Avanpost FAM/MFA+ : 5.5.2. Управление IdP с поддержкой OIDC Federation

Общие сведения

Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности OpenID Connect Federation.

В версиях Avanpost версиях Avanpost FAM Server 1.13.0 и выше доступен усовершенствованный механизм настройки IdP с поддержкой OpenID Connect, SAML, ЕСИА, а также с расширенными возможностями для управления кастомизированными провайдерами идентификации. Более подробно данный механизм описан в Управление внешними провайдерами идентификации (IdP)

Механизм интеграции с OpenID-провайдерами идентификации позволяет решать следующие задачи:

  • Первичная загрузка/импорт пользователей из внешнего источника.
  • Автоматическое создание пользователя в Avanpost FAM при его добавлении во внешнем источнике.
  • Автоматический импорт и обновление атрибутов пользователя при их создании/изменении во внешнем источнике.
  • Управление сопоставлением атрибутов пользователя, полученных от внешнего провайдера идентификации.
  • Добавление пользователей в ту или иную группу с предварительно настроенным сценарием аутентификации посредством Avanpost FAM. 
  • Аутентификация с проверкой фактора аутентификации во внешнем источнике.
  • Создание, удаление и управление подключениями Avanpost FAM Server к внешним провайдерами идентификации.
  • Включение и выключение интеграции с тем или иным провайдером идентификации.

Функциональность настройки OIDC-провайдеров в Avanpost FAM распространяется на следующие типы провайдеров:

  • Google - механизм аутентификации через API-интерфейсы Google, поддерживающие OAuth 2.0.
  • ЕСИА - механизм аутентификации через Госуслуги, выстроенный на базе стандартов SAML и OpenID Connect 1.0, но с рядом отличий от RFC.

Управление внешними IdP осуществляется в разделе "Настройки внешних провайдеров идентификации (IdP)", который содержит:

  • Реестр, отображающий базовую информацию об IdP с поддержкой OIDC;
    • Наименование - Название OpenID-провайдера;
    • Тип - Обозначение типа IdP: 
      • google - Google;
      • esia - ЕСИА.
    • Статус
      • Active - осуществляется взаимодействие между Avanpost FAM и внешним IdP (если настройки провайдера верны);
      • Inactive - взаимодействие с внешним OIDC-провайдером приостановлено;
  • Элементы поиска - Поисковая строка;
  • Кнопка "Добавить" - Нажать для создания нового IdP с поддержкой OIDC Federation.

Добавление OpenID-провайдера

Для добавления нового OpenID-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки OpenID провайдеров" и последовательно заполнить данные в следующих разделах:

  1. Шаг 1. Основные настройки.
  2. Шаг 2. Настройки подключения.
  3. Шаг 3. Настройки интеграции.
  4. Шаг 4. Завершение.
Наименование параметраОписание параметраДля типа провайдераОбязательность

Шаг 1. Основные настройки

ИмяНаименование создаваемого OpenID-провайдераGoogle, ЕСИАДа
Тип

Тип используемого провайдера:

  • Google;
  • ЕСИА.
-Да
Группа по умолчаниюГруппы, в которые по умолчанию добавляются пользователи, загружаемые посредством OIDC-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы.Google, ЕСИАДа

Шаг 2. Настройки подключения

Client IDУникальный идентификатор Avanpost FAM.Google, ЕСИАДа
Client secretСекрет, который будет использоваться для подключения.GoogleДа
Authorize URIАдрес, на который перенаправляется пользователь для авторизации.Google, ЕСИАДа
Token URIАдрес конечной точки, где Avanpost FAM может обменять код авторизации на маркер доступа (Access token).Google, ЕСИАДа
Userinfo URIАдрес конечной точки, где Avanpost FAM может получить данные пользователя.ЕСИАДа
ScopeОбласти доступа (scopes), т.е. запрашиваемые права. В составе jwt-токена, отправляемого провайдером идентификации будут передаваться claim'ы, входящие в запрошенные scope.Google, ЕСИАДа
Путь к утилитам (CPROCSP_BIN)Путь к основным утилитам для работы с КриптоПро CSP, расположенных в директории /opt/cprocsp/bin/ установленной КриптоПро CSP.ЕСИАДа
Имя контейнераИмя ключевого контейнера, выпущенного при регистрации информационной системы (Avanpost FAM) в ЕСИА.ЕСИАДа
Пароль от контейнераПароль от ключевого контейнера.ЕСИАДа
SHA1-отпечатокХеш-отпечаток сертификата ЕСИАЕСИАДа
Хеш сертификата клиентаПараметр, содержащий хэш сертификата (fingerprint сертификата) системы-клиента в hex–формате. Используемый для проверки подписи сертификат должен быть предварительно зарегистрирован в ЕСИА63 и привязан к УЗ системы-клиента в ЕСИА. ЕСИА использует сертификаты в формате X.509 и взаимодействует с алгоритмами формирования электронной подписи ГОСТ Р 34.10-2012 и криптографического хэширования ГОСТ Р 34.11-2012.ЕСИАДа
Файл сертификата ЕСИАПуть к сертификату ЕСИА на сервере Avanpost FAM (например, /opt/idp/esia.cer).ЕСИАДа
Разрешенные методы аутентификации

Методы аутентификации, разрешенные при аутентификации посредством настраиваемого провайдера идентификации:

  • DS - Электронная подпись;
  • PWD - Пароль (установлен при настройке по умолчанию);
  • QR - QR-код;
  • EBS - Биометрия;
  • DLG - Делегирование;
  • MP -  Мобильное приложение «Госуслуги» по логину;
  • MPRFN - Мобильное приложение «Госуслуги» по ПИН-коду.
ЕСИАДа

Проверять подпись маркера доступа

Чекбокс "Проверять подпись маркера доступа":

  • при установленном чекбоксе Avanpost FAM проверяет подпись Access token, полученного от ЕСИА (рекомендуется);
  • при выключенном чекбоксе Avanpost FAM не проверяет подпись Access token (обычно используется при тестировании).
ЕСИАДа

Шаг 3. Настройки интеграции

Спрашивать пользователя подтверждение данных перед созданием

Чекбокс "Спрашивать пользователя подтверждение данных перед созданием":

  • при установленном чекбоксе после создания нового пользователя в момент первичной авторизации пользователю показываются его данные для подтверждения
  • при выключенном чекбоксе новому пользователю не показываются его данные для подтверждения при первой авторизации;
GoogleДа

Формат имени для новых пользователей

Выбрать из выпадающего списка:

  • Использовать Email - Используется электронная почта пользователя;
  • Использовать Email без домена - Используется username пользователя в его электронной почте (например, для Email пользователя user@example.ru  будет использовано имя user) 
ЕСИАДа

Разрешить доступ не верифицированным пользователям

Чекбокс "Разрешить доступ не верифицированным пользователям":

  • при включенном чекбоксе пользователь с признаком подтвержденности субъекта на стороне ЕСИА (urn:esia:sbj:is_tru) может пройти аутентификацию в Avanpost FAM;
  • при выключенном чекбоксе пользователь с неподтвержденной записью на стороне ЕСИА не может пройти аутентификацию в Avanpost FAM.
 ЕСИАДа

Выполнять связывание пользователей

Чекбокс "Выполнять связывание пользователей":

  • при включенном чекбоксе осуществляется дополнительное связывание пользователя Avanpost FAM и внешнего OpenID-провайдера по атрибуту (помимо уникального идентификатора);
  • при выключенном чекбоксе дополнительное связывание пользователя не проводится.
ЕСИАДа

Атрибут IDP для связывания

Наименование атрибута, посредством которого производится связывание, на стороне Avanpost FAM.

Заполнение параметра доступно при включенном чекбоксе "Выполнять связывание пользователей".

ЕСИАНет

Атрибут из провайдера для связывания

Наименование атрибута, посредством которого производится связывание, на стороне внешнего OIDC-провайдера.

Заполнение параметра доступно при включенном чекбоксе "Выполнять связывание пользователей".

ЕСИАНет

Импорт дополнительных атрибутов пользователя

Перечень дополнительных атрибутов, импортируемых в Avanpost FAM из внешнего провайдера. В данном разделе осуществляется сопоставление наименований атрибутов пользователя во внешнем провайдере и атрибутов пользователя в Avanpost FAM. 

Представлены в виде таблицы со следующими параметрами:

  • Атрибут внешнего провайдера - Наименование импортируемого атрибута на стороне внешнего параметра
  • Атрибут IDP - Наименование импортируемого атрибута в Avanpost FAM.

Для добавления нового атрибута нажать , для удаления - .

ЕСИАНет
Шаг 4. Завершение

Сделать активным

Чекбокс "Сделать активным":

  • при установленном чекбоксе созданный OpenID-провайдер запускается сразу после создания (присваивается статус Active);
  • при выключенном чекбоксе созданный OpenID-провайдер не запускается сразу после создания (присваивается статус Inactive): для запуска требуется активизировать созданный провайдер в его профиле.
Google, ЕСИАДа

Для перехода на следующий шаг требуется нажать "Далее", для возврата на предыдущий шаг - "Назад". Для отказа от создания OIDC-провайдера следует нажать "Отмена".

Настройка существующего OpenID-провайдера

Настройка добавленного IdP с поддержкой OIDC Federation осуществляется в профиле OIDC-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки OpenID-провайдеров" режима "Сервис". В профиле представлены следующие возможности:

  • Кнопка / - Включить/выключить возможность редактирования параметров во вкладках "Основное", "Подключение", "Интеграция";
  • Кнопка - Удалить данный IdP (после нажатия кнопки запрашивается подтверждение действия);
  • Кнопка "Сохранить" - Сохранить внесенные изменения (доступна после нажатия кнопки );
  • Кнопка "Отмена" - Отменить внесение изменений (доступна после нажатия кнопки ).

Чтобы сохранить изменения в OIDC-провайдере, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена".

Настройка осуществляется во вкладках:

  • Основное;
  • Подключение;
  • Интеграция.
Название параметраОписание параметраДля типа провайдера
Основное
Основные настройки
IDУникальный идентификатор OIDC-провайдера в Avanpost FAM.Google, ЕСИА
ИмяСоответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 1.Google, ЕСИА
Группа по умолчанию
Провайдер доступен для использования

Чекбокс "Провайдер доступен для использования":

  • при установленном чекбоксе созданный OpenID-провайдер включен и доступен для использования (переведен в статус "Actice");
  • при выключенном чекбоксе созданный OpenID-провайдер выключен и не доступен для использования (переведен в статус "Inactice").

Google, ЕСИА

Иконка
ИконкаНажать "Выберите файл", чтобы добавить/изменить иконку OIDC-провайдера (после нажатия откроется окно, в котором потребуется указать путь до графического файла)Google, ЕСИА
Подключение
Настройки подключения
Client IDСоответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 2.Google, ЕСИА
Authorize URIGoogle, ЕСИА
Token URIGoogle, ЕСИА
Userinfo URIЕСИА
ScopeGoogle, ЕСИА
Область доступа (scope_org)ЕСИА
Разрешенные методы аутентификацииЕСИА
Проверять подпись маркера доступаЕСИА
Файл сертификата ЕСИАЕСИА
Client secretGoogle
Интеграция с Crypto PRO
Путь к утилитам (CPROCSP_BIN)Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 2.ЕСИА
Имя контейнераЕСИА
Пароль от контейнераЕСИА
SHA1-отпечатокЕСИА
Хеш сертификата клиентаЕСИА
Завершение сеанса

Завершить сеанс пользователя с выходом из системы

Чекбокс "Завершить сеанс пользователя с выходом из системы":

  • при включенном чекбоксе сессия пользователя в Avanpost FAM автоматически завершается, если он вышел из ЕСИА;
  • при выключенном чекбоксе пользователь сессия пользователя в Avanpost FAM остается активной даже если он вышел ЕСИА.
ЕСИА

URI выхода

Адрес, на который направляется пользователь во время выхода из ЕСИА. ЕСИА

URI перенаправления после выхода

Адрес, на который направляется пользователь после выхода из ЕСИА. ЕСИА
Интеграция
Формат имени для новых пользователейСоответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3.ЕСИА

Разрешить доступ не верифицированным пользователям

ЕСИА

Выполнять связывание пользователей

ЕСИА

Выполнять связывание пользователей посредством дополнительной аутентификации


Чекбокс "Выполнять связывание пользователей посредством дополнительной аутентификации":

  • при включенном чекбоксе выполняется связывание пользователей Avanpost FAM и внешнего OIDC-провайдера посредством дополнительной аутентификации (например, если при авторизации посредством внешнего OIDC-провайдера в Avanpost FAM не находится пользователь, связанный с этим провайдером, Avanpost FAM предлагает ввести логин-пароль и на основании введенных данных связывает УЗ в Avanpost FAM и во внешнем провайдером);
  • при включенном переключателе () связывание пользователей Avanpost FAM и внешнего OIDC-провайдера посредством дополнительной аутентификации недоступно.
ЕСИА

Спрашивать пользователя подтверждение данных перед созданием

Соответствует параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3.

ЕСИА

Обновлять атрибуты пользователя при каждом входе

Чекбокс "Обновлять атрибуты пользователя при каждом входе":

  • при включенном чекбоксе Avanpost FAM будет осуществлять запрос к OIDC-провайдеру на обновление атрибутов пользователя при каждом входе пользователя;
  • при выключенном чекбоксе Avanpost FAM не осуществляет запрос к OIDC-провайдеру на обновление атрибутов пользователя при каждом входе;
ЕСИА

Разрешить аутентификацию для нескольких УЗ системы

Чекбокс "Разрешить аутентификацию для нескольких УЗ системы":

  • при включенном чекбоксе допускается использование нескольких учетных записей: пользователю будет предложен выбор учетной записи из списка найденных в Avanpost FAM/создаваемых при помощи внешнего IdP;
  • при выключенном чекбоксе использование нескольких учетных записей недоступно пользователю.
ЕСИА
Импорт дополнительных атрибутов пользователяСоответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3.ЕСИА

Выполнять связывание пользователей посредством дополнительной аутентификации

Google

Спрашивать пользователя подтверждение данных перед созданием

Google


Обсуждение