Avanpost FAM (Federated Access Manager) – корпоративный Identity & Access Manager (IAM). Предназначен для обеспечения защищённой аутентификации сотрудников организаций и холдинговых структур во все корпоративные информационные системы.
Система обеспечивает готовые и масштабируемые решения для следующих задач:
- Защита корпоративных систем, публикуемых в интернет, при помощи 2FA/MFA.
- Прозрачная аутентификация при переходе между приложениями при помощи SSO/SLO.
- 2FA для серверов и компьютеров под управлением Windows и Linux.
- Единая точка входа для мультидоменных инфраструктур.
- Защита унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA.
Продукт является отечественной разработкой, соответствует требованиям регуляторов и обеспечивает выполнение требований импортозамещения:
- Сертифицирован ФСТЭК России на соответствие 4 уровню доверия по новым требованиям.
- Содержится в реестре отечественного ПО под регистрационным номером ПО 6824.
- Поддерживает работу на базе отечественных операционных систем.
Решение является законченным программным продуктом и не требует разработки дополнительных программных средств или иного дополнительного ПО. Системный язык пользовательского интерфейса – русский.
Функции системы
Система Avanpost FAM предоставляет следующий набор функций:
- IdP (Identity Provider, провайдер аутентификации);
- SSO (Single-Sign On, однократная аутентификация);
- SLO (Single Logout, однократное завершение сессии);
- MFA (Multifactor-Authentication, многофакторная аутентификация);
- Windows и Linux Logon;
- Единый каталог пользователей;
- Контроль и управление сессиями;
- Авторизация;
- Самообслуживание;
- Восстановление доступа.
Поддерживаемые типы приложений
Продукт Avanpost FAM обеспечивает подключение всех типов и вариантов исполнения информационных систем, применяемых в корпоративной инфраструктуре:
- Рабочие станции пользователей под управлением ОС семейства Linux и Microsoft Windows.
- Веб-приложения с поддержкой OpenID Connect 1.0, OAuth 2.0 и SAML 2.0.
- Унаследованные веб-приложения без поддержки OpenID Connect 1.0 и SAML 2.0.
- API и микросервисы с возможностью реализации OpenID Connect 1.0.
- Унаследованные десктопные приложения и современные десктопные приложения с поддержкой OpenID Connect 1.0 и SAML 2.0.
- Мобильные приложения с поддержкой или возможностью реализации OpenID Connect 1.0.
- SaaS/PaaS-решения с поддержкой SAML 2.0, OpenID Connect 1.0 и с поддержкой федераций.
- VPN и межсетевые экраны с поддержкой аутентификации через RADIUS-сервер.
- VDI и системы удалённых рабочих столов (VNC, RDP) с поддержкой аутентификации через RADIUS-сервер.
Поддерживаемые технологии подключения приложений
Продукт Avanpost FAM поддерживает следующие технологии интеграции:
- Enterprise SSO (агентская аутентификация путём перехвата окон десктопных приложений).
- Reverse Proxy (технология Web Access Manager).
- RADIUS.
- Windows Logon для Microsoft Windows-систем (Windows Desktop 7, 8, 10 и Windows Server 2012R2, 2016, 2019).
- Linux Logon для Linux-систем (PAM Linux-модуль).
- SAML (IdP в рамках протокола SAML 2.0).
- OpenID Connect (IdP в рамках протокола OAuth 2.0/OpenID Connect 1.0).
Поддерживаемые методы и факторы аутентификации
Продукт Avanpost FAM поддерживает следующие методы аутентификации:
- Пароль, в том числе с проверкой в LDAP-каталоге.
- TOTP (Avanpost Authenticator, Google Authenticator, Яндекс.Ключ и другие программные TOTP-аутентификаторы).
- SMS (одноразовый код, направляемый в SMS-сообщении).
- E-mail (одноразовый код, направляемый в E-mail-сообщении).
- Аутентификация через собственное мобильное приложение Avanpost Authenticator (Android/iOS/Huawei) посредством целого набора методов:
- Push в мобильное приложение Avanpost Authenticator;
- Запрос в мобильное приложение Avanpost Authenticator без использования механизма push для изолированных инсталляций без возможности доступа к push-сервисам Google/Apple/Huawei;
- Беспарольная аутентификация посредством сканирования QR-кода в мобильном приложении Avanpost Authenticator;
- Резервная аутентификация посредством TOTP при отсутствии связи на мобильном устройстве.
- SafeTech PayControl (Android/iOS).
- Push в мессенджер Telegram.
- FIDO WebAuthn/FIDO U2F.
- Электронная подпись (в том числе ГОСТ).
- Аппаратный токен с возможностью проверки PIN-кода на смарт-карте:
- Rutoken;
- некоторые токены JaCarta;
- некоторые токены eToken.
- Прозрачная доменная SPNEGO/Kerberos-аутентификация (в том числе мультидоменная Kerberos-аутентификация).
Поддерживаемые технологии федерации
Продукт Avanpost FAM поддерживает выстраивание доверенных федеративных отношений со следующими провайдерами:
- LDAP-провайдеры;
- OpenID Connect-провайдеры;
- SAML-провайдеры.
Поддерживаемые технологии мониторинга
Продукт Avanpost FAM поддерживает следующие технологии мониторинга и сбора информации:
- Экспорт событий в SIEM/агрегатор журналов по syslog.
- Сбор показателей функционирования в формате Prometheus для дальнейшего анализа или визуализации при помощи Grafana.