Avanpost FAM/MFA+ : 3.5.3. Компонент Avanpost FAM SelfService

Компонент Avanpost FAM SelfService — серверный компонент, предназначенный для публикации в интернет через ДМЗ/DMZ (демилитаризованную зону) личного кабинета, формируемого как на базе одного, так и на базе нескольких экземпляров FAM Server при кластерном размещении.

Компонент обеспечивает следующие функции:

  • безопасной публикации личного кабинета Avanpost FAM Server в интернет через ДМЗ;
  • безопасной публикации IdP-интерфейсов (OAuth/OIDC и SAML) в DMZ;
  • формирования общего личного кабинета (вариант «клиентской балансировки») на основе взаимодействия с несколькими экземплярами FAM Server при кластерной схеме размещения (доступно только для редакции Avanpost FAM).

Сценарии использования

Безопасная публикация личного кабинета в интернет через ДМЗ

Данный сценарий позволяет безопасно публиковать личный кабинет в интернет без необходимости прямой публикации компонентов продукта, размещаемых в КСПД (корпоративной сети передачи данных). 

При этом автоматически публикуется OIDC-интерфейс, используемый для аутентификации пользователей в ЛК SPA веб-приложением личного кабинета из состава продукта. Для аутентификации в ЛК при этом доступны все функции аутентификации продукта, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA и Single Sign-On функционал.

Схема компонентов и их взаимодействий для данного сценария использования: 

Безопасная публикация OAuth/OpenID Connect и SAML IdP-интерфейсов в интернет через ДМЗ

Данный сценарий позволяет безопасно подключать с целью аутентификации приложения двух вариантов размещения:

  • Изначально размещённые в интернете или во внешней по отношению к корпоративному On-premise инфраструктуре (к примеру, облачные сервисы, работающие по модели SaaS, IaaS или размещённые в частной или публичной облачной инфраструктуре приложения);
  • Размещённые в ДМЗ и публикуемые в интернет.

Базовый Identity Provider URL для приложений, подключаемых через компонент Avanpost FAM SelfService, может отличаться от приложений, подключаемых напрямую к OAuth/OIDC/SAML компонента Avanpost FAM Server. Параметр замены IdP URL определяется параметрами настройки в конфигурационном файле компонента Avanpost FAM SelfService.

Через SelfService возможно подключать приложения, поддерживающие OAuth, OpenID Connect и SAML. Для таких приложений доступен весь функционал аутентификации, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA, Single Sign-On. Также доступна функциональность делегированной авторизации (claim-based authorization), для OIDC-приложений посредством передачи групп и вычисления полномочий на основе ролевой модели, а для SAML-приложений - только посредством передачи групп.

Также возможно комбинированное подключение приложений, при котором приложения, публикуемые в интернет, подключаются к IdP-интерфейсу компонента Avanpost FAM SelfService, а приложения, размещённые во внутренней сети КСПД подключаются к IdP-интерфейсу компонента Avanpost FAM Server. 

Схема компонентов, приложений и их взаимодействия для данного сценария использования:


«Клиентская балансировка» объединённого личного кабинета для нескольких экземпляров FAM Server

Доступно в редакции Avanpost FAM

Компонент Avanpost FAM SelfService также предназначен для случаев, когда используется несколько экземпляров Avanpost FAM Server, связанных в отказоустойчивый кластер и синхронизирующих данные посредством репликации. Avanpost FAM SelfService позволяет сформировать общий единый личный кабинет на базе личных кабинетов экземпляров FAM Server.

При этом в стандартной ситуации сформированный общий кабинет в целях безопасности публикуется в DMZ, передавая данные в FAM Server посредством настроенного NATS-сервера. Аналогично FAM Server позволяет публиковать IdP-интерфейсы, предоставляя доступ к приложениям, созданным в Avanpost FAM посредством механизмов OAuth/OIDC и SAML. 

Системные требования

Установка компонента Avanpost SelfService рекомендуется на следующих серверных, десктопных операционных системах и платформах:

ПлатформаОперационная системаCPU,ядро* RAM, ГбHDD, Гб
Docker,
Kubernetes,
любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.)
  • Oracle Linux 8; Oracle Linux 9
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10
  • RedОС Сервер 7, RedОС Сервер 8
  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 11, 12, 13.
8 8100

Варианты развертывания 

Установка Avanpost SelfService допускается на серверы под управлением Linux ОС и Windows ОС:

Мониторинг и контроль

Для автоматического мониторинга и отслеживания состояния на балансировщике компонент предоставляет healthcheck-механизм.

URLПоказатель работоспособностиКритерий работоспособности

/health/live

HTTP 200Служба компонента Avanpost FAM SelfService запущена и успешно обработала входящий запрос
/health/readyHTTP 200Служба компонента Avanpost FAM SelfService успешна подключена хотя бы к одному экземпляру Avanpost FAM Server по NATS

Безопасность 

TLS-шифрование передаваемых данных

При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.

TLS-шифрование обеспечивает следующую функциональность в рамках Avanpost FAM SelfService:

  • Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
  • Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
  • Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.

Публикация личного кабинета в DMZ

Публикация личного кабинета в DMZ позволяет разместить общий личный кабинет, сформированный для экземпляров FAM Server, в отдельном изолированном сегменте сети. Так как отсутствуют прямые контакты между открытыми для общего доступа серверами и экземплярами Avanpost FAM Server, данный подход повышает безопасность, изолируя экземпляры Avanpost FAM Server в случае взлома сервера с общим личным кабинетом.

Авторизация в NATS-сервере доступна следующими способами:

  • Через использование логина и пароля.
  • Через использование токена. 

Обсуждение