Avanpost FAM/MFA+ : 3.5.4. Компонент Avanpost FAM Agent

Avanpost FAM Agent – клиентский компонент, устанавливаемый на рабочие станции пользователей под управлением ОС Microsoft® Windows® 7/8/10/11. Данный компонент реализует набор функций для работы механизма Enterprise SSO.

Компонент обеспечивает решение следующих задач:

  • Централизованное управление и аутентификация (пользователь идентифицируется на одном сервисе и получает доступ ко всем необходимым приложениям и сервисам).
  • Поддержка множества приложений и сервисов, включая веб-приложения, SaaS-платформы, корпоративные приложения и т. д.
  • Поддержка SSO для мобильных устройств.
  • Управление правами доступа (Avanpost FAM Agent позволяет пользователям и администраторам управлять правами доступа к различным приложениям и сервисам в рамках одной системы).
  • Поддержка анализа журналов.

Системные требования

Установка компонента Avanpost FAM Agent рекомендуется на следующих серверных, десктопных операционных системах и платформах:

ПлатформаОперационная системаФормат поставкиПрочие требования
Любая современная платформа виртуализации (VMWare, Hyper-V и т.д.), любые 64-битные x86-компьютеры и сервераMicrosoft Windows Desktop (срок поддержки до 2023 включительно)/Microsoft Windows Desktop 8.1/ Microsoft Windows Desktop 10/ Microsoft Windows Desktop 11zip-архив с MSI-установочным исполняемым файлом

1 ГБ ОЗУ

60 МБ свободного дискового пространства

Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022

Варианты установки

Локальная установка

Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене.

Подробнее об установке см. 4.4.1. Локальная установка FAM Agent в ОС Windows.

Установка через механизм GPO (групповых политик)

С помощью механизма GPO системный администратор может создавать групповые объекты политик (GPO), которые включают настройки для компьютеров и пользователей, входящих в определенные единицы управления Active Directory.

Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Agent на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене. 

Подробнее об установке см. 4.4.2. Установка FAM Agent в ОС Windows через GPO (групповые политики).

Безопасность

Кратковременное хранение учётных данных пользователя в процессе аутентификации

На этапе аутентификации в Avanpost FAM Agent и при авторизации действия перехвата окна Avanpost FAM Agent получает от сервера параметры (в т.ч. учетные данные), использует (подставляет) их и очищает. Таким образом, хранение учетных данных пользователя производится непродолжительное время (в момент аутентификации). 

Использование ограниченного времени хранения данных аутентификации уменьшает риски, связанные с хранением данных на клиентском устройстве.

TLS-шифрование передаваемых данных в рамках gRPC-интерфейса

TLS-шифрование передаваемых данных в рамках gRPC-интерфейса – это механизм защиты данных, передаваемых через gRPC-интерфейс, с помощью использования протокола TLS (Transport Layer Security). Этот механизм обеспечивает конфиденциальность, целостность и подлинность передаваемых данных путем шифрования информации на транспортном уровне.

При использовании TLS-шифрования в рамках gRPC-интерфейса данные между клиентом и сервером обмениваются в зашифрованном виде, что позволяет предотвращать их перехват.

Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса".

Обсуждение