Avanpost FAM/MFA+ : 3.3.1. RADIUS

Avanpost FAM предоставляет функциональность RADIUS-сервера для решения задачи 2FA/MFA для инфраструктурных сервисов (VPN, VDI и т.д.) и приложений с поддержкой в NAS (Network Access Service согласно RFC 2865) аутентификации через сторонний RADIUS Proxy.

Avanpost FAM обеспечивает следующие функции для RADIUS NAS:

  • 2FA/MFA для любых NAS, поддерживающих аутентификацию через сторонний RADIUS-сервер;
  • Выбор факторов, если разрешены альтернативы в рамках шага аутентификации, за счёт механизма Access-Challenge;
  • Inline-привязку факторов, если у пользователя ещё не настроен требуемый аутентификатор, в процессе аутентификации за счёт механизма Access-Challenge;
  • Передачу дополнительной информации в составе сообщений RADIUS Access-Accept за счёт поддержки механизма VSA (Vendor-Specific Attributes).

При аутентификации по RADIUS доступны следующие факторы:

Доступна Inline-привязка в процессе аутентификации по протоколу RADIUS для следующих факторов:

Схема взаимодействия

NAS (RADIUS Network Access Server, в роли которого может выступать VPN-сервер, VDI-сервер либо другой элемент сетевой инфраструктуры) обращается к UDP RADIUS-интерфейсу компонента Avanpost FAM Server.

После этого инициируется сеанс аутентификации пользователя, который должен завершиться либо отправкой в адрес NAS сообщения RADIUS Access-Accept, либо сообщения RADIUS Access-Reject.

Схема взаимодействия NAS, RADIUS и пользовательских устройств (рабочая станция пользователя с клиентом NAS, смартфон с мобильным приложением Avanpost Authenticator) для прохождения двухфакторной аутентификации при помощи подтверждения Push в мобильном приложении Avanpost Authenticator: 

Обсуждение