Avanpost FAM/MFA+ : 3.2.3. SMS

Общие сведения

SMS OTP – один из наиболее распространённых методов аутентификации, использующий в качестве средства доставки одноразового кода механизм SMS, предоставляемый любым SMS-провайдером. При использовании данного механизма на номер сотрудника отправляется SMS, содержащее одноразовый код. После ввода одноразового кода пользователь считается успешно аутентифицированным.

Использование метода SMS OTP для доставки одноразовых паролей доступно на любом шаге аутентификации.

Для того, чтобы сотрудник мог пользоваться методом аутентификации SMS OTP, требуется как минимум указать в профиле сотрудника его номер телефона. Также доступна функциональность подтверждения номера телефона посредством механизма SMS OTP. Привязка аутентификатора SMS OTP возможна в следующих сценариях:

  • Привязка в процессе аутентификации посредством ввода номера телефона и его подтверждения при помощи одноразового кода, отправляемого по SMS на номер телефона.
  • Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки номера телефона и подтверждением при помощи одноразового кода, отправляемого по SMS на номер телефона.
  • Привязка в административной консоли Avanpost FAM посредством указания администратором корректного номера телефона сотрудника.
  • Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory).

SMS OTP может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

Системные требования к инфраструктуре для работы метода аутентификации SMS OTP:

Сценарии использования

Аутентификация в веб-приложения с вводом одноразового кода из SMS

Возможно использование OTP-аутентификации через SMS OTP для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:

Примеры некоторых корпоративных систем, для которых применим данный сценарий:

Аутентификация в VPN/VDI (RADIUS) с вводом одноразового кода из SMS

Возможно использование OTP-аутентификации через SMS OTP для всех приложений, подключаемых с целью 2FA посредством RADIUS, с поддержкой метода RADIUS Access-Challenge.

Примеры корпоративных систем, для которых применим данный сценарий:

Аутентификация в десктопные приложения (Enterprise SSO) с вводом одноразового кода из SMS

Avanpost FAM позволяет выполнять OTP-аутентификацию через SMS OTP в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.

Примеры корпоративных систем, для которых применим сценарий:

Аутентификация на рабочие станции и сервера с вводом одноразового кода из SMS

Avanpost FAM позволяет выполнять OTP-аутентификацию через SMS OTP для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.

Примеры задач, для которых применим сценарий:

Привязка SMS OTP в процессе аутентификации

Avanpost FAM позволяет выполнить установку или замену номера телефона в процессе аутентификации посредством отправки одноразового кода в SMS на новый номер, указанный сотрудником. После выполнения подтверждения посредством ввода одноразового кода сотрудник может использовать указанный номер телефона в качестве метода 2FA.

Привязка SMS OTP через личный кабинет

Avanpost FAM позволяет выполнить установку или замену номера телефона через личный кабинет. Установка нового номера телефона осуществляется после подтверждения посредством отправки на новый номер телефона, указанный сотрудником. После выполнения подтверждения путём ввода одноразового кода сотрудник может использовать номер телефона в качестве метода 2FA.

Привязка SMS OTP в рамках LDAP-синхронизации

Avanpost FAM в рамках интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) может осуществлять загрузку номеров телефона сотрудников. В рамках синхронизации номер телефона может быть помечен как подтверждённый, после чего будет доступен к использованию сотрудниками для аутентификации по SMS OTP.

Привязка SMS OTP через административную консоль

Администратор системы Avanpost FAM может воспользоваться административной консолью для установки сотруднику требуемого номера телефона.

Требования к SMS-шлюзу

SMS-шлюз для использования с Avanpost FAM должен обладать следующими характеристиками:

  • Предоставлять доступный из внутренней сети, в которой развёрнут компонент Avanpost FAM Server, HTTP/HTTPS API, позволяющий при помощи HTTP/HTTPS-запроса осуществить отправку SMS-сообщения.
  • Использовать для отправки сообщения HTTP-запрос любого типа (GET, POST, PUT).
  • Осуществлять аутентификацию запроса в составе этого запроса посредством методов:
    • Передачи заголовка, содержащего любую константу.
    • Передачи обработанного любым способом логина, пароля или их любой комбинации.


Обсуждение