Общие сведения
В статье описывается настройка двухфакторной аутентификации (2FA), многофакторной аутентификации (MFA) и Single-Sign On для системы видеоконференций TrueConf (ТруКонф) посредством Enterprise SSO-механизма системы Avanpost FAM.
Для TrueConf для 2FA/MFA могут использоваться следующие факторы аутентификации:
Системные требования для интеграции TrueConf с Avanpost FAM:
- сервер Avanpost FAM 1.4.0 или выше;
- клиент TrueConf 8.1.1 или выше;
- сервер TrueConf, совместимый с версией клиента TrueConf.
Для выполнения настройки 2FA в в соответствии с инструкцией необходимо выполнение следующих предварительных условий:
- Установлен в сети сервер TrueConf.
- Установлен в сети компонент Avanpost FAM Server.
- На стороне Avanpost FAM Server выполнена настройка Avanpost FAM Agent.
- Установлено АРМ пользователя, на котором:
- Установлен клиент TrueConf, который успешно подключается к серверу TrueConf.
- Установлен компонент Avanpost FAM Agent, который успешно подключается к компоненту Avanpost FAM Server.
При необходимости использования аутентификации через:
- мобильное приложение Avanpost Authenticator – установлен компонент Avanpost FAM Mobile Authenticator Service;
- мобильное приложение SafeTech PayControl – установлен сервер SafeTech PayControl;
- SMS – выполнена настройка подключения к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений;
- E-mail – выполнена настройка подключения к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений;
- Telegram – выполнена настройка подключения к Telegram Bot API.
Настройка
Для настройки MFA/SSO в TrueConf необходимо:
- Через административную консоль Avanpost FAM создать приложение с типом
Desktop
. - В карточке приложения на вкладке «Настройки»:
В разделе «Основные атрибуты» в поле
Шаблон
скопировать и указать шаблон аутентификации из приложения А текущей инструкции.- В разделе «Учётные записи приложения»:
Управление
– включить «Разрешить пользователям управление учётными записями
»;Время действия пароля в днях
– указать в соответствии с парольными политиками для паролей в TrueConf;Минимальная длина пароля
– указать в соответствии с парольными политиками для паролей в TrueConf;Минимальное количество изменённых символов пароля
– указать в соответствии с парольными политиками для паролей в TrueConf;Пароль должен...
– установить флаги в соответствии с парольными политиками для паролей в TrueConf.
Проверка настройки
- Запустить на АРМ Avanpost FAM Agent, выполнить аутентификацию через УЗ в Avanpost FAM.
Запустить клиент TrueConf, дождаться перехвата Avanpost FAM Agent окна аутентификации в TrueConf.
- Если запрашивается аутентификация по дополнительным методам – выполнить аутентификацию.
- Если запрашивается УЗ пользователя TrueConf – предоставить реквизиты УЗ.
В результате пользователь должен успешно пройти аутентификацию в клиент TrueConf.
Сценарии использования
Загрузка пользователей TrueConf из домена (LDAP)
Чтобы пользователи из домена смогли проходить 2FA/MFA или пользоваться SSO при аутентификации в десктопный клиент TrueConf, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать 2FA/MFA/SSO в TrueConf. Таким образом можно подключить несколько доменов.
Контроль попыток аутентификации пользователей к TrueConf через Avanpost FAM
Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.
Управление доступом пользователей к TrueConf через Avanpost FAM
Для предоставления доступа, пользователя необходимо включить в группу, которая имеет доступ к созданному приложению. В рамках синхронизации с LDAP-каталогом доступно автоматическое включение/исключение пользователя из группы.
Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.
Управление доступом пользователей к TrueConf через домен (LDAP)
Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т.д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM, предоставляющих доступ к TrueConf, путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.
Управление сценарием аутентификации (2FA/MFA) для TrueConf через Avanpost FAM
Для настройки второго фактора, который будет использоваться для приложения TrueConf, необходимо в административной консоли перейти в карточку приложения и открыть вкладку MFA. В качестве первого шага – указать метод аутентификации Password.
В качестве второго шага можно выбрать один из следующих факторов:
- Мобильное приложение Avanpost Authenticator;
- Мобильное приложение SafeTech PayControl;
- TOTP;
- SMS;
- E-mail;
- Мессенджер Telegram.
Управление сценарием аутентификации (2FA/MFA) для отдельных групп сотрудников, подключающихся к TrueConf, через Avanpost FAM
Для этого необходимо в административной консоли Avanpost FAM перейти в карточке группы на вкладке «MFA» и настроить дополнительный сценарий аутентификации. В этом случае пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на вкладке. Например, таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к TrueConf.
Привязка учётной записи TrueConf для нового пользователя в процессе аутентификации
Если у пользователя не привязана учётная запись и включен параметр «Управление
» приложения «Разрешить пользователям управлять учётными записями
», то Avanpost FAM Agent выполнит запрос учётной записи у пользователя.
Приложение А. Шаблон аутентификации в десктопный клиент TrueConf
Содержимое шаблона:
{ "authenticateTemplates": [ { "commands":[ { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType":"ModifiedKeyStroke2", "Code1": "CONTROL", "Code2": "VK_A" }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "TextEntry", "textMessage": "$user" }, { "commandType": "KeyPress", "code1": "RETURN" }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "Sleep", "sleepTime": 400 }, { "commandType": "TextEntry", "textMessage": "$password" }, { "commandType": "KeyPress", "code1": "RETURN" } ], "grab": [ { "windowName": "TrueConf", "processName": "TrueConf", "windowClassName": "Qt5QWindowOwnDCIcon" } ] } ], "changePasswordTemplates": [ { "commands": [ ], "grab": [ ] } ] }