[ Общие сведения ] [ Предварительные условия ] [ Настройка ] [ На стороне сервиса Google Workspace ] [ На стороне административной консоли Avanpost FAM ] [ Проверка настройки ]
Общие сведения
В статье описывается настройка многофакторной аутентификации (MFA) и Single-Sign On для системы Google Workspace посредством Enterprise SSO-механизма системы Avanpost FAM.
Интеграция Google Workspace с Avanpost FAM по протоколу SAML 2.0 позволяет использовать Avanpost FAM в качестве средства аутентификации и источника информации о пользователях.
Для Google Workspace могут использоваться следующие факторы аутентификации:
- Мобильное приложение Avanpost Authenticator (push + TOTP);
- SMS;
- TOTP;
- E-mail;
- Мессенджер Telegram;
- Электронная подпись;
- FIDO WebAuthn/U2F;
- Доменная Kerberos-аутентификация;
- ЕСИА (Единая система идентификации и аутентификации) в режиме Federation;
- OpenID Connect-провайдер в режиме Federation;
- SAML-провайдер в режиме Federation.
Предварительные условия
- Установлен Сервер системы Avanpost FAM.
- Наличие аккаунта администратора системы Avanpost FAM с доступом к административной консоли Avanpost FAM (член группы
adminconsole
) и рольюadmin
. - Наличие активной подписки Google Workspace с тарифным планом не ниже «Google Workspace Business Starter».
- Наличие аккаунта корпоративного администратора с доступом к управлению Google Workspace через административный интерфейс.
- Домен, на котором размещён Avanpost FAM, не является основным доменом в Google Workspace.
Настройка
На стороне сервиса Google Workspace
- Перейти в раздел «
Security
» → «Settings
», выбрать пункт «Set up single sign-on (SSO) with a third party IdP
»: - Настроить подраздел «
Set up single sign-on (SSO) with a third party IdP
», указав:- Флаг «
Set up SSO with third-party identity provider
» – установлен. - В поле «
Sign-in page URL
» указать адресhttp://hostname/saml2
, гдеhostname
– адрес Сервера Avanpost FAM. - В поле «
Sign-out page URL
» указать адресhttp://hostname/
, гдеhostname
– адрес Сервера Avanpost FAM. - В поле «
Verification certificate
» загрузить файл сертификата, который расположен на стороне Сервера Avanpost FAM в файлеcert.pem
(см. Руководство по установке и настройке Avanpost FAM). - Флаг «
Use a domain specific issuer
» – не активен. - Поле «
Network masks
» оставить пустым. - В поле «
Change password URL
» указать адресhttp://hostname
, гдеhostname
– адрес Сервера Avanpost FAM. - Сохранить изменения.
- Флаг «
- Итоговый набор параметров должен выглядеть подобным образом:
На стороне административной консоли Avanpost FAM
- Создать в административной консоли Avanpost FAM приложение с типом SAML, указав:
- В поле «
Issuer
» - указать «google.com
». - В поле «
ACS
» - указать «https://www.google.com/a/organization.ru/acs
», гдеorganization.ru
– адрес организации в Google Workspace. - Поле «
Base URL
» оставить пустым. - Поле «
Backchannel-logout URL
» оставить пустым. - В списке «
Подпись
» выбрать «Подписывать Assertion
». - В списке «
NameID Format
» выбрать «Адрес электронной почты
». - В списке «
Значение NameID
» выбрать вариант «Имя пользователя
».
- В поле «
- Сохранить изменения.
Проверка настройки
- Открыть адрес любого Google-приложения в формате:
https://service.google.com/a/example.com/
, гдеservice
– субдомен приложения из состава Google Workspace, аexample.com
- основной домен организации в Google Workspace. Пример адреса – «https://calendar.google.com/a/organization.ru
». - Google Workspace перенаправит на интерфейс аутентификации через Avanpost FAM:
- После прохождения аутентификации пользователь успешно получит доступ к приложению.