.

profile.browserUseragentSHA1

Хэш User Agent устройства.

profile.browserVersion

Версия браузера устройства.

profile.os

Тип операционной системы устройства.

profile.osVersion

Версия операционной системы устройства.

Вкладка «Пользователи» содержит следующие параметры.

Название параметраЗначение параметра

Пользователь

Логин пользователя.

Время последнего использования

Дата и время последней аутентификации.

IP-адрес последнего входа

IP-адрес устройства, использовавшийся при последнем входе в Avanpost FAM.

Запомнено

Бинарный показатель, параметр которого можно учитывать в скрипте при настройке сценариев аутентификации. При установке флажка устройство считается запомненным в продукте.  

Управление сценариями аутентификации устройств

Функциональность «Управление устройствами» позволяет администратору влиять на сценарии аутентификации устройств следующими способами:

  • назначением статусов устройств пользователей.
  • добавлением/исключением устройств пользователей из списка запомненных.
  • удаление устройств.

Присваивание статусов позволяет разделить устройства на три категории: активные, приостановленные, деактивированные. При переходе в профиль устройства появляется возможность «Изменить статус». При нажатии кнопки Avanpost FAM предлагает администратору выбрать из двух статусов, отличных от текущего, либо отменить изменение статуса. 

При переходе на вкладку «Пользователи» в профиле устройства у администратора появляется возможность поставить/убрать флажок «Запомнено».

В профиле устройства присутствует возможность «Удалить», позволяющая удалить устройство из общего списка. 

Данные атрибуты устройства (статус, запоминание в FAM, наличие в FAM) администратор может использовать для разработки специфических или расширенных сценариев аутентификации. Для этого при написании скрипта MFA администратор устанавливает зависимость между применяемыми факторами аутентификации и атрибутами устройства. Более подробная информация о механизме работы скриптов для динамического вычисления шагов сценария дана в разделе Разработка скрипта MFA


Обсуждение