Avanpost FAM/MFA+ : 5.3.5. Управление Enterprise SSO-приложениями

Avanpost FAM реализует возможность управления Enterprise SSO-приложениями, подключаемыми посредством Avanpost FAM Agent. Подробную информацию об установке Avanpost FAM Agent можно найти в статьях Установка FAM Agent в ОС Windows локально и Установка FAM Agent в ОС Windows через GPO (групповые политики).

Добавление Enterprise SSO-приложения

Первичная настройка Enterprise SSO-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.

Шаг 1. Основные настройки

На данном шаге продукт предлагает ввести следующие параметры.



НаименованиеНазвание приложения
Тип

Типы механизма интеграции приложения:

  • OAuth/OpenID Connect;
  • SAML;
  • RADIUS;
  • Reverse Proxy;
  • Agent;
  • Windows Logon;
  • Linux Logon;
  • LDAP Proxy;
  • Exchange ActiveSync.

Для настройки Enterprise SSO-приложения выбрать опцию "Agent".

Дополнительные опции

Чекбокс "Показывать приложение пользователям":

  • при установленном флажке приложение будет показываться пользователям в личном кабинете вне зависимости от наличия у них доступа к приложению;
  • при выключенном флажке приложение не будет показываться пользователям, не имеющим доступа к приложению.

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена". 

Шаг 2. Настройки интеграции

На данном шаге необходимо ввести шаблон Enterprise SSO-приложения. Шаблон приложения представлен в виде JSON-блока, содержащего параметры, определяющие признаки перехвата окон десктопного приложения, и последовательный набор команд для заполнения и сабмита формы аутентификации десктопного приложения. Рекомендации по разработке шаблона даны в разделе Разработка шаблона Enterprise SSO.

Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 3. Настройки аутентификации

На данном шаге требуется настроить сценарий аутентификации приложения.

Avanpost FAM предлагает следующие вариант:

  • создать новый сценарий аутентификации для данного приложения;
  • выбрать существующий сценарий аутентификации.

Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.

Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.

Путем включения/выключения переключателей есть возможность подключить/отключить для Enterprise SSO-приложения следующие факторы:

  • Факторы:
    • Идентификация пользователя;
    • Внешний провайдер;
    • Script;
    • Вход по QR-коду;
    • Password;
    • TOTP;
    • Avanpost Authenticator;
    • OTP via Email;
    • SMS;
    • Telegram;
    • Сертификат;
  • Окружение:
    • Kerberos.

Для добавления второго и последующего шагов требуется нажать "Добавить шаг".

В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.

После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"

Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Шаг 4. Завершение

На данном шаге доступен чекбокс "Сделать приложение активным":

  • при установленном флажке приложение включается сразу после создания;
  • при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.

Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".

Настройка Enterprise SSO-приложения

Настройка созданного Enterprise SSO-приложения доступна в его профиле (графическое обозначение  в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами Enterprise SSO-приложений во вкладке "Настройки".

Вкладка "Настройки" позволяет осуществлять редактировать настраиваемые атрибуты Reverse Proxy-приложений и содержит следующие разделы:

  • Основные атрибуты; 
  • Учётные записи приложения
  • Настройки безопасности

Для внесения изменений в параметры того или иного раздела необходимо нажать  в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".


Название параметраОписание параметра
Основные атрибуты
ШаблонПоле представления шаблона Enterprise SSO, представленного в виде JSON-блока. При смене шаблона следует учитывать правила разработки шаблона Enterprise SSO.
Учётные записи приложения
Управление

Чекбокс "Разрешить пользователям устанавливать учётные данные":

  • При установленном флажке пользователя могут редактировать свои учетные данные через личный кабинет;
  • При выключенном флажке пользователи не могут редактировать свои учетные данные.
Ограничить время действия пароля

Переключатель "Ограничить время действия пароля":

  • при включенном переключателеimage-2024-7-3_13-6-2.png время пароля ограничивается и настраивается в графе "Время действия пароля в днях";
  • при выключенном переключателеimage-2024-7-3_13-6-23.png время действия пароля не ограничивается. 
Время действия пароля в дняхТекстовое поля для ввода времени действия пароля. Доступно при включенном переключателе "Ограничить время действия пароля".
Минимальная длина пароляМинимальное количество символов в пароле.
Минимальное количество изменённых символов пароляМинимальное количество символов, которое требуется изменить при установке нового пароля.
Пароль должен

Набор чекбоксов c требованиями к паролю:

  • Должен содержать цифры;
  • Содержать латинскую букву в нижнем регистре;
  • Содержать латинскую букву в верхнем регистре;
  • Содержать букву кириллицы в нижнем регистре;
  • Содержать букву кириллицы в верхнем регистре;
  • Содержать специальный символ.

При установленном флажке в соответствующем чекбоксе данное требование предъявляется при создании/изменении пароля.

Скрипт смены пароля

При соблюдении условий, прописанных в скрипте, установленный пароль сбрасывается. После сброса необходимо задать новый пароль для пользователя.

Выбрать из выпадающего списка (по умолчанию скрипт не выбран).  Администратору доступны скрипты типа ChangeRPCredentials, настраиваемые во вкладке "Редактор скриптов" режима "Сервис".

Настройки безопасности
Настройка сессии

Чекбокс "Ограничивать количество активных сессий":

  • при выключенном флажке количество сессий не ограничивается;
  • при включенном флажке открываются дополнительные настройки:
    • Максимальное количество сессий для пользователя - Строка ввода максимального количества сессий, доступных одному пользователю.
    • Чекбокс "Разрешить пользователю закрывать активные сессии":
      • при включенном флажке пользователь может самостоятельно завершать активные сессии (при превышении максимального числа сессий у пользователя автоматически возникает окно с возможностью завершения активных сессий);
      • при выключенном флажке пользователю запрещено самостоятельно завершать активные сессии.



Обсуждение