Avanpost FAM реализует возможность подключения приложений посредством механизма Reverse Proxy, предназначенного для случаев подключения к системе единой аутентификации унаследованного веб-приложения без поддержки стандартных IdP-протоколов. Более подробные данные по настройке сетевого интерфейса Reverse Proxy можно найти в разделе Настройка Reverse Proxy.
Добавление Reverse Proxy-приложения
Первичная настройка Reverse Proxy-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.
Шаг 1. Основные настройки
На данном шаге продукт предлагает ввести следующие параметры.
Название параметра | Описание параметра |
---|---|
Наименование | Название приложения |
Тип | Типы механизма интеграции приложения:
Для настройки Reverse Proxy-приложения выбрать опцию " |
Дополнительные опции | Чекбокс "Показывать приложение пользователям":
|
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена".
Шаг 2. Настройки интеграции
На данном шаге продукт предлагает ввести следующие параметры.
Название параметра | Описание параметра |
---|---|
Базовый URL | URL-адрес, на который пользователь будет перенаправлен при переходе из личного кабинета. |
URL приложения | Целевой адрес (хост или IP-адрес), на котором размещено и доступно со стороны Сервера Avanpost FAM целевое веб-приложение. |
Метод аутентификации | Выбрать метод аутентификации из выпадающего списка:
|
Скрипт | В выпадающем списке следует выбрать скрипт, которые будет использоваться при аутентификации. Администратору доступны скрипты типа ReverseProxy, настраиваемые во вкладке "Редактор скриптов" режима "Сервис". Более подробно - в разделе Разработка скрипта MFA. Параметр доступен при выборе метода аутентификации "Пользовательский скрипт". |
Logout URL | URL-адрес, на который пользователь будет перенаправлен при выходе из приложения. Параметр доступен при выборе метода аутентификации "Пользовательский скрипт" и "Форма". |
Login URL | URL-адрес формы на стороннем сервисе, с которой взаимодействует Avanpost FAM, заполняя данные для входа в приложение. Параметр доступен при выборе метода аутентификации "Форма". |
Поле для имени пользователя | Идентификатор (атрибут Параметр доступен при выборе метода аутентификации "Форма". |
Поле для пароля | Идентификатор (атрибут Параметр доступен при выборе метода аутентификации "Форма". |
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 3. Настройки аутентификации
На данном шаге требуется настроить сценарий аутентификации приложения.
Avanpost FAM предлагает следующие вариант:
- создать новый сценарий аутентификации для данного приложения;
- выбрать существующий сценарий аутентификации.
Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.
Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.
Путем включения/выключения переключателей есть возможность подключить/отключить для OIDC-приложения следующие факторы:
- Факторы:
Идентификация пользователя;
Внешний провайдер
(доступно при установке переключателя "Идентификация пользователя"
);Script;
Вход по QR-коду;
Password;
TOTP;
Avanpost Authenticator;
OTP via Email;
SMS;
Telegram;
Сертификат;
WebAuthn;
- Окружение:
Kerberos.
Для добавления второго и последующего шагов требуется нажать "Добавить шаг".
В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.
После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"
Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 4. Завершение
На данном шаге доступен чекбокс "Сделать приложение активным":
- при установленном флажке приложение включается сразу после создания;
- при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.
Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Настройка Reverse Proxy-приложения
Настройка созданного Reverse Proxy-приложения доступна в его профиле (графическое обозначение в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами Reverse Proxy-приложений во вкладке "Настройки".
Вкладка "Настройки" позволяет осуществлять редактировать настраиваемые атрибуты Reverse Proxy-приложений и содержит следующие разделы:
- Настройки интеграции;
- Учётные записи приложения;
- Настройки безопасности;
- Настройки регистрации.
Для внесения изменений в параметры того или иного раздела необходимо нажать в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".
Название параметра | Описание параметра |
---|---|
Настройки интеграции | |
Base URL | URL-адрес, на который пользователь будет перенаправлен при переходе из личного кабинета. |
URL приложения | Целевой адрес (хост или IP-адрес), на котором размещено и доступно со стороны Сервера Avanpost FAM целевое веб-приложение. |
Метод аутентификации | Выбрать метод аутентификации из выпадающего списка:
|
Скрипт | В выпадающем списке следует выбрать скрипт, которые будет использоваться при аутентификации. Администратору доступны скрипты типа ReverseProxy, настраиваемые во вкладке "Редактор скриптов" режима "Сервис". Более подробно - в разделе Разработка скрипта MFA. Параметр доступен при выборе метода аутентификации "Пользовательский скрипт". |
Logout URL | URL-адрес, на который пользователь будет перенаправлен при выходе из приложения. Параметр доступен при выборе метода аутентификации "Пользовательский скрипт" и "Форма". |
Login URL | URL-адрес формы на стороннем сервисе, с которой взаимодействует Avanpost FAM, заполняя данные для входа в приложение. Параметр доступен при выборе метода аутентификации "Форма". |
Поле для имени пользователя | Идентификатор (атрибут Параметр доступен при выборе метода аутентификации "Форма". |
Поле для пароля | Идентификатор (атрибут Параметр доступен при выборе метода аутентификации "Форма". |
Учётные записи приложения | |
Управление | Чекбокс "Разрешить пользователям устанавливать учётные данные":
|
Ограничить время действия пароля | Переключатель "Ограничить время действия пароля":
|
Время действия пароля в днях | Текстовое поля для ввода времени действия пароля. Доступно при включенном переключателе "Ограничить время действия пароля". |
Минимальная длина пароля | Минимальное количество символов в пароле. |
Минимальное количество изменённых символов пароля | Минимальное количество символов, которое требуется изменить при установке нового пароля. |
Пароль должен | Набор чекбоксов c требованиями к паролю:
При установленном флажке в соответствующем чекбоксе данное требование предъявляется при создании/изменении пароля. |
Скрипт смены пароля | При соблюдении условий, прописанных в скрипте, установленный пароль сбрасывается. После сброса необходимо задать новый пароль для пользователя. Выбрать из выпадающего списка (по умолчанию скрипт не выбран). Администратору доступны скрипты типа |
Настройки безопасности | |
Настройка сессии | Чекбокс "Ограничивать количество активных сессий":
|
Повысить уровень безопасности и отключить SSO для приложения | Чекбокс "Отключить":
|
Настройки регистрации | |
Статус | Управление функцией самостоятельной регистрации пользователя применительно к приложению. Информация о всех возможностях управления саморегистрацией доступна в разделе Самостоятельная регистрация пользователей. Выбрать из выпадающего списка:
|
URL перенаправления после регистрации | URL-адрес, на который пользователь будет перенаправлен после регистрации. Текстовое поле доступно для заполнения при статусе "Включена". |