Общие сведения
Avanpost FAM предоставляет функциональность многошаговых сценариев аутентификации, позволяющих решить следующие задачи:
- Выполнить последовательную проверку нескольких факторов при аутентификации в определённую информационную систему;
- Предоставить пользователю фактор на выбор, если факторов несколько и если интеграционный механизм, посредством которого подключена информационная система, предоставляет возможность выбора;
- Динамически адаптировать сценарий аутентификации исходя из группы, в которой состоит пользователь, после его идентификации;
- Динамически адаптировать сценарий аутентификации исходя из различных параметров контекста пользователя:
- Атрибутов профиля пользователя, как основных, так и дополнительных;
- Атрибутов запроса (состав атрибутов запроса зависит от интеграционного механизма, посредством которого подключена информационная система).
Сценарий аутентификации
Сценарий аутентификации – фактически реализуемое поведение системы, которая применяется для аутентификации определённого пользователя в определённое приложение.
Реализуемый сценарий аутентификации для определённого пользователя в определённое приложение определяется процессом аутентификации, связанным с приложением.
Также сценарий аутентификации зависит от наличия сессии SSO, в рамках которой уже были проверены какие-либо из требуемых факторов аутентификации.
Процесс аутентификации
Процесс аутентификации – набор правил, по которому выполняется сценарий аутентификации. Процесс аутентификации содержит в себе:
- Набор шагов, которые должны быть пройдены для аутентификации пользователя; процесс аутентификации может состоять из любого количества шагов;
- Набора методов аутентификации на каждом шаге, как минимум один из которых должен быть проверен, чтобы шаг считался пройденным; на шаге может быть указан один или несколько факторов.
Одному приложению соответствует строго один процесс аутентификации. При этом один процесс аутентификации может быть назначен нескольким приложениям.
Метод аутентификации
Метод аутентификации — атомарная операция проверки аутентификатора пользователя, ассоциированного с пользователем и указанным методом аутентификации.
Таблица доступных методов аутентификации и их особенностей:
Наименование метода в административной консоли | Реализуемый метод аутентификации | |
---|---|---|
1 | Идентификация | Предварительная идентификация пользователя |
2 | Script | Динамическое вычисление сценария аутентификации в соответствии со скриптом, заданным в параметре «Скрипт MFA» |
3 | Вход по QR-коду | Отображение QR-кода пользователю с последующим сканированием мобильным приложением-аутентификатором Avanpost Authenticator |
4 | Внешний провайдер | Аутентификация посредством стороннего внешнего Identity Provider (OIDC, SAML) |
5 | Password | Аутентификация посредством проверки локального пароля или пароля с проверкой в подключенном LDAP-каталоге |
6 | TOTP | Аутентификация посредством OTP-кода, вычисляемого посредством алгоритма TOTP |
7 | Avanpost Authenticator | Аутентификация посредством Push в мобильное приложение Avanpost Authenticator или посредством усиленного TOTP |
8 | OTP via E-mail | Аутентификация посредством ввода OTP-кода, направляемого на электронную почту |
9 | SMS | Аутентификация посредством ввода OTP-кода, направляемого посредством SMS |
10 | Telegram | Аутентификация посредством Push в мессенджер Telegram |
11 | Сертификат | Аутентификация посредством электронной подписи |
12 | WebAuthn | Аутентификация посредством FIDO2 CTAP/Passkeys/WebAuthn/U2F-токенов |
13 | Kerberos | Аутентификация посредством Kerberos |
14 | Hardware | Аутентификация посредством предъявления аппаратного фактора (смарт-карты, СКУД и т.д.) |
Настройка параметров методов аутентификации
Для того, чтобы обеспечить корректное функционирование методов аутентификации, требуется выполнить настройку каждого из указанных методов.
Настройка сценария аутентификации
Сценарий аутентификации настраивается на вкладке MFA.