Общие сведения
Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности OpenID Connect Federation.
В версиях Avanpost версиях Avanpost FAM Server 1.13.0 и выше доступен усовершенствованный механизм настройки IdP с поддержкой OpenID Connect, SAML, ЕСИА, а также с расширенными возможностями для управления кастомизированными провайдерами идентификации. Более подробно данный механизм описан в Управление внешними провайдерами идентификации (IdP).
Механизм интеграции с OpenID-провайдерами идентификации позволяет решать следующие задачи:
- Первичная загрузка/импорт пользователей из внешнего источника.
- Автоматическое создание пользователя в Avanpost FAM при его добавлении во внешнем источнике.
- Автоматический импорт и обновление атрибутов пользователя при их создании/изменении во внешнем источнике.
- Управление сопоставлением атрибутов пользователя, полученных от внешнего провайдера идентификации.
- Добавление пользователей в ту или иную группу с предварительно настроенным сценарием аутентификации посредством Avanpost FAM.
- Аутентификация с проверкой фактора аутентификации во внешнем источнике.
- Создание, удаление и управление подключениями Avanpost FAM Server к внешним провайдерами идентификации.
- Включение и выключение интеграции с тем или иным провайдером идентификации.
Функциональность настройки OIDC-провайдеров в Avanpost FAM распространяется на следующие типы провайдеров:
- Google - механизм аутентификации через API-интерфейсы Google, поддерживающие OAuth 2.0.
- ЕСИА - механизм аутентификации через Госуслуги, выстроенный на базе стандартов SAML и OpenID Connect 1.0, но с рядом отличий от RFC.
Управление внешними IdP осуществляется в разделе "Настройки внешних провайдеров идентификации (IdP)", который содержит:
- Реестр, отображающий базовую информацию об IdP с поддержкой OIDC;
- Наименование - Название OpenID-провайдера;
- Тип - Обозначение типа IdP:
- google - Google;
- - ЕСИА.
- Статус
- Active - осуществляется взаимодействие между Avanpost FAM и внешним IdP (если настройки провайдера верны);
- Inactive - взаимодействие с внешним OIDC-провайдером приостановлено;
- Элементы поиска - Поисковая строка;
- Кнопка "Добавить" - Нажать для создания нового IdP с поддержкой OIDC Federation.
Добавление OpenID-провайдера
Для добавления нового OpenID-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки OpenID провайдеров" и последовательно заполнить данные в следующих разделах:
- Шаг 1. Основные настройки.
- Шаг 2. Настройки подключения.
- Шаг 3. Настройки интеграции.
- Шаг 4. Завершение.
Наименование параметра | Описание параметра | Для типа провайдера | Обязательность |
---|---|---|---|
Шаг 1. Основные настройки | |||
Имя | Наименование создаваемого OpenID-провайдера | Google, ЕСИА | Да |
Тип | Тип используемого провайдера:
| - | Да |
Группа по умолчанию | Группы, в которые по умолчанию добавляются пользователи, загружаемые посредством OIDC-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы. | Google, ЕСИА | Да |
Шаг 2. Настройки подключения | |||
Client ID | Уникальный идентификатор Avanpost FAM. | Google, ЕСИА | Да |
Client secret | Секрет, который будет использоваться для подключения. | Да | |
Authorize URI | Адрес, на который перенаправляется пользователь для авторизации. | Google, ЕСИА | Да |
Token URI | Адрес конечной точки, где Avanpost FAM может обменять код авторизации на маркер доступа (Access token). | Google, ЕСИА | Да |
Userinfo URI | Адрес конечной точки, где Avanpost FAM может получить данные пользователя. | ЕСИА | Да |
Scope | Области доступа (scopes), т.е. запрашиваемые права. В составе jwt-токена, отправляемого провайдером идентификации будут передаваться claim'ы, входящие в запрошенные scope. | Google, ЕСИА | Да |
Путь к утилитам (CPROCSP_BIN) | Путь к основным утилитам для работы с КриптоПро CSP, расположенных в директории /opt/cprocsp/bin/ установленной КриптоПро CSP. | ЕСИА | Да |
Имя контейнера | Имя ключевого контейнера, выпущенного при регистрации информационной системы (Avanpost FAM) в ЕСИА. | ЕСИА | Да |
Пароль от контейнера | Пароль от ключевого контейнера. | ЕСИА | Да |
SHA1-отпечаток | Хеш-отпечаток сертификата ЕСИА | ЕСИА | Да |
Хеш сертификата клиента | Параметр, содержащий хэш сертификата (fingerprint сертификата) системы-клиента в hex–формате. Используемый для проверки подписи сертификат должен быть предварительно зарегистрирован в ЕСИА63 и привязан к УЗ системы-клиента в ЕСИА. ЕСИА использует сертификаты в формате X.509 и взаимодействует с алгоритмами формирования электронной подписи ГОСТ Р 34.10-2012 и криптографического хэширования ГОСТ Р 34.11-2012. | ЕСИА | Да |
Файл сертификата ЕСИА | Путь к сертификату ЕСИА на сервере Avanpost FAM (например, /opt/idp/esia.cer ). | ЕСИА | Да |
Разрешенные методы аутентификации | Методы аутентификации, разрешенные при аутентификации посредством настраиваемого провайдера идентификации:
| ЕСИА | Да |
Проверять подпись маркера доступа | Чекбокс "Проверять подпись маркера доступа":
| ЕСИА | Да |
Шаг 3. Настройки интеграции | |||
Спрашивать пользователя подтверждение данных перед созданием | Чекбокс "Спрашивать пользователя подтверждение данных перед созданием":
| Да | |
Формат имени для новых пользователей | Выбрать из выпадающего списка:
| ЕСИА | Да |
Разрешить доступ не верифицированным пользователям | Чекбокс "Разрешить доступ не верифицированным пользователям":
| ЕСИА | Да |
Выполнять связывание пользователей | Чекбокс "Выполнять связывание пользователей":
| ЕСИА | Да |
Атрибут IDP для связывания | Наименование атрибута, посредством которого производится связывание, на стороне Avanpost FAM. Заполнение параметра доступно при включенном чекбоксе "Выполнять связывание пользователей". | ЕСИА | Нет |
Атрибут из провайдера для связывания | Наименование атрибута, посредством которого производится связывание, на стороне внешнего OIDC-провайдера. Заполнение параметра доступно при включенном чекбоксе "Выполнять связывание пользователей". | ЕСИА | Нет |
Импорт дополнительных атрибутов пользователя | Перечень дополнительных атрибутов, импортируемых в Avanpost FAM из внешнего провайдера. В данном разделе осуществляется сопоставление наименований атрибутов пользователя во внешнем провайдере и атрибутов пользователя в Avanpost FAM. Представлены в виде таблицы со следующими параметрами:
Для добавления нового атрибута нажать , для удаления - . | ЕСИА | Нет |
Шаг 4. Завершение | |||
Сделать активным | Чекбокс "Сделать активным":
| Google, ЕСИА | Да |
Для перехода на следующий шаг требуется нажать "Далее", для возврата на предыдущий шаг - "Назад". Для отказа от создания OIDC-провайдера следует нажать "Отмена".
Настройка существующего OpenID-провайдера
Настройка добавленного IdP с поддержкой OIDC Federation осуществляется в профиле OIDC-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки OpenID-провайдеров" режима "Сервис". В профиле представлены следующие возможности:
- Кнопка / - Включить/выключить возможность редактирования параметров во вкладках "Основное", "Подключение", "Интеграция";
- Кнопка - Удалить данный IdP (после нажатия кнопки запрашивается подтверждение действия);
- Кнопка "Сохранить" - Сохранить внесенные изменения (доступна после нажатия кнопки );
- Кнопка "Отмена" - Отменить внесение изменений (доступна после нажатия кнопки ).
Чтобы сохранить изменения в OIDC-провайдере, следует нажать "Сохранить". Для отказа от вносимых изменений требуется нажать "Отмена".
Настройка осуществляется во вкладках:
- Основное;
- Подключение;
- Интеграция.
Название параметра | Описание параметра | Для типа провайдера |
---|---|---|
Основное | ||
Основные настройки | ||
ID | Уникальный идентификатор OIDC-провайдера в Avanpost FAM. | Google, ЕСИА |
Имя | Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 1. | Google, ЕСИА |
Группа по умолчанию | ||
Провайдер доступен для использования | Чекбокс "Провайдер доступен для использования":
| Google, ЕСИА |
Иконка | ||
Иконка | Нажать "Выберите файл", чтобы добавить/изменить иконку OIDC-провайдера (после нажатия откроется окно, в котором потребуется указать путь до графического файла) | Google, ЕСИА |
Подключение | ||
Настройки подключения | ||
Client ID | Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 2. | Google, ЕСИА |
Authorize URI | Google, ЕСИА | |
Token URI | Google, ЕСИА | |
Userinfo URI | ЕСИА | |
Scope | Google, ЕСИА | |
Область доступа (scope_org) | ЕСИА | |
Разрешенные методы аутентификации | ЕСИА | |
Проверять подпись маркера доступа | ЕСИА | |
Файл сертификата ЕСИА | ЕСИА | |
Client secret | ||
Интеграция с Crypto PRO | ||
Путь к утилитам (CPROCSP_BIN) | Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 2. | ЕСИА |
Имя контейнера | ЕСИА | |
Пароль от контейнера | ЕСИА | |
SHA1-отпечаток | ЕСИА | |
Хеш сертификата клиента | ЕСИА | |
Завершение сеанса | ||
Завершить сеанс пользователя с выходом из системы | Чекбокс "Завершить сеанс пользователя с выходом из системы":
| ЕСИА |
URI выхода | Адрес, на который направляется пользователь во время выхода из ЕСИА. | ЕСИА |
URI перенаправления после выхода | Адрес, на который направляется пользователь после выхода из ЕСИА. | ЕСИА |
Интеграция | ||
Формат имени для новых пользователей | Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3. | ЕСИА |
Разрешить доступ не верифицированным пользователям | ЕСИА | |
Выполнять связывание пользователей | ЕСИА | |
Выполнять связывание пользователей посредством дополнительной аутентификации | Чекбокс "Выполнять связывание пользователей посредством дополнительной аутентификации":
| ЕСИА |
Спрашивать пользователя подтверждение данных перед созданием | Соответствует параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3. | ЕСИА |
Обновлять атрибуты пользователя при каждом входе | Чекбокс "Обновлять атрибуты пользователя при каждом входе":
| ЕСИА |
Разрешить аутентификацию для нескольких УЗ системы | Чекбокс "Разрешить аутентификацию для нескольких УЗ системы":
| ЕСИА |
Импорт дополнительных атрибутов пользователя | Соответствуют параметрам, используемым при добавлении нового OIDC-провайдера на шаге 3. | ЕСИА |
Выполнять связывание пользователей посредством дополнительной аутентификации | ||
Спрашивать пользователя подтверждение данных перед созданием |