Avanpost FAM/MFA+ : 3.2.5. E-mail

Общие сведения

E-mail OTP – один из наиболее распространённых методов аутентификации, использующий в качестве средства доставки одноразового кода SMTP/SMTPs механизм корпоративного почтового сервера. При использовании данного механизма на E-mail сотрудника отправляется E-mail, содержащее одноразовый код. После ввода одноразового кода пользователь считается успешно аутентифицированным.

Для того, чтобы сотрудник мог пользоваться методом аутентификации E-mail OTP, требуется как минимум указать в профиле сотрудника его адрес электронной почты. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:

  • Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки E-mail.
  • Привязка в административной консоли Avanpost FAM посредством указания администратором E-mail сотрудника.
  • Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory, LDAP-синхронизации с FreeIPA и т.д.).

E-mail OTP может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:

Системные требования к инфраструктуре для работы метода аутентификации E-mail OTP:

  • Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.2.0 или новее.
  • Доступный из внутренней сети HTTP SMTP-шлюз, соответствующий требованиям.

Сценарии использования

Аутентификация в веб-приложения с вводом одноразового кода из E-mail

Возможно использование OTP-аутентификации через E-mail OTP для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:

Примеры некоторых корпоративных систем, для которых применим данный сценарий:

Аутентификация в VPN/VDI (RADIUS) с вводом одноразового кода из E-mail

Возможно использование OTP-аутентификации через E-mail OTP для всех приложений, подключаемых с целью 2FA посредством RADIUS, с поддержкой метода RADIUS Access-Challenge.

Примеры корпоративных систем, для которых применим данный сценарий:

Аутентификация в десктопные приложения (Enterprise SSO) с вводом одноразового кода из E-mail

Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.

Примеры корпоративных систем, для которых применим сценарий:

Аутентификация на рабочие станции и сервера с вводом одноразового кода из E-mail

Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.

Примеры задач, для которых применим сценарий:

Привязка E-mail OTP в процессе аутентификации

Avanpost FAM позволяет выполнить установку E-mail адреса в процессе аутентификации. После указания E-mail адреса сотрудник может использовать указанный почтовый адрес в качестве средства доставки 2FA E-mail OTP.

Привязка E-mail OTP через личный кабинет

Avanpost FAM позволяет выполнить установку или замену E-mail адреса через личный кабинет. После заполнения E-mail сотрудник может использовать E-mail в качестве метода 2FA.

Привязка E-mail OTP в рамках LDAP-синхронизации

Avanpost FAM в рамках интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) может осуществлять загрузку E-mail-адресов сотрудников. После чего будет доступен к использованию сотрудниками для аутентификации по E-mail OTP.

Привязка E-mail OTP через административную консоль

Администратор системы Avanpost FAM может воспользоваться административной консолью для установки сотруднику требуемого E-mail адреса.

Требования к SMTP-шлюзу

SMTP-шлюз для использования с Avanpost FAM должен обладать следующими характеристиками:

  • Предоставлять доступный из внутренней сети, в которой развёрнут компонент Avanpost FAM Server, SMTP-шлюз позволяющий при помощи SMTP-запроса осуществить отправку E-mail сообщения.


Обсуждение