Общие сведения
E-mail OTP – один из наиболее распространённых методов аутентификации, использующий в качестве средства доставки одноразового кода SMTP/SMTPs механизм корпоративного почтового сервера. При использовании данного механизма на E-mail сотрудника отправляется E-mail, содержащее одноразовый код. После ввода одноразового кода пользователь считается успешно аутентифицированным.
Для того, чтобы сотрудник мог пользоваться методом аутентификации E-mail OTP, требуется как минимум указать в профиле сотрудника его адрес электронной почты. Привязка аутентификатора E-mail OTP возможна в следующих сценариях:
- Привязка в личном кабинете Avanpost FAM посредством ввода или корректировки E-mail.
- Привязка в административной консоли Avanpost FAM посредством указания администратором E-mail сотрудника.
- Автоматическая привязка на основе факта импорта атрибута пользователя из доверенного источника, к примеру, в результате LDAP-синхронизации (например, в рамках LDAP-синхронизации с Microsoft Active Directory, LDAP-синхронизации с FreeIPA и т.д.).
E-mail OTP может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:
- OAuth/OpenID Connect;
- SAML;
- Reverse Proxy;
- RADIUS;
- Enterprise SSO через Avanpost FAM Agent;
- Windows Logon через Avanpost FAM Credential Provider;
- Linux Logon через Avanpost FAM PAM Linux.
Системные требования к инфраструктуре для работы метода аутентификации E-mail OTP:
- Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.2.0 или новее.
- Доступный из внутренней сети HTTP SMTP-шлюз, соответствующий требованиям.
Сценарии использования
Аутентификация в веб-приложения с вводом одноразового кода из E-mail
Возможно использование OTP-аутентификации через E-mail OTP для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:
Примеры некоторых корпоративных систем, для которых применим данный сценарий:
- MFA/SSO в Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS;
- MFA/SSO в CRM Creatio (Terrasoft bpm'online);
- MFA/SSO в Grafana;
- MFA/SSO в Atlassian Jira Server;
- MFA/SSO в Atlassian Confluence Server.
Аутентификация в VPN/VDI (RADIUS) с вводом одноразового кода из E-mail
Возможно использование OTP-аутентификации через E-mail OTP для всех приложений, подключаемых с целью 2FA посредством RADIUS, с поддержкой метода RADIUS Access-Challenge.
Примеры корпоративных систем, для которых применим данный сценарий:
Аутентификация в десктопные приложения (Enterprise SSO) с вводом одноразового кода из E-mail
Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.
Примеры корпоративных систем, для которых применим сценарий:
- MFA/SSO в 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO);
- MFA/SSO в SAP Logon;
- MFA/SSO в TrueConf.
Аутентификация на рабочие станции и сервера с вводом одноразового кода из E-mail
Avanpost FAM позволяет выполнять OTP-аутентификацию через E-mail OTP для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.
Примеры задач, для которых применим сценарий:
- 2FA/MFA при подключении по RDP к Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019;
- 2FA/MFA при входе в Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019.
Привязка E-mail OTP в процессе аутентификации
Avanpost FAM позволяет выполнить установку E-mail адреса в процессе аутентификации. После указания E-mail адреса сотрудник может использовать указанный почтовый адрес в качестве средства доставки 2FA E-mail OTP.
Привязка E-mail OTP через личный кабинет
Avanpost FAM позволяет выполнить установку или замену E-mail адреса через личный кабинет. После заполнения E-mail сотрудник может использовать E-mail в качестве метода 2FA.
Привязка E-mail OTP в рамках LDAP-синхронизации
Avanpost FAM в рамках интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, OpenLDAP и т.д.) может осуществлять загрузку E-mail-адресов сотрудников. После чего будет доступен к использованию сотрудниками для аутентификации по E-mail OTP.
Привязка E-mail OTP через административную консоль
Администратор системы Avanpost FAM может воспользоваться административной консолью для установки сотруднику требуемого E-mail адреса.
Требования к SMTP-шлюзу
SMTP-шлюз для использования с Avanpost FAM должен обладать следующими характеристиками:
- Предоставлять доступный из внутренней сети, в которой развёрнут компонент Avanpost FAM Server, SMTP-шлюз позволяющий при помощи SMTP-запроса осуществить отправку E-mail сообщения.