Avanpost FAM/MFA+ : Настройка MFA/SSO для Google Workspace

Общие сведения

В статье описывается настройка многофакторной аутентификации (MFA) и Single-Sign On для системы Google Workspace посредством Enterprise SSO-механизма системы Avanpost FAM.

Интеграция Google Workspace с Avanpost FAM по протоколу SAML 2.0 позволяет использовать Avanpost FAM в качестве средства аутентификации и источника информации о пользователях.

Для Google Workspace могут использоваться следующие факторы аутентификации:

  1. Мобильное приложение Avanpost Authenticator (push + TOTP);
  2. SMS;
  3. TOTP;
  4. E-mail;
  5. Мессенджер Telegram;
  6. Электронная подпись;
  7. FIDO WebAuthn/U2F;
  8. Доменная Kerberos-аутентификация;
  9. ЕСИА (Единая система идентификации и аутентификации) в режиме Federation;
  10. OpenID Connect-провайдер в режиме Federation;
  11. SAML-провайдер в режиме Federation.

Предварительные условия

  1. Установлен Сервер системы Avanpost FAM.
  2. Наличие аккаунта администратора системы Avanpost FAM с доступом к административной консоли Avanpost FAM (член группы adminconsole) и ролью admin
  3. Наличие активной подписки Google Workspace с тарифным планом не ниже «Google Workspace Business Starter».
  4. Наличие аккаунта корпоративного администратора с доступом к управлению Google Workspace через административный интерфейс.
  5. Домен, на котором размещён Avanpost FAM, не является основным доменом в Google Workspace.

Настройка

На стороне сервиса Google Workspace

  1. Перейти в раздел «Security» → «Settings», выбрать пункт «Set up single sign-on (SSO) with a third party IdP»:


  2. Настроить подраздел «Set up single sign-on (SSO) with a third party IdP», указав:
    1. Флаг «Set up SSO with third-party identity provider» – установлен.
    2. В поле «Sign-in page URL» указать адрес http://hostname/saml2, где hostname – адрес Сервера Avanpost FAM.
    3. В поле «Sign-out page URL» указать адрес  http://hostname/, где hostname – адрес Сервера Avanpost FAM.
    4. В поле «Verification certificate» загрузить файл сертификата, который расположен на стороне Сервера Avanpost FAM в файле cert.pem (см. Руководство по установке и настройке Avanpost FAM).
    5. Флаг «Use a domain specific issuer» – не активен.
    6. Поле «Network masks» оставить пустым.
    7. В поле «Change password URL» указать адрес http://hostname, где hostname – адрес Сервера Avanpost FAM.
    8. Сохранить изменения.

  3. Итоговый набор параметров должен выглядеть подобным образом:

На стороне административной консоли Avanpost FAM

  1. Создать в административной консоли Avanpost FAM приложение с типом SAML, указав:
    1. В поле «Issuer» - указать «google.com».
    2. В поле «ACS» - указать «https://www.google.com/a/organization.ru/acs», где organization.ru – адрес организации в Google Workspace.
    3. Поле «Base URL» оставить пустым.
    4. Поле «Backchannel-logout URL» оставить пустым. 
    5. В списке «Подпись» выбрать «Подписывать Assertion».
    6. В списке «NameID Format» выбрать «Адрес электронной почты».
    7. В списке «Значение NameID» выбрать вариант «Имя пользователя».
  2. Сохранить изменения.

Проверка настройки

  1. Открыть адрес любого Google-приложения в формате: https://service.google.com/a/example.com/, где service – субдомен приложения из состава Google Workspace, а example.com - основной домен организации в Google Workspace. Пример адреса – «https://calendar.google.com/a/organization.ru».
  2. Google Workspace перенаправит на интерфейс аутентификации через Avanpost FAM:
  3. После прохождения аутентификации пользователь успешно получит доступ к приложению.

Обсуждение