Avanpost FAM/MFA+ обладает следующими функциями в части аутентификации:
- MFA (многофакторная аутентификация);
- 2FA (двухфакторная аутентификация) как частный случай MFA;
- Выбор метода (фактора) аутентификации пользователем при наличии альтернатив;
- Inline-привязка (enrollment) аутентификатора в процессе аутентификации, если аутентификатор не настроен;
- Single Sign-On-аутентификация (SSO-аутентификация) на основании наличия проверенных факторов в рамках сессии;
- Single Logout (SLO) во всех приложениях при обнаружении факта завершения сеанса в одном из приложений.
Avanpost FAM/MFA+ предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации:
- Push в мобильное приложение Avanpost Authenticator;
- Сканирование QR-кода мобильным приложением Avanpost Authenticator;
- Усиленный TOTP в мобильном приложении Avanpost Authenticator;
- Локальный пароль или доменный пароль;
- Программный TOTP;
- Аппаратный TOTP;
- SMS OTP;
- Push в Мессенджер Telegram;
- E-mail OTP;
- FIDO WebAuthn/U2F;
- Смарт-карты и USB-токены (Rutoken, JaCarta);
- Электронная подпись, в том числе с проверкой на аппаратных ключевых носителях;
- Сторонние SAML/OIDC IdP.
Функции механизма аутентификации
Система Avanpost FAM предоставляет возможность построения сложных сценариев многофакторной аутентификации.
Доступные возможности, предоставляемые механизмом многофакторной аутентификации системы Avanpost FAM/MFA+:
- Централизованное управление сценарием MFA через административную консоль.
- Настройка произвольного сценария многофакторной аутентификации для любого приложения вне зависимости от технологии интеграции (веб-приложения, мобильные и десктопные приложения, VPN/VDI, Enterprise SSO и т.д.).
- Настройка произвольного сценария многофакторной аутентификации для любой группы пользователей, в том числе с указанием определённого приложения.
- Настройка многошаговых сценариев аутентификации (состоящих из одного, двух, трёх или N шагов аутентификации).
- Настройка на каждом шаге одного или нескольких факторов аутентификации с возможностью выбора метода аутентификации пользователем.
- Пропуск шага аутентификации, если пользователь подключается из внутренней сети.
Поддержка способов аутентификации в методах интеграции
Сводная таблица поддержки способов аутентификации для различных факторов и интеграционных механизмов системы Avanpost FAM/MFA+:
№ | Фактор | Способ аутентификации | OpenID Connect | SAML | Reverse Proxy | RADIUS | Windows Logon | Linux Logon | LDAP | ADFS | IIS | Enterprise SSO |
---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | Пароль | Ввод локального пароля (без LDAP-аутентификации) | Да | Да | Да | Да | Да | Да | Да | Нет | Нет | Да |
2 | Ввод доменного пароля (LDAP-аутентификация) | Да | Да | Да | Да¹ | Да | Да | Да | Нет | Нет | Да | |
3 | Мобильное приложение Avanpost Authenticator | Подтверждение запроса на аутентификацию в мобильное приложение Avanpost Authenticator (без использования механизма push-уведомлений) | Да | Да | Да | Да | Да | Да | Да | Да | Да | Да |
4 | Подтверждение push-запроса на аутентификацию в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да | Да | Да | Да | Да | Да | Да | |
5 | Ввод одноразового кода из мобильного приложения Avanpost Authenticator | Да | Да | Да | Да² | Да | Да | Нет | Нет | Нет | Да | |
6 | Сканирование QR-кода мобильным приложением Avanpost Authenticator | Да | Да | Да | Нет | Да | Нет | Нет | Нет | Нет | Да | |
7 | SMS OTP | Ввод одноразового кода из SMS-сообщения | Да | Да | Да | Да² | Да | Да | Нет | Нет | Нет | Да |
8 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да | Да | Да | Нет | Нет | Нет | Да |
9 | Ввод одноразового кода из письма | Да | Да | Да | Да² | Да | Да | Нет | Нет | Нет | Да | |
10 | Мессенджер Telegram | Подтверждение push-запроса в чат-боте Telegram | Да | Да | Да | Да | Да | Да | Да | Да | Да | Да |
11 | FIDO WebAuthn/U2F | Предъявление USB-токена с поддержкой FIDO WebAuthn/U2F | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
12 | Ввод PIN-кода в ОС Windows с поддержкой Windows Hello | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
13 | Предъявление биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев (биометрия Android, Apple Face ID в iOS) | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
14 | Смарт-карты и USB-токены | Предъявление смарт-карты Rutoken с поддержкой PKCS#11 с установленным драйвером Rutoken | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да |
15 | Предъявление смарт-карты eToken с поддержкой PKCS#11 с установленным драйвером eToken | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да | |
16 | Предъявление смарт-карты JaCarta с поддержкой PKCS#11 с установленным драйвером JaCarta | Нет | Нет | Нет | Нет | Да | Да | Нет | Нет | Нет | Да | |
17 | Электронная подпись | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи по списку фактически привязанных к пользователю сертификатов | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
18 | Предъявление электронной подписи, сформированной на основе сертификата сотрудника, хранимого на устройстве или записанного на смарт-карте, при помощи плагина КритоПро Browser Plug-in, с проверкой электронной подписи и сертификата на основе корневого доверенного сертификата | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет | |
19 | OpenID Connect-провайдеры аутентификации (Federation) | Аутентификация через сторонний Identity Provider по протоколу OpenID Connect | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
20 | SAML-провайдеры аутентификации (Federation) | Аутентификация через сторонний Identity Provider по протоколу SAML | Да | Да | Да | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
¹ – при использовании PAP и Passwordless-механизма аутентификации; при использовании CHAP и MS-CHAPv2 требуется обеспечить соответствие пароля в Avanpost FAM и доменного пароля.
² – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.
Поддержка способов привязки аутентификаторов в методах интеграции
Сводная таблица поддержки способов привязки аутентификаторов для различных факторов и интеграционных механизмов системы Avanpost FAM/MFA+:
Фактор | Способ привязки аутентификатора | OpenID Connect | SAML | Reverse Proxy | RADIUS | Enterprise SSO | Windows Logon | Linux Logon | |
---|---|---|---|---|---|---|---|---|---|
1 | Пароль | Установка пароля при самостоятельной регистрации | Да | Да | Да | Нет | Нет | Нет | Нет |
2 | Установка пароля при восстановлении доступа | Да | Да | Да | Нет | Нет | Нет | Нет | |
3 | Установка нового пароля при сбросе/истечении пароля в домене MS AD | Нет | Нет | Нет | Нет | Нет | Да | Нет | |
4 | Мобильное приложение Avanpost Authenticator | Привязка аутентификатора путём считывания QR-кода в мобильном приложении Avanpost Authenticator | Да | Да | Да | Нет | Нет | Нет | Нет |
5 | Привязка аутентификатора в процессе аутентификации путём ввода одноразового кода и PIN-кода в мобильное приложение Avanpost Authenticator | Да | Да | Да | Да¹ | Нет | Нет | Нет | |
6 | SMS OTP | Привязка номера телефона в процессе аутентификации путём ввода номера телефона и подтверждения по одноразовому коду | Да | Да | Да | Да¹ | Да | Да | Да |
7 | TOTP (Time-based OTP) | Ввод одноразового кода из приложения-генератора TOTP (Avanpost Authenticator, Google Authenticator и т.д.) | Да | Да | Да | Да¹ | Да | Да | Да |
8 | Привязка E-mail в процессе аутентификации путём ввода адреса электронной почты и активации аккаунта | Да | Да | Да | Нет | Нет | Нет | Нет | |
9 | Мессенджер Telegram | Привязка путём сканирования QR-кода | Да | Да | Да | Нет | Нет | Нет | Нет |
10 | FIDO WebAuthn/U2F | Привязка USB-токена с поддержкой FIDO WebAuthn/U2F в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет |
11 | Привязка PIN-кода в ОС Windows с поддержкой Windows Hello в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
12 | Привязка биометрии в ОС с поддержкой WebAuthn-совместимого считывателя отпечатков пальцев в процессе аутентификации | Да | Да | Да | Нет | Нет | Нет | Нет | |
13 | Смарт-карты и USB-токены | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
14 | Электронная подпись | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
15 | OpenID Connect-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
16 | SAML-провайдеры аутентификации (Federation) | - | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
¹ – при включенном RADIUS Access-Challenge-режиме и при наличии технической возможности на стороне RADIUS NAS.