Компонент Avanpost FAM SelfService — серверный компонент, предназначенный для публикации в интернет через ДМЗ/DMZ (демилитаризованную зону) личного кабинета, формируемого как на базе одного, так и на базе нескольких экземпляров FAM Server при кластерном размещении.
Компонент обеспечивает следующие функции:
- безопасной публикации личного кабинета Avanpost FAM Server в интернет через ДМЗ;
- безопасной публикации IdP-интерфейсов (OAuth/OIDC и SAML) в DMZ;
- формирования общего личного кабинета (вариант «клиентской балансировки») на основе взаимодействия с несколькими экземплярами FAM Server при кластерной схеме размещения (доступно только для редакции Avanpost FAM).
Сценарии использования
Безопасная публикация личного кабинета в интернет через ДМЗ
Данный сценарий позволяет безопасно публиковать личный кабинет в интернет без необходимости прямой публикации компонентов продукта, размещаемых в КСПД (корпоративной сети передачи данных).
При этом автоматически публикуется OIDC-интерфейс, используемый для аутентификации пользователей в ЛК SPA веб-приложением личного кабинета из состава продукта. Для аутентификации в ЛК при этом доступны все функции аутентификации продукта, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA и Single Sign-On функционал.
Схема компонентов и их взаимодействий для данного сценария использования:
Безопасная публикация OAuth/OpenID Connect и SAML IdP-интерфейсов в интернет через ДМЗ
Данный сценарий позволяет безопасно подключать с целью аутентификации приложения двух вариантов размещения:
- Изначально размещённые в интернете или во внешней по отношению к корпоративному On-premise инфраструктуре (к примеру, облачные сервисы, работающие по модели SaaS, IaaS или размещённые в частной или публичной облачной инфраструктуре приложения);
- Размещённые в ДМЗ и публикуемые в интернет.
Базовый Identity Provider URL для приложений, подключаемых через компонент Avanpost FAM SelfService, может отличаться от приложений, подключаемых напрямую к OAuth/OIDC/SAML компонента Avanpost FAM Server. Параметр замены IdP URL определяется параметрами настройки в конфигурационном файле компонента Avanpost FAM SelfService.
Через SelfService возможно подключать приложения, поддерживающие OAuth, OpenID Connect и SAML. Для таких приложений доступен весь функционал аутентификации, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA, Single Sign-On. Также доступна функциональность делегированной авторизации (claim-based authorization), для OIDC-приложений посредством передачи групп и вычисления полномочий на основе ролевой модели, а для SAML-приложений - только посредством передачи групп.
Также возможно комбинированное подключение приложений, при котором приложения, публикуемые в интернет, подключаются к IdP-интерфейсу компонента Avanpost FAM SelfService, а приложения, размещённые во внутренней сети КСПД подключаются к IdP-интерфейсу компонента Avanpost FAM Server.
Схема компонентов, приложений и их взаимодействия для данного сценария использования:
«Клиентская балансировка» объединённого личного кабинета для нескольких экземпляров FAM Server
Доступно в редакции Avanpost FAM
Компонент Avanpost FAM SelfService также предназначен для случаев, когда используется несколько экземпляров Avanpost FAM Server, связанных в отказоустойчивый кластер и синхронизирующих данные посредством репликации. Avanpost FAM SelfService позволяет сформировать общий единый личный кабинет на базе личных кабинетов экземпляров FAM Server.
При этом в стандартной ситуации сформированный общий кабинет в целях безопасности публикуется в DMZ, передавая данные в FAM Server посредством настроенного NATS-сервера. Аналогично FAM Server позволяет публиковать IdP-интерфейсы, предоставляя доступ к приложениям, созданным в Avanpost FAM посредством механизмов OAuth/OIDC и SAML.
Системные требования
Установка компонента Avanpost SelfService рекомендуется на следующих серверных, десктопных операционных системах и платформах:
Платформа | Операционная система | CPU,ядро* | RAM, Гб | HDD, Гб |
---|---|---|---|---|
Docker, Kubernetes, любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.) |
| 8 | 8 | 100 |
Варианты развертывания
Установка Avanpost SelfService допускается на серверы под управлением Linux ОС и Windows ОС:
Мониторинг и контроль
Для автоматического мониторинга и отслеживания состояния на балансировщике компонент предоставляет healthcheck-механизм.
URL | Показатель работоспособности | Критерий работоспособности |
---|---|---|
| HTTP 200 | Служба компонента Avanpost FAM SelfService запущена и успешно обработала входящий запрос |
/health/ready | HTTP 200 | Служба компонента Avanpost FAM SelfService успешна подключена хотя бы к одному экземпляру Avanpost FAM Server по NATS |
Безопасность
TLS-шифрование передаваемых данных
При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.
TLS-шифрование обеспечивает следующую функциональность в рамках Avanpost FAM SelfService:
- Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
- Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
- Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.
Публикация личного кабинета в DMZ
Публикация личного кабинета в DMZ позволяет разместить общий личный кабинет, сформированный для экземпляров FAM Server, в отдельном изолированном сегменте сети. Так как отсутствуют прямые контакты между открытыми для общего доступа серверами и экземплярами Avanpost FAM Server, данный подход повышает безопасность, изолируя экземпляры Avanpost FAM Server в случае взлома сервера с общим личным кабинетом.
Авторизация в NATS-сервере доступна следующими способами:
- Через использование логина и пароля.
- Через использование токена.