Архитектура системы на базе продукта
Общая архитектурная схема системы, разворачиваемой на базе продукта Avanpost FAM/MFA+:
На схеме изображены возможные взаимодействия компонентов системы (нумерация списка соответствует нумерации стрелок на схеме):
- Передача запросов от пользователей и клиентских компонентов системы к компоненту Avanpost FAM Server;
- Отправка и обработка запросов на аутентификацию, направляемых в мобильное приложение-аутентификатор Avanpost Authenticator;
- Выполнение подписи сообщений (при использовании ГОСТ-криптографии);
- Чтение и сохранение данных;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Windows Logon;
- Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Agent для сценариев интеграции с Enterprise SSO-приложениями;
- Отправка запросов на аутентификацию со стороны Linux АРМ с установленным компонентом Linux Logon (PAM Linux);
- Отправка запросов на аутентификацию для унаследованных приложений с поддержкой аутентификации по паролю (LDAP BIND) через LDAP-каталог (Microsoft Active Directory, FreeIPA и т.д.) c установленным компонентом Avanpost FAM LDAP Proxy;
- Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.
Состав компонентов продукта
Сводная таблица по способам загрузки и установки компонентов приведена на странице дистрибутивы.
Avanpost FAM/MFA+ разворачивается в on-premise и поддерживает развёртывание в полностью изолированной от внешних сетевых взаимодействий инфраструктуре.
Компонент | Назначение | Сетевой контур |
---|---|---|
Основные серверные компоненты | ||
Основной компонент системы Avanpost FAM/MFA+ | Внутренний/ДМЗ при размещении всех компонентов системы во внешнем контуре | |
Avanpost FAM Mobile Services | Единый пакет из 2 компонентов (Push Service и API Service) для обеспечения взаимодействия с мобильными приложениями Avanpost Authenticator | ДМЗ |
Avanpost FAM SelfService | Компонент для предоставления веб-приложения ЛК из состава Avanpost FAM с публикацией в интернет, для подключения приложений с поддержкой OAuth/OpenID Connect/SAML, опубликованных в интернет | ДМЗ |
Клиентские компоненты, устанавливаемые на устройства пользователей | ||
Компонент, предназначенный для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSO | Внутренний/внешний | |
Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и RDP | Внутренний/внешний | |
Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочки | Внутренний/внешний | |
Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP | Внутренний/внешний | |
Серверные компоненты для подключения прикладных решений | ||
Avanpost FAM LDAP Proxy | Компонент для подключения приложений, поддерживающих исключительно LDAP-аутентификацию | Внутренний |
Avanpost FAM ADFS Plugin | Компонент для добавления в ADFS функциональности 2FA/MFA/SSO через Avanpost FAM/MFA+ | Внутренний |
Avanpost FAM Exchange ActiveSync Plugin | Компонент для добавления в Exchange ActiveSync функциональности 2FA через Avanpost FAM/MFA+ | Внутренний |
Серверные компоненты для решения специализированных задач | ||
Avanpost FAM Public API | Компонент для получения данных из БД Avanpost FAM посредством GraphQL API | Внутренний |
Avanpost FAM Credentials Service | Компонент для установки коннекторов из состава Avanpost IDM для управления паролями в рамках интеграции по Reverse Proxy и Enterprise SSO | Внутренний |
Сценарии использования компонентов
Компонент | Мотивация установки |
---|---|
Основные серверные компоненты | |
При развёртывании экземпляра Avanpost FAM/MFA+ | |
Avanpost FAM Mobile Services | При использовании аутентификации посредством мобильного приложения Avanpost Authenticator в методах Push, QR, усиленного TOTP |
Avanpost FAM SelfService | При публикации личного кабинета в интернет |
Клиентские компоненты, устанавливаемые на устройства пользователей | |
При использовании функциональности Unified SSO, при использовании функциональности Enterprise SSO для аутентификации в унаследованные десктопные приложения | |
При использовании функциональности Unified SSO в рамках рабочих мест под управлением ОС Windows, при использовании функциональности аутентификации в АРМ/сервера под управлением ОС Windows | |
При использовании функциональности Unified SSO в рамках рабочих мест под управлением ОС Linux, при использовании функциональности аутентификации в АРМ/сервера под управлением ОС Linux | |
При использовании функциональности аутентификации посредством push, усиленного TOTP, входа по QR-коду при помощи мобильного приложения-аутентификатора | |
Серверные компоненты для подключения прикладных решений | |
Avanpost FAM LDAP Proxy | При подключении с целью 2FA унаследованных (legacy) приложений с поддержкой только LDAP-аутентификации |
Avanpost FAM ADFS Plugin | При подключении с целью 2FA/MFA/SSO приложений, подключенных к ADFS по IdP-протоколам (SAML, WS-Federation, OpenID Connect) без перенастройки интеграций с приложениями |
Avanpost FAM Exchange ActiveSync Plugin | При подключении с целью 2FA мобильных почтовых клиентов, работающих с Microsoft Exchange Server по протоколу Exchange ActiveSync (EAS) |
Серверные компоненты для решения специализированных задач | |
Avanpost FAM Public API | При интеграции с Avanpost FAM внешних систем, выполняющих частые операции чтения больших объёмов записей (синхронизация по расписанию) |
Avanpost FAM Credentials Service | При использовании функциональности аутентификации в унаследованные десктопные приложения посредством механизма Enterprise SSO и унаследованные веб-приложения посредством механизма Reverse Proxy |
Поддерживаемые платформы
Компонент | Операционные системы | Дополнительное ПО |
---|---|---|
Основные серверные компоненты | ||
Docker, Linux | Веб-сервер Nginx/HaProxy, СУБД PostgreSQL | |
Avanpost FAM Mobile Services | Docker, Linux | Веб-сервер Nginx/HaProxy |
Avanpost FAM SelfService | Docker, Linux | Веб-сервер Nginx/HaProxy |
Клиентские компоненты, устанавливаемые на устройства пользователей | ||
Microsoft Windows Desktop 10/11, Microsoft Windows Server 2016/2019/2022 | - | |
Microsoft Windows Desktop 10/11, Microsoft Windows Server 2016/2019/2022 | - | |
Astra Linux, Alt Linux, RedOS, Ubuntu Linux | - | |
Android, iOS, Huawei | - | |
Серверные компоненты для подключения прикладных решений | ||
Avanpost FAM LDAP Proxy | Linux | |
Avanpost FAM ADFS Plugin | Microsoft Windows Server 2016/2019/2022 | Microsoft Windows Server 2016/2019 ADFS |
Avanpost FAM Exchange ActiveSync Plugin | Microsoft Windows Server 2016/2019/2022 | Microsoft Exchange Server 2019 с IIS |
Серверные компоненты для решения специализированных задач | ||
Avanpost FAM Public API | Microsoft Windows Server 2016/2019/2022 | .Net |
Avanpost FAM Credentials Service | Microsoft Windows Server 2016/2019/2022 | .Net |
Avanpost FAM является кроссплатформерным решением и поддерживает установку и развёртывание в различных инфраструктурах
- Docker;
- Oracle Linux 8;
- Red Hat, CentOS 7, 8, CentOS Stream;
- Альт 8 СП Сервер;
- Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
- Debian 10, 11, 12, 13.
Avanpost FAM Mobile Services
- Oracle Linux 8;
- Red Hat, CentOS 7, 8, CentOS Stream;
- Альт 8 СП Сервер;
- Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
- Debian 10, 11, 12, 13.
Avanpost FAM Credential Provider, Avanpost FAM Agent, FAM Windows Logon (Credential Provider)
- Windows