Avanpost FAM/MFA+ : 3.3.3. SAML

[

SAML 2.0 (Security Assertion Markup Language) — это язык разметки для обмена данными аутентификации и авторизации между сторонами. SAML позволяет реализовать систему единого входа (Single Sign-On, SSO), с помощью которой можно переключаться между приложениями без повторной аутентификации. Avanpost FAM реализует функциональность SAML Identity Provider и предоставляет для приложений и систем набор HTTP-методов в соответствии с протоколом SAML 2.0.

SAML 2.0 может использоваться для подключения следующих типов приложений:

  • Корпоративные системы с поддержкой SAML 2.0 (Atlassian Jira, Confluence и т.д.).
  • SaaS-решения (Slack, GitHub и т.д.).
  • Другие Identity Provider с поддержкой аутентификации SAML 2.0 через сторонние провайдеры аутентификации (ADFS, собственные встроенные провайдеры аутентификации, доверенные провайдеры партнёров и т.д.).

Приложение, подключенное по SAML, может пользоваться следующими функциями Системы:

  • Централизованная аутентификация в приложение через единое удостоверение пользователя в Системе.
  • Многофакторная аутентификация в приложение с использованием:
    • Пароля;
    • Внешних провайдеров аутентификации (Google, Яндекс, ЕСИА);
    • Одноразового кода, доставляемого через SMS и E-mail;
    • Одноразовых кодов, формируемых программными TOTP-генераторами (Google Authenticator, Microsoft Authenticator, Яндекс.Ключ и других);
    • Мессенджера Telegram;
    • Биометрии FIDO2 WebAuthn и токенов FIDO U2F;
    • Мобильного приложения PayControl;
    • Сертификатов;
    • Других факторов, подключенных к Системе.
  • Управление доступом пользователей в приложение на этапе аутентификации через Систему.

В Систему встроен сервер SAML 2.0, функционирующий в роли Identity Provider. Для подключения приложения к Системе по SAML 2.0 требуется:

  1. Зарегистрировать и настроить приложение в Системе. На каждое SAML-приложение требуется создать отдельное приложение через административную консоль Системы.
  2. Выполнить настройку параметров SAML IDP в приложении. 

Система не поддерживает устаревшие версии SAML 1.0/SAML 1.1. Поставщики услуг после настройки будут перенаправлены на URL-адрес считывателя службы обнаружения IDP SAML во время единого входа.

Обсуждение