Avanpost FAM/MFA+ : 5.4. Управление аутентификацией

Общие сведения

Avanpost FAM предоставляет функциональность многошаговых сценариев аутентификации, позволяющих решить следующие задачи:

  • Выполнить последовательную проверку нескольких факторов при аутентификации в определённую информационную систему;
  • Предоставить пользователю фактор на выбор, если факторов несколько и если интеграционный механизм, посредством которого подключена информационная система, предоставляет возможность выбора;
  • Динамически адаптировать сценарий аутентификации исходя из группы, в которой состоит пользователь, после его идентификации;
  • Динамически адаптировать сценарий аутентификации исходя из различных параметров контекста пользователя:
    • Атрибутов профиля пользователя, как основных, так и дополнительных;
    • Атрибутов запроса (состав атрибутов запроса зависит от интеграционного механизма, посредством которого подключена информационная система).

Сценарий аутентификации

Сценарий аутентификации – фактически реализуемое поведение системы, которая применяется для аутентификации определённого пользователя в определённое приложение.

Реализуемый сценарий аутентификации для определённого пользователя в определённое приложение определяется процессом аутентификации, связанным с приложением.

Также сценарий аутентификации зависит от наличия сессии SSO, в рамках которой уже были проверены какие-либо из требуемых факторов аутентификации.

Процесс аутентификации

Процесс аутентификации – набор правил, по которому выполняется сценарий аутентификации. Процесс аутентификации содержит в себе:

  • Набор шагов, которые должны быть пройдены для аутентификации пользователя; процесс аутентификации может состоять из любого количества шагов;
  • Набора методов аутентификации на каждом шаге, как минимум один из которых должен быть проверен, чтобы шаг считался пройденным; на шаге может быть указан один или несколько факторов.

Одному приложению соответствует строго один процесс аутентификации. При этом один процесс аутентификации может быть назначен нескольким приложениям.

Метод аутентификации

Метод аутентификации — атомарная операция проверки аутентификатора пользователя, ассоциированного с пользователем и указанным методом аутентификации.

Таблица доступных методов аутентификации и их особенностей:


Наименование метода в административной консолиРеализуемый метод аутентификации
1ИдентификацияПредварительная идентификация пользователя
2ScriptДинамическое вычисление сценария аутентификации в соответствии со скриптом, заданным в параметре «Скрипт MFA»
3Вход по QR-кодуОтображение QR-кода пользователю с последующим сканированием мобильным приложением-аутентификатором Avanpost Authenticator
4Внешний провайдерАутентификация посредством стороннего внешнего Identity Provider (OIDC, SAML)
5PasswordАутентификация посредством проверки локального пароля или пароля с проверкой в подключенном LDAP-каталоге
6TOTPАутентификация посредством OTP-кода, вычисляемого посредством алгоритма TOTP
7Avanpost AuthenticatorАутентификация посредством Push в мобильное приложение Avanpost Authenticator или посредством усиленного TOTP
8OTP via E-mailАутентификация посредством ввода OTP-кода, направляемого на электронную почту
9SMSАутентификация посредством ввода OTP-кода, направляемого посредством SMS
10TelegramАутентификация посредством Push в мессенджер Telegram
11СертификатАутентификация посредством электронной подписи
12WebAuthnАутентификация посредством FIDO2 CTAP/Passkeys/WebAuthn/U2F-токенов
13KerberosАутентификация посредством Kerberos
14HardwareАутентификация посредством предъявления аппаратного фактора (смарт-карты, СКУД и т.д.)

Настройка параметров методов аутентификации

Для того, чтобы обеспечить корректное функционирование методов аутентификации, требуется выполнить настройку каждого из указанных методов.

Настройка сценария аутентификации

Сценарий аутентификации настраивается на вкладке MFA.


Обсуждение