Общие сведения
Avanpost FAM позволяет обеспечить аутентификацию в различные приложения при помощи смарт-карт.
Поддерживается и протестирована работа со следующими смарт-картами:
- Рутокен ЭЦП 2.0;
- Рутокен ЭЦП 3.0;
- Рутокен Lite;
JaCarta 2-SE;
- JaCarta PRO.
Компонент Avanpost FAM Agent поддерживает механизм расширений при помощи плагинов, за счёт которого возможна реализация поддержки других смарт-карт.
Смарт-карты могут использоваться для 2FA/MFA-аутентификации в приложения, подключенные посредством следующих механизмов интеграции:
- OAuth/OpenID Connect;
- SAML;
- Reverse Proxy;
- RADIUS;
- Enterprise SSO через Avanpost FAM Agent;
- Windows Logon через Avanpost FAM Credential Provider.
Требования для аутентификации по смарт-картам в веб-приложения, десктопные приложения и инфраструктурные сервисы:
- Установленный и настроенный компонент Avanpost FAM Server в инфраструктуре;
- Установленный и настроенный компонент Avanpost FAM Agent на рабочей станции пользователя;
- Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.
Требования для аутентификации по смарт-картам на рабочие станции под управлением Windows:
- Установленный и настроенный компонент Avanpost FAM Server в инфраструктуре;
- Установленный и настроенный компонент Avanpost FAM Credential Provider на рабочей станции пользователя;
- Установленные драйверы, предоставляемые производителем смарт-карт, на рабочей станции пользователя.
Сценарии использования
Аутентификация в веб-приложения с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в веб-приложения, подключенные к Avanpost FAM посредством механизмов OpenID Connect, SAML и Reverse Proxy, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent под той же учётной записью, под которой он выполняет аутентификацию в веб-приложение.
При аутентификации по смарт-карте в браузере будет выведено сообщение о том, что необходимо подтвердить аутентификацию по смарт-карте в Avanpost FAM Agent, а Avanpost FAM Agent выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.
После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом веб-приложении.
Аутентификация в VPN/VDI (RADIUS) с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в VPN/VDI и другие инфраструктурные сервисы, подключенные к Avanpost FAM посредством механизма RADIUS, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent под той же учётной записью, под которой он выполняет аутентификацию в VPN/VDI или другой инфраструктурный сервис.
При аутентификации по смарт-карте в RADIUS-приложение компонент Avanpost FAM Agent выведет пользователю запрос на аутентификацию по смарт-карте с отображением перечня доступных для аутентификации смарт-карт.
После успешного предъявления и проверки смарт-карты, в том числе с использованием PIN-кода, сотрудник будет аутентифицирован в целевом VPN/VDI/инфраструктурном сервисе.
Аутентификация в десктопные приложения (Enterprise SSO) с подтверждением посредством предъявления смарт-карты
Сотрудник, работающий на рабочей станции с установленным компонентом Avanpost FAM Agent, может выполнить аутентификацию в приложения, подключенные к Avanpost FAM посредством механизма Enterprise SSO, при помощи смарт-карты.
Для использования данного механизма сотрудник должен быть аутентифицирован в Avanpost FAM Agent. Сотрудник запускает целевое десктопное приложение, после чего Avanpost FAM Agent выводит сотруднику запрос на предъявление смарт-карты.
После предъявления одной из разрешённых для аутентификации сотрудника смарт-карт и успешной проверки, в том числе с использованием PIN-кода, Avanpost FAM Agent выполняет автоматический ввод учётных данных, полученных с Avanpost FAM Server, в окно аутентификации целевого десктопного приложения.
Аутентификация на рабочие станции с подтверждением посредством предъявления смарт-карты
Сотрудник может выполнить аутентификацию при помощи смарт-карты на рабочую станцию под управлением Windows с установленным компонентом Avanpost FAM Credential Provider.
Для аутентификации по смарт-карте сотрудник по запросу компонента Avanpost FAM Credential Provider предъявляет смарт-карту. После предъявления одной из разрешённых для аутентификации сотрудника смарт-карты и успешной проверки, в том числе с использованием PIN-кода, Avanpost FAM Credential Provider успешно выполнит аутентификацию сотрудника на рабочей станции.
Выдача смарт-карт пользователям через административную консоль
Для регистрации смарт-карты через административную консоль и выдачи её сотруднику администратор должен указать её параметры:
- Тип смарт-карты;
- Серийный номер либо другой идентификатор, используемый для выбранного типа смарт-карт;
- Требование использовать PIN-код (при наличии функции проверки пин-кода на смарт-карте).
После указания данных параметров смарт-карта может быть назначена сотруднику.
Выдача смарт-карт пользователям через Avanpost FAM Agent
Для регистрации смарт-карты через компонент Avanpost FAM Agent администратор может в сеансе административной учётной записи выполнить считывание параметров предъявленной смарт-карты, после чего ему становятся доступны функции назначения смарт-карты определённому сотруднику.