Avanpost FAM/MFA+ : 5.3.4. Управление Reverse Proxy-приложениями

Avanpost FAM реализует возможность подключения приложений посредством механизма Reverse Proxy, предназначенного для случаев подключения к системе единой аутентификации унаследованного веб-приложения без поддержки стандартных IdP-протоколов. Более подробные данные по настройке сетевого интерфейса Reverse Proxy можно найти в разделе Настройка Reverse Proxy

Добавление Reverse Proxy-приложения

Первичная настройка Reverse Proxy-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.

Шаг 1. Основные настройки

На данном шаге продукт предлагает ввести следующие параметры.

Название параметра

Описание параметра

НаименованиеНазвание приложения
Тип

Типы механизма интеграции приложения:

  • OAuth/OpenID Connect;
  • SAML;
  • RADIUS;
  • Reverse Proxy;
  • Agent;
  • Windows Logon;
  • Linux Logon;
  • LDAP Proxy;
  • Exchange ActiveSync.

Для настройки Reverse Proxy-приложения выбрать опцию "Reverse Proxy".

Дополнительные опции

Чекбокс "Показывать приложение пользователям":

  • при установленном флажке приложение будет показываться пользователям;
  • при выключенном флажке приложение не будет показываться пользователям.

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена". 

Шаг 2. Настройки интеграции

На данном шаге продукт предлагает ввести следующие параметры.

Название параметра

Описание параметра

Базовый URLURL-адрес, на который пользователь будет перенаправлен при переходе из личного кабинета.
URL приложенияЦелевой адрес (хост или IP-адрес), на котором размещено и доступно со стороны Сервера Avanpost FAM целевое веб-приложение.
Метод аутентификации

Выбрать метод аутентификации из выпадающего списка:

  • Без аутентификации - Аутентификация не используется;
  • Базовый - Базовая схема HTTP-аутентификации посредством логина и пароля, закодированных в формате base64;
  • Пользовательский скрипт - Используется динамический скрипт MFA;
  • Форма - Для доступа к приложению заполняется форма на стороннем сервисе.
Скрипт

В выпадающем списке следует выбрать скрипт, которые будет использоваться при аутентификации.

Администратору доступны скрипты типа ReverseProxy, настраиваемые во вкладке "Редактор скриптов" режима "Сервис". Более подробно - в разделе Разработка скрипта MFA.

Параметр доступен при выборе метода аутентификации "Пользовательский скрипт".

Logout URL

URL-адрес, на который пользователь будет перенаправлен при выходе из приложения.

Параметр доступен при выборе метода аутентификации "Пользовательский скрипт" и "Форма".

Login URL

URL-адрес формы на стороннем сервисе, с которой взаимодействует Avanpost FAM, заполняя данные для входа в приложение.

Параметр доступен при выборе метода аутентификации "Форма".

Поле для имени пользователя

Идентификатор (атрибут name) поля, куда вводится логин пользователя. Поле находится в форме на стороннем сервисе, с которым взаимодействует Avanpost FAM.

Параметр доступен при выборе метода аутентификации "Форма".

Поле для пароля

Идентификатор (атрибут name) поля, куда вводится пароль пользователя. Поле находится в форме на стороннем сервисе, с которым взаимодействует Avanpost FAM.

Параметр доступен при выборе метода аутентификации "Форма".

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 3. Настройки аутентификации

На данном шаге требуется настроить сценарий аутентификации приложения.

Avanpost FAM предлагает следующие вариант:

  • создать новый сценарий аутентификации для данного приложения;
  • выбрать существующий сценарий аутентификации.

Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.

Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.

Путем включения/выключения переключателей есть возможность подключить/отключить для OIDC-приложения следующие факторы:

  • Факторы:
    • Идентификация пользователя;
    • Внешний провайдер (доступно при установке переключателя "Идентификация пользователя");
    • Script;
    • Вход по QR-коду;
    • Password;
    • TOTP;
    • Avanpost Authenticator;
    • OTP via Email;
    • SMS;
    • Telegram;
    • Сертификат;
    • WebAuthn;
  • Окружение:
    • Kerberos.

Для добавления второго и последующего шагов требуется нажать "Добавить шаг".

В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.

После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"

Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 4. Завершение

На данном шаге доступен чекбокс "Сделать приложение активным":

  • при установленном флажке приложение включается сразу после создания;
  • при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.

Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Настройка Reverse Proxy-приложения

Настройка созданного Reverse Proxy-приложения доступна в его профиле (графическое обозначение image-2024-7-3_15-47-17.png в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами Reverse Proxy-приложений во вкладке "Настройки".

Вкладка "Настройки" позволяет осуществлять редактировать настраиваемые атрибуты Reverse Proxy-приложений и содержит следующие разделы:

  • Настройки интеграции; 
  • Учётные записи приложения
  • Настройки безопасности;
  • Настройки регистрации.

Для внесения изменений в параметры того или иного раздела необходимо нажать  в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".

Название параметраОписание параметра
Настройки интеграции
Base URLURL-адрес, на который пользователь будет перенаправлен при переходе из личного кабинета.
URL приложенияЦелевой адрес (хост или IP-адрес), на котором размещено и доступно со стороны Сервера Avanpost FAM целевое веб-приложение.
Метод аутентификации

Выбрать метод аутентификации из выпадающего списка:

  • Без аутентификации - Аутентификация не используется;
  • Базовый - Базовая схема HTTP-аутентификации посредством логина и пароля, закодированных в формате base64;
  • Пользовательский скрипт - Используется динамический скрипт MFA;
  • Форма - Для доступа к приложению заполняется форма на стороннем сервисе.
Скрипт

В выпадающем списке следует выбрать скрипт, которые будет использоваться при аутентификации.

Администратору доступны скрипты типа ReverseProxy, настраиваемые во вкладке "Редактор скриптов" режима "Сервис". Более подробно - в разделе Разработка скрипта MFA.

Параметр доступен при выборе метода аутентификации "Пользовательский скрипт".

Logout URL

URL-адрес, на который пользователь будет перенаправлен при выходе из приложения.

Параметр доступен при выборе метода аутентификации "Пользовательский скрипт" и "Форма".

Login URL

URL-адрес формы на стороннем сервисе, с которой взаимодействует Avanpost FAM, заполняя данные для входа в приложение.

Параметр доступен при выборе метода аутентификации "Форма".

Поле для имени пользователя

Идентификатор (атрибут name) поля, куда вводится логин пользователя. Поле находится в форме на стороннем сервисе, с которым взаимодействует Avanpost FAM.

Параметр доступен при выборе метода аутентификации "Форма".

Поле для пароля

Идентификатор (атрибут name) поля, куда вводится пароль пользователя. Поле находится в форме на стороннем сервисе, с которым взаимодействует Avanpost FAM.

Параметр доступен при выборе метода аутентификации "Форма".

Учётные записи приложения
Управление

Чекбокс "Разрешить пользователям устанавливать учётные данные":

  • При установленном флажке пользователя могут редактировать свои учетные данные через личный кабинет;
  • При выключенном флажке пользователи не могут редактировать свои учетные данные.
Ограничить время действия пароля

Переключатель "Ограничить время действия пароля":

  • при включенном переключателеimage-2024-7-3_13-6-2.png время пароля ограничивается и настраивается в графе "Время действия пароля в днях";
  • при выключенном переключателеimage-2024-7-3_13-6-23.png время действия пароля не ограничивается. 
Время действия пароля в дняхТекстовое поля для ввода времени действия пароля. Доступно при включенном переключателе "Ограничить время действия пароля".
Минимальная длина пароляМинимальное количество символов в пароле.
Минимальное количество изменённых символов пароляМинимальное количество символов, которое требуется изменить при установке нового пароля.
Пароль должен

Набор чекбоксов c требованиями к паролю:

  • Должен содержать цифры;
  • Содержать латинскую букву в нижнем регистре;
  • Содержать латинскую букву в верхнем регистре;
  • Содержать букву кириллицы в нижнем регистре;
  • Содержать букву кириллицы в верхнем регистре;
  • Содержать специальный символ.

При установленном флажке в соответствующем чекбоксе данное требование предъявляется при создании/изменении пароля.

Скрипт смены пароля

При соблюдении условий, прописанных в скрипте, установленный пароль сбрасывается. После сброса необходимо задать новый пароль для пользователя.

Выбрать из выпадающего списка (по умолчанию скрипт не выбран).  Администратору доступны скрипты типа ChangeRPCredentials, настраиваемые во вкладке "Редактор скриптов" режима "Сервис".

Настройки безопасности
Настройка сессии

Чекбокс "Ограничивать количество активных сессий":

  • при выключенном флажке количество сессий не ограничивается;
  • при включенном флажке открываются дополнительные настройки:
    • Максимальное количество сессий для пользователя - Строка ввода максимального количества сессий, доступных одному пользователю.
    • Чекбокс "Разрешить пользователю закрывать активные сессии":
      • при включенном флажке пользователь может самостоятельно завершать активные сессии (при превышении максимального числа сессий у пользователя автоматически возникает окно с возможностью завершения активных сессий);
      • при выключенном флажке пользователю запрещено самостоятельно завершать активные сессии.
Повысить уровень безопасности и отключить SSO для приложения

Чекбокс "Отключить":

  • при выключенном флажке технология единого входа SSO используется для данного приложения;
  • при включенном флажке SSO недоступно для данного приложения.
Настройки регистрации
Статус

Управление функцией самостоятельной регистрации пользователя применительно к приложению. Информация о всех возможностях управления саморегистрацией доступна в разделе Самостоятельная регистрация пользователей.

Выбрать из выпадающего списка:

  • По умолчанию - К пользователю применяется общая политика регистрации, настроенная для Avanpost FAM;
  • Включена - Пользователю доступна самостоятельная регистрация при входе в приложение;
  • Выключена - Пользователю недоступна самостоятельная регистрация при попытке входа в приложение, добавление пользователей осуществляется иными способами.
URL перенаправления после регистрации

URL-адрес, на который пользователь будет перенаправлен после регистрации. Текстовое поле доступно для заполнения при статусе "Включена".


Обсуждение