Avanpost FAM/MFA+ : 3.2. Методы аутентификации

Avanpost FAM/MFA+ обладает следующими функциями в части аутентификации:

  • MFA (многофакторная аутентификация);
  • 2FA (двухфакторная аутентификация) как частный случай MFA;
  • Выбор метода (фактора) аутентификации пользователем при наличии альтернатив;
  • Inline-привязка (enrollment) аутентификатора в процессе аутентификации, если аутентификатор не настроен;
  • Single Sign-On-аутентификация (SSO-аутентификация) на основании наличия проверенных факторов в рамках сессии;
  • Single Logout (SLO) во всех приложениях при обнаружении факта завершения сеанса в одном из приложений.

Avanpost FAM/MFA+ предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации:

  1. Push в мобильное приложение Avanpost Authenticator;
  2. Сканирование QR-кода мобильным приложением Avanpost Authenticator;
  3. Усиленный TOTP в мобильном приложении Avanpost Authenticator;
  4. Локальный пароль или доменный пароль;
  5. Программный TOTP;
  6. Аппаратный TOTP;
  7. SMS OTP;
  8. Push в Мессенджер Telegram;
  9. E-mail OTP;
  10. FIDO WebAuthn/U2F;
  11. Смарт-карты и USB-токены (Rutoken, JaCarta);
  12. Электронная подпись, в том числе с проверкой на аппаратных ключевых носителях;
  13. Сторонние SAML/OIDC IdP.

Функции механизма аутентификации

Система Avanpost FAM предоставляет возможность построения сложных сценариев многофакторной аутентификации.

Доступные возможности, предоставляемые механизмом многофакторной аутентификации системы Avanpost FAM/MFA+:

  • Централизованное управление сценарием MFA через административную консоль.
  • Настройка произвольного сценария многофакторной аутентификации для любого приложения вне зависимости от технологии интеграции (веб-приложения, мобильные и десктопные приложения, VPN/VDI, Enterprise SSO и т.д.).
  • Настройка произвольного сценария многофакторной аутентификации для любой группы пользователей, в том числе с указанием определённого приложения.
  • Настройка многошаговых сценариев аутентификации (состоящих из одного, двух, трёх или N шагов аутентификации).
  • Настройка на каждом шаге одного или нескольких факторов аутентификации с возможностью выбора метода аутентификации пользователем.
  • Пропуск шага аутентификации, если пользователь подключается из внутренней сети.

Поддержка способов аутентификации в методах интеграции

Сводная таблица поддержки способов аутентификации для различных факторов и интеграционных механизмов системы Avanpost FAM/MFA+:

ФакторСпособ аутентификацииOpenID ConnectSAMLReverse ProxyRADIUSWindows LogonLinux LogonLDAPADFSIISEnterprise SSO
1ПарольВвод локального пароля (без LDAP-аутентификации)ДаДаДаДаДаДаДаНетНетДа
2Ввод доменного пароля (LDAP-аутентификация)ДаДаДаДа¹ДаДаДаНетНетДа
3Мобильное приложение Avanpost AuthenticatorПодтверждение запроса на аутентификацию в мобильное приложение Avanpost Authenticator (без использования механизма push-уведомлений)ДаДаДаДаДаДаДаДаДаДа
4Подтверждение push-запроса на аутентификацию в мобильное приложение Avanpost AuthenticatorДаДаДаДаДаДаДаДаДаДа
5Ввод одноразового кода из мобильного приложения Avanpost AuthenticatorДаДаДаДа²ДаДаНетНетНетДа
6Сканирование QR-кода мобильным приложением Avanpost AuthenticatorДаДаДаНетДаНетНетНетНетДа
7SMS OTPВвод одноразового кода из SMS-сообщенияДаДаДаДа²ДаДаНетНетНетДа
8TOTP (Time-based OTP)Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.)ДаДаДаДаДаДаНетНетНетДа
9E-mailВвод одноразового кода из письмаДаДаДаДа²ДаДаНетНетНетДа
10Мессенджер TelegramПодтверждение push-запроса в чат-боте TelegramДаДаДаДаДаДаДаДаДаДа
11FIDO WebAuthn/U2FПредъявление USB-токена с поддержкой FIDO WebAuthn/U2FДаДаДаНетНетНетНетНетНетНет
12Ввод PIN-кода в ОС Windows с поддержкой Windows HelloДаДаДаНетНетНетНетНетНетНет
13Предъявление биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев (биометрия Android, Apple Face ID в iOS)ДаДаДаНетНетНетНетНетНетНет
14Смарт-карты и USB-токены

Предъявление смарт-карты Rutoken с поддержкой PKCS#11 с установленным драйвером Rutoken НетНетНетНетДаДаНетНетНетДа
15Предъявление смарт-карты eToken с поддержкой PKCS#11 с установленным драйвером eToken НетНетНетНетДаДаНетНетНетДа
16Предъявление смарт-карты JaCarta с поддержкой PKCS#11 с установленным драйвером JaCartaНетНетНетНетДаДаНетНетНетДа
17Электронная подписьПредъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи по списку фактически привязанных к пользователю сертификатовДаДаДаНетНетНетНетНетНетНет
18Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи и сертификата на основе корневого доверенного сертификатаДаДаДаНетНетНетНетНетНетНет
19OpenID Connect-провайдеры аутентификации (Federation)Аутентификация через сторонний Identity Provider по протоколу OpenID ConnectДаДаДаНетНетНетНетНетНетНет
20SAML-провайдеры аутентификации (Federation)Аутентификация через сторонний Identity Provider по протоколу SAMLДаДаДаНетНетНетНетНетНетНет

¹ – при использовании PAP и Passwordless-механизма аутентификации; при использовании CHAP и MS-CHAPv2 требуется обеспечить соответствие пароля в Avanpost FAM и доменного пароля.

² – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS. 

Поддержка способов привязки аутентификаторов в методах интеграции

Сводная таблица поддержки способов привязки аутентификаторов для различных факторов и интеграционных механизмов системы Avanpost FAM/MFA+:


ФакторСпособ привязки аутентификатораOpenID ConnectSAMLReverse ProxyRADIUSEnterprise SSOWindows LogonLinux Logon
1ПарольУстановка пароля при самостоятельной регистрацииДаДаДаНетНетНетНет
2Установка пароля при восстановлении доступаДаДаДаНетНетНетНет
3Установка нового пароля при сбросе/истечении пароля в домене MS ADНетНетНетНетНетДаНет
4Мобильное приложение Avanpost AuthenticatorПривязка аутентификатора путём считывания QR-кода в мобильном приложении Avanpost AuthenticatorДаДаДаНетНетНетНет
5Привязка аутентификатора в процессе аутентификации путём ввода одноразового кода и PIN-кода в мобильное приложение Avanpost AuthenticatorДаДаДаДа¹НетНетНет
6SMS OTPПривязка номера телефона в процессе аутентификации путём ввода номера телефона и подтверждения по одноразовому кодуДаДаДаДа¹ДаДаДа
7TOTP (Time-based OTP)Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.)ДаДаДаДа¹ДаДаДа
8E-mailПривязка E-mail в процессе аутентификации путём ввода адреса электронной почты и активации аккаунтаДаДаДаНетНетНетНет
9Мессенджер TelegramПривязка путём сканирования QR-кодаДаДаДаНетНетНетНет
10FIDO WebAuthn/U2FПривязка USB-токена с поддержкой FIDO WebAuthn/U2F в процессе аутентификацииДаДаДаНетНетНетНет
11Привязка PIN-кода в ОС Windows с поддержкой Windows Hello в процессе аутентификацииДаДаДаНетНетНетНет
12Привязка биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев в процессе аутентификацииДаДаДаНетНетНетНет
13Смарт-карты и USB-токены-НетНетНетНетНетНетНет
14Электронная подпись-НетНетНетНетНетНетНет
15OpenID Connect-провайдеры аутентификации (Federation)-НетНетНетНетНетНетНет
16SAML-провайдеры аутентификации (Federation)-НетНетНетНетНетНетНет

¹ – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS. 


Обсуждение