Компонент Avanpost FAM SelfService


[ Сценарии использования ] [ Системные требования ] [ Варианты развертывания ] [ Мониторинг и контроль ] [ Безопасность ]

Компонент Avanpost FAM SelfService — серверный компонент, предназначенный для публикации в интернет через ДМЗ/DMZ (демилитаризованную зону) личного кабинета, формируемого как на базе одного, так и на базе нескольких экземпляров FAM Server при кластерном размещении.

Компонент обеспечивает следующие функции:

  • безопасной публикации личного кабинета Avanpost FAM Server в интернет через ДМЗ;
  • безопасной публикации IdP-интерфейсов (OAuth/OIDC и SAML) в DMZ;
  • формирования общего личного кабинета (вариант «клиентской балансировки») на основе взаимодействия с несколькими экземплярами FAM Server при кластерной схеме размещения (доступно только для редакции Avanpost FAM).

Сценарии использования

Безопасная публикация личного кабинета в интернет через ДМЗ

Данный сценарий позволяет безопасно публиковать личный кабинет в интернет без необходимости прямой публикации компонентов продукта, размещаемых в КСПД (корпоративной сети передачи данных). 

При этом автоматически публикуется OIDC-интерфейс, используемый для аутентификации пользователей в ЛК SPA веб-приложением личного кабинета из состава продукта. Для аутентификации в ЛК при этом доступны все функции аутентификации продукта, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA и Single Sign-On функционал.

Схема компонентов и их взаимодействий для данного сценария использования: 

Безопасная публикация OAuth/OpenID Connect и SAML IdP-интерфейсов в интернет через ДМЗ

Данный сценарий позволяет безопасно подключать с целью аутентификации приложения двух вариантов размещения:

  • Изначально размещённые в интернете или во внешней по отношению к корпоративному On-premise инфраструктуре (к примеру, облачные сервисы, работающие по модели SaaS, IaaS или размещённые в частной или публичной облачной инфраструктуре приложения);
  • Размещённые в ДМЗ и публикуемые в интернет.

Базовый Identity Provider URL для приложений, подключаемых через компонент Avanpost FAM SelfService, может отличаться от приложений, подключаемых напрямую к OAuth/OIDC/SAML компонента Avanpost FAM Server. Параметр замены IdP URL определяется параметрами настройки в конфигурационном файле компонента Avanpost FAM SelfService.

Через SelfService возможно подключать приложения, поддерживающие OAuth, OpenID Connect и SAML. Для таких приложений доступен весь функционал аутентификации, включая беспарольный вход, аутентификацию по 1FA/2FA/MFA, Single Sign-On. Также доступна функциональность делегированной авторизации (claim-based authorization), для OIDC-приложений посредством передачи групп и вычисления полномочий на основе ролевой модели, а для SAML-приложений - только посредством передачи групп.

Также возможно комбинированное подключение приложений, при котором приложения, публикуемые в интернет, подключаются к IdP-интерфейсу компонента Avanpost FAM SelfService, а приложения, размещённые во внутренней сети КСПД подключаются к IdP-интерфейсу компонента Avanpost FAM Server. 

Схема компонентов, приложений и их взаимодействия для данного сценария использования:


«Клиентская балансировка» объединённого личного кабинета для нескольких экземпляров FAM Server

Доступно в редакции Avanpost FAM

Компонент Avanpost FAM SelfService также предназначен для случаев, когда используется несколько экземпляров Avanpost FAM Server, связанных в отказоустойчивый кластер и синхронизирующих данные посредством репликации. Avanpost FAM SelfService позволяет сформировать общий единый личный кабинет на базе личных кабинетов экземпляров FAM Server.

При этом в стандартной ситуации сформированный общий кабинет в целях безопасности публикуется в DMZ, передавая данные в FAM Server посредством настроенного NATS-сервера. Аналогично FAM Server позволяет публиковать IdP-интерфейсы, предоставляя доступ к приложениям, созданным в Avanpost FAM посредством механизмов OAuth/OIDC и SAML. 

Формирование отказоустойчивого кластера на базе нескольких экземпляров FAM Server

Допускается вынесение собственного экземпляра Avanpost FAM SelfService для каждого экземпляра Avanpost FAM Server в случаях, когда требуется сформировать отказоустойчивый кластер с одной логической базой данных. При этом для каждого из экземпляров FAM SelfService используется один адрес NATS-сервера на FAM Server.  Пара компонентов FAM Server и FAM SelfService при этом может быть вынесена в DMZ (демилитаризованную зону). В случае, если FAM Server вышел из строя, то балансировщик, исходя из результата статуса проверки FAM Server, вывод целевую ноду FAM Server из балансировки.

Системные требования

Установка компонента Avanpost SelfService рекомендуется на следующих серверных, десктопных операционных системах и платформах:

ПлатформаОперационная системаCPU,ядро* RAM, ГбHDD, Гб
Docker,
Kubernetes,
любая современная платформа виртуализации (VMWare VSphere 7+, Microsoft Hyper-V и т.д.)
  • Oracle Linux 8; Oracle Linux 9
  • CentOS 7, CentOS 8, CentOS Stream;
  • RHEL 7, RHEL 8
  • Альт (Alt) 8 СП Сервер; Альт Сервер 9, Альт Сервер 10
  • RedОС Сервер 7, RedОС Сервер 8
  • Astra Linux 1.6 SE, Astra Linux 1.7 SE, Astra Linux 2.11 CE, Astra Linux 2.12 CE;
  • Debian 11, 12, 13.
8 8100

Варианты развертывания 

Установка Avanpost SelfService допускается на серверы под управлением Linux ОС и Windows ОС:

Мониторинг и контроль

Для автоматического мониторинга и отслеживания состояния на балансировщике компонент предоставляет healthcheck-механизм.

URLПоказатель работоспособностиКритерий работоспособности

/health/live

HTTP 200Служба компонента Avanpost FAM SelfService запущена и успешно обработала входящий запрос
/health/readyHTTP 200Служба компонента Avanpost FAM SelfService успешна подключена хотя бы к одному экземпляру Avanpost FAM Server по NATS

Безопасность 

TLS-шифрование передаваемых данных

При использовании TLS-шифрования данные, отправляемые от клиента к серверу и наоборот, автоматически шифруются на одной стороне и дешифруются на другой стороне соединения.

TLS-шифрование обеспечивает следующую функциональность в рамках Avanpost FAM SelfService:

  • Конфиденциальность: Данные шифруются перед отправкой с использованием симметричного или асимметричного шифрования.
  • Целостность: Используется подпись для проверки целостности данных. На каждом конце соединения вычисляется и проверяется подпись, чтобы убедиться, что данные не были изменены в процессе передачи.
  • Аутентификация: TLS-шифрование включает в себя проверку подлинности сервера с использованием сертификатов. Это позволяет клиенту проверить, что он общается с правильным сервером и помогает предотвратить атаки посредника.

Публикация личного кабинета в DMZ

Публикация личного кабинета в DMZ позволяет разместить общий личный кабинет, сформированный для экземпляров FAM Server, в отдельном изолированном сегменте сети. Так как отсутствуют прямые контакты между открытыми для общего доступа серверами и экземплярами Avanpost FAM Server, данный подход повышает безопасность, изолируя экземпляры Avanpost FAM Server в случае взлома сервера с общим личным кабинетом.

Авторизация в NATS-сервере доступна следующими способами:

  • Через использование логина и пароля.
  • Через использование токена. 

Обсуждение