Avanpost FAM предоставляет функциональность RADIUS-сервера для решения задачи 2FA/MFA для инфраструктурных сервисов (VPN, VDI и т.д.) и приложений с поддержкой в NAS (Network Access Service согласно RFC 2865) аутентификации через сторонний RADIUS Proxy.
Avanpost FAM обеспечивает следующие функции для RADIUS NAS:
- 2FA/MFA для любых NAS, поддерживающих аутентификацию через сторонний RADIUS-сервер;
- Выбор факторов, если разрешены альтернативы в рамках шага аутентификации, за счёт механизма Access-Challenge;
- Inline-привязку факторов, если у пользователя ещё не настроен требуемый аутентификатор, в процессе аутентификации за счёт механизма Access-Challenge;
- Передачу дополнительной информации в составе сообщений RADIUS Access-Accept за счёт поддержки механизма VSA (Vendor-Specific Attributes).
При аутентификации по RADIUS доступны следующие факторы:
- Локальный пароль;
- Доменный пароль;
- Push в мобильном приложении Avanpost Authenticator;
- Встроенный программный TOTP через мобильное приложение Avanpost Authenticator (при поддержке Access-Challenge в NAS);
- Программный TOTP через любое приложение-аутентификатор (Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator при поддержке Access-Challenge в NAS);
- Аппаратный OTP (TOTP/HOTP) с использованием OTP-брелоков (при поддержке Access-Challenge в NAS);
- Push в мессенджер Telegram;
Доступна Inline-привязка в процессе аутентификации по протоколу RADIUS для следующих факторов:
Схема взаимодействия
NAS (RADIUS Network Access Server, в роли которого может выступать VPN-сервер, VDI-сервер либо другой элемент сетевой инфраструктуры) обращается к UDP RADIUS-интерфейсу компонента Avanpost FAM Server.
После этого инициируется сеанс аутентификации пользователя, который должен завершиться либо отправкой в адрес NAS сообщения RADIUS Access-Accept, либо сообщения RADIUS Access-Reject.
Схема взаимодействия NAS, RADIUS и пользовательских устройств (рабочая станция пользователя с клиентом NAS, смартфон с мобильным приложением Avanpost Authenticator) для прохождения двухфакторной аутентификации при помощи подтверждения Push в мобильном приложении Avanpost Authenticator: