Управление устройствами – это функциональность в Avanpost FAM, предназначенная для адаптации динамического сценария аутентификации в зависимости от уровня доверия к устройству пользователя.
При регистрации устройство привязывается к пользователю(ям), аутентифицирующемуся с данного устройства. Каждое зарегистрированное устройство является уникальным объектом в универсальном каталоге Avanpost FAM и отображается в административной консоли на странице «Реестр устройств». Регистрация устройства происходит, когда пользователь создает учетную запись в продукте или аутентифицируется, используя данные своей УЗ. Администратор не может добавлять устройства из административной консоли.
Функциональность управления устройствами решает следующие задачи:
- Идентифицирует устройства пользователей вне зависимости от способа подключения и интеграции;
- Фиксирует факты использования устройств при аутентификации и подтверждении аутентификации;
- Фиксирует дополнительные признаки устройств, устанавливаемые для устройств продуктом, администратором и самим пользователем;
Передает информацию о текущем устройстве, с которого аутентифицирован пользователь, в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
Запрещает аутентификацию со скомпрометированных устройств;
Разбирает инциденты по устройствам;
Отображать администратору сводную статистику по устройствам, используемым пользователями.
Идентификация выполняться для следующих типов устройств:
мобильных и десктопных устройств с браузером при использовании OpenID Connect, SAML и Reverse Proxy;
мобильных устройств с установленным приложением Avanpost Authenticator;
десктопных/серверных устройств с установленным Avanpost FAM Windows Logon;
десктопных/серверных устройств с установленным Avanpost FAM Linux Logon;
десктопных/серверных устройств с установленным Avanpost FAM Agent.
Avanpost FAM собирает следующие данные об устройствах:
- тип устройства;
тип и версия ОС устройства;
идентификатор устройства;
fingerprint устройства;
cетевой адрес устройства.
Работа с устройствами пользователей доступна во вкладке «Реестр устройств» режима «Сервисы». Страница содержит:
- административную консоль с возможностью перехода на вкладку профиля устройства.
- элементы управления поиском, включающую фильтры и кнопку «Обновить» .
Поиск устройств
Поиск устройств реализован с помощью административной консоли и механизма фильтрации по заданным параметрам.
Административная консоль содержит следующие данные.
Название параметра | Значение параметра |
---|---|
Описание | Данные о браузере и операционной системе. |
Тип | Тип устройства. В Avanpost FAM предусмотрены следующие типы устройств:
|
Статус | Статус устройства в Avanpost FAM. От статуса зависят права и возможности, а также сценарии аутентификации пользователя в продукте. В Avanpost FAM предусмотрены следующие статусы устройств:
|
Последнее изменение статуса | Дата и время последнего изменения статуса устройства. |
Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации. Управление фильтрами осуществляется выбором параметров из выпадающих списков, которые разворачиваются нажатием на кнопку управления фильтрами.
Название фильтра | Значение фильтра |
---|---|
Пользователи | Ввести логин пользователя. |
Статус | Выбрать из списка:
|
Тип устройства | Выбрать из списка:
|
Тип агента | Выбрать из списка:
|
Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы сбросить выбранные параметры фильтров, нажать «Сбросить фильтр».
Чтобы обновить данные, необходимо нажать на кнопку «Обновить».
Профили устройств
Avanpost FAM позволяет централизованно получать данные об идентифицированных устройствах. Для получения подробной информации об устройстве следует перейти в профиль данного устройства. Для этого необходимо выбрать интересующее устройство из графы «Описание» на административной консоли. Страница выбранного устройства содержит вкладки «Данные и профиль устройства» и «Пользователи». Вкладка «Данные и профиль устройства» содержит следующие параметры.
Название параметра | Значение параметра |
---|---|
| Идентификатор устройства |
| Тип агента: В Avanpost FAM предусмотрены следующие типы агентов:
|
| Тип устройства. В Avanpost FAM предусмотрены следующие типы устройств:
|
| Статус устройства. Администратор при помощи скриптов устанавливает зависимость между сценарием аутентификации и статусом устройства. Предусмотрены следующие статусы для устройств в Avanpost FAM:
|
| Дата и время последнего изменения статуса. |
| Дата и время последней аутентификации. |
| IP-адрес устройства, использовавшийся при последнем входе в продукт. |
| Тип браузера устройства. |
| Fingerprint устройства. |
| User Agent устройства. Идентификационная строка клиентского приложения, содержащая информацию об устройстве, его операционной системе и браузере. |
| Хэш User Agent устройства. |
| Версия браузера устройства. |
| Тип операционной системы устройства. |
| Версия операционной системы устройства. |
Вкладка «Пользователи» содержит следующие параметры.
Название параметра | Значение параметра |
---|---|
Пользователь | Логин пользователя. |
Время последнего использования | Дата и время последней аутентификации. |
IP-адрес последнего входа | IP-адрес устройства, использовавшийся при последнем входе в Avanpost FAM. |
Запомнено | Бинарный показатель, параметр которого можно учитывать в скрипте при настройке сценариев аутентификации. При установке флажка устройство считается запомненным в продукте. |
Управление сценариями аутентификации устройств
Функциональность «Управление устройствами» позволяет администратору влиять на сценарии аутентификации устройств следующими способами:
- назначением статусов устройств пользователей.
- добавлением/исключением устройств пользователей из списка запомненных.
- удаление устройств.
Присваивание статусов позволяет разделить устройства на три категории: активные, приостановленные, деактивированные. При переходе в профиль устройства появляется возможность «Изменить статус». При нажатии кнопки Avanpost FAM предлагает администратору выбрать из двух статусов, отличных от текущего, либо отменить изменение статуса.
При переходе на вкладку «Пользователи» в профиле устройства у администратора появляется возможность поставить/убрать флажок «Запомнено».
В профиле устройства присутствует возможность «Удалить», позволяющая удалить устройство из общего списка.
Данные атрибуты устройства (статус, запоминание в FAM, наличие в FAM) администратор может использовать для разработки специфических или расширенных сценариев аутентификации. Для этого при написании скрипта MFA администратор устанавливает зависимость между применяемыми факторами аутентификации и атрибутами устройства. Более подробная информация о механизме работы скриптов для динамического вычисления шагов сценария дана в разделе Разработка скрипта MFA.