Avanpost FAM Agent – клиентский компонент, устанавливаемый на рабочие станции пользователей под управлением ОС Microsoft® Windows® 7/8/10/11. Данный компонент реализует набор функций для работы механизма Enterprise SSO.
Компонент обеспечивает решение следующих задач:
- Централизованное управление и аутентификация (пользователь идентифицируется на одном сервисе и получает доступ ко всем необходимым приложениям и сервисам).
- Поддержка множества приложений и сервисов, включая веб-приложения, SaaS-платформы, корпоративные приложения и т. д.
- Поддержка SSO для мобильных устройств.
- Управление правами доступа (Avanpost FAM Agent позволяет пользователям и администраторам управлять правами доступа к различным приложениям и сервисам в рамках одной системы).
- Поддержка анализа журналов.
Системные требования
Установка компонента Avanpost FAM Agent рекомендуется на следующих серверных, десктопных операционных системах и платформах:
Платформа | Операционная система | Формат поставки | Прочие требования |
---|---|---|---|
Любая современная платформа виртуализации (VMWare, Hyper-V и т.д.), любые 64-битные x86-компьютеры и сервера | Microsoft Windows Desktop (срок поддержки до 2023 включительно)/Microsoft Windows Desktop 8.1/ Microsoft Windows Desktop 10/ Microsoft Windows Desktop 11 | zip-архив с MSI-установочным исполняемым файлом | 1 ГБ ОЗУ 60 МБ свободного дискового пространства |
Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022 |
Варианты установки
Локальная установка
Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене.
Подробнее об установке см. 4.4.1. Локальная установка FAM Agent в ОС Windows.
Установка через механизм GPO (групповых политик)
С помощью механизма GPO системный администратор может создавать групповые объекты политик (GPO), которые включают настройки для компьютеров и пользователей, входящих в определенные единицы управления Active Directory.
Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Agent на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене.
Подробнее об установке см. 4.4.2. Установка FAM Agent в ОС Windows через GPO (групповые политики).
Безопасность
Кратковременное хранение учётных данных пользователя в процессе аутентификации
На этапе аутентификации в Avanpost FAM Agent и при авторизации действия перехвата окна Avanpost FAM Agent получает от сервера параметры (в т.ч. учетные данные), использует (подставляет) их и очищает. Таким образом, хранение учетных данных пользователя производится непродолжительное время (в момент аутентификации).
Использование ограниченного времени хранения данных аутентификации уменьшает риски, связанные с хранением данных на клиентском устройстве.
TLS-шифрование передаваемых данных в рамках gRPC-интерфейса
TLS-шифрование передаваемых данных в рамках gRPC-интерфейса – это механизм защиты данных, передаваемых через gRPC-интерфейс, с помощью использования протокола TLS (Transport Layer Security). Этот механизм обеспечивает конфиденциальность, целостность и подлинность передаваемых данных путем шифрования информации на транспортном уровне.
При использовании TLS-шифрования в рамках gRPC-интерфейса данные между клиентом и сервером обмениваются в зашифрованном виде, что позволяет предотвращать их перехват.
Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса".