Avanpost FAM/MFA+ : 3.5. Архитектура и компоненты

Avanpost FAM представляет on-premise решение. Avanpost FAM поддерживает развёртывание в полностью изолированной от внешних сервисов инфраструктуре. 


КомпонентНазначениеМотивация установки
1

Серверные компоненты

2

Avanpost FAM Server

Основной компонент системы Avanpost FAMОбязательный компонент
3Avanpost FAM Mobile Services

Единый пакет из 2 компонентов (Push Service и API Service) для обеспечения взаимодействия с мобильными приложениями Avanpost Authenticator

Обязателен при использовании аутентификации посредством Push, QR, усиленного TOTP
4


5Avanpost FAM LDAP ProxyКомпонент для подключения приложений, поддерживающих исключительно LDAP-аутентификацию
6


7Клиентские компоненты
8

Avanpost FAM Agent

Компонент, предназначенный для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSO
9

Avanpost FAM Windows Logon

Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и RDP
10

Avanpost FAM Linux Logon

Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочки
11

Avanpost Authenticator

Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP.


Система Avanpost FAM состоит из следующего набора обязательных серверных компонентов:

  1. Avanpost FAM Server – основной компонент системы Avanpost FAM;


  1. Avanpost FAM Mobile Services – компоненты для взаимодействия с мобильными приложениями Avanpost Authenticator;
  2. Avanpost FAM Database – база данных PostgreSQL.

Клиентские компоненты системы Avanpost FAM:

  1. Avanpost FAM Agent для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSO.
  2. Avanpost FAM Windows Logon (Credential Provider) для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и терминала.
  3. Avanpost FAM Linux Logon (PAM Linux) для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочки.
  4. Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP.

Avanpost FAM является кроссплатформерным решением и поддерживает установку и развёртывание в различных инфраструктурах.

Avanpost FAM Server

  • Docker;
  • Oracle Linux 8;
  • Red Hat, CentOS 7, 8, CentOS Stream;
  • Альт 8 СП Сервер;
  • Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
  • Debian 10, 11, 12, 13.

Avanpost FAM Mobile Services

  • Oracle Linux 8;
  • Red Hat, CentOS 7, 8, CentOS Stream;
  • Альт 8 СП Сервер;
  • Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
  • Debian 10, 11, 12, 13.

Avanpost FAM Credential Provider, Avanpost FAM Agent, FAM Windows Logon (Credential Provider)

  • Windows

Архитектура системы

Общая архитектурная схема системы:

На схеме изображены возможные взаимодействия компонентов системы (нумерация списка соответствует нумерации стрелок на схеме):

  1. Передача запросов от пользователей и клиентских компонентов системы к компоненту Avanpost FAM Server;
  2. Отправка и обработка запросов на аутентификацию, направляемых в мобильное приложение-аутентификатор Avanpost Authenticator;
  3. Выполнение подписи сообщений;
  4. Чтение и сохранение данных;
  5. Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Windows Logon;
  6. Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Agent для сценариев интеграции с Enterprise SSO-приложениями;
  7. Отправка запросов на аутентификацию со стороны Linux АРМ с установленным компонентом Linux Logon (PAM Linux);
  8. Отправка запросов на аутентификацию для унаследованных приложений с поддержкой аутентификации по паролю (LDAP BIND) через LDAP-каталог (Microsoft Active Directory, FreeIPA и т.д.) c установленным компонентом Avanpost FAM LDAP Proxy;
  9. Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.

Показатели производительности

Показатели производительности и масштабируемости Системы.

Производительность в сценариях Identity Provider (OpenID Connect, SAML)

Система способна выдерживать значительную нагрузку в виде аутентификаций и запросов на получение токенов/SAML Response в течение ограниченного времени, а именно: 350 одновременных потоков, что приводит к выполнению более 300 аутентификаций в минуту (1  аутентификация – 4-5 запросов) и порядка 1300 rps (запросов в секунду).

Данные показатели достигнуты на виртуальных серверах среды VMware vSphere с процессором Intel Xeon CPU E5-2650 v2 на 16 ядрах, работающих на частоте 2,6 ГГц.

Производительность в сценариях Reverse Proxy

При аппаратном обеспечении, состоящем из машины формирования нагрузки с CPU 16 Core на базе AMD Ryzen 7 2700 и серверов балансировки нагрузки и приложений с CPU 4 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz, Система успешно справляется с аутентификацией до 536 rps, загрузка файлов размером 20 МБ выполняется со скоростью до 1930 rps и 100 МБ – 4516 rps.

При аппаратном обеспечении, состоящем из машины формирования нагрузки с CPU 8 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz и серверов балансировки нагрузки и приложений с CPU 4 vCore на базе Intel(R) Core(TM) i5-3470 CPU @ 3.20GHz, Система успешно справляется с аутентификацией до 672 rps, загрузка файлов размером 20 МБ выполняется со скоростью до 2687 запросов в секунду и 100 МБ – 8903 rps.


Обсуждение