Avanpost FAM/MFA+ : 5.1. Управление пользователями

Управление пользователями - функциональность в Avanpost FAM, предназначенная для решения следующих задач:

  • сбор и фиксация данных о пользователях;
  • добавление пользователей, включая добавление пользователей из внешних источников;
  • управление УЗ с возможностью запуска/приостановки УЗ, расширения/ограничения привилегий пользователя;
  • настройка и управление параметрами факторов аутентификации пользователей;
  • Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).
  • передача параметров пользователей в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
  • отображение администратору данных о пользователях.

Функциональность управления пользователями позволяет администратору осуществлять следующие операции с пользовательскими аккаунтами и их данными:

  • поиск и получение информации о пользователях;
  • добавление и удаление пользователей;
  • добавление логинов пользователей в черный список;
  • добавление, редактирование и удаление дополнительных атрибутов пользователей и редактирование основных атрибутов пользователей;
  • управление доступом пользователей к приложениям;
  • управление группами и ролями пользователей;
  • контроль сценариев аутентификации пользователей с возможностью блокировки или разблокировки факторов аутентификации для конкретных пользователей;
  • управление паролями пользователей;
  • управление токенами, OTP-токенами и сертификатами пользователей;
  • управление статусом пользовательских устройств, их удаление и запоминание.

Управление пользователями осуществляется в режиме «Пользователи». Режим «Пользователи» содержит следующие компоненты:

  • реестр пользователей, отображающий базовую информацию о пользователях;
  • элементы управления поиском, включающие поисковую строку и фильтры;
  • кнопку «Добавить пользователя», переводящую на вкладку с формой добавления нового пользователя;
  • кнопку «Операции с несколькими пользователями», переводящую на вкладку с интерфейсом для проведения массовых операций;
  • кнопку «Редактор атрибутов», переводящую на вкладку управления дополнительными атрибутами пользователей;
  • кнопку «Черный список имен», переводящую на вкладку управления черным списком пользователей.

Avanpost FAM реализует функционал Управление устройствами, с которых аутентифицируются пользователи, более подробно описанный в разделе 5.10. Управление устройствами.

Avanpost FAM реализует функционал Управление сессиями, более подробно описанный в разделе 5.9. Управление сессиями.

Поиск пользователей

Управление поиском осуществляется при помощи поисковой строки и фильтров. Поисковая строка позволяет искать пользователей по значениям атрибутов «Имя», «Фамилия», «Логин», «E-mail», «Телефон». При этом в реестре отображается следующая информация.

Название параметраЗначение параметра
ПользовательИмя, фамилия и домен пользователя
E-mailАдрес электронной почты пользователя
Статус

Статусы УЗ пользователей:

  • включенная УЗ () или выключенная УЗ ()
  • требующая активации () или уже активированная (без значка)

Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации с целью последующего получения необходимых сведений. Управление фильтрами осуществляется вводом данных в поля элемента интерфейса, которые можно развернуть нажатием на кнопку управления фильтрами.

Название фильтраЗначение фильтра
Имя Ввести имя пользователя 

Фамилия

Ввести фамилию пользователя 
ЛогинВвести логин пользователя 
E-mailВвести адрес электронной почты пользователя 
ТелефонВвести номер телефона пользователя
ДоменВвести домен пользователя
Активный 

Установить или убрать флажок

  • при установленном флажке будут показываться пользователи с активными УЗ;
  • при выключенном флажке будут показываться пользователи с неактивными УЗ.
Заблокирован

Установить или убрать флажок

  • при установленном флажке будут показываться пользователи, чей аккаунт выключен;
  • при выключенном флажке будут показываться пользователи, чей аккаунт включен.
Атрибуты 

Выбрать из списка ключ дополнительного атрибута. Ввести значение атрибута.

Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы очистить выбранные параметры фильтров, нажать «Сбросить фильтр».

Добавление пользователей и атрибутов

Создание пользователей и обновление их атрибутов возможны следующими способами:

  • администратором вручную;
  • синхронизацией с LDAP-каталогами и при использовании LDAP-аутентификации в Avanpost FAM;
  • через API с использованием HTTP-протокола;
  • с использованием внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider;
  • через функцию самостоятельной регистрации;

Для описания пользователей используются пары атрибут-значение. Каждый пользователь обладает набором атрибутов, которые можно разделить на две группы: основные и дополнительные.

  1. Основные атрибуты формируют базовую информацию о пользователе. Основные атрибуты установлены в продукте изначально, и администратор может редактировать их значения, но не удалять сами атрибуты.
  2. Дополнительные атрибуты добавляются, удаляются и редактируются администратором, исходя из задач и потребностей.

Управление дополнительными атрибутами пользователей

Avanpost FAM позволяет администратору задавать значения дополнительных атрибутов, которые могут использоваться для:

  • настройки нестандартных сценариев аутентификации;
  • передачи данных в подключенные приложения.

При настройке специфических или расширенных сценариев аутентификации администратор пишет скрипт, который ставит сценарий аутентификации в зависимость от тех или иных атрибутов. Более подробно разработка скрипта описывается в разделе Разработка скрипта MFA.

Avanpost FAM дает возможность настроить дополнительные атрибуты, которые будут загружаться и обновляться из подключенных LDAP-каталогов. Для настройки дополнительных атрибутов следует перейти на вкладку «Редактор атрибутов» сервиса «Пользователи». Редактор атрибутов содержит следующие компоненты:

  • реестр, содержащий данные о дополнительных атрибутах и позволяющую изменять/добавлять и обновлять данные о них;
  • кнопку «Добавить атрибут», переводящую на страницу добавления нового атрибута.

В реестре дополнительных атрибутов содержатся следующие данные.

Название параметраЗначение параметра
Имя атрибута Наименование атрибута, загружаемого из подключенного LDAP-каталога.
ОписаниеОписание атрибута, которое может ввести администратор для упрощения работы с атрибутами.

На «Редакторе атрибутов» имеются кнопки с со следующими функциональностями.

НазваниеНазначение
Добавить атрибутПереводит во вкладку, в которой доступен ввод имени и описания атрибута с последующим сохранением данных или отменой действия.
ИзменитьПереводит во вкладку, в которой доступно изменение имени и описания выбранного атрибута с последующим сохранением или отменой изменений.
УдалитьПосле подтверждения удаляется выбранный атрибут.
ОбновитьОбновляет данные о дополнительных атрибутах.

Добавление пользователей и атрибутов вручную

Для добавления нового пользователя требуется перейти во вкладку «Новый пользователь», нажав кнопку «Добавить пользователя» сервиса «Пользователи». В данной вкладке следует ввести значения основных атрибутов пользователя согласно таблице.

Название атрибута

Значение атрибута 

Логин

Логин пользователя.

Если логин не указан, сохранение нового пользователя недоступно. Если логин совпадет с уже существующим, сохранение нового пользователя будет недоступно и появится соответствующее предупреждение.

Фамилия

Фамилия пользователя.

Если фамилия не указана, сохранение нового пользователя недоступно.

Имя

Имя пользователя.

Если имя указано, сохранение нового пользователя недоступно.

ОтчествоОтчество пользователя.
Адрес электронной почты

Адрес электронной почты пользователя.

Если адрес электронной почты не указан, сохранение нового пользователя недоступно. Avanpost FAM не позволит сохранить нового пользователя и выдаст предупреждение в следующих случаях:

  • пользователь с введенным адресом электронной почты уже зарегистрирован;
  • вводимый адрес электронной почты не соответствует общепринятому формату.
 ДоменДомен пользователя.
ТелефонТелефон пользователя.

Помимо заполнения значений основных атрибутов в продукте имеется возможность выбрать способ настройки пароля и настроить дополнительные опции.

Название опцииОписание опции
Настройка пароля

Выбор способа настройки пароля пользователем. Допускается установить или убрать флажок «Отправить приветствие со ссылкой для смены пароля»:

  • при установленном флажке на электронную почту нового пользователя направляется письмо со ссылкой на форму настройки пароля — после перехода по ссылке пользователю предлагается самостоятельно установить пароль, который будет использоваться при следующей аутентификации в продукте;
  • при выключенном флажке администратору предлагается самостоятельно установить и подтвердить пароль для дальнейшей передачи пользователю.
Дополнительные опции

Допускается установить или убрать флажок «Сделать пользователя активным»:

  • при установленном флажке пользователь активируется в Avanpost FAM сразу после создания учетной записи и может аутентифицироваться для дальнейшей работы;
  • при выключенном флажке пользователь не может аутентифицироваться в Avanpost FAM до тех пор, пока администратор не активирует аккаунт.

Допускается установить или убрать флажок «Добавить в группу по умолчанию»:

  • при установленном флажке пользователь добавляется в группу, установленную по умолчанию, получая права, возможности и сценарии аутентификации, настроенные для данной группы;
  • при выключенном флажке пользователь не добавляется в какие-либо группы и не получает прав и возможностей, настроенных для группы по умолчанию, до тех пор, пока администратор не включит пользователя в какую-либо группу.

Назначение группы по умолчанию осуществляется в режиме «Группы» и более подробно описан в разделе Управление доступом.

Добавление пользователей и атрибутов из LDAP-каталогов

Встроенная функциональность LDAP-синхронизации и LDAP-аутентификации позволяет Avanpost FAM совершать следующие операции с пользователями и их атрибутами:

  • первичная загрузка данных о пользователях.
  • поддержка актуальности данных о пользователях.
  • загрузка информации о членстве пользователей.

Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать LDAP-каталоги как на базе OpenLDAPMS AD, FreeIPA, Avanpost DS и т.д., информация о настройке и сценариях использования которых дана в соответствующих разделах.

Настройка LDAP-провайдера для импорта данных пользователей и групп описана в разделе Управление LDAP-источниками.

Добавление пользователей и атрибутов через API

Avanpost FAM позволяет добавлять пользователей сторонним приложениям через API с использованием HTTP-протокола. Добавление пользователя осуществляется путем аутентификации пользователя в стороннем доверенном приложении, взаимодействующим с Avanpost FAM через API. При первой аутентификации через стороннее приложение Avanpost FAM автоматически создает пользователя, присваивая ему атрибуты из внешнего приложения. 

Добавление пользователей и атрибутов через внешние IdP

Avanpost FAM позволяет создавать пользователей при помощи внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider. Если вход в Avanpost FAM осуществляется с при помощи IdP, пользователь создается автоматически и ему присваиваются атрибуты, полученные от внешнего IdP-провайдера. 

Информация о настройке импорта пользователей из стороннего Identity Provider, поддерживающего OpenID Connect Federation дана в разделе Управление IdP с поддержкой OIDC Federation. Информация о настройке импорта пользователей через SAML Identity Provider дана в разделе Управление SAML-источниками

Самостоятельная регистрация пользователей

Avanpost FAM предоставляет функцию самостоятельной регистрации пользователей и возможность управления ей как на уровне всего продукта, так и для конкретных приложений, доступ к которым осуществляется через Avanpost FAM. Политика регистрации в отношении пользователей осуществляется следующими способами:

  • через административную консоль во вкладке "Настройки регистрации" режима "Сервис";
  • через профиль приложения;
  • через конфигурационный файл. 

Во вкладке "Настройки регистрации" режима "Сервис" настраиваются параметры самостоятельной регистрации для Avanpost FAM по умолчанию. Для редактирования требуется нажать и настроить следующие параметры:

Наименование параметра Описание параметра
Включена

Заполнить чекбокс:

  • При включенном флажке самостоятельная регистрация по умолчанию доступна для пользователя;
  • При выключенном флажке самостоятельная регистрация по умолчанию не доступна для пользователя. 

Отключить ограничение уникальности для электронной почты и номера телефона

Заполнить чекбокс (управление настройкой доступно только администратору системы Avanpost FAM):

  • При включенном флажке обеспечивается возможность создания УЗ пользователей с одинаковыми значениями параметров E-mail/номера телефона при наличии у данных УЗ различных доменов (режим, в котором идентификация пользователей в рамках всего экземпляра системы будет осуществляться исключительно по логину или комбинации логина и домена в формате "домен/логин").
  • При выключенном флажке уникальность электронной почты и номера телефона сохраняется.

    Доменом в данном случае является фиксированное короткое логическое название приложения, подключаемого к Avanpost FAM посредством RADIUS-протокола или через REST API. Avanpost FAM предоставляет интерфейс создания логина, идентичного логину клиента подключаемого приложения.

    В случае, если ограничение уникальности для электронной почты и номера телефона отключено, API-запросы, направляемые интегрируемой системой-клиентом к Avanpost FAM, должны принимать комбинацию домена/логина пользователя в формате "домен/логин" (примеры и описание API-запросов задокументированы по ссылке).

После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Настройка регистрации через профиль приложения осуществляется в разделе "Настройки регистрации" вкладки "Настройки" и описаны в разделе Управление приложениями в статьях, посвященных разным типам приложений. Настройки регистрации для приложения (разрешение/запрет саморегистрации) применяются в приложении вне зависимости от политик регистрации в Avanpost FAM.

Настройка регистрации через конфигурационный файл осуществляется в следующей секции.

[selfregistration]
redirectUrl = 'https://<your_redirect_URL_after_registration>'
disabled = false

Параметры имеют следующее значение:

  • disabled - разрешает (false) или запрещает (true) самостоятельную регистрацию пользователем.
  • redirectUrl -

Когда саморегистрация разрешена, при входе в Avanpost FAM незарегистрированному пользователю требуется нажать кнопку "Регистрация" и заполнить следующие поля:

  • Логин;
  • Фамилия;
  • Имя;
  • Адрес электронной почты;
  • Пароль;
  • Подтверждение пароля;
  • Код с картинки (CAPTCHA).

Управление УЗ пользователя 

Avanpost FAM позволяет централизованно управлять всеми параметрами пользователя из УЗ пользователя. Из вкладки УЗ пользователя администратор может решать следующие задачи:

  • получение данных о пользователях;
  • изменение атрибутами пользователей;
  • управление привилегиями пользователей через добавление/удаление ролей и удаления из групп;
  • настройку факторов аутентификации и их параметров;
  • управление паролями;
  • управление сроком действия УЗ пользователя;
  • настройка токенов, сертификатов и OTP-токенов для конкретного пользователя.

Для перехода в профиль пользователя администратору следует найти необходимого пользователя при помощи реестра режима «Пользователи» и выбрать его в столбце «Пользователь». УЗ пользователя содержит разделы: «Профиль», «Приложения», «Группы и роли», «Факторы», «Безопасность», «Дополнительно». Подробная информация о данных и возможностях в разделах содержится в таблице.

Вкладка/ОписаниеПрофиль ПриложенияГруппы и ролиФакторыБезопасностьДополнительно

Назначение

Вкладка «Профиль» предназначена для получения и редактирования атрибутов пользователя, получения данных о способе создания УЗ и о внешних УЗ.

Вкладка «Приложения» предназначена для получения данных о приложениях, доступных пользователю и управления учеными записями пользователя в различных приложениях.

При переходе в «Приложения» администратор может выбрать из вкладок:

  • «Приложения»;
  • «Учетные записи».

Вкладка «Группы и роли» предназначена для получения данных о группах, в которых состоит пользователь, и ролях, присвоенных пользователю, а также для управления ролями и группами пользователя.

При переходе в «Группы и роли» администратор может выбрать из вкладок:

  • «Группы»;
  • «Роли».

Вкладка «Факторы» предназначена для получения информации о факторах аутентификации, доступных в продукте, для блокировки и разблокировки факторов аутентификации для конкретного пользователя.

Вкладка «Безопасность» предназначена для получения данных об устройствах и сессиях пользователя, управления паролями пользователя и сроком действия его учетной записи.

При переходе в «Безопасность» администратор может выбрать из вкладок:

  • «Учетная запись»;
  • «Устройства»;
  • «Текущие сессии».

Вкладка «Дополнительно» предназначена для привязки/удаления к УЗ пользователя usb-токенов, смарт-карт, аппаратных OTP (TOTP), программных TOTP-токенов и сертификатов электронной подписи

При переходе в «Дополнительно» администратор может выбрать из вкладок:

  • «Токены»;
  • «Сертификаты»;
  • «OTP-токены».

Параметры и возможности

Вкладка «Профиль» содержит информацию об УЗ пользователя:

  1. Основные атрибуты
  • Логин;
  • Фамилия;
  • Имя;
  • Отчество;
  • Электронная почта;
  • Домен;
  • Телефон.

Основные атрибуты доступны для редактирования при нажатии кнопки .

2. Дополнительные атрибуты

Дополнительные атрибуты в соответствии с настройками. Дополнительные атрибуты доступны для редактирования при нажатии кнопки . При этом дополнительные атрибуты, которым не присвоены значения, не отображаются до нажатия кнопки редактирования.

3. Способ создания учетной записи

  • Дата создания пользователя

Дата и время создания пользователя.

  • Тип пользователя

В продукте предусмотрены следующие типы пользователей:

    • внутренний
    • внешний
  • Источник

Способ добавления пользователя в Avanpost FAM.

4Внешние учетные записи

В Avanpost FAM хранятся следующие данные о внешних учетных записях пользователей:

  • Название поставщика - наименование внешнего сервиса, в котором зарегистрирована УЗ пользователя;
  • Ключ ID - идентификатор внешней УЗ пользователя;
  • Дата связывания с учетной записью - дата и время, когда УЗ в Avanpost FAM была связана с внешней УЗ;
  • Дата и последнего использования - дата и время последнего использования.

Приложения

Во вкладке «Приложения» содержатся данные о доступных пользователю приложениях. Вкладка содержит реестр со следующими данными о приложениях:

  • Наименование - логотип и название приложения ;
  • Тип приложения - способ аутентификации в приложении:
    • openid - OAuth/OpenID Connect;
    • saml - SAML;
    • radius - RADIUS;
    • agent - Avanpost Agent;
    • reverseproxy - Reverse Proxy;
    • windowslogon - Windows Logon;
    • linuxlogon - Linux Logon;
    • ldapproxy - LDAP Proxt;
    • deskktop - Avanpost Agent;
  • Статус приложения:
    • активное;
    • неактивное.

Вкладка позволяет обновить данные о приложениях, нажав значок .

Вкладка предоставляет возможность перейти в профиль управления приложением, нажав на наименование приложения.

Более подробное описание возможностей вкладки управления приложением в разделе Управление приложениями.



Учетные записи

Вкладке «Учетные записи» предназначена для:

  • создания новых учетных записей в приложениях доступных пользователю;
  • редактирования существующих учетных записей в приложениях, доступных пользователю.

Вкладка «Учетные записи» содержит:

  • реестр со следующими параметрами учетных записей пользователя:
    • учетная запись - логин, под которым пользователь авторизуется в приложении;
    • приложение - наименование приложения;
    • комментарий - комментарий администратора.
  • кнопку добавления новой учетной записи в приложении ;
  • кнопку просмотра установленного пароля для учетной записи в приложении - при нажатии открывается форма для просмотра установленного пароля;
  • кнопка изменения установленного пароля для учетной записи в приложении - при нажатии в  открывшейся форме администратору предлагается ввести и подтвердить новый пароль;
  • кнопка удаления выбранной учетной записи для приложении.

При добавлении новой учетной записи в приложении перед администратором открывается форма, предлагающая ввести следующие данные:

  • логин - логин пользователя в приложении (может отличаться от логина в Avanpost FAM);
  • пароль - пароль пользователя в приложении (может отличаться от пароля в Avanpost FAM);
  • подтверждение пароля;
  • приложение - требуется выбрать приложение из выпадающего списка;
  • домен - домен пользователя (может отличаться от домена в Avanpost FAM, устанавливается опционально);
  • комментарий - комментарий администратора (добавляется опционально);

При нажатии в реестре на наименование учетной записи открывается форма для редактирования следующих данных:

  •  логин;
  • домен;
  • комментарий.

Группы

Во вкладке «Группы» содержатся данные о группах, в которых состоит пользователь. Вкладка содержит реестр с наименованиями групп. 

При помощи реестра можно совершать следующие действия:

  • удалять пользователя из групп путем нажатия кнопки , лишая пользователя соответствующих прав и привилегий;
  • искать группы при помощи поисковой строки;
  • переходить в профиль группы путем нажатия на нее.

При переходе в профиль группы открываются возможности для ее настройки, более подробно описанные в разделе Управление доступом.

Роли

Во вкладке «Роли» содержатся данные о ролях, присвоенных пользователю. Вкладка содержит реестр со следующими данными:

  • Роль - название роли;
  • Описание - описание роли, добавляемое опционально
  • Тип - тип роли:
    • system - системные роли, дающие возможность работы с элементами Avanpost FAM, более подробно описанные в разделе Спецификации ролей администраторов;
    • custom - роли, настраиваемые для работы со сторонними приложениями;
  • Приложение - приложения, доступ к которым обеспечивается назначением данной роли;
  • Назначена - переключатель назначения/отзыва роли.

При помощи вкладки роли администратор может совершать следующие действия:

  • искать роли по наименованиям при помощи поисковой строки;
  • назначать/отзывать роли нажатием на переключатель в графе Назначена;
  • переходить во вкладку редактирования ролей при нажатии на выбранную роль.

При переходе в профиль группы открываются возможности для ее настройки, более подробно описанные в разделе Управление доступом.


Вкладка «Факторы» следующую информацию о факторах аутентификации:

    • Подтвержден/подключен (кроме входа по QR-коду, SMS и USB-токена): да/нет;
    • Заблокирован: да/нет;
    • Идентификатор (Paycontrol User ID, номер телефона, адрес электронной почты, серийный номер токена и т.д.) в зависимости от фактора аутентификации;
    • Дата последнего использования (кроме входа по QR-коду и USB-токена);
    • Дата привязки фактора (кроме входа по QR-коду, Avanpost Authenticator и USB-токена);

Администратор обладает следующими инструментами влияния на сценарий аутентификации данного пользователя:

  1. Кнопка «Заблокировать». После нажатия и подтверждения действия позволяет заблокировать данный фактор аутентификации для пользователя. 
  2. Кнопка «Разблокировать» появляется после блокировки фактора аутентификации и позволяет восстановить возможность использования данного фактора для пользователя. 
  3. Кнопка «Удалить» (для фактора Avanpost Authenticator) позволяет удалить фактор для данного пользователя.

При блокировке фактора аутентификации Avanpost Authenticator пользователю не требуется привязывать фактор к новому устройству. Фактор остается заблокирован вне зависимости от устройства, с которого происходит аутентификация.

При удалении фактора аутентификации Avanpost Authenticator пользователю требуется вновь привязывать данный фактор к устройству через приложение.

 

 

Учетная запись

Вкладка «Учетная запись» позволяет совершать следующие действия:

  • задавать новый пароль пользователя;
  • сбрасывать старый пароль пользователя;
  • добавлять, изменять или удалять дату блокировки аккаунта.

Для изменения пароля пользователя следует нажать кнопку «Задать новый пароль», ввести новый пароль и подтвердить его. 

Чтобы сбросить пароль, следует нажать кнопку «Сбросить».  После подтверждения сброса пароля администратор сможет задать новый пароль в текстовой строке.

Для установки/изменения даты и времени блокировки аккаунта следует нажать на кнопку и выбрать/отредактировать дату или очистить строку.

Устройства

Вкладка «Устройства» позволяет совершать следующие действия:

  • получать данные об устройствах пользователя;
  • добавлять устройства пользователя в запомненные;
  • удалять устройства пользователя из запомненных.

Вкладка содержит реестр со следующими параметрами устройств пользователя:

  • Описание;
  • Тип;
  • Статус;
  • Последнее изменение статуса;
  • Запомнено.

Администратор может получить дополнительные данные о параметрах устройства, нажав на , или перейти в профиль устройства, нажав на его наименование. Администратор может добавить устройства в запомненные, поставив флажок в графе «Запомнено».

Функционал управления устройствами и их параметры более подробно описаны в разделе 5.10. Управление устройствами

Текущие сессии

Вкладка «Текущие сессии» позволяет совершать следующие действия:

  • получать информацию о сессиях пользователя;
  • удалять отдельные сессии или очищать список сессий пользователя;

 Вкладка содержит реестр со следующими параметрами:

  • IP-адрес;
  • Начало;
  • Истекает;
  • Браузер;
  • Платформа;
  • Устройство;
  • Факторы аутентификации.

Для обновления данных о сессиях пользователя следует нажать . Чтобы очистить данные о сессиях пользователя, следует нажать «Очистить». Чтобы удалить данные о конкретной сессии, следует нажать напротив нее.

Функционал управления сессиями и их параметры более подробно описаны в разделе 5.9. Управление сессиями

 

Токены

Вкладка «Токены» позволяет администратору совершать следующие действия:

  • добавление токенов пользователя;
  • удаление токенов пользователя;
  • изменение токенов пользователя
  • получение информации о токенах пользователя.

Вкладка содержит реестр с токенами и данными о них (Серийный номер). Для добавления нового токена следует нажать кнопку . В открывшейся форму необходимо ввести следующие данные:

  • серийный номер токена в текстовом поле;
  • установить или убрать флажок "Требовать пин-код"
    • при установленном флажке у пользователя запрашивается пин-код при использовании данного токена для аутентификации;
    • при выключенном флажке пин-код при использовании данного токена не запрашивается.

Для удаления токена необходимо нажать «Удалить» напротив выбранного сертификата, для внесения изменений - кнопку «Изменить». 

Сертификаты

Вкладка «Сертификаты» позволяет администратору совершать следующие действия:

  • добавление сертификатов ЭП пользователя;
  • удаление сертификатов ЭП пользователя;
  • получение информации о сертификатах пользователя.

Вкладка содержит реестр с сертификатами и данными о них (Серийный номер, Издатель). Для добавления нового сертификата следует нажать кнопку  и загрузить в открывшейся форме файл формата .cer с сертификатом. Для удаления сертификата необходимо нажать «Удалить» напротив выбранного сертификата и подтвердить действие. 

OTP-токены

Вкладка «Сертификаты» позволяет администратору совершать следующие действия:

  • назначать OTP-токены данному пользователю;
  • удалять токены, привязанные к данному пользователю;
  • получать информацию о токенах пользователя.

Во вкладке доступен реестр со следующей информацией о токенах:

  • Серийный номер - серийный номер токена;
  • Производитель - наименование производителя токена;
  • Модель - модель носителя для аппаратного генератора/soft - для программного;
  • Длина пароля - количество символов в пароле;
  • Алгоритм - тип алгоритма хеширования;
  • Период - время действия токена;
  • Статус - активен/заблокирован;
  • Привязан - время и дата привязки.

Назначение новых токенов возможно двумя способами:

  1. При нажатии на кнопку «Назначить токены» открывается вкладка, содержащая реестр токенов и поисковую строку. Администратор может назначить соответствующие токены, выбрав их и «Сохранить»
  2. При нажатии на кнопку «Назначить новый токен» открывается вкладка «Регистрация нового токена», которая позволяет назначить пользователю новый токен. Регистрация нового токена более подробна описана в разделе .

Для изменения параметров токена следует нажать на него и перейти во вкладку токена. Более подробно добавление и изменение параметров OTP-токена рассмотрено в разделе Настройка метода аппаратный OTP. Чтобы отвязать токен от данного пользователя, следует нажать на .

 

Управление черным списком

Функция черного списка предназначена для исключения возможности использования указанного логина. Логины, внесенные в черные список имен, не могут быть зарегистрированы в Avanpost FAM даже при отсутствии/удалении соответствующих пользователей.

Продукт позволяет проводить следующие операции с черным списком пользователей:

  • получение информации о черном списке;
  • добавление логинов пользователей в черный список;
  • удаление логинов пользователей из черного списка.

Управление черным списком через административную консоль доступно, если в конфигурационном файле Avanpost FAM Server включено использование черных списков (в разделе [usernameBlacklistPolicy] установлен параметр active = true).

Для управления черным списком следует перейти в соответствующую форму, нажав на кнопку «Черный список имен» в режиме «Пользователи». Форма «Черный список имен» содержит следующие компоненты:

  • кнопку «Добавить имя», переводящую на страницу добавления нового имени в черный список;
  • реестр, содержащий данные о логинах и времени блокировки пользователей с возможностью исключения из черного списка.

При нажатии на кнопку «Добавить имя» открывается форма добавления пользователя в черный список.

Наименование параметраЗначение параметра
Имя пользователяВвести логин, который требуется заблокировать.
Время блокировки
  • при включенном флажке «Навсегда» пользователь блокируется бессрочно.
  • при выключенном флажке «Навсегда» предлагается заполнить форму с датой, до которой будет заблокирован пользователь.

Реестр черного списка имен содержит следующую информацию о пользователях:

  • логин заблокированного пользователя;
  • дату блокировки пользователя;
  • дату, когда пользователь будет разблокирован, или ее отсутствие, если пользователь заблокирован бессрочно.

В реестре представлена возможность удаления логина пользователя из черного списка нажатием на кнопку .

Управление приветственными сообщениями

Avanpost FAM предоставляет администратору функциональность настройки текста приветственных сообщений, отправляемых на электронную почту новых пользователей продукта. Функциональность позволяет:

  • передавать настраиваемые приветственные сообщения с логином или доменом/логином пользователей, добавленных через административную консоль FAM Server;
  • передавать настраиваемые приветственные сообщения с логином пользователей, зарегистрировавшихся самостоятельно.

Для передачи логина (или домена/логина) УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:

  1. Перейти в шаблон расположенный changepasswordlink.html по пути public\templates\default и доступный для редактирования на языке разметки HTML5.
  2. Добавить в шаблон блок кода в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок. настройка приветствия по логину или по домену/логину): в примере при наличии у пользователя домена передается приветствие с доменом/логином, при отсутствии - только с логином.
<!--
<p> 
Hello 
    [{ if .Domain }]
        [{ .Domain }]\[{ .Username }]
    [{ else }]
        [{ .Username }]
    [{end}]
</p>
-->

<a href="[{$path}][{.PasswordChangeLink}]">[{.PasswordChangeLinkMessage}]</a>
<hr>
[{.PasswordChangeLinkMessageIgnore}]

Для передачи логина УЗ в приветственном E-mail самостоятельно зарегистрировавшемуся пользователю следует:

  1. Перейти в шаблон selfregistration-emailmessage.html, расположенный по пути /public/templates/default и доступный для редактирования на языке разметки HTML5.
  2. Отредактировать шаблон в соответствии с шаблоном ниже (допускается использование иного приветственного сообщения, вставка ссылок).
[{ $path := path }]
<!-- <p>Welcome, your login: <b> [{.Login}]</b></p> -->
<a href="[{$path}][{.Link}]">[{.ConfirmationLink}]</a>


Обсуждение