Avanpost FAM реализует возможность управления Enterprise SSO-приложениями, подключаемыми посредством Avanpost FAM Agent. Подробную информацию об установке Avanpost FAM Agent можно найти в статьях Установка FAM Agent в ОС Windows локально и Установка FAM Agent в ОС Windows через GPO (групповые политики).
Добавление Enterprise SSO-приложения
Первичная настройка Enterprise SSO-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.
Шаг 1. Основные настройки
На данном шаге продукт предлагает ввести следующие параметры.
Наименование | Название приложения |
Тип | Типы механизма интеграции приложения:
Для настройки Enterprise SSO-приложения выбрать опцию " |
Дополнительные опции | Чекбокс "Показывать приложение пользователям":
|
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена".
Шаг 2. Настройки интеграции
На данном шаге необходимо ввести шаблон Enterprise SSO-приложения. Шаблон приложения представлен в виде JSON-блока, содержащего параметры, определяющие признаки перехвата окон десктопного приложения, и последовательный набор команд для заполнения и сабмита формы аутентификации десктопного приложения. Рекомендации по разработке шаблона даны в разделе Разработка шаблона Enterprise SSO.
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 3. Настройки аутентификации
На данном шаге требуется настроить сценарий аутентификации приложения.
Avanpost FAM предлагает следующие вариант:
- создать новый сценарий аутентификации для данного приложения;
- выбрать существующий сценарий аутентификации.
Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.
Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.
Путем включения/выключения переключателей есть возможность подключить/отключить для Enterprise SSO-приложения следующие факторы:
- Факторы:
Идентификация пользователя;
Внешний провайдер
;Script;
Вход по QR-коду;
Password;
TOTP;
Avanpost Authenticator;
OTP via Email;
SMS;
Telegram;
Сертификат;
- Окружение:
Kerberos.
Для добавления второго и последующего шагов требуется нажать "Добавить шаг".
В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.
После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"
Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 4. Завершение
На данном шаге доступен чекбокс "Сделать приложение активным":
- при установленном флажке приложение включается сразу после создания;
- при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.
Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Настройка Enterprise SSO-приложения
Настройка созданного Enterprise SSO-приложения доступна в его профиле (графическое обозначение в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами Enterprise SSO-приложений во вкладке "Настройки".
Вкладка "Настройки" позволяет осуществлять редактировать настраиваемые атрибуты Reverse Proxy-приложений и содержит следующие разделы:
- Основные атрибуты;
- Учётные записи приложения
- Настройки безопасности
Для внесения изменений в параметры того или иного раздела необходимо нажать в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".
Название параметра | Описание параметра |
---|---|
Основные атрибуты | |
Шаблон | Поле представления шаблона Enterprise SSO, представленного в виде JSON-блока. При смене шаблона следует учитывать правила разработки шаблона Enterprise SSO. |
Учётные записи приложения | |
Управление | Чекбокс "Разрешить пользователям устанавливать учётные данные":
|
Ограничить время действия пароля | Переключатель "Ограничить время действия пароля":
|
Время действия пароля в днях | Текстовое поля для ввода времени действия пароля. Доступно при включенном переключателе "Ограничить время действия пароля". |
Минимальная длина пароля | Минимальное количество символов в пароле. |
Минимальное количество изменённых символов пароля | Минимальное количество символов, которое требуется изменить при установке нового пароля. |
Пароль должен | Набор чекбоксов c требованиями к паролю:
При установленном флажке в соответствующем чекбоксе данное требование предъявляется при создании/изменении пароля. |
Скрипт смены пароля | При соблюдении условий, прописанных в скрипте, установленный пароль сбрасывается. После сброса необходимо задать новый пароль для пользователя. Выбрать из выпадающего списка (по умолчанию скрипт не выбран). Администратору доступны скрипты типа |
Настройки безопасности | |
Настройка сессии | Чекбокс "Ограничивать количество активных сессий":
|