Avanpost FAM представляет on-premise решение. Avanpost FAM поддерживает развёртывание в полностью изолированной от внешних сервисов инфраструктуре.
Компонент | Назначение | Мотивация установки | |
---|---|---|---|
1 | Серверные компоненты | ||
2 | Основной компонент системы Avanpost FAM | Обязательный компонент | |
3 | Avanpost FAM Mobile Services | Единый пакет из 2 компонентов (Push Service и API Service) для обеспечения взаимодействия с мобильными приложениями Avanpost Authenticator | Обязателен при использовании аутентификации посредством Push, QR, усиленного TOTP |
4 | |||
5 | Avanpost FAM LDAP Proxy | Компонент для подключения приложений, поддерживающих исключительно LDAP-аутентификацию | |
6 | |||
7 | Клиентские компоненты | ||
8 | Компонент, предназначенный для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSO | ||
9 | Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и RDP | ||
10 | Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочки | ||
11 | Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP. |
Система Avanpost FAM состоит из следующего набора обязательных серверных компонентов:
- Avanpost FAM Server – основной компонент системы Avanpost FAM;
- Avanpost FAM Mobile Services – компоненты для взаимодействия с мобильными приложениями Avanpost Authenticator;
- Avanpost FAM Database – база данных PostgreSQL.
Клиентские компоненты системы Avanpost FAM:
- Avanpost FAM Agent для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSO.
- Avanpost FAM Windows Logon (Credential Provider) для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и терминала.
- Avanpost FAM Linux Logon (PAM Linux) для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочки.
- Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP.
Avanpost FAM является кроссплатформерным решением и поддерживает установку и развёртывание в различных инфраструктурах.
Avanpost FAM Server
- Docker;
- Oracle Linux 8;
- Red Hat, CentOS 7, 8, CentOS Stream;
- Альт 8 СП Сервер;
- Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
- Debian 10, 11, 12, 13.
Avanpost FAM Mobile Services
- Oracle Linux 8;
- Red Hat, CentOS 7, 8, CentOS Stream;
- Альт 8 СП Сервер;
- Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
- Debian 10, 11, 12, 13.
Avanpost FAM Credential Provider, Avanpost FAM Agent, FAM Windows Logon (Credential Provider)
- Windows
Архитектура системы
Общая архитектурная схема системы:
На схеме изображены возможные взаимодействия компонентов системы (нумерация списка соответствует нумерации стрелок на схеме):
- Передача запросов от пользователей и клиентских компонентов системы к компоненту Avanpost FAM Server;
- Отправка и обработка запросов на аутентификацию, направляемых в мобильное приложение-аутентификатор Avanpost Authenticator;
- Выполнение подписи сообщений;
- Чтение и сохранение данных;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Windows Logon;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Agent для сценариев интеграции с Enterprise SSO-приложениями;
- Отправка запросов на аутентификацию со стороны Linux АРМ с установленным компонентом Linux Logon (PAM Linux);
- Отправка запросов на аутентификацию для унаследованных приложений с поддержкой аутентификации по паролю (LDAP BIND) через LDAP-каталог (Microsoft Active Directory, FreeIPA и т.д.) c установленным компонентом Avanpost FAM LDAP Proxy;
- Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.
Показатели производительности
Показатели производительности и масштабируемости Системы.
Производительность в сценариях Identity Provider (OpenID Connect, SAML)
Система способна выдерживать значительную нагрузку в виде аутентификаций и запросов на получение токенов/SAML Response в течение ограниченного времени, а именно: 350 одновременных потоков, что приводит к выполнению более 300 аутентификаций в минуту (1 аутентификация – 4-5 запросов) и порядка 1300 rps (запросов в секунду).
Данные показатели достигнуты на виртуальных серверах среды VMware vSphere с процессором Intel Xeon CPU E5-2650 v2 на 16 ядрах, работающих на частоте 2,6 ГГц.
Производительность в сценариях Reverse Proxy
При аппаратном обеспечении, состоящем из машины формирования нагрузки с CPU 16 Core на базе AMD Ryzen 7 2700 и серверов балансировки нагрузки и приложений с CPU 4 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz, Система успешно справляется с аутентификацией до 536 rps, загрузка файлов размером 20 МБ выполняется со скоростью до 1930 rps и 100 МБ – 4516 rps.
При аппаратном обеспечении, состоящем из машины формирования нагрузки с CPU 8 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz и серверов балансировки нагрузки и приложений с CPU 4 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz, Система успешно справляется с аутентификацией до 672 rps, загрузка файлов размером 20 МБ выполняется со скоростью до 2687 запросов в секунду и 100 МБ – 8903 rps.