Avanpost FAM/MFA+ : 3.5. Архитектура и компоненты

Архитектура системы на базе продукта

Общая архитектурная схема системы, разворачиваемой на базе продукта Avanpost FAM/MFA+:

На схеме изображены возможные взаимодействия компонентов системы (нумерация списка соответствует нумерации стрелок на схеме):

  1. Передача запросов от пользователей и клиентских компонентов системы к компоненту Avanpost FAM Server;
  2. Отправка и обработка запросов на аутентификацию, направляемых в мобильное приложение-аутентификатор Avanpost Authenticator;
  3. Выполнение подписи сообщений (при использовании ГОСТ-криптографии);
  4. Чтение и сохранение данных;
  5. Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Windows Logon;
  6. Отправка запросов на аутентификацию со стороны Windows АРМ с установленным компонентом Agent для сценариев интеграции с Enterprise SSO-приложениями;
  7. Отправка запросов на аутентификацию со стороны Linux АРМ с установленным компонентом Linux Logon (PAM Linux);
  8. Отправка запросов на аутентификацию для унаследованных приложений с поддержкой аутентификации по паролю (LDAP BIND) через LDAP-каталог (Microsoft Active Directory, FreeIPA и т.д.) c установленным компонентом Avanpost FAM LDAP Proxy;
  9. Передача запросов на аутентификацию в мобильное приложение-аутентификатор Avanpost Authenticator через интернет/DMZ/сетевую инфраструктуру.

Состав компонентов продукта

Сводная таблица по способам загрузки и установки компонентов приведена на странице дистрибутивы.

Avanpost FAM/MFA+ разворачивается в on-premise и поддерживает развёртывание в полностью изолированной от внешних сетевых взаимодействий инфраструктуре.

КомпонентНазначениеСетевой контур

Основные серверные компоненты

Avanpost FAM Server

Основной компонент системы Avanpost FAM/MFA+ Внутренний/ДМЗ при размещении всех компонентов системы во внешнем контуре
Avanpost FAM Mobile Services

Единый пакет из 2 компонентов (Push Service и API Service) для обеспечения взаимодействия с мобильными приложениями Avanpost Authenticator

ДМЗ
Avanpost FAM SelfService

Компонент для предоставления веб-приложения ЛК из состава Avanpost FAM с публикацией в интернет, для подключения приложений с поддержкой OAuth/OpenID Connect/SAML, опубликованных в интернет

ДМЗ
Клиентские компоненты, устанавливаемые на устройства пользователей

Avanpost FAM Agent

Компонент, предназначенный для аутентификации через Avanpost FAM в десктопных приложениях по технологии Enterprise SSOВнутренний/внешний

Avanpost FAM Windows Logon

Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Microsoft Windows Desktop и Microsoft Windows Server в режиме графической оболочки и RDPВнутренний/внешний

Avanpost FAM Linux Logon

Компонент, предназначенный для аутентификации через Avanpost FAM на рабочих станциях и серверах под управлением Linux-систем в режиме терминала/SSH и Debian с оболочкой Gnome в режиме графической оболочкиВнутренний/внешний

Avanpost Authenticator

Мобильное приложение Avanpost Authenticator для аутентификации посредством push-запросов, запросов доступа без push, сканирования QR-кода, TOTP

Внутренний/внешний
Серверные компоненты для подключения прикладных решений
Avanpost FAM LDAP ProxyКомпонент для подключения приложений, поддерживающих исключительно LDAP-аутентификациюВнутренний
Avanpost FAM ADFS PluginКомпонент для добавления в ADFS функциональности 2FA/MFA/SSO через Avanpost FAM/MFA+Внутренний
Avanpost FAM Exchange ActiveSync PluginКомпонент для добавления в Exchange ActiveSync функциональности 2FA через Avanpost FAM/MFA+Внутренний

Серверные компоненты для решения специализированных задач

Avanpost FAM Public APIКомпонент для получения данных из БД Avanpost FAM посредством GraphQL APIВнутренний

Avanpost FAM Credentials Service

Компонент для установки коннекторов из состава Avanpost IDM для управления паролями в рамках интеграции по Reverse Proxy и Enterprise SSO

Внутренний

Сценарии использования компонентов

КомпонентМотивация установки

Основные серверные компоненты

Avanpost FAM Server

При развёртывании экземпляра Avanpost FAM/MFA+
Avanpost FAM Mobile ServicesПри использовании аутентификации посредством мобильного приложения Avanpost Authenticator в методах Push, QR, усиленного TOTP
Avanpost FAM SelfServiceПри публикации личного кабинета в интернет
Клиентские компоненты, устанавливаемые на устройства пользователей

Avanpost FAM Agent

При использовании функциональности Unified SSO, при использовании функциональности Enterprise SSO для аутентификации в унаследованные десктопные приложения

Avanpost FAM Windows Logon

При использовании функциональности Unified SSO в рамках рабочих мест под управлением ОС Windows, при использовании функциональности аутентификации в АРМ/сервера под управлением ОС Windows

Avanpost FAM Linux Logon

При использовании функциональности Unified SSO в рамках рабочих мест под управлением ОС Linux, при использовании функциональности аутентификации в АРМ/сервера под управлением ОС Linux

Avanpost Authenticator

При использовании функциональности аутентификации посредством push, усиленного TOTP, входа по QR-коду при помощи мобильного приложения-аутентификатора 
Серверные компоненты для подключения прикладных решений
Avanpost FAM LDAP ProxyПри подключении с целью 2FA унаследованных (legacy) приложений с поддержкой только LDAP-аутентификации
Avanpost FAM ADFS PluginПри подключении с целью 2FA/MFA/SSO приложений, подключенных к ADFS по IdP-протоколам (SAML, WS-Federation, OpenID Connect) без перенастройки  интеграций с приложениями
Avanpost FAM Exchange ActiveSync PluginПри подключении с целью 2FA мобильных почтовых клиентов, работающих с Microsoft Exchange Server по протоколу Exchange ActiveSync (EAS)

Серверные компоненты для решения специализированных задач

Avanpost FAM Public APIПри интеграции с Avanpost FAM внешних систем, выполняющих частые операции чтения больших объёмов записей (синхронизация по расписанию)

Avanpost FAM Credentials Service

При использовании функциональности аутентификации в унаследованные десктопные приложения посредством механизма Enterprise SSO и унаследованные веб-приложения посредством механизма Reverse Proxy

Поддерживаемые платформы

КомпонентОперационные системыДополнительное ПО

Основные серверные компоненты

Avanpost FAM Server

Docker, Linux Веб-сервер Nginx/HaProxy, СУБД PostgreSQL
Avanpost FAM Mobile ServicesDocker, LinuxВеб-сервер Nginx/HaProxy
Avanpost FAM SelfServiceDocker, LinuxВеб-сервер Nginx/HaProxy
Клиентские компоненты, устанавливаемые на устройства пользователей

Avanpost FAM Agent

Microsoft Windows Desktop 10/11, Microsoft Windows Server 2016/2019/2022-

Avanpost FAM Windows Logon

Microsoft Windows Desktop 10/11, Microsoft Windows Server 2016/2019/2022-

Avanpost FAM Linux Logon

Astra Linux, Alt Linux, RedOS, Ubuntu Linux-

Avanpost Authenticator

Android, iOS, Huawei-
Серверные компоненты для подключения прикладных решений
Avanpost FAM LDAP ProxyLinux
Avanpost FAM ADFS PluginMicrosoft Windows Server 2016/2019/2022Microsoft Windows Server 2016/2019 ADFS 
Avanpost FAM Exchange ActiveSync PluginMicrosoft Windows Server 2016/2019/2022Microsoft Exchange Server 2019 с IIS

Серверные компоненты для решения специализированных задач

Avanpost FAM Public APIMicrosoft Windows Server 2016/2019/2022.Net

Avanpost FAM Credentials Service

Microsoft Windows Server 2016/2019/2022.Net

Avanpost FAM является кроссплатформерным решением и поддерживает установку и развёртывание в различных инфраструктурах

  • Docker;
  • Oracle Linux 8;
  • Red Hat, CentOS 7, 8, CentOS Stream;
  • Альт 8 СП Сервер;
  • Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
  • Debian 10, 11, 12, 13.

Avanpost FAM Mobile Services

  • Oracle Linux 8;
  • Red Hat, CentOS 7, 8, CentOS Stream;
  • Альт 8 СП Сервер;
  • Astra Linux 1.6 SE, 1.7 SE, Astra Linux 2.11 CE, 2.12 CE;
  • Debian 10, 11, 12, 13.

Avanpost FAM Credential Provider, Avanpost FAM Agent, FAM Windows Logon (Credential Provider)

  • Windows

Обсуждение