Общие сведения
На текущей странице приведены сведения об изменениях версий серверного компонента Avanpost FAM Server.
Версия продуктов линейки Avanpost FAM (Avanpost FAM и Avanpost MFA+) определяется по версии серверного компонента.
Все выпуски
- Avanpost FAM Server 1.13.8 - 26.11.24
- Avanpost FAM Server 1.13.7 - 14.11.24
- Avanpost FAM Server 1.13.6 - 25.10.24
- Avanpost FAM Server 1.13.5 - 23.10.24
- Avanpost FAM Server 1.13.4 - 14.10.24
- Avanpost FAM Server 1.13.3 - 10.10.24
- Avanpost FAM Server 1.13.2 - 08.10.24
- Avanpost FAM Server 1.13.1 - 30.09.24
- Avanpost FAM Server 1.13.0 - 20.09.24
- Avanpost FAM Server 1.12.24 - 18.09.24
- Avanpost FAM Server 1.12.23 - 12.09.24
- Avanpost FAM Server 1.12.22 - 09.09.24
- Avanpost FAM Server 1.12.21 - 05.09.24
- Avanpost FAM Server 1.12.20 – 02.09.2024
- Avanpost FAM Server 1.12.19 – 29.08.2024
- Avanpost FAM Server 1.12.18 – 17.07.2024
- Avanpost FAM Server 1.12.17 – 17.07.2024
- Avanpost FAM Server 1.12.16 – 17.07.2024
- Avanpost FAM Server 1.12.15 – 17.07.2024
- Avanpost FAM Server 1.12.14 – 16.07.2024
- Avanpost FAM Server 1.12.13 – 15.07.2024
- Avanpost FAM Server 1.12.12 – 11.07.2024
- Avanpost FAM Server 1.12.11 – 11.07.2024
- Avanpost FAM Server 1.12.10 – 11.07.2024
- Avanpost FAM Server 1.12.9 – 11.07.2024
- Avanpost FAM Server 1.12.8 – 08.07.2024
- Avanpost FAM Server 1.12.7 – 07.07.2024
- Avanpost FAM Server 1.12.6 – 02.07.2024
- Avanpost FAM Server 1.12.5 – 28.06.2024
- Avanpost FAM Server 1.12.4 – 26.06.2024
- Avanpost FAM Server 1.12.3 – 21.06.2024
- Avanpost FAM Server 1.12.2 – 19.06.2024
- Avanpost FAM Server 1.12.1 – 19.06.2024
- Avanpost FAM Server 1.12.0 – 17.06.2024
- Avanpost FAM Server 1.11.14.1953 – 23.05.2024
- Avanpost FAM Server 1.11.14.1927 – 14.05.2024
- Avanpost FAM Server 1.11.13.1901 – 08.05.2024
- Avanpost FAM Server 1.11.13.1891 – 03.05.2024
- Avanpost FAM Server 1.11.13.1888 – 02.05.2024
- Avanpost FAM Server 1.11.13.1887 – 02.05.2024
- Avanpost FAM Server 1.11.10-13 – 25.04.2024
- Avanpost FAM Server 1.11.9 – 16.04.2024
- Avanpost FAM Server 1.11.8 – 11.04.2024
- Avanpost FAM Server 1.11.2-7 – 03-11.04.2024
- Avanpost FAM Server 1.11.1 – 01.04.2024
- Avanpost FAM Server 1.10.11 – 15.01.2024
- Avanpost FAM Server 1.9.0 – 15.12.2023
- Avanpost FAM Server 1.8.12 – 02.05.2024
- Avanpost FAM Server 1.8.9 – 14.11.2023
- Avanpost FAM Server 1.8.8 – 19.10.2023
- Avanpost FAM Server 1.8.7 – 09.10.2023
- Avanpost FAM Server 1.8.6 – 09.10.2023
- Avanpost FAM Server 1.8.5 – 29.09.2023
- Avanpost FAM Server 1.8.4 – 28.09.2023
- Avanpost FAM Server 1.8.3 – 28.09.2023
- Avanpost FAM Server 1.8.2 – 27.09.2023
- Avanpost FAM Server 1.8.1 – 27.09.2023
- Avanpost FAM Server 1.8.0 – 18.09.2023
- Avanpost FAM Server 1.7.0 – 20.07.2023
- Avanpost FAM Server 1.5.0 - 14.02.2023
- Avanpost FAM Server 1.4.0 – 28.11.2022
- Avanpost FAM Server 1.3.0 – 18.08.2022
- Avanpost FAM Server 1.2.0 – 20.02.2022
Avanpost FAM Server 1.13.8 - 26.11.24
Патч включил в себя устранение неисправностей, приводивших к проблемам при миграции и инициализации, снижавших безопасность аутентификации при изменении пароля на стороне LDAP-источника, препятствовавших корректному импорту пользователей при разрыве соединения.
Исправления ошибок
- Устранен дефект, приводивший к удалению пользователей из группы, если в процессе импорта пользователей в данную группу разрывалось соединение.
- Исправлен дефект, препятствовавший проверке пароля в домене (после смены пароля на стороне LDAP-источника) в случае, если логин пользователя указывался без домена.
- Решена проблема, вызывавшая ошибки при миграции и инициализации в Avanpost FAM.
Avanpost FAM Server 1.13.7 - 14.11.24
Патч включил в себя усовершенствования механизма интеграции с внешними провайдерами идентификации, оптимизацию работы компонента FAM SelfService и взаимодействия с RADIUS-приложениями. Расширено количество действий, логирующихся в Журнале безопасности. Устранены проблемы синхронизации с LDAP-каталогами и дефект, затруднявший применение фактора Kerberos в скриптах MFA. Обновлены элементы интерфейса. Устранена уязвимость, снижавшая безопасность аутентификации при проверке пароля в домене.
Функциональные изменения
- Добавлена поддержка дополнительного атрибута для RADIUS-приложений.
- Усовершенствован универсальный механизм интеграции с внешними провайдерами аутентификации (SAML 2.0, OAuth 2.0, Generic): доработан интерфейс настройки для OIDC и SAML-провайдеров и оптимизирован механизм интеграции с VK ID, Яндекс ID, Sber ID, SberBusiness ID, ЕСИА, ADFS.
- Доработан механизм идентификации пользователей с предзаданным в настройках RADIUS-приложения доменом (параметр Default Domain) без переданного в составе идентификатора пользователя значения домена.
- Оптимизирована работа компонента FAM Self Service.
- В Журнал безопасности добавлено логирование смены настроек регистрации и шифрования claim для OIDC и SAML-приложений.
Исправления ошибок
- Восстановлена корректная работа фактора Kerberos при использовании скриптов MFA для веб-приложений.
- Устранен дефект, приводивший к тому, что часть атрибутов пользователя не обновлялась при синхронизации по времени с LDAP-каталогом.
- Заменен устаревший интерфейс в форме подтверждения данных.
- Устранена уязвимость, связанная с отсутствием проверки пароля в домене в случаях, когда логин пользователя указывается без домена.
Avanpost FAM Server 1.13.6 - 25.10.24
Патч включил в себя устранение дефектов, связанных с отображением событий в Журнале безопасности, идентификацией пользователя по UPN и использованием push-сервиса и NATS-сервера на одном порте.
Исправления ошибок
- Устранен дефект, связанный с произвольным созданием и удалением атрибута UPN при установке флага в чекбоксе "Идентифицировать пользователя по UPN".
- Решена проблема, приводившая к тому, что событие остановки сервиса не отображалось в Журнале безопасности.
- Изменен порт push-сервиса с целью избежать конфликтов с NATS-сервером.
Avanpost FAM Server 1.13.5 - 23.10.24
Патч включил в себя усовершенствования механизма работы с RADIUS-приложениями и способа отправки одноразовых кодов. Изменено информационное сообщение при входе в FAM. Устранены дефекты, снижавшие безопасность аутентификации, приводившие к внутренним ошибкам и неверной работе механизма блокировки пользователя.
Функциональные изменения
- Добавлена возможность идентификации пользователей с предзаданным в настройках RADIUS-приложения доменом (Default Domain) без переданного в составе идентификатора пользователя значения домена.
- Изменено сообщение о реализации мер защиты информации, показываемое пользователю при попытке входа в Avanpost FAM (до перехода в интерфейс аутентификации).
- Изменен способ отправки одноразовых кодов привязки аккаунта Avanpost Authenticator во временное хранилище.
Исправления ошибок
- Ликвидирована уязвимость, связанная с возможность перебора паролей без блокировки пользователя.
- Устранен дефект, связанный с тем, что факт выполнения ряда команд (например, создания пользователя) не попадал в Журнал событий безопасности.
- Исправлен дефект, связанный с некорректной работой функции блокировки пользователя по времени.
- Решена проблема, связанная с отправкой бесконечного количества оповещений на Email при смене пароля или номера телефона в ситуации, когда отправку по какой-либо причине не удается осуществить при помощи SMTP-сервера.
- Устранен дефект, приводивший к внутренней ошибке при удалении сессий пользователя приложений Windows Logon и Linux Logon.
Avanpost FAM Server 1.13.4 - 14.10.24
Патч включил в себя устранение дефектов, связанных с работой Telegram в кластерном исполнении Avanpost FAM и неработоспособностью элемента интерфейса при входе в личный кабинет. Скорректирован механизм настроек фильтров "Журнала безопасности"
Исправления ошибок
- Исправлены дефекты подключения к личному кабинету посредством Telegram в кластерном исполнении.
- Устранен дефект, связанный с некликабельностью кнопки "Проверить" при входе в личный кабинет.
- Ликвидирована неисправность, приводившая к неработоспособности фильтра "Сообщение содержит" в разделе "Журнал безопасности".
- Добавлен тип событий SYSMGMT в "Журнал безопасности".
Avanpost FAM Server 1.13.3 - 10.10.24
Патч включил в себя улучшения, повышающие удобство получения информации о программе. Устранены неисправности, приводившие к избыточным сообщениям в логах и вызывавшие ошибку в разделе сбора параметров для техподдержки. Возвращен запрос подтверждения при удалении настроенного метода аутентификации.
Функциональные изменения
- Добавлено отображение информации об исполнении продукта в информации о программе и информации о лицензии.
Исправления ошибок
- Исправлен дефект, приводивший к избыточным сообщениям, оповещающим об отсутствие телеграмм бота, в логах.
- Ликвидирован дефект, вызывавший ошибку при переходе в раздел "Сбор параметров системы для технической поддержки" режима "Сервис" в случаях, когда отсутствовала лицензия Avanpost FAM.
- Устранена недоработка, связанная с отсутствием всплывающего окна для подтверждения действия при попытке удалить настроенный метод аутентификации.
Avanpost FAM Server 1.13.2 - 08.10.24
Патч включил в себя повышение безопасности и стабильности работы механизмов системы. Усилена безопасность аутентификации в SAML-приложениях, усовершенствован механизм работы RADIUS-приложений. Добавлено разделение событий "Журнала безопасности" в зависимости от прав администратора. Устранены дефекты, связанные с аутентификацией посредством Telegram и возникавшие при использовании внешних LDAP-провайдеров. Устранены недоработки в пользовательском интерфейсе.
Функциональные изменения
- Добавлена возможность идентификации пользователей с уникальным логином без указания домена для RADIUS-приложений;
- Реализован механизм признания пользователей без переданного значения домена пользователями одного домена для RADIUS-приложений: для пользователей с незаполненным значением домена используется постоянное значение атрибута домен, которое добавляется к логину пользователя.
- Добавлен механизм принудительной аутентификации пользователя при повторном подключении через SAML-приложение.
- Разделены журналы событий безопасности для администратора группы и для администратора приложения.
- Оптимизирована работа механизмов интеграции.
Исправления ошибок
- Устранена ошибка, связанная с тем, что в ряде случаев отключенные во внешнем LDAP-провайдере пользователи могли аутентифицироваться в FAM при правильно введенных логине и пароле.
- Устранены дефекты, связанные с аутентификацией посредством Telegram (для кластерного исполнения).
- Ликвидирован дефект, связанный с некликабельностью кнопки "Подтвердить" для подтверждении номера телефона в личном кабинете пользователя.
Avanpost FAM Server 1.13.1 - 30.09.24
Патч включил в себя повышение стабильности работы механизмов системы, установку срока действия аппаратных OTP-токенов. Увеличено количество событий аудита в журнале безопасности. Устранены неисправности, связанные с некорректной работой механизма LDAP-провайдера при настройке синхронизации по группам. Устранены дефекты, приводившие к снижению удобства эксплуатации системы.
Функциональные изменения
- Повышена стабильность работы механизма репликации данных.
- Разработана возможность создания учетных записей пользователей с одинаковыми значениями параметров электронной почты и номера телефона как через административную консоль Avanpost FAM Server, так и через API-запросы.
- Реализована возможность передачи логина учетной записи пользователя в приветственном почтовом e-mail сообщении.
- Добавлена возможность установки срока действия аппаратных OTP-генераторов.
- Добавлены ограничения на проверку одноразового кода в профиле пользователя. кнопка "Проверить" отправляет запрос, если кол-во символов, введенных пользователем, совпадает с настройками кол-ва символов отправляемого кода. Количество попыток нажатий на кнопку ограничено.
- Усовершенствован механизм проверки контрольных сумм файлов Avanpost FAM Server.
- Увеличено количество событий аудита в "Журнале событий безопасности" (режим "Отчеты" в административной консоли).
- Собственный прокси-сервер Avanpost FAM Server заменен на MVP-модуль отчуждаемого компонента Reverse Proxy (MVP Reverse Proxy Service).
Исправления ошибок
- Устранена неисправность, приводившая к невозможности сохранения настроек LDAP-провайдера при установке фильтра синхронизации по группам.
- Устранена ошибка, связанная с демонстрацией устаревшей формы настроек LDAP-провайдеров.
- Устранен дефект, при котором в процессе аутентификации не отображалось имя сохраненного пользователя, под логином которого осуществляется вход.
- Устранен дефект невозможности удаления номера телефона пользователя, обладающего статусом «Не подтвержден», в административной консоли Avanpost FAM Server в профиле пользователя.
Avanpost FAM Server 1.13.0 - 20.09.24
Минорный релиз Avanpost FAM Server включил в себя в себя изменения, направленные на повышение уровня информационной безопасности каждого компонента системы. Реализован отчуждаемый компонент Avanpost FAM SelfService, посредством которого осуществлена публикация интерфейсов аутентификации OIDC и SAML. Разработаны и развёрнуты в кластерном режиме сервисы подключения к API Telegram. В релиз включены функции, расширяющие возможности при работе в административной консоли Avanpost FAM. Реализована возможность проведения отладки механизмов интеграции с RADIUS-приложениями и gRPC-клиентами в административной консоли. Разработан единый механизм для внешних провайдеров аутентификации пользователей, усовершенствован механизм аутентификации посредством Kerberos. Устранены дефекты, приводившие к некорректной работе Avanpost Authenticator и Avanpost FAM SelfService, проблемам при взаимодействии с внешними LDAP-провайдерами, а также препятствовавшие стабильности работы элементов системы. Решены проблемы, приводившие к ошибкам при функционировании Avanpost FAM Server и приводившие к проблемам аутентификации посредством механизма Kerberos. Устранен ряд дефектов, уменьшавших удобство эксплуатации системы рядовыми пользователями и администраторами.
Функциональные изменения
- Переработан gRPC-метод, возвращающий статус подтверждения push-уведомления. В словарь атрибутов запроса параметр wait. При значении параметра true поддерживается соединение с пользователем и ожидается подтверждение/отклонение push-уведомление, пока не истечет тайм-аут ожидания. При значении параметра false соединение не поддерживается и возвращается статус AccessWait с сообщением. После получения данного статуса приложение-клиент повторяет запрос, пока не получит от сервера AccessAccept или AccessReject.
- Осуществлена публикация интерфейсов аутентификации OIDC и SAML через отчуждаемый Avanpost FAM SelfService.
- Реализован механизм отказоустойчивой схемы подключения к API Telegram: устранена особенность, связанная с тем, что один из экземпляров FAM Server удерживает соединение, не давая второму экземпляру прочесть сообщение.
- Доработан gRPC API механизма аутентификации Kerberos для изменения схемы аутентификации Avanpost FAM Agent.
- Разработан механизм работы нескольких экземпляров Avanpost FAM с одним мобильным API-сервисом при условии собственной базы данных у каждого экземпляра Avanpost FAM и отключенной репликации средствами БД. Работа механизма осуществляется за счет репликатора, встроенного в Avanpost FAM.
- Добавлено отображение атрибута "Домен" в реестре пользователей в режиме "Пользователи".
- Добавлен функционал настройки механизма аутентификации Kerberos в административной консоли Avanpost FAM Server.
- Добавлена возможность отладки интеграции Avanpost FAM с RADIUS-приложениями через административную консоль Avanpost FAM Server (режим отладки доступен для RADIUS-приложений).
- Разработан единый механизм для внешних провайдеров аутентификации пользователей (SAML2, OAuth2, generic): добавлен новый административный интерфейс интеграции с IdP по OIDC и SAML и организована штатная работоспособность интеграции с VK ID, Яндекс ID, Sber ID, SberBusiness ID, ЕСИА, ADFS.
- Разработан и оптимизирован отчуждаемый компонент личного кабинета Avanpost FAM SelfService посредством которого осуществляется публикация личного кабинета в DMZ (демилитаризованной зоне).
- Добавлен механизм настройки через административную консоль Avanpost FAM Server включения/выключения функционала самостоятельной регистрации пользователей при прохождении аутентификации.
- Усовершенствован принцип загрузки пользователей в группы из MS AD: в обновленной версии дозагрузка групп MS AD, в которых содержится более 1500 пользователей, осуществляется автоматически.
- Организована проверка сертификата на валидность/актуальность посредством OCSP.
- Реализована поддержка идентификации посредством OIDC на основе параметра login_hint.
- Добавлена возможность кастомизации названия методов аутентификации (исключая смс), настройки которых находятся в БД Avanpost FAM.
- Добавлен механизм отладки gRPC-клиентов (Windows Logon, Linux Logon, Agent, ADFS, LDAP Proxy и т.д.) через административную консоль Avanpost FAM Server.
- Добавлена поддержка спецификации Token Exchange.
- Добавлена поддержка приложений Exchange ActiveSync.
- Убрана запись и отображение событий типа OpenID Connect из журнала событий безопасности.
- Разработан механизм отладки Kerberos-токена: добавлена возможность проверки токена для в административной консоли Avanpost FAM Server и представлено в виде таблицы содержимое файлов ключей.
- Изменен формат хранения ключей Kerberos в базе данных Avanpost FAM.
- Создана индивидуальная Панель мониторинга, доступная пользователю в соответствии с настройками ролевой модели.
- Ускорены процессы перезапуска и остановки службы IdP.
- Добавлена возможность включения принудительной синхронизации с LDAP-провайдером в отрыве от расписания Cron. Для этого добавлена кнопка "Провести внеплановую синхронизацию" в разделе "Настройка LDAP-провайдеров" режима "Сервис".
- Ликвидирована возможность неявного создания записи в таблице mobile_2fa_authenticator для Avanpost Authenticator.
- Добавлена возможность установки TLS-соединения для Avanpost FAM SelfService.
- Реализован механизм проксирования endpoint "ping" в Avanpost FAM SelfService для проверки доступности FAM Server и FAM SelfService.
- Для повышения безопасности реализована принудительная аутентификация пользователя при повторном подключении через SAML-приложение.
- Организована дифференциация устройств в сессии учетной записи в приложениях типа Exchange ActiveSync: добавление почтового ящика на одно устройство не будет влиять на аутентификацию при добавлении почтового ящика на второе устройство.
- Добавлены методы, при помощи которых gRPC-приложения могут получать информацию о связанных с ними событиях.
- Исправлены несоответствия в интерфейсе пользователя в разделе "Настройки LDAP-провайдеров".
- Реализовано обновление Access Token при активности администратора в административной консоли.
- Добавлено оповещение об истечении времени сессии администратора (замена автоматического перенаправления на форму входа в Avanpost FAM Server).
- Добавлена поддержка шифрования claims для OAuth2/OIDC-приложения.
- Появилось отображение информации об исполнении продукта во вкладках, где отображается информации о программе и лицензии в административной консоли Avanpost FAM Server.
- PayControl перестал использоваться в качестве метода аутентификации в Avanpost FAM.
- Оптимизирована работа репликатора.
- Возможность настройки RADIUS Shared Secret расширена до 255 символов.
- Актуализированы механизмы работы компонента Avanpost FAM LDAP Proxy.
- Разработана возможность восстановления забытого пароля от учетных записей пользователей с учетом фактора наличия у данных пользователей одинаковых e-mail и номеров телефонов.
- Добавлена возможность установки срока действия для аппаратных OTP-генераторов.
- При привязке фактора TOTP в процессе аутентификации и при привязке в личном кабинете, если некорректно введен OTP-код, выводится развёрнутое сообщение с рекомендацией проверки времени.
- Оптимизирована работа баз данных.
Исправления ошибок
- Исправлен дефект, связанный с внутренней ошибкой при удалении из системы приложения, отражённого в журнале аутентификаций.
- Устранены ошибки, приводившие к сбою в работе Avanpost Authenticator при работе через RADIUS-сервер.
- Решена проблема, вызывавшая некорректную работу стандартной роли support.
- Исправлены дефекты, приводившие к проблемам аутентификации посредством Kerberos.
- Устранена ошибка, когда Avanpost FAM запрещал пользователю сменить пароль, время существования которого было меньше минимального времени существования пароля. При этом пароль мог быть изменен на стороне LDAP-провайдера, что приводило к рассинхронизации Avanpost FAM и внешнего LDAP-провайдера.
- Ликвидирована проблема, приводившая к невозможности получить реальный IP-адрес пользователя (X-Real-IP) в отказоустойчивой схеме для HAProxy.
- Решена проблема возникновения ошибки при попытке одновременного входа с двух аккаунтов в режим отладки приложения.
- Устранен дефект автоматического ввода некорректного логина при возврате со второго шага аутентификации на предыдущий (при условии, что первый шаг проходил по логину и паролю).
- Исправлен дефект, связанный с тем, что при аутентификации сохраненного пользователя в Avanpost FAM не отображается под каким конкретно пользователем происходит вход.
- Ликвидирована уязвимость для LDAP Proxy-приложений, позволявшая настроить пропуск проверки пароля через установку флага параметра в метаданных.
- Ликвидирован дефект, связанный с некорректным выбором сценария MFA, назначенного для группы: при одновременном указании MFA в приложениях и в группах отображались факторы, настроенные для приложения, но при попытке прохождения предлагались факторы, настроенные для группы.
- Устранен дефект в "Менеджер сессий" режима "Сервис", который мог вызвать ошибку и сворачивание Avanpost FAM Server.
- Решена проблема, приводившая к тому, что при восстановлении пароля пользователю предлагалось ввести факторы, отличные от тех, что были настроены для его группы.
- Исправлен дефект, не позволявший при привязке Аvanpost Аuthenticator ввести вручную адрес Avanpost FAM Server.
- Устранена проблема, которая приводит к внутренней ошибке FAM Server при многократной отправки SMS-кода.
- Решена проблема, негативно влиявшая на стабильность репликации баз данных.
- Ликвидирован дефект, блокировавший проксирование статических endpoint-ов через Avanpost FAM SelfService.
- Устранен дефект, в результате которого после удаления приложения adminconsole в административной консоли Avanpost FAM Server, некорректно происходил процесс init и системный администратор терял права администратора.
- Решена проблема, приводившая к блокировке ввода пароля пользователем после неудачного ввода капчи. Блокировка осуществлялась даже в тех случаях, когда вторая попытка ввода капчи была успешной.
- Исправлена ошибка авторизации, не позволявшая авторизовать пользователя, у которого e-mail и смс были настроены в качестве единственного фактора первого шага аутентификации.
- Исправлена ошибка игнорирования верхнего регистра для scope в OIDC-приложении: в токен отправлялась scope в нижнем регистре.
- Решена проблема, приводившая к вводу варианта "Locale not found" в выпадающем списке при выборе службы каталогов в настройках LDAP-провайдера.
Avanpost FAM Server 1.12.24 - 18.09.24
Патч включил в себя усовершенствование механизма локализации сообщений и устранение дефекта, связанного с повторным запросом пароля.
Функциональные изменения
- Осуществлен перевод сообщений на i18n, чтобы избежать некорректного отображения (отсутствия локализации) сообщений.
Исправления ошибок
- Исправлен дефект, связанный с повторной проверкой пароля при входе через PAM (для случаев, когда пользователь принадлежит домену, у которого настроен внешний источник пользователей).
Avanpost FAM Server 1.12.23 - 12.09.24
Патч включил в себя исправления дефектов, связанных с отображением сессий и устройств, а также проблемами функционирования некоторых элементов системы при использовании верхнего регистра. Устранен ряд уязвимостей, связанных с работой протокола SAML 2.0, HTTP/2, демаршалингом JSON-файлов и внедрением SQL-кода.
Исправления ошибок
- Поиск пользователя по UPN (атрибут userPrincipalName в FAM Server) и e-mail в процессе аутентификации сделан независимым от регистра.
- Устранена ошибка, связанная с проблемами работы сlaim в OIDC-приложениях при использовании верхнего регистра.
- Устранена проблема, связанная с отсутствием отображения текущих сессий в личном кабинете пользователя.
- Исправлен дефект, связанный с отображением неполного списка устройств в личном кабинете пользователя при одновременном отображении полного списка устройств в карточке пользователя.
- Устранена уязвимость, связанная с неправильной проверкой ввода в github.com/gin-gonic/gin.
- Устранена уязвимость, связанная с дефектами очистки параметра функции Context.FileAttachment.
- Устранена уязвимость, связанная с возможностью передачи ряда учетных данных аутентификации в файлы журналов функцией.
- Устранена уязвимость, связанная с возможностью внедрения SQL-кода через переполнение размера сообщений протокола и через создание комментария строки.
- Устранена уязвимость, связанная с неконтролируемым потреблением ресурсов в promhttp.
- Устранены уязвимости, связанные с реализацией протокола SAML 2.0 для Github.
- Устранены уязвимости реализации SAML 2.0 для Github, связанные с отправкой некорректно сформированных XML-подписей.
- Устранены дефекты, связанные с некорректной реакцией системы на недопустимую палитру цветов в golang.org/x/image.
- Устранены дефекты, вызывавшие уязвимости при работе по HTTP/2.
- Устранены дефекты, вызывавшие бесконечный цикл при демаршалинге ряда некорректных JSON-файлов.
Avanpost FAM Server 1.12.22 - 09.09.24
Патч Avanpost FAM включил в себя доработку механизма поддержки API Firebase.
Исправления ошибок
- Доработана поддержка нового API Firebase.
Avanpost FAM Server 1.12.21 - 05.09.24
Патч Avanpost FAM включил в себя поддержку API Firebase.
Функциональные изменения
- Добавлена поддержка нового API Firebase.
Avanpost FAM Server 1.12.20 – 02.09.2024
Патч Avanpost FAM включил в себя улучшение отображения информации о пользователях. Устранены дефекты, связанные с проблемой аутентификации в RADIUS-приложения, предоставлением доступа к OIDC и SAML-приложениям, неверной реализацией второго шага аутентификации для групп пользователей.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Добавлено отображение атрибута Домен в реестре пользователей (режим "Пользователи") в административной консоли.
- Убран чекбокс "Разрешать пользователю закрывать свои сессии" для RADIUS-приложений в вкладке настроек через профиль приложения.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранена ошибка, связанной с предоставлением доступа к OIDC-приложениям и SAML-приложениям пользователям, у которых доступ был отозван (удалены из группы, которой были назначен доступ к данным приложениям).
- Устранена ошибка, связанная с некорректной работой аутентификации пользователей в RADIUS-приложениях с использованием UPN.
- Устранена ошибка, связанная с игнорированием второго шага аутентификации в RADIUS-приложениях в случае, когда пользователь успешно прошел первый шаг через push-уведомление и/или если на первом шаге аутентификации для группы был настроен только один фактор.
- Исправлена некорректная работа Avanpost Authenticator с RADIUS-сервером. В обновленной версии сервер предоставлял ответ Access-Reject (отклонял запрос на доступ) сразу после отмены пользователем подтверждения через push.
- Исправлена проблема, связанная с некорректной работой функции ограничения сессий для RADIUS-приложений.
Avanpost FAM Server 1.12.19 – 29.08.2024
Патч Avanpost FAM включил в себя устранение ошибки, связанной с некорректной работой аутентификации в RADIUS-приложениях.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранена ошибка RADIUS-сервера, связанная с неработающим механизмом аутентификации в случае, когда предполагается проверка двух факторов аутентификации за один шаг.
Avanpost FAM Server 1.12.18 – 17.07.2024
Патч Avanpost FAM включил в себя улучшение отображения информации в сообщениях в консоли. Исправлена фатальные ошибка импорта. Решена проблема с невозможности использовать букву "ё" в ФИО пользователя. Устранены дефекты, связанные с inline-привязкой TOTP, вводом пароля и капчи. Повышена стабильность работы репликации баз данных.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- В конфигурацию syslog добавлен параметр tag, отображающийся в сообщениях в консоли в качестве тэга.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлен дефект, связанный с возникновением fatal error при выполнении импорта в FAM.
- Оптимизирована производительность запроса к таблице oauth_tokens при удалении токенов.
- Устранена дефект, связанный с отсутствием проверки пароля, установленного пользователем, на соответствие парольной политике FAM.
- Устранен дефект, связанный с отсутствием предупреждающего сообщения при неверном вводе капчи.
- Исправлен дефект, из-за которого во время inline-привязки TOTP в процессе авторизации в RADIUS-приложении не приходил QR-код на почту Gmail.
- Устранена ошибка, связанная с нестабильной работой репликации при синхронизации баз данных.
- Устранена невозможность ввода буквы "ё" в ФИО пользователя, приводившая к проблемам при регистрации посредством ЕСИА.
Avanpost FAM Server 1.12.17 – 17.07.2024
Патч Avanpost FAM включил в себя исправление дефектов, связанных с inline-привязкой.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлен дефект, из-за которого не работала inline-привязка фактора аутентификации Telegram.
Avanpost FAM Server 1.12.16 – 17.07.2024
Патч Avanpost FAM включил в себя исправление дефектов, связанных с запросами устройства.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранены дефекты, связанные с некорректной обработкой запросов устройств.
Avanpost FAM Server 1.12.15 – 17.07.2024
Патч Avanpost FAM включил в себя исправление дефекта, связанного с неправильным созданием атрибутов при самостоятельной регистрации пользователя.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранена ошибка, при которой внутренние параметры Avanpost FAM сохранялись как атрибуты пользователя при самостоятельной регистрации пользователя.
Avanpost FAM Server 1.12.14 – 16.07.2024
Патч включил в себя усовершенствование, позволяющее передавать данные при последовательных выполнениях скрипта MFA между скриптами.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Добавлены функции context.GetSession().GetValue("key") и context.GetSession().SetValue("key", value) для случаев передача данных из одного выполнения скрипта MFA в другой.
Avanpost FAM Server 1.12.13 – 15.07.2024
Патч включил в себя добавление признака сессии с информацией о с способе аутентификации и исправление дефекта, связанного с регистрацией маршрута для шаблонов.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Добавлен признак сессии с информацией каким способом пользователь проходил аутентификацию. Данный признак следует использовать при написании скрипта MFA.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлена ошибка с регистрацией маршрута для шаблонов.
Avanpost FAM Server 1.12.12 – 11.07.2024
Патч Avanpost FAM включил исправления дефектов, связанных с аутентификацией посредством QR-кода и сертификатов.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранены проблемы аутентификации посредством QR-кода при попытке аутентифицироваться в SAML-приложении.
- Устранены проблемы аутентификации посредством сертификата.
Avanpost FAM Server 1.12.11 – 11.07.2024
Патч Avanpost FAM включил улучшение, которое изменяет принцип присваивания значений тэгам в сообщениях.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Добавлен параметр tag в конфигурацию syslog. Параметру tag присваивается значение, которое отображается в сообщении в качестве тэга (в предыдущих версиях в качестве тэга выводился первый аргумент командной строки процесса, т.е. путь к исполняемому файлу).
Avanpost FAM Server 1.12.10 – 11.07.2024
Патч Avanpost FAM включил улучшение, связанное с автозаполнением логина при идентификации устройства пользователя.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Улучшен механизм автозаполнения полей при аутентификации посредством Avanpost FAM: если идентифицировано устройство пользователя, но на каком-либо последующем шаге пользователь нажал кнопку "Отмена", то вместо в формы идентификации поле с логином пользователя остается незаполненным (в предыдущих версиях происходило автозаполнение логина).
Avanpost FAM Server 1.12.9 – 11.07.2024
Патч Avanpost FAM включил улучшения, связанное с поддержкой дополнительного формата передачи данных.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- Добавлена поддержка дополнительного формата для передачи информации об устройстве со смартфонов, работающих на iOS.
Avanpost FAM Server 1.12.8 – 08.07.2024
Патч Avanpost FAM включил в себя исправление дефекта, связанного с некорректной работой одной из стандартных ролей.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранена ошибка, при которой у пользователей с назначенной стандартной ролью "support" пропадал доступ к профилю пользователя.
Avanpost FAM Server 1.12.7 – 07.07.2024
Патч Avanpost FAM включил в себя функциональные изменения, связанные с добавлением нового признака в скрипты MFA и повышением удобства аутентификации. Устранены дефекты, связанные с ошибками при аутентификации посредством SMS и FIDO WebAuthn, доступностью административной консоли и syslog, избыточными правами администраторов групп, обладающих доступом к приложениям.
Функциональные изменения
В патч-версии внесены следующие функциональные изменения:
- В контекст устройства в скрипте MFA добавлен признак того, что устройство использовалось несколькими пользователями.
- Повышено удобство использования продукта при идентификации пользователя на основе механизма запоминания. Идентифицируется последний входивший с устройства пользователь при наличии на устройстве нескольких запомненных пользователей. При автоматической идентификации отображается ФИО пользователя и кнопка "Сменить", чтобы забыть устройство, с которого идёт запрос, для всех запомненных на устройстве пользователей и перейти на первый шаг аутентификации. При нажатии на кнопку "Отмена" на любом экране аутентификации происходит переход на форму без автоматической идентификации.
- При выборе фактора аутентификации отображаются все настроенные способы аутентификации посредством SMS (не требуется выбирать конкретный вид SMS после выбора фактора SMS).
- Формат сообщения событий для syslog изменен, в префиксах указывается приоритет <6>, время создания, имя узла и путь запускаемого приложения (тег).
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлена ошибка сервера, возникавшая при просмотре в административной консоли журнала аутентификаций после удаления приложения.
- Исправлена ошибка отсутствия обратной связи от Avanpost FAM Server при попытке привязать устройство FIDO WebAuthn.
- Устранена ошибка с наличием прав на редактирование настроек приложений у администратора группы, обладающей доступом к данным приложениям. В доработанной версии администратор имеет доступ только к просмотру данных приложений.
- Исправлена ошибка отсутствия аутентификации с помощью SMS через Avanpost FAM Agent.
- Устранены проблемы, приводившие к некорректной работе syslog.
Avanpost FAM Server 1.12.6 – 02.07.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с отображением устройств в административной консоли.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлено некорректное отображение списка устройств пользователя в консоли администратора.
Avanpost FAM Server 1.12.5 – 28.06.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с некорректной работой ручного ввода URL-адреса сервера.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Устранена ошибка, связанная с некликабельностью чекбокса "Я укажу URL-адрес сервера вручную" в приложении Avanpost Authenticator.
Avanpost FAM Server 1.12.4 – 26.06.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с работой в режиме отладки приложения и доступностью Avanpost FAM Server.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлена ошибка, когда пользователи выкидывались из приложения без завершения сессии, если вход проводился с двух аккаунтов и при включенном режиме отладки приложения;
- Исправлена ошибка, когда Avanpost FAM Server был недоступен без перезапуска служб и удаления завершенных сессий через Менеджер сессий.
Avanpost FAM Server 1.12.3 – 21.06.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с удалением истёкших Access и ID Token из таблицы.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлены проблемы, связанные с избыточным заполнением таблицы токенов в БД по причине некорректной обработки истёкших токенов.
Avanpost FAM Server 1.12.2 – 19.06.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с подписями по алгоритмам в соответствии с ГОСТ.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлены ошибки, связанные с подписью по алгоритмам в соответствии с ГОСТ для протоколов OAuth 2.0 и OIDC.
Avanpost FAM Server 1.12.1 – 19.06.2024
Патч Avanpost FAM включил в себя исправления дефектов, связанных с подписями по алгоритмам в соответствии с ГОСТ, подключением по TLS-соединению, с выполнением скриптов MFA и аутентификацией блокированных устройств.
Исправления ошибок
В патч-версии исправлены следующие ошибки:
- Исправлены ошибки, связанные с подключением к LDAP-каталогам через TLS-соединение.
- Исправлены ошибки, связанные с подписью по алгоритмам в соответствии с ГОСТ для протоколов OAuth 2.0 и OIDC.
- Исправлена неверная обработка второго и последующих шагов аутентификации при выполнении скриптов MFA.
- Исправлен баг с доступностью аутентификации после блокировки устройства.
Avanpost FAM Server 1.12.0 – 17.06.2024
Что нового в Avanpost FAM Server 1.12.0
Минорный релиз Avanpost FAM включил в себя функции и улучшения, направленные на обеспечение корректной работы и повышение эргономики продукта при работе с криптооперациями. Добавлен ряд возможностей для сбора данных об устройствах пользователей и управления сценариями аутентификации на основе данных об устройствах. Расширены возможности настройки динамических сценариев аутентификации при помощи скриптов MFA. Расширены возможности настройки и отладки OIDC-приложений. Оптимизированы и расширены возможности работы с LDAP-каталогами. Расширены возможности в части настройки фактора аутентификации по SMS. В рамках релиза был устранен ряд обнаруженных ошибок и уязвимостей. Дополнена и обновлена документация по продукту.
Функциональные изменения
- Добавлена подпись JWT-токенов по алгоритму ГОСТ GOST3410_2012_256 через основной криптопровайдер с использованием настроенного перечня ключей. Таким образом, в списке доступных алгоритмов для подписи JWT-токенов для приложения RS256 (RSA Signature with SHA-256) и GOST3410_2012_256 (ГОСТ Р 34.10-2012 256). В качестве криптопровайдера предполагается использование криптопровайдера, выбранного и настроенного централизованно для системы. Ключ, используемый для подписи, загружается из хранилища ключей.
- Добавлена возможность настроить проверку доступности Mobile API на балансировщике по двум показателям (liveness - 200 OK в случае, если служба Mobile API запущена и работает; readiness - 200 OK в случае, если к Mobile API подключен хотя бы один FAM Server).
- Добавлена возможность выполнения криптоопераций согласно ГОСТ через локально установленный КриптоПро CSP без установки отдельного сервиса подписи.
- Организован сбор и регистрация параметров устройства (браузера) при аутентификации через веб-интерфейс аутентификации, Avanpost Agent, Windows Logon, Linux Logon. Организовано хранение полученных данных на сервере.
- Увеличена скорость обработки групп пользователей за счет оптимизации процессов синхронизации с LDAP-каталогом.
- Оптимизирована обработка одноименных групп с различных доменов: добавлен редактируемый признак домена к группе, добавлено отображение домена в наименовании группы в списке групп, добавлено автоматическое заполнение признака домена при импорте группы из LDAP-каталога.
- Добавлена возможность импорта групп из MS AD без импорта пользователей. Данная возможность позволяет заполнять импортированные группы пользователями, уже существующими в Avanpost FAM.
- Добавлен механизм упрощения сценария аутентификации для доверенного устройства посредством передачи контекста устройства с признаком "Доверенное устройство" в скрипт MFA.
- Добавлен механизм запрета аутентификации при помощи скрипта MFA для устройств с параметрами, не соответствующими настроенным. Проверка интересующего параметра осуществляется через контекст устройства.
- Добавлен режим отладки OIDC-приложений через административную консоль. Отладочная информация, собранная при интеграции с целевым приложением и позволяющая выявить проблемы в ходе работы приложения, сохраняется в соответствующем журнале. Журнал обладает функциями фильтрации и очистки всех записей.
- Проведена актуализация модуля Exchange ActiveSync (с поддерживаемыми мобильными клиентами: Bluemail (Android), Outlook Mobile (Android), Gmail (Android), iOS (iPhone 11): добавлена поддержки Avanpost Authenticator в качестве метода аутентификации, исправлена проблема с запросами в Telegram.
- Оптимизировано взаимодействие Avanpost Agent с сервером по gRPC путем исключения необходимости настройки параметров интеграции через OpenID Connect.
- Создан общий реестр зарегистрированных в FAM устройств с возможностью поиска и фильтрации.
- Организован сбор технических параметров конфигурации заказчика путем формирования во вкладке "Сбор параметров системы для технической поддержки" режима "Сервис" zip-архива. Архив содержит JSON-документ с параметрами конфигурации и предназначен для отправки в техподдержку.
- Организован сбор технических параметров приложений, групп и паролей путем формирования zip-архивов, содержащих JSON-документы с необходимыми параметрами. Архивы предназначены для отправки в техподдержку.
- Добавлена настройка синхронизации основных атрибутов пользователя между нодами (топологии типов Звезда и Peer-to-peer), позволяющая изменять атрибуты пользователя на любой из развернутых/подключенных нод, подключать в кластер две ноды с различающимися наборами данных пользователей, подключать к заполненной данными ноде чистую ноду, заливать бэкап БД на новую ноду, обновлять заполненную версию 1.11 на версию с синхронизацией.
- Добавлена возможность передачи значения дополнительного атрибута профиля пользователя в тексте или в дополнительном параметре HTTP-запроса к SMS-шлюзу.
- Добавлена возможность переопределения стандартного локализованного сообщения/надписи.
- Расширены возможности настройки больших LDAP-фильтров в административной консоли: сделана textarea с редактором с подсветкой LDAP-синтаксиса, добавлена валидация корректности LDAP-фильтра на этапе редактирования, доработан механизм хранения длинных LDAP-фильтров.
- Организована защита секретного значения в настройке передаваемых параметров SMS: скрываются значения полей со стандартными для хранения секретов ключами.
- Организована синхронизация дополнительных атрибутов пользователей, аутентификаторов TOTP и Avanpost Authenticator между нодами.
- Доработана gRPC API для поддержки аутентификации по любому первому фактору.
- Добавлена настройка метода аутентификации Telegram через административную консоль в разделе «Методы аутентификации».
- Организована статусная модель устройств, влияющая на сценарий аутентификации. Модель состоит из статусов с цветовой кодировкой: "Активно", "Приостановлено", "Деактивировано".
- Добавлена функция пометки пользователем устройства как скомпрометированного. Скомпрометированному устройству назначается статус "Приостановлено".
- Реализован механизм автоматической отправки уведомлений на почту администратора при компрометации и переводе устройства пользователя в статус "Приостановлено".
- Добавлена функция запоминания устройства для прохождения аутентификации по упрощенному сценарию (устройство автоматически запоминается при отсутствии флажка в чекбоксе "Чужое устройство" на странице аутентификации).
- Добавлена возможность скопировать содержимое сформированного ответа (JWT) на запрос в Журнале отладки приложений при отладке интеграции с OIDC-приложением.
- Добавлена возможность формирования списка приложений в отчуждаемом SelfService на основе опроса нескольких экземпляров Avanpost FAM. При этом в случае отсутствия связи с каким-либо из узлов Avanpost FAM, приложения, доступные пользователю в рамках этого узла, не отображаются в списке приложений в личном кабинете администратора.
- Организована возможность отправки временных кодов в Google Firestore посредством push-сообщений.
- Добавлена возможность установки различных SMS-шлюзов при прохождении аутентификации через SMS. Выбор из вариантов шлюзов предоставляется пользователю в процессе аутентификации. Для прохождения данного шага аутентификации достаточно пройти проверку с использованием одного из установленных шлюзов.
- Добавлена возможность проверки соединения с сервером LDAP-каталога после указания настроек LDAP-соединения.
Исправления уязвимостей
В релизе исправлены следующие уязвимости:
- Устранена возможность отвязки номера пользователя путем подмены User ID в GET-запросе.
- Устранена уязвимость с получением директорий WebSSO путем выполнения GET-запросов.
Исправления ошибок
В релизе исправлены следующие ошибки:
- Исправлено некорректное отображение кириллицы в учетных записях Credential Provider и связанные с этим проблемы с авторизацией на Avanpost FAM Server.
- Устранена ошибка при выполнении импорта из Novell Domain Services при подключении по SSL.
- Добавлен отдельный переключатель для включения/отключения фактора "Сертификат" при настройке процессов аутентификации.
- Исправлены проблемы с некорректным отображением внешних провайдеров на первом шаге аутентификации.
- Исправлен баг с некорректной работой MFA, когда факторы группы пользователя отображались после того, как появлялось требование ввести факторы приложения. В исправленной версии, если пользователь состоит в группе, продукт требует сценарий аутентификации, настроенный для данной группы. При этом, если сценарий MFA для группы отсутствует, запрашиваются шаги, настроенные для приложения.
- Исправлен баг с заполнением поля в столбце last_use_ip_addr в таблице user_devices, приводивший к ошибке при открытии профиля пользователя.
- Добавлен метод аутентификации Telegram в Настройки методов аутентификации.
- Исправлен баг с неупорядоченной сортировкой дат в журнале аутентификации.
- Возвращена возможность отключения push-уведомлений при настройке метода аутентификации Avanpost Authenticator.
- Исправлена ошибка в менеджере сессий, когда завершенная сессия могла отображаться как активная.
Обратная совместимость
При обновлении Avanpost Authenticator до версии 1.4.4 следует учитывать, что для корректной привязки аккаунта в личном кабинете предварительно должны быть заполнены данные о контактной информацией технической поддержки (Email службы технической поддержки, Телефон службы технической поддержки, Сообщение для пользователей). Данные заполняются при настройке метода Avanpost Authenticator в разделе "Настройки методов аутентификации" режима "Сервис" продукта Avanpost FAM Server.
Avanpost FAM Server 1.11.14.1953 – 23.05.2024
Общие сведения
Патч Avanpost FAM включил в себя изменение схемы запоминания устройства.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- Добавлена возможность запоминания устройства пользователя. Назначение устройству статуса "Запомнено" доступно в разделе "Устройства" вкладки "Безопасность" учетной записи пользователя путем установки флажка в чекбоксе "Запомнено" для нужного устройства.
- Реализован механизм отзыва статуса "Запомнено" для устройства пользователя при смене/восстановлении пароля в Личном кабинете.
- Реализован механизм автоподстановки логина и пароля пользователя при попытке входа с запомненного устройства, если с данного устройства аутентифицируется только один пользователь.
Avanpost FAM Server 1.11.14.1927 – 14.05.2024
Общие сведения
Патч Avanpost FAM включил в себя изменение внешнего вида раздела "Сбор параметров системы для технической поддержки" режима "Сервис".
Функциональные изменения
В релизе появились следующие функциональные изменения:
- изменен внешний вид раздела "Сбор параметров системы для технической поддержки" режима "Сервис", добавлена справочная информация о разделе.
Avanpost FAM Server 1.11.13.1901 – 08.05.2024
Общие сведения
Патч Avanpost FAM включил в себя добавление Kerberos в список передаваемых факторов метода Authenticate gRPC API.
Функциональные изменения
В релизе появились следующие функциональные изменения:
При использовании метода Authenticate gRPC API добавлена возможность аутентификации по протоколу Kerberos.
Avanpost FAM Server 1.11.13.1891 – 03.05.2024
Общие сведения
Патч Avanpost FAM включил в себя изменение формы ввода фильтра поиска пользователей при настройке интеграции с LDAP-каталогами.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- Для удобства ввода длинных фильтров поиска пользователей при настройке интеграции с LDAP-каталогом строка ввода параметров фильтра заменена на текстовое поле. Настройка фильтра доступна в графе "Фильтр поиска пользователей" вкладки "Интеграция" раздела "Настройки LDAP-провайдеров".
Avanpost FAM Server 1.11.13.1888 – 02.05.2024
Общие сведения
Патч Avanpost FAM включил в себя исправление дефектов, связанных с полями для хранением ключей при настройке фактора SMS.
Исправления ошибок
В релизе исправлены следующие ошибки:
- При настройке передаваемых параметров фактора SMS маской cкрываются значения полей со стандартными общепринятыми для хранения секретов ключами по словарю. Маской скрываются следующие ключи в запросе: "id", "key", "token", "auth", "api_key", "api_token", "jwt", "pwd", "password", "authorization", "user", "userid", "username", "cred", "credentials".
Avanpost FAM Server 1.11.13.1887 – 02.05.2024
Общие сведения
Патч Avanpost FAM включил в себя расширение списка производителей токенов, доступных для выбора при регистрации нового токена.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- При регистрации нового токена в разделе "OTP-токены" режима "Сервис" появилась возможность выбора следующих производителей токенов: Avanpost, Vasco, Рутокен, JaCarta.
Avanpost FAM Server 1.11.10-13 – 25.04.2024
Общие сведения
Патч Avanpost FAM включил в себя исправление дефектов.
Исправления ошибок
В релизе исправлены следующие ошибки:
- Устранена возможность авторизации в Windows Logon и Linux Logon при выключенном приложении Avanpost Authenticator.
- Исправлен дефект с выдачей ошибки 404 при нажатии кнопки выключения в приложении Avanpost Authenticator.
Avanpost FAM Server 1.11.9 – 16.04.2024
Общие сведения
Патч Avanpost FAM включил в себя изменение сообщений для авторизации через WebAuthn.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- Вместо сообщения "Неверное имя пользователя или пароль" при отсутствии пользователя в Avanpost FAM и сообщения "У пользователя нет активных зарегистрированных аутентификаторов. Чтобы продолжить необходимо зарегистрировать WebAuthn аутентификатор" выводится общее сообщение без раскрытия дополнительной информации:
"Authentication error, reasons:
1. Wrong username or password.
2. User hasn't got authenticator. Due to continue you should to register WebAuthn authenticator."
Avanpost FAM Server 1.11.8 – 11.04.2024
Общие сведения
Патч Avanpost FAM включил в себя исправление работы приложения для протокола RADIUS.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- Исправлен механизм передачи перечня групп пользователей для протокола RADIUS. Теперь при настроенном словаре VSA и установленном параметре для передачи групп пользователей конечный узел получает сообщение "Access-accept" с перечнем групп пользователя в виде отдельных VSA.
Avanpost FAM Server 1.11.2-7 – 03-11.04.2024
Общие сведения
Патч Avanpost FAM включил в себя устранения дефектов для скриптов приложения, изменения js-examples, исправления для метода GetActiveUserSessions.
Avanpost FAM Server 1.11.1 – 01.04.2024
Общие сведения
Патч Avanpost FAM включил в себя изменение схемы подключения к мобильным сервисам, изменение принципа сортировки ролей групп. В рамках релиза также были устранены ранее обнаруженные ошибки и дефекты. Дополнена и обновлена документация по продукту.
Функциональные изменения
В релизе появились следующие функциональные изменения:
- Добавлена сортировка ролей групп по алфавиту с первичным отображением активных ролей по аналогии с ролями пользователей.
- Добавлен контроль доступа к просмотру состава групп из меню групп. Чтобы пользователь мог просматривать состав групп из меню групп, требуется установить флажок в чекбоксе "Чтение" в поле "Скрипты" роли, присваиваемой пользователю.
- Изменена схема подключения к мобильным сервисам: с NATs на gRPC в Push Service, с HTTP1 (json rest api) на HTTP2 gRPC в API Service.
- Реализована возможность подключения к нескольким мобильным сервисам одновременно.
Исправления ошибок
В релизе исправлены следующие ошибки::
- Устранено логирование пароля в открытом виде в режиме debug для Астра.
- Устранено дублирование учетных записей пользователей в Credential Provider.
- Устранено отображение всех параметров на вкладке MFA в режиме редактирования без учета специфики приложения или группы. В обновленной версии отображены только факторы, которые назначены приложению или группе.
Устранена ошибка, появлявшаяся при входе по QR-коду в Credential Provider на локальную учетную запись.
Avanpost FAM Server 1.10.11 – 15.01.2024
Общие сведения
Минорный релиз Avanpost FAM включил в себя формирование отчетов по выпущенным OTP-токенам, переработан механизм по очистке сессий. В рамках релиза также были устранены ранее обнаруженные ошибки и дефекты. Дополнена и обновлена документация по продукту.
Функциональные изменения
Добавлено формирование отчета по выпущенным OTP-токенам в Системе.
Отчет включает информацию о привязке программного или аппаратного токенов пользователем, получателя токена, его характеристиках, статусе блокировки, дате привязки и последнем использовании токена.
Avanpost FAM Server 1.9.0 – 15.12.2023
Общие сведения
Минорный релиз Avanpost FAM включает в себя функцию операций с несколькими пользователями, формирование отчетов по аутентификациям пользователей и по выпущенным OTP-токенам, реализацию поддержки компонента FAM LDAP Proxy, введение настройки срока действия ссылки для смены пароля в Системе, возможность настройки одного процесса аутентификации для нескольких приложений одновременно. В рамках релиза также были устранены ранее обнаруженные ошибки и дефекты. Дополнена и обновлена документация по продукту. Убрана поддержка устаревших платформ Microsoft Windows Server для развёртывания серверных компонентов.
Функциональные изменения
Реализована функция массовых операций.
Функциональность позволяет администраторам выполнять определенные операции на группе пользователей единовременно. В рамках административной консоли Avanpost FAM функциональность массовых операций доступна в разделе "Операции с несколькими пользователями" режима "Пользователи" (Рисунок).
Добавлена защита от массовой отправки SMS-сообщений на сервере Системы.
Интервал времени ожидания для повторного запроса кода можно настроить в разделе "Настройки методов аутентификации" режима "Сервис".
Данная функция обеспечивает защиту от автоматической отправки одноразового пароля через SMS, когда время ожидания для повторного запроса кода еще не истекло при повторном входе пользователя в Систему. Отправка одноразового пароля через SMS возможна только через пользовательский интерфейс Системы, что является дополнительным средством безопасности, исключая возможность обращения к API.
Реализована функция защиты от перебора паролей пользователей с использованием капчи в Системе.
В административной консоли системы были добавлены настройки, которые позволяют блокировать учетные записи пользователей при превышении определенного количества неправильно введенных символов капчи или предоставлять таймаут на вход. Также появилась возможность указывать частоту появления капчи и сбрасывать счетчик попыток после определенного промежутка времени.
Функционал реализован в разделе "Настройки политики паролей" режима "Сервис" (Рисунок).
Добавлено формирование отчета по аутентификациям пользователей.
Отчет включает информацию о наименовании и типе приложения, количестве успешных входов, неудачных попытках входа, запрещенных доступов (Рисунок).
Реализована поддержка компонента FAM LDAP Proxy.
Добавлена возможность настройки срока действия ссылки для смены пароля в Системе.
Настройка доступна в разделе "Настройки политики паролей" режима "Сервис" (Рисунок).
Внедрена функциональность, позволяющая настроить один процесс аутентификации для нескольких приложений одновременно.
Переработаны наименования и добавлены некоторые параметры в конфигурационный файл config.toml для достижения единообразия и корректной работы всех заявленных функций Системы.
Исправленные ошибки
Исправлены ошибки, из-за которых:
при истечении срока пароля в домене в момент авторизации не выдавалась форма смены пароля;
в списке MFA приложений не был доступен выбор Kerberos в качестве фактора аутентификации.
Документация
Добавлены следующие статьи в базу знаний Avanpost FAM:
Спецификация конфигурационного файла config.toml.default компонента Avanpost FAM Server;
- Управление лицензиями;
- Лицензии.
Обновлены следующие статьи в базе знаний Avanpost FAM:
Установка FAM Windows Logon (Credential Provider) в ОС Windows локально;
Установка FAM Windows Logon (Credential Provider) в ОС Windows через GPO (групповые политики);
- Дистрибутивы.
Avanpost FAM Server 1.8.12 – 02.05.2024
Общие сведения
Минорный релиз Avanpost FAM включил в себя исправление багов.
Исправленные ошибки
Добавлена поддержка ObjectGUID в импорте пользователей из MS AD для версии Avanpost FAM Server 1.8
Исправлена ошибка, при которой в ходе импорта пользователей из MS AD для версии Avanpost FAM Server 1.8 возникала ситуация с задвоением учетных записей пользователей, проверяемых в данной версии только по SID. Добавлена поддержка ObjectGUID.
Avanpost FAM Server 1.8.9 – 14.11.2023
Исправленные ошибки
- Исправлена ошибка запуска cистемы FAM в качестве службы в ОС Windows.
Avanpost FAM Server 1.8.8 – 19.10.2023
Функциональные дополнения
- Добавлена поддержка trial-лицензии при создании пользователя через командную строку.
Исправленные ошибки
- Доработан механизм лицензирования: объем создания LDAP-каталогов производится в соответствии с условиями приобретенной лицензии.
Устранена ошибка подключения к FAM-сервису при попытке загрузки недавних действий в Avanpost Authenticator (раздел "Посмотреть недавние действия»).
Avanpost FAM Server 1.8.7 – 09.10.2023
Исправленные ошибки
Исправлена ошибка синхронизации учетных записей пользователей из службы каталогов при добавлении пользователей в группу: синхронизация не прерывается в случае, если какие-либо пользователи не найдены в Системе.
Avanpost FAM Server 1.8.6 – 09.10.2023
Исправленные ошибки
Доработаны шаблоны аутентификации: добавлена поддержка subpath с целью гибкой организации доступа к различным интерфейсам Системы и поддержки публикации системы FAM относительно текущего домена.
Исправлена работа утилиты checksum для проверки подписи и контрольных сумм артефактов дистрибутива FAM.
Avanpost FAM Server 1.8.5 – 29.09.2023
Исправленные ошибки
- Внесены исправления в шаблоны для аутентификации, направленные на повышение безопасности и улучшение производительности процесса аутентификации пользователей.
Произведена доработка механизма поиска пользователя по номеру телефона в административной консоли Avanpost FAM.
Avanpost FAM Server 1.8.4 – 28.09.2023
Исправленные ошибки
Внесены исправления в шаблоны для аутентификации, направленные на повышение безопасности и улучшение производительности процесса аутентификации пользователей.
Avanpost FAM Server 1.8.3 – 28.09.2023
Исправленные ошибки
- Выполнены общие изменения, направленные на повышение производительности и стабильности работы Системы.
Avanpost FAM Server 1.8.2 – 27.09.2023
Исправленные ошибки
- Исправлена ошибка, связанная с ограничением работы LDAP-синхронизации на основе параметра backgroundTasks для нескольких нод (см. спецификацию конфигурационного файла). Теперь администратор может правильно настроить FAM Server на нескольких нодах кластера, чтобы ограничить выполнение задачи синхронизации только на нужной ноде.
Avanpost FAM Server 1.8.1 – 27.09.2023
Исправления ошибок
Улучшена поддержка интеграции RADIUS-сервера с Cisco Any Connect при использовании MSCHAPv2.
Avanpost FAM Server 1.8.0 – 18.09.2023
Общие сведения
Минорный релиз Avanpost FAM включает в себя функции поддержки флага смены пароля при создании пользователя через CLI, конфигурационного файла формата TOML с обратной совместимостью с JSON, переход с использования библиотеки xmlsec на встроенные средства криптографии. Обновлен веб-интерфейс экрана аутентификации. Исправлены ранее обнаруженные проблемы и дефекты. Дополнена и обновлена документация по продукту.
Функциональные изменения
Реализована поддержка флага смены пароля при создании пользователя через CLI.
Данная функциональность позволяет устанавливать требование смены пароля при первом входе нового пользователя в Систему, обеспечивая повышенный уровень безопасности.
Добавлена поддержка конфигурационного файла формата TOML и обратная совместимость с форматом JSON для файлов конфигурации.
Функциональность позволяет упростить управление конфигурацией и предоставляет больше гибкости в выборе формата.
Добавлена возможность установки переменной в строку "connectionString".
Изменение позволяет использовать значения переменных окружения вместо строки "connectionString" для динамической настройки подключения к базе данных и реализует возможность использовать переменную окружения для хранения пароля подключения к БД, что сокращает риск утечки пароля из конфигурационного файла.
При интеграции Системы с REST API появилась возможность получать метки времени привязки и последнего использования OTP-токенов.
Функциональность используется для мониторинга безопасности и аудита, а также для отслеживания активности пользователей и обнаружения аномалий в использовании OTP-токенов.
Реализован переход с использования библиотеки xmlsec на встроенные средства криптографии для обработки операций по протоколу SAML.
Изменение способствует оптимизации и упрощению процесса разработки и поддержки Системы, а также снижает зависимость от внешних библиотек.
Управление лицензиями перенесено в консоль администратора Avanpost FAM.
Просмотр информации о текущей лицензии и добавление новой производится в разделе «Лицензии» режима «Сервис» в административной консоли Avanpost FAM.
Пользовательский интерфейс
Обновился дизайн шаблонов для экранов веб-интерфейса аутентификации в соответствии с корпоративным ребрендингом.
Исправленные ошибки
Исправлены ошибки, из-за которых:
- допускалась аутентификация в доменной учетной записи при запросе на аутентификацию через протокол GRPC без указания пароля.
- допускалась аутентификация в приложении RADIUS через протокол PAP без указания пароля.
- пользователь с ролью "администратор приложения" имел расширенные права доступа и мог просматривать все сессии сервера FAM, включая сессии, не относящиеся к администрируемому приложению.
- не работало подтверждение входа в приложении RADIUS при настройке одного фактора Avanpost Authenticator.
Документация
Добавлены следующие статью в базу знаний Avanpost FAM:
Выпуск ключа шифрования и сертификата.
- Описание компонента Avanpost FAM Database.
- Описание компонента Avanpost Authenticator.
Обновлены следующие статьи в базе знаний Avanpost FAM:
Avanpost FAM Server 1.7.0 – 20.07.2023
Общие сведения
Минорный релиз Avanpost FAM включает в себя функции поддержки нескольких мобильных приложений-аутентификаторов, реализации Inline-привязки фактора Email, фиксации новых событий в журнале безопасности. Исправлены ранее обнаруженные проблемы и дефекты. Дополнена и обновлена документация по продукту и настройкам интеграций с Системой.
Функциональные изменения
Реализована возможность регистрации более одного мобильного приложения-аутентификатора для одной учетной записи на портале самообслуживания
Функция позволяет использовать Avanpost Authenticator на нескольких устройствах одного пользователя. Привязки всех устройств отображаются в ЛК Avanpost FAM.
Настройка функции
В консоли администратора Avanpost FAM:
- Перейти в раздел "Сервис" → "Настройки методов аутентификации".
- Выбрать фактор Avanpost Authenticator и установить отметку "Разрешить дополнительные привязки для пользователей в личном кабинете":
В личном кабинете Avanpost FAM:
- Перейти в раздел "Факторы аутентификации" и выбрать "Avanpost Authenticator".
- Нажать кнопку "Привязать дополнительное устройство".
- На другом устройстве отсканировать QR-код из личного кабинета.
- Новое устройство отобразится в списке привязок в ЛК Avanpost FAM.
Добавлена возможность отключения механизма отправки временных кодов с адресом сервера в ходе привязки Avanpost Authenticator. При использовании данной опции Avanpost FAM Server не отправляет сетевые запросы к Google Firestore для публикации временных кодов привязки.
Реализован механизм Inline-привязки фактора Email, позволяющий подтверждать Email-адрес в процессе регистрации или входа в Систему. Данная функциональность позволяет избежать дополнительных шагов привязки фактора Email после основной аутентификации, обеспечивая интуитивность и эффективность процесса. В случае отсутствия заполненного Email-адреса в ЛК Avanpost FAM в ходе аутентификации есть возможность указать Email и подтвердить его с помощью альтернативных факторов аутентификации.
Добавлена возможность фиксации новых событий в журнале событий безопасности:
- добавление и удаление привилегий в ходе создания и изменения ролей;
- создание, редактирование и удаление интеграции с LDAP;
- создание, редактирование и удаление инициализации пользователей;
- создание, редактирование и удаление личного кабинета;
- создание, редактирование и удаление OpenID-провайдера;
- создание, редактирование и удаление методов аутентификации;
- создание, редактирование и удаление разделяемых секретов RADIUS;
- создание, редактирование и удаление словарей RADIUS;
- изменения в редакторе скриптов: события создания, редактирования и удаления;
- создание, редактирование и удаление OTP-токенов.
Исправленные ошибки
Исправлены ошибки, из-за которых:
- Некорректно определялся домен Credential Provider при отсутствии его на APM пользователя;
При подключении приложения через OpenID Connect в Logout JWT атрибут aud не заполнялся значением REQUIRED;
- При входе в OpenId-приложение по QR-коду не отображался заданный ID synonym вместо Client ID;
- Наблюдались проблемы с назначением или созданием нового ОТР-токена для пользователя, состоящего в группе, со стороны УЗ администратора группы;
- Наблюдалось некорректное поведение Системы при повторной аутентификации в ЛК или административную консоль Avanpost FAM по QR-коду на втором шаге аутентификации;
- Не производилось удаление пользователей через административную консоль Avanpost FAM;
- Некорректно отрабатывалась ошибка при авторизации в веб-приложение через LDAP при условии установленного запрета на регистрацию новых пользователей при авторизации.
Документация
Добавлены следующие статьи в базу знаний Avanpost FAM:
Дополнено описание следующих компонентов Системы:
Avanpost FAM Server 1.5.0 - 14.02.2023
Новые функции
Скрипт вычисления сценария многофакторной аутентификации
В дополнение к классическому механизму настройки сценариев многофакторной аутентификации система предоставляет возможность определения сценария аутентификации на основе JavaScript-сценария:
Скрипт позволяет более гибко и централизованно определять сценарий аутентификации пользователя для приложения исходя из различных параметров:
- Значений основных и дополнительных атрибутов профиля пользователя, например, признака «Admin» или «Vice»;
- Параметров сетевого окружения пользователя, выполняющего аутентификацию – к примеру, IP-адреса из запроса;
- Проверенных факторов аутентификации пользователя в рамках сессии;
- Наличия у пользователя ролей или членства в группах.
Для настройки функции:
- В разделе «Сервис» → «Редактор скриптов» разработать и сохранить скрипт аутентификации.
- На вкладке «MFA» целевого приложения выбрать шаг «Script» и выбрать из выпадающего списка созданный скрипт.
Беспарольный вход посредством считывания QR-кода приложением Avanpost Authenticator при аутентификации в веб-приложения и компьютеры под управлением Windows
Система предоставляет функциональность беспарольного входа в веб-приложения путём считывания QR-кода:
Данная функция доступна для приложений, подключенных посредством механизмов:
- OpenID Connect 1.0/OAuth 2.0;
- SAML 2.0;
- Reverse Proxy;
- Avanpost FAM Credential Provider.
Беспарольный вход в Avanpost FAM Credential Provider требует первичного входа посредством логина и пароля, после чего будет доступен вход по QR-коду. Для входа по QR-коду у пользователя должен быть привязан Avanpost Authenticator.
Восстановление забытого пароля с использованием дополнительных факторов аутентификации и для определённых групп пользователей
Смена истёкшего в домене пароля
- Восстановление пароля пользователя, в том числе со сменой пароля в домене для доменных пользователей, с подтверждением при помощи второго фактора.
- Ограничение доступности функции восстановления пароля для определённых групп пользователей.
- Пропуск проверки фактора Password (пароль) при успешной идентификации и аутентификации по Kerberos.
- Смена истёкшего пароля в FAM Credential Provider для доменной и локальной УЗ.
Изменения в реализованных ранее функциях
Нет изменений.
Исправления уязвимостей
Нет исправлений.
Исправления ошибок
- Исправлена ошибка, из-за которой компонент GraphQL не запускался с актуальной версией базы данных.
Обратная совместимость
Обновляется штатно.
Известные проблемы
Нет известных проблем.
Avanpost FAM Server 1.4.0 – 28.11.2022
Общие сведения
Минорный релиз Avanpost FAM включает в себя функции для обеспечения корректной работы в сложных мультидоменных инфраструктурах при использовании LDAP и Kerberos-интеграций. Расширены возможности в части настройки пользовательских сценариев MFA. Расширены возможности по взаимодействию с RADIUS-приложениями как со стороны пользователя (Inline-привязки и т.д.), так и для систем (к примеру, RADIUS VSA). Множество параметров перенесено из конфигурационного файла системы в административную консоль, что позволяет упростить настройку системы в процессе эксплуатации. Расширены возможности Avanpost Authenticator. Расширены возможности получения userinfo для стороннего IdP ЕСИА. Повышена стабильность Credential Provider в различных сценариях.
Новые функции
- Смена пароля в домене через LDAP для любых LDAP-каталогов (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) при смене пароля пользователем в ЛК, сбросе пароля, смене истёкшего пароля или смене пароля администратором.
- Аутентификация в веб-интерфейсах (SAML, OpenID Connect, Reverse Proxy) по сертификатам, не привязанным в явном виде к пользователю, с проверкой доверия на основе корневого сертификата УЦ и заданного маппинга атрибутов из сертификата.
- Парольная аутентификация пользователей из разных доменов с определением домена пользователя по признаку пользователя и проверкой пароля пользователя в определённом LDAP-каталоге.
- Kerberos-аутентификация пользователей из разных доменов на основе нескольких keytab-файлов, подключенных к системе.
- Настройка длины одноразового пароля, отправляемого в SMS-сообщении при аутентификации по фактору SMS OTP.
- Привязка мобильного аутентификатора Avanpost Authenticator при аутентификации в Avanpost FAM Credential Provider, если он ранее не был привязан к пользователю и является обязательным фактором для входа.
- Удаление мобильного аутентификатора пользователя Avanpost Authenticator через административную консоль.
- Выбор учётной записи при аутентификации через провайдер аутентификации (ЕСИА, OpenID Connect и т.д.), если к УЗ (для ЕСИА – ФЛ) в провайдере привязано несколько учётных записей.
- Инженерный режим в мобильном приложении Avanpost Authenticator, позволяющий собрать и передать со стороны пользователя приложения диагностические журналы взаимодействия приложения с API Avanpost FAM Mobile Services и Avanpost FAM Server.
- Настройка параметров подключения к компонентам Avanpost Authenticator в UI административной консоли.
- Настройка нескольких парольных политик одновременно с возможностью определения групп, на которые распространяется та или иная парольная политика.
- Удаление аккаунта из мобильного приложения-аутентификатора Avanpost Authenticator с возможностью принудительного удаления, если нет связи с сервером, что позволяет удалить аккаунты из приложения в случае перемещения сервера на другой URL.
- Удаление аккаунта из системы с отображением статуса в приложении-аутентификаторе.
- Аутентификация по RDP через Avanpost FAM Credential Provider с включенным режимом NLA (максимальным уровнем защиты для RDP-подключений с TLS-шифрованием).
- Смена пароля в приложениях, подключенных посредством Reverse Proxy.
- Инициализация TOTP-аутентификатора посредством отправки письма с QR-кодом на электронную почту.
- Inline-привязка Avanpost Authenticator в режиме диалога для RADIUS-приложений с поддержкой Access-Challenge.
- Inline-привязка номера телефона для SMS OTP в режиме диалога для RADIUS-приложений с поддержкой Access-Challenge.
- Передача дополнительных Vendor-Specific-атрибутов (VSAs), передаваемых RADIUS-приложению в составе Access-Accept и Access-Challenge, в том числе с передачей авторизационных значений (например, членства пользователя в группе или группах).
- Передача дополнительных атрибутов для SAML-приложений в составе SAML Response.
- Поддержка в Avanpost FAM Agent для одного приложения нескольких вариантов шаблона аутентификации и нескольких идентификаторов окна.
- Аутентификация в веб-приложения (OpenID Connect, SAML, Reverse Proxy) путём подтверждения запроса в мобильном аутентификаторе Avanpost Authenticator либо путём ввода одноразового кода из мобильного приложения-аутентификатора.
- Настройка и контроль отдельного секрета для каждого RADIUS-приложения с привязкой к сетевому адресу или подсети, из которой выполнен запрос.
- Привязка в Reverse Proxy-приложении существующей УЗ Reverse Proxy-приложения при отсутствии УЗ у пользователя FAM.
Изменения в реализованных ранее функциях
- Идентификация пользователя по логину, E-mail и номеру телефона на первом шаге, позволяющая идентифицировать пользователей перед выполнением аутентификации в рамках сценариев MFA.
- Аутентификация пользователя по паролю на втором и последующих шагах, позволяющая запрашивать пароль после запроса любого другого фактора.
- Отправка RADIUS-пакета Access Reject для приложений, подключенных по RADIUS, если у пользователя не настроен текущий фактор или не найдено RADIUS-приложение по NAS-Identifier, NAS-IP-Address или Source IP Address.
- Сохранение стандартного признака «Домен» в профиле пользователя с возможностью указания признака домена, устанавливаемого новым пользователям автоматически, для каждого конкретного LDAP-каталога, подключенного к системе.
- Управление параметрами подключения и функционирования фактора SMS OTP перенесено в административную консоль.
- Отображение URL-адреса системы аутентификации, необходимого для Inline-привязки мобильного аутентификатора Avanpost Authenticator через RADIUS-приложения с поддержкой механизма Access-Challenge без использования Discovery-механизма Google Firebase.
- Проверка наличия установленного в системе стандартного пакета Microsoft Visual C++ Redistributable (vcredist) при установке MSI-пакета компонента Avanpost FAM Credential Provider для корректной работы в ОС версий Windows Desktop 7 и Windows Server 2012R2.
- Появилась возможность разрешить мобильному приложению выполнять запросы к API Avanpost FAM Mobile Services или Avanpost FAM Server (в зависимости от схемы развёртывания) с невалидным TLS-сертификатом, что позволяет упростить отладку и проверку работоспособности при первичном развёртывании и перед вводом системы в эксплуатацию, а также в случае непредвиденных обстоятельств в процессе эксплуатации (отзыв TLS-сертификата зарубежным УЦ, истечение сертификата при отсутствии своевременной возможности продления или замены и т.д.).
- Запрос PIN-кода при привязке аутентификатора через Discovery-механизм Google Firebase путём ввода кода в мобильное приложение для Inline-сценариев привязки, реализуемых в RADIUS-приложениях с поддержкой Access-Challenge.
- Метод проверки пароля для RADIUS-приложений «RDGW» переименован в «Passwordless» в административной консоли Avanpost FAM.
- Функциональность, работавшая ранее по response_mode=link, переработана на идентификацию схемы redirect_url и на основе дополнительного параметра приложения. Теперь использование отдельного типа запроса response_mode=link не требуется.
- Схема развёртывания Avanpost FAM Mobile Services для on-premise-компонентов системы упрощена до двух компонентов из состава Avanpost FAM Mobile Services.
Исправления уязвимостей
Исправлена уязвимость, из-за которой:
- Была возможна аутентификация в Reverse Proxy приложение без членства пользователя в группе, которая предоставляла доступ к указанному приложению.
- Пользователи, которые создаются посредством LDAP-аутентификации, не попадали в группу по умолчанию.
Исправления ошибок
Исправлена ошибка, из-за которой:
- Не работал выбор факторов и аутентификация в соответствии с настроенным сценарием MFA в модуле Avanpost FAM Exchange IIS OWA.
- Некорректно работала Kerberos-аутентификация в схемах с использованием мультидоменности.
- Не выводилось значнеие дополнительных атрибутов, переданных в сценарий интеграции с ЕСИА, в шаблоне select.user.esia.
- При регистрации новой УЗ выводилось вводящее в заблуждение сообщение, что ЕСИА недоступна.
- Некорректно формировался QR-код для TOTP.
- Не работало подключение по RDP, если вход был выполнен через Avanpost FAM Credential Provider.
- При открытии mstsc от имени другого пользователя в Avanpost FAM Credential Provider не работало подключение по RDP.
- Выполнялся некорректный выход из системы при работе с Avanpost FAM Credential Provider при наличии двух и более сохраненных пользователей.
- Не работал «бесшовный» переход в личный кабинет из Avanpost FAM Agent.
- Наблюдалось некорректное поведение системы при регистрации факторов ТОТР и Avanpost Authenticator с отображением ошибки о некорректно введённом пароле.
- В дополнительный claim OpenID Connect-приложения не попадало не пустое значение атрибута при попытке доступа по user.extra.%имя_атрибута%.
- Переключение между Avanpost FAM Credential Provider и стандартным Credential Provider системы Windows приводило к ошибкам в работе Avanpost FAM Credential Provider.
- При включенном adminconsole.singlehost=true некорректно работало отображение QR-кодов в ЛК для Avanpost Authenticator и Telegram.
- Не работало выполнение CLI-команды -init в случае изменения параметра singlehost со значения true на false для приложения adminconsole (административная консоль Avanpost FAM).
- Веб-интерфейс аутентификации через Avanpost Authenticator некорректно работал в IE (Internet Explorer) и Mozilla Firefox.
- Возникала ошибка, если запустить компонент API Proxy из состава FAM Mobile Services без указания токена аутентификации.
- При смене пароля УЗ в приложении через Avanpost FAM Agent не отображались требования к паролю, заданные в парольной политике Enterprise SSO-приложения.
- Была возможность сохранить LDAP-провайдер при наличии ошибок заполнения полей в мастере создания LDAP-провайдера, а также не выводились корректные сообщения об ошибке.
- Наблюдалась некорректная работа функции запоминания УЗ в Credential Provider.
- Не работала аутентификация при установке одного единственного фактора Telegram.
- Наблюдались проблемы с доставкой push через механизм push-уведомлений (Android, iOS).
- При вводе несуществующего логина в веб-интерфейсе на английском языке система выдавала не соответствующее действительности сообщение «Превышено количество допустимых попыток ввода».
- Некорректная работа механизма интеграции с OpenID Connect-провайдерами, из-за которой не работала аутентификация через Google IdP.
- Не работал импорт из LDAP-каталога при большом количестве пользователей (10 000+).
- Не работал фильтр по списку ролей в административной консоли.
- Не работала аутентификация в Windows через Avanpost FAM Credential Provider при наличии кириллических символов в логине или пароле.
Обратная совместимость
- Если был настроен общий RADIUS-секрет в конфигурационном файле config.json, то требуется выполнить повторную настройку RADIUS-секретов для всех подключенных RADIUS NAS через административную консоль и убедиться в корректной работе каждой RADIUS-интеграции. Общий RADIUS-секрет, описанный в конфигурационном файле config.json, в работе системы Avanpost FAM новых версий не учитывается. Данную секцию можно удалить из конфигурационного файла.
- Если настройки интеграции с LDAP-каталогами были описаны в конфигурационном файле config.json, то перенести их административную консоль и убедиться в работоспособности функций интеграции с каждым конкретным LDAP-каталогом. Параметры интеграции с LDAP-каталогами, описанные в конфигурационном файле config.json, в работе системы Avanpost FAM новых версий не учитываются. Данную секцию можно удалить из конфигурационного файла.
- Если настройки интеграции с LDAP-каталогами были настроены через административную консоль, то рекомендуется пересохранить пароль интеграции с каждым LDAP-каталогом, так как был изменён механизм хранения паролей с целью повышения безопасности.
- Если настройки интеграции с Avanpost FAM Mobile Services были описаны в конфигурационном файле config.json, то перенести их в административную консоль и убедиться в работоспособности Avanpost Authenticator. Параметры интеграции с Avanpost FAM Mobile Services, описанные в конфигурационном файле config.json, в работе системы Avanpost FAM новых версий не учитываются. Данную секцию можно удалить из конфигурационного файла.
- Если настройки парольных политик были описаны в конфигурационном файле config.json, то требуется перенести их в административную консоль и убедиться в корректной работе парольных политик. Параметры парольных политик, описанные в конфигурационном файле config.json, в работе системы Avanpost FAM новых версий не учитываются.
Известные проблемы
- При рассинхронизации пароля пользователя в FAM и подключенном LDAP-каталоге и при использовании протоколов проверки паролей для RADIUS-приложений CHAP и MS-CHAPv2 невозможна аутентификация пользователя. Для обхода проблемы требуется использовать протокол RADIUS PAP. При необходимости использования CHAP или MS-CHAPv2 необходимо обеспечить синхронизацию пароля в LDAP-каталог сторонними средствами, к примеру, путём включения функции смены паролей посредством Avanpost FAM. Каждому пользователю в этом случае потребуется выполнить однократную смену пароля при аутентификации или через личный кабинет Avanpost FAM.
Avanpost FAM Server 1.3.0 – 18.08.2022
Новые функции и улучшения
В части аутентификации
- Добавлена адаптируемость MFA-сценария аутентификации в приложения для групп пользователей;
- Реализован механизм инициализации пользователя, требующий у пользователя прохождения дополнительных действий для аккаунта. К примеру, при помощи данного механизма можно настроить обязательную привязку определённого фактора аутентификации.
- При аутентификации посредством Telegram реализована отправка сообщений от бота Telegram на языке пользователя, установленном у пользователя; реализована локализация на английском языке.
- В компоненте Avanpost FAM Agent реализована возможность аутентификации с использованием тех же факторов аутентификации, которые доступны в веб-интерфейсе (TOTP, OTP via E-mail, OTP via SMS, Telegram, PayControl).
- В веб-интерфейсе добавлена возможность выбора фактора аутентификации пользователем, если на текущем шаге доступно несколько факторов аутентификации.
- Добавлена возможность аутентификации с использованием PayControl для RADIUS-приложений в качестве второго фактора аутентификации.
В части интеграционных возможностей для приложений, подключаемых с целью аутентификации
- Разработана новая версия компонента – Avanpost FAM Credential Provider - который обеспечивает многофакторную и многошаговую аутентификация в доменные и локальные УЗ ОС Windows:
- Реализован возврат стандартных атрибутов фамилии и имени (given_name и family_name) в составе Access Token для OpenID Connect-приложений.
- Реализована функциональность завершения сессии по запросу к end_session_endpoint без id_token_hint с активной сессией для OpenID Connect-приложений.
- Реализовано перенаправление по SAML ACS в любом регистре (как нижнем, так и верхнем регистре написания SAML ACS URL) для SAML-приложений.
- Реализована возможность аутентификации в RDGW (Remote Desktop Gateway) с учётной записью, у которой отсутствует доменный префикс для RADIUS-приложений.
- Добавлена возможность возврата вычисляемых значений claim'ов для дополнительных Claim, настроенных через административную консоль Системы, с использованием языка сценариев ECMAScript.
- Реализована полноценная поддержка grant-сценариев в соответствии с OAuth:
- Authorization Code Grant Flow;
- Client Credentials Grant Flow;
- Password Grant Flow;
- Refresh Token Grant Flow;
- Hybrid Grant Flow;
- Implicit Grant Flow.
- Реализована поддержка OAuth Logout URL в режиме как по id_token_hint, так и с использованием сессии пользователя (может применяться для корректного single logout'а в любых приложениях, которые просто умеют при логауте открывать какую-нибудь ссылку).
- Реализована возможность настройки срока жизни токенов в контексте каждого приложения для Access Token, ID Token, Referesh Token.
- Добавлена корректная обработка ошибок с выводом error_hint и возвратом сообщения об ошибке в приложение в соответствии с протоколом.
- Добавлена возможность установить scope по умолчанию - полезно, если на стороне приложения нельзя поменять набор scope, которые будут запрошены у пользователя.
- Добавлена возможность настройки aud для управления областями доступа каждого конкретного OAuth-приложения.
- Переработан и упрощён механизм CORS для OAuth-приложений.
- Добавлено разделение клиентов на публичные и не публичные в соответствии с OAuth.
В части импорта данных о пользователях
- Добавлен вывод сообщений об ошибке при аутентификации через ЕСИА, если имеются проблемы с УЗ пользователя, нет сетевой доступности и т.д.
- Реализована функция автоматической установки значений дополнительных атрибутов пользователя при регистрации через внешний провайдер аутентификации (например, Яндекс ID, Google и т.д.).
В части функций безопасности
- В журнале событий безопасности добавлена запись следующих дополнительных событий, связанных с действиями администратора:
- Создание/удаление приложения (с указанием наименования приложения и фиксацией того, что произошло с приложением - создано или удалено)
- Включение/выключение приложения (с указанием наименования приложения и указанием, что сделано с приложением - включено или выключено)
- Изменение параметров подключения приложения (вкладка Настройки) (с указанием наименования приложения)
- Изменение сценария аутентификации приложения (с указанием наименования приложения)
- Создание/удаление группы (с указанием наименования группы, которая была удалена)
- Включение/исключение приложения из группы (с указанием наименования приложения и наименования группы)
- Создание/удаление роли (с указанием наименования роли и фиксацией того, что с ней произошло)
- Изменение состава прав роли (с указанием наименования роли)
- Действия администраторов с приложениями (APPMGMT):
- Действия администраторов с группами (GRPMGMT):
- Действия администраторов с ролями (ROLEMGMT):
- Реализован механизм контроля целостности исполняемых файлов систем (доступен в CLI-интерфейсе).
- Добавлена фиксация в журнале событий безопасности информации о сетевом интерфейсе, на который приходят запросы USRACS и USRAUTH. Фиксируется один из вариантов - web (OAuth, SAML), radius, grpc - поэтому теперь легко понять, на какой интерфейс осуществлялись попытки аутентификации:
- Добавлена фиксация события назначения/отзыва роли у пользователя в журнале событий безопасности.
- Добавлена фиксация событий изменения параметров приложений, групп и ролей.
В части самообслуживания
- Доработана логика механизма активации пользователя, при которой активация пользователя осуществляется только после перехода по ссылке.
- Реализовано отображение корректных сообщений ошибке при попытке аутентификации с учётной записью, не прошедшей активацию.
В части интерфейса административной консоли
- Добавлен интерфейс управления аутентификаторами пользователя (факторами аутентификации пользователя).
- Административная консоль переведена на английский язык, в процессе работы есть возможность переключить язык.
- Разработан новый интерфейс управления OAuth/OpenID Connect-приложениями.
- Добавлен раздел «О лицензии», в котором отображается информации о текущей лицензии и её параметрах.
- Добавлен раздел «О программе», в котором отображается актуальная версия системы и перечень использованных OSS-библиотек.
В части интеграционных возможностей
- Разработан дополнительный GraphQL API для подключения сторонних систем к Системе в части потребления информации, предоставляемой Системой.
- Разработан штатный интерфейс Prometheus для обработки и предоставления метрик Prometheus-сборщиком текущих показателей работы Системы.
- Параметры Системы, отвечающие за сроки жизни Access Token и Refresh Token, перенесены из общего конфигурационного файла в интерфейс настройки каждого определённого приложения. Теперь можно задавать сроки жизни для различных приложений.
В части развёртывания системы
- Актуализирован Docker-контейнер и инструкция по его развёртыванию.
В части общих решений по продукту
- Добавлен вывод информативных сообщений об ошибке/о результате обработки лицензии Системы в CLI-интерфейс.
Исправленные ошибки
В части аутентификации:
Нет исправлений.
В части интеграционных возможностей для приложений, подключаемых с целью аутентификации:
- Исправлена ошибка, из-за которой адреса SAML Endpoint'ов возвращались начиная с «http:/» вместо «http://».
- Исправлена ошибка в механизме MS-CHAPv2 RADIUS-сервера, из-за которой была невозможна аутентификация для Remote Desktop Gateway.
В части импорта данных о пользователях:
Нет исправлений.
В части функций безопасности:
Нет исправлений
В части самообслуживания:
- Из-за ошибки в компоненте интеграции с ЕСИА пользователь мог пройти аутентификацию, даже если был заблокирован в Системе.
В части интерфейса административной консоли
- Восстановлена функциональность сброса пароля администратором.
- Исправлена ошибка, из-за которой было невозможно создание роли с пустым набором прав.
- Исправлена ошибка интерфейса факторов аутентификации пользователя, которая возникала, если у пользователя был привязан фактор аутентификации PayControl.
- Исправлена ошибка интерфейса настройки роли, из-за которой длинные наименования ролей и прав «наезжали» друг на друга в списке настройки ролей.
- Исправлена ошибка интерфейса настройки роли, из-за которой некорректно отображался перечень ролей пользователя.
- Исправлена ошибка настройки ролей пользователя, из-за которой фильтрация списка ролей в карточке пользователя реагировала на регистр вводимых поисковых фраз.
- Исправлены ошибки сообщений об обязательности атрибутов в форме настройки интеграции по протоколу SAML.
В части развёртывания системы:
Нет исправлений.
В части готовых интеграционных кейсов:
Нет исправлений.
В части инструкций по продукту:
- Выпущена новая версия Руководства по установке и настройке.
- Выпущена новая версия Руководства администратора.
- Выпущена новая версия Руководства по интеграции.
В части общих решений по продукту:
Нет исправлений.
Известные проблемы
- Некорректно работает блокировка аутентификаторов в административной консоли.
- При загрузке аватара большого разрешения (например 6000х6000) кнопка «Сохранить» работать не будет.
- Два токена (смарт-карты) подряд не удаляются без обновления страницы.
- Некорректно работает аутентификация через Telegram при условии, что Telegram не подвязан к учетной записи.
- Нет возможности выйти из консоли администратора, если отсутствует доступ к приложению.
- Агент некорректно обрабатывает ситуации с ошибками сетевого подключения (пишет «Доступ запрещён и т.д.»).
Обратная совместимость
- Изменилось имя исполняемого файла.
Обновление
Обновление с версии 1.2.0
- (!) Перенастроить службу на новое название исполняемого файла. Новый бинарный файл поставляется в соответствии с названием продукта, поэтому при обновлении требуется выполнить ряд мероприятий:
- Поменять в systemd имя исполняемого файла с idp_* на fam_*.
- В других скриптах, которые могли пользоваться бинарным файлом idp_*, также выполнить замену.
- (!) Провести ревью параметров OIDC-приложений, подключенных на аутентификацию - они существенно изменились.
(!) В секцию templates конфигурационного файла config.json добавить:
"oauth2_form_post_template": "public/templates/oauth2-formpost-response.html", "oauth2_error_template": "public/templates/oauth2-error-response.html"
(!) Из секции session конфигурационного файла config.json убрать строки:
"lifetimeAccessTokenInMinutes": 720, "lifetimeRefreshTokenInMinutes": 1440
- Выполнить CLI-команду -init.
Avanpost FAM Server 1.2.0 – 20.02.2022
Общие сведения
Минорный релиз с новой функциональностью, связанной с новыми кейсами использования в части OpenID Connect, SAML, RADIUS, работы с журналами, и исправлениями ранее обнаруженных проблем и дефектов.
Новые функции и улучшения
В части аутентификации
Нет изменений.
В части интеграционных возможностей для приложений, подключаемых с целью аутентификации
- Перечень claim'ов, передаваемых в составе Access Token, расширен claim'ами family_name, given_name, middle_name, sub и uid. Теперь те приложения, для которых критично использование только Access Token без Id Token, могут это делать, так как в Access Token содержится базовый минимум информации о субъекте.
- В составе claim'а sub можно передавать как идентификатор пользователя (идентичный по значению uid в формате нашего GUID), так и логин пользователя.
- Во встроенном RADIUS-сервере добавлена поддержка протокола RADIUS-аутентификации MS-CHAPv2, применимая для всех VPN и VDI решений с поддержкой данного протокола.
- Во встроенном RADIUS-сервере добавлена поддержка протокола RADIUS-аутентификации для Remote Desktop Gateway (RDGW).
- Добавлена поддержка CORS (Cross-Origin Resource Sharing) для OpenID Connect-приложений во все стандартные OAuth Endpoint'ы, позволяющая выполнять аутентификацию Single Page Applications или любых других приложений, отправляющих запросы на аутентификацию через браузер пользователя с других хостов.
- Переработаны OAuth и OpenID Connect discovery endpoint'ы:
- По стандарту OpenID Connect - /.well-known/openid-configuration.
- По стандарту OAuth 2.0 - /.well-known/oauth-authorization-server.
- Добавлена поддержка PKCE для OAuth/OIDC-приложений.
В части импорта данных о пользователях
Нет изменений.
В части функций безопасности
- Добавлена фиксация событий USRACS (предоставление доступа) и USRAUTH (аутентификация) для десктопных приложений, работающих через Агент FAM.
- Добавлена функция сброса пароля пользователя администратором, в соответствии с которой пользователю будет выслано письмо для сброса пароля.
В части самообслуживания
- Переработан вывод изображений пользователей и приложений - теперь картинки занимают мало места, так как загружается изначально уменьшенный вариант изображения.
В части интерфейса административной консоли
- Добавлен механизм настройки доверенных Web Origins для CORS с функцией тестирования.
- В выборе методов аутентификации для RADIUS-приложений появился пункт MSCHAPv2, соответственно связанный с поддержкой MSCHAPv2-аутентификации в рамках RADIUS Access-Request-запросов.
В выборе методов аутентификации для RADIUS-приложений появился пункт RDPNTLM, необходимый для работы интеграции Remote Desktop Gateway с Avanpost FAM. - В разделе "Сервис" появились два раздела - "Настройка консоли администратора" и "Настройка личного кабинета", которые позволяют устанавливать кастомные CSS-стили для двух веб-интерфейсов.
- Добавлена возможность настройки нескольких Post Logout URL'ов для OpenID Connect приложений.
- Переработан вывод изображений пользователей и приложений - теперь картинки потребляют меньше трафика, так как загружается изначально уменьшенный вариант изображения.
- В настройках приложения администратор может кропать картинки сразу после загрузки:
В части развёртывания системы
- Полностью убраны все custom-файлы, стили, шаблоны из результирующего архива сборки.
В части готовых интеграционных кейсов
- Разработано решение по интеграции с Remote Desktop Gateway (RDGW), тестируется.
В части инструкций по продукту
- Разработана инструкция по подключению Remote Desktop Gateway.
- Описана структура Access Token, Id Token.
- Описаны требования к реализации Authorization Code Grant Flow (сценарий с секретом) для OIDC-приложений с бэкендом.
- Описаны требования к реализации Authorization Code Grant Flow with PKCE (без секрета) для OIDC-приложений без бекенда.
Исправленные ошибки
В части аутентификации
Нет исправлений.
В части интеграционных возможностей для приложений, подключаемых с целью аутентификации
- Исправлена ошибка интеграционного интерфейса для приложений OpenID Connect, из-за которой в составе Access Token со scope=openid возвращалось пустое значение claim'а sub.
- Исправлен заголовокContent-type на json для .well-known/openid-configuration.
В части импорта данных о пользователях
Нет исправлений.
В части функций безопасности
- Исправлена ошибка, из-за которой в журнале событий безопасности не фиксировалось наименование группы, в которую включается или из которой исключается пользователь.
- На уровне конфигурации nginx исправлена уязвимость Clickjacking (см. add_header... в установочном файле), которая была обнаружена в процессе сертификационных испытаний.
В части самообслуживания
- Исправлены отступы кнопок в базовом шаблоне страницы "Ошибка доступа".
- Исправлена ошибка, из-за которой падал агент при недоступности gRPC-сервера.
В части интерфейса административной консоли
- Исправлена ошибка, из-за которой нельзя было сменить секрет у ранее созданного OpenID Connect-приложения.
- Исправлена ошибка, из-за которой нельзя было удалить ранее созданное приложение.
- Исправлена ошибка, из-за которой не функционировала фильтрация журнала событий по параметру fio_owner.
- Исправлена ошибка в настройках интеграции OpenID-приложения, которая позволяла сохранить приложение с ID, который не прошёл валидацию.
- Исправлена ошибка, возникающая при удалении пользователя, которая не позволяла его удалить.
В части развёртывания системы
Нет исправлений.
В части готовых интеграционных кейсов
Нет исправлений.
В части инструкций по продукту
- Внесены исправления в Руководство по установке и настройке, связанные с опечатками.
Обратная совместимость
Изменилась конфигурационная секция license в config.json. Актуальный вариант:
"license": { "logLang": "en", "pathToToken": "./license.jwt" },
- Ранее существовавший файл лицензии license.json (появился в версии FAM 1.1.1) требуется удалить, а вместо него получить новый файл лицензии.
Известные проблемы
- Предположительно есть проблема с контролем срока жизни refresh_token.