Avanpost FAM/MFA+ : 3.2.8. Смарт-карта

Общие сведения

Avanpost FAM позволяет обеспечить аутентификацию в различные приложения при помощи смарт-карт.

Поддерживается и протестирована работа со следующими смарт-картами:

  • Рутокен ЭЦП 2.0;
  • Рутокен ЭЦП 3.0;
  • Рутокен Lite;
  • JaCarta 2-SE;

  • JaCarta PRO.

Компонент Avanpost FAM Agent поддерживает механизм расширений при помощи плагинов, за счёт которого возможна реализация поддержки других смарт-карт.

Смарт-карты могут использоваться для 2FA/MFA-аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

Требования для аутентификации по смарт-картам в веб-приложения, десктопные приложения и инфраструктурные сервисы:

  • Установленный и настроенный компонент Avanpost FAM Server в инфраструктуре;
  • Установленный и настроенный компонент Avanpost FAM Agent на рабочей станции пользователя;
  • Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.

Требования для аутентификации по смарт-картам на рабочие станции под управлением Windows:

  • Установленный и настроенный компонент Avanpost FAM Server в инфраструктуре;
  • Установленный и настроенный компонент Avanpost FAM Credential Provider на рабочей станции пользователя;
  • Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.

Сценарии использования

Аутентификация в веб-приложения с подтверждением посредством предъявления смарт-карты

Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в веб-приложения, подключенные к Avanpost FAM посредством механизмов OpenID Connect, SAML и Reverse Proxy, при помощи смарт-карты.

Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent под той же учётной записью, под которой он выполняет аутентификацию в веб-приложение.

При аутентификации по смарт-карте в браузере будет выведено сообщение о том, что необходимо подтвердить аутентификацию по смарт-карте в Avanpost FAM Agent, а Avanpost FAM Agent выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.

После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом веб-приложении.

Аутентификация в VPN/VDI (RADIUS) с подтверждением посредством предъявления смарт-карты

Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в VPN/VDI и другие инфраструктурные сервисы, подключенные к Avanpost FAM посредством механизма RADIUS, при помощи смарт-карты.

Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent под той же учётной записью, под которой он выполняет аутентификацию в VPN/VDI или другой инфраструктурный сервис.

При аутентификации по смарт-карте в RADIUS-приложение компонент Avanpost FAM Agent выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.

После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом VPN/VDI/инфраструктурном сервисе.

Аутентификация в десктопные приложения (Enterprise SSO) с подтверждением посредством предъявления смарт-карты

Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в приложения, подключенные к Avanpost FAM посредством механизма Enterprise SSO, при помощи смарт-карты. 

Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent. Сотрудник запускает целевое десктопное приложение, после чего Avanpost FAM Agent выводит сотруднику запрос на предъявление смарт-карты.

После предъявления одной из разрешённых для аутентификации сотрудника смарт-карт и успешной проверки, в том числе с использованием PIN-кода, Avanpost FAM Agent выполняет автоматический ввод учётных данных, полученных с Avanpost FAM Server, в окно аутентификации целевого десктопного приложения. 

Аутентификация на рабочие станции с подтверждением посредством предъявления смарт-карты

Сотрудник может выполнить аутентификацию при помощи смарт-карты на рабочую станцию под управлением Windows с установленным компонентом Avanpost FAM Credential Provider.

Для аутентификации по смарт-карте сотрудник по запросу компонента Avanpost FAM Credential Provider предъявляет смарт-карту. После предъявления одной из разрешённых для аутентификации сотрудника смарт-карты и успешной проверки, в том числе с использованием PIN-кода, Avanpost FAM Credential Provider успешно выполнит аутентификацию сотрудника на рабочей станции.

Выдача смарт-карт пользователям через административную консоль

Для регистрации смарт-карты через административную консоль и выдачи её сотруднику администратор должен указать её параметры:

  • Тип смарт-карты;
  • Серийный номер либо другой идентификатор, используемый для выбранного типа смарт-карт;
  • Требование использовать PIN-код (при наличии функции проверки пин-кода на смарт-карте).

После указания данных параметров смарт-карта может быть назначена сотруднику.

Выдача смарт-карт пользователям через Avanpost FAM Agent

Для регистрации смарт-карты через компонент Avanpost FAM Agent администратор может в сеансе административной учётной записи выполнить считывание параметров предъявленной смарт-карты, после чего ему становятся доступны функции назначения смарт-карты определённому сотруднику.


Обсуждение