Avanpost FAM/MFA+ : 3.2.2. Push, QR, защищённый TOTP

Общие сведения

Push в мобильное приложение – простой и удобный для пользователя, надёжный и безопасный метод аутентификации, который может использоваться в сценариях аутентификации 2FA/MFA, предоставляемых Avanpost FAM.

Avanpost Authenticator доступен бесплатно в магазинах приложений для смартфонов под управлением iOS и Android:

Мобильное приложение Avanpost Authenticator обеспечивает следующие методы аутентификации:

  • Запрос на аутентификацию. Приходит в мобильное приложение пользователю при аутентификации в различные приложения (веб-приложения, десктопные приложения, сервисы и т.д.). Может доставляться либо посредством механизма push-запросов (если выполнена необходимая настройка для push-запросов), либо посредством механизма получения запросов на аутентификацию от Avanpost FAM Server через компоненты Avanpost FAM Mobile Services.
  • Ввод одноразового TOTP-кода. Работает либо как классический TOTP, либо в качестве резервного метода аутентификации при отсутствии связи.
  • Беспарольный вход посредством сканирования QR-кода на экране компьютера камерой мобильного устройства в мобильном приложении Avanpost Authenticator.

Для того, чтобы пользователь мог пользоваться своим смартфоном в качестве аутентификатора, требуется выполнить привязку пользовательского приложения Avanpost Authenticator к аккаунту в Avanpost FAM. Привязка Avanpost Authenticator возможна в следующих сценариях:

  • Привязка в личном кабинете Avanpost FAM посредством считывания QR-кода;
  • Привязка в процессе аутентификации посредством считывания QR-кода (веб-приложения, десктоп-приложения);
  • Привязка в процессе аутентификации посредством ввода в Avanpost Authenticator секретного одноразового кода (VPN, VDI и другие RADIUS-приложения).

Avanpost Authenticator может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

Системные требования к смартфону для работы мобильного приложения Avanpost Authenticator:

  • Android 6.0 или новее;
  • iOS 12.4 или новее;
  • Huawei.

Системные требования к инфраструктуре для работы мобильного приложения Avanpost Authenticator:

  • Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.4.0 или новее.
  • Развёрнутый в DMZ либо во внутренней сети компонент Avanpost FAM Mobile Services.

Avanpost Authenticator предоставляет ряд дополнительных функций для обеспечения максимально удобного процесса ввода системы в эксплуатацию и обеспечения технической поддержки пользователей:

  • Инженерный режим работы приложения, включаемый пользователем в Avanpost Authenticator по запросу администратора организации. Предназначен для записи журналов взаимодействия Avanpost Authenticator и последующей ручной отправки их администратору организации. 
  • Режим разрешения взаимодействия с использованием не доверенных TLS-сертификатов, устанавливаемых на сервер Avanpost FAM. Предназначен для первичной отладки взаимодействия приложения Avanpost Authenticator с новой инсталляцией Avanpost FAM, когда нет возможности выпустить в короткие сроки выпустить TLS-сертификат, подтверждённый доверенным удостоверяющим центром.

Сценарии использования

Некоторые возможные сценарии применения мобильного приложения Avanpost Authenticator для решения прикладных задач:

Аутентификация в веб-приложения с push-подтверждением или вводом OTP через Avanpost Authenticator

Возможно использование push-аутентификации через мобильное приложение Avanpost Authenticator для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:

Также для этих приложений доступен ввод OTP-кода в качестве резервного или альтернативного метода аутентификации. Например, в том случае, если у пользователя в данный момент нет доступа к интернету.

Скринкаст процесса аутентификации в веб-приложение посредством подтверждения push-запроса через мобильное приложение Avanpost Authenticator выглядит следующим образом:

Скринкаст процесса аутентификации в веб-приложение посредством ввода одноразового кода при невозможности получения push-уведомления выглядит следующим образом:

Примеры некоторых корпоративных систем, для которых применим данный сценарий:

Аутентификация в VPN/VDI (RADIUS) с push-подтверждением или вводом OTP через Avanpost Authenticator

Возможно использование push-аутентификации через мобильное приложение Avanpost Authenticator для всех приложений, подключаемых с целью 2FA посредством RADIUS.

Также для этих приложений доступен ввод OTP-кода в качестве резервного метода аутентификации. Например, в том случае, если у пользователя в данный момент нет доступа к интернету.

Скринкаст аутентификации в VPN, подключенный к 2FA в Avanpost FAM по RADIUS, на примере аутентификации в OpenVPN. Аутентификация выполняется посредством подтверждения push-запроса через мобильное приложение Avanpost Authenticator. Процесс выглядит следующим образом:

Примеры корпоративных систем, для которых применим данный сценарий:

Аутентификация в десктопные приложения (Enterprise SSO) с push-подтверждением через Avanpost Authenticator

Avanpost FAM позволяет выполнять аутентификацию через мобильное приложение Avanpost Authenticator в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.

Скрипкаст процесса аутентификации в десктопное приложение, подключенное по Enterprise SSO, на примере аутентификации в Тонкий клиент 1С:ЗУП 3.1:

Примеры корпоративных систем, для которых применим сценарий:

Аутентификация на рабочие станции с push-подтверждением через Avanpost Authenticator

Avanpost FAM позволяет выполнять аутентификацию с подтверждением 2FA/MFA через мобильное приложение Avanpost Authenticator на рабочие станции и сервера под управлением ОС Microsoft® Windows и Linux.

Доступно для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.

Примеры задач, для которых применим сценарий:

Аутентификация на рабочие станции путём сканирования QR-кода

Avanpost FAM позволяет выполнять аутентификацию путём сканирования QR-кода через мобильное приложение Avanpost Authenticator на рабочие станции и сервера под управлением ОС Microsoft® Windows. Метод аутентификации является самоидентифицирующим, поэтому пользователю не требуется выполнять предварительную идентификацию до сканирования QR-кода. 

При первом входе пользователя на рабочую станцию перед использованием метода входа по QR-коду требуется выполнить однократную аутентификацию по логину и паролю.

Доступно для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью аутентификации посредством компонентов Avanpost FAM Credential Provider.

Примеры задач, для которых применим сценарий:

Аутентификация в любые подключенные приложения с подтверждением push-запроса на смарт-часах

Avanpost FAM позволяет выполнять аутентификацию с подтверждением 2FA/MFA через мобильное приложение Avanpost Authenticator в связке со смарт-часами под Android и iOS.

Запрос на аутентификацию отображается в виде удобного сообщения с кнопками «Одобрить» и «Отклонить»:

При этом если в мобильном приложении Avanpost Authenticator включена блокировка приложения при помощи PIN-кода, то приложение Avanpost Authenticator перед подтверждением запроса на аутентификацию после нажатия на «Одобрить» запрашивает у пользователя ввод PIN-кода.

Аутентификация в любые подключенные приложения посредством сканирования QR-кода

Avanpost FAM позволяет выполнять аутентификацию с аутентификацию посредством сканирования QR через мобильное приложение Avanpost Authenticator. Метод аутентификации является самоидентифицирующим, поэтому пользователю не требуется выполнять предварительную идентификацию до сканирования QR-кода.

Данный метод может комбинироваться в рамках сценария аутентификации с другими факторами.

Доступно для приложений, подключаемых посредством технологий:

Примеры приложений, для которых применима аутентификация посредством сканирования QR-кода:

Привязка Avanpost Authenticator посредством считывания QR-кода (веб-приложения, АРМ, десктопные приложения)

Мобильное приложение Avanpost Authenticator позволяет выполнить привязку аутентификатора посредством считывания камерой смартфона QR-кода.

Это удобно для тех приложений и технологий интеграции в части аутентификации, которые поддерживают отображение пользователю на экране QR-кода. К таким относятся множество приложений, подключаемых посредством механизмов аутентификации:

Скринкаст процесса привязки аутентификатора Avanpost Authenticator посредством считывания QR-кода на примере аутентификации в веб-приложение выглядит следующим образом:

Примеры корпоративных систем, для которых доступна привязка путём считывания QR-кода:

Привязка Avanpost Authenticator посредством ввода одноразового кода в мобильное приложение (для VPN, VDI)

Мобильное приложение Avanpost Authenticator позволяет выполнить привязку аутентификатора посредством ввода одноразового кода.

Это удобно для тех приложений и технологий интеграции в части аутентификации, которые не поддерживают отображение пользователю на экране QR-кода, но могут вывести пользователю сообщение, включающее в себя одноразовый код. К таким относятся множество приложений, подключаемых посредством RADIUS и Linux Logon без возможности отображения QR-кода.

Скринкаст процесса привязки аутентификатора Avanpost Authenticator посредством ввода одноразового кода на примере аутентификации в веб-приложение выглядит следующим образом:

Привязка Avanpost Authenticator посредством считывания QR-кода в личном кабинете

Привязка и настройка аутентификатора Avanpost Authenticator может быть выполнена посредством считывания QR-кода камерой на смартфоне в личном кабинете.

Обсуждение