Avanpost FAM/MFA+ : Настройка MFA/SSO в TrueConf

Общие сведения

В статье описывается настройка двухфакторной аутентификации (2FA), многофакторной аутентификации (MFA) и Single-Sign On для системы видеоконференций TrueConf (ТруКонф) посредством Enterprise SSO-механизма системы Avanpost FAM.

Для TrueConf для 2FA/MFA могут использоваться следующие факторы аутентификации: 

  1. Мобильное приложение Avanpost Authenticator;
  2. SMS;
  3. TOTP;
  4. E-mail;
  5. Мессенджер Telegram.

Системные требования для интеграции TrueConf с Avanpost FAM:

  • сервер Avanpost FAM 1.4.0 или выше;
  • клиент TrueConf 8.1.1 или выше;
  • сервер TrueConf, совместимый с версией клиента TrueConf.

Для выполнения настройки 2FA в в соответствии с инструкцией необходимо выполнение следующих предварительных условий:

  1. Установлен в сети сервер TrueConf.
  2. Установлен в сети компонент Avanpost FAM Server.
  3. На стороне Avanpost FAM Server выполнена настройка Avanpost FAM Agent.
  4. Установлено АРМ пользователя, на котором:
    1. Установлен клиент TrueConf, который успешно подключается к серверу TrueConf.
    2. Установлен компонент Avanpost FAM Agent, который успешно подключается к компоненту Avanpost FAM Server.

При необходимости использования аутентификации через:

  • мобильное приложение Avanpost Authenticator – установлен компонент Avanpost FAM Mobile Authenticator Service;
  • мобильное приложение SafeTech PayControl – установлен сервер SafeTech PayControl;
  • SMS – выполнена настройка подключения к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
  • E-mail – выполнена настройка подключения к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
  • Telegram – выполнена настройка подключения к Telegram Bot API.

Настройка

Для настройки MFA/SSO в TrueConf необходимо:

  1. Через административную консоль Avanpost FAM создать приложение с типом Desktop.
  2. В карточке приложения на вкладке «Настройки»:
    1. В разделе «Основные атрибуты» в поле Шаблон скопировать и указать шаблон аутентификации из приложения А текущей инструкции.

    2. В разделе «Учётные записи приложения»:
      • Управление – включить «Разрешить пользователям управление учётными записями»;
      • Время действия пароля в днях – указать в соответствии с парольными политиками для паролей в TrueConf;
      • Минимальная длина пароля – указать в соответствии с парольными политиками для паролей в TrueConf;
      • Минимальное количество изменённых символов пароля – указать в соответствии с парольными политиками для паролей в TrueConf;
      • Пароль должен... – установить флаги в соответствии с парольными политиками для паролей в TrueConf.

Проверка настройки

  1. Запустить на АРМ Avanpost FAM Agent, выполнить аутентификацию через УЗ в Avanpost FAM.
  2. Запустить клиент TrueConf, дождаться перехвата Avanpost FAM Agent окна аутентификации в TrueConf.

  3. Если запрашивается аутентификация по дополнительным методам – выполнить аутентификацию.
  4. Если запрашивается УЗ пользователя TrueConf – предоставить реквизиты УЗ.

В результате пользователь должен успешно пройти аутентификацию в клиент TrueConf.

Сценарии использования

Загрузка пользователей TrueConf из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в десктопный клиент TrueConf, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в TrueConf. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к TrueConf через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к TrueConf через Avanpost FAM

Для предоставления доступа, пользователя необходимо включить в группу, которая имеет доступ к созданному приложению. В рамках синхронизации с LDAP-каталогом доступно автоматическое включение/исключение пользователя из группы.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к TrueConf через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM, предоставляющих доступ к TrueConf, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление сценарием аутентификации (2FA/MFA) для TrueConf через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения TrueConf, необходимо в административной консоли перейти в карточку приложения и открыть вкладку MFA. В качестве первого шага – указать метод аутентификации Password. В качестве второго шага можно выбрать один из следующих факторов:

  • Мобильное приложение Avanpost Authenticator;
  • Мобильное приложение SafeTech PayControl;
  • TOTP;
  • SMS;
  • E-mail;
  • Мессенджер Telegram.

Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к TrueConf, через Avanpost FAM

Для этого необходимо в административной консоли Avanpost FAM перейти в карточке группы на вкладке «MFA» и настроить дополнительный сценарий аутентификации. В этом случае пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Например, таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к TrueConf.

Привязка учётной записи TrueConf для нового пользователя в процессе аутентификации

Если у пользователя не привязана учётная запись и включен параметр «Управление» приложения «Разрешить пользователям управлять учётными записями», то Avanpost FAM Agent выполнит запрос учётной записи у пользователя. 

Приложение А. Шаблон аутентификации в десктопный клиент TrueConf

Содержимое шаблона:

{ 
  "authenticateTemplates": [ 
    { 
      "commands":[ 		
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400
        },
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400
        },
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400
        },
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400
        },
		{
		  "commandType":"ModifiedKeyStroke2",
		  "Code1": "CONTROL",
		  "Code2": "VK_A"
		},
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400
        },
        { 
          "commandType": "TextEntry", 
          "textMessage": "$user" 
        }, 
        { 
          "commandType": "KeyPress", 
          "code1": "RETURN" 
        },         
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400 
        },
		{ 
          "commandType": "Sleep", 
          "sleepTime": 400 
        },		
        { 
          "commandType": "TextEntry", 
          "textMessage": "$password" 
        }, 
        { 
          "commandType": "KeyPress", 
          "code1": "RETURN" 
        }
      ],
      "grab": [
        {
          "windowName": "TrueConf",
          "processName": "TrueConf",
          "windowClassName": "Qt5QWindowOwnDCIcon"
        }
      ]
    }
  ],
  "changePasswordTemplates": [
    {
      "commands": [
      ],
      "grab": [
      ]
    }
  ]
}



Обсуждение