Общие сведения
Push в мобильное приложение – простой и удобный для пользователя, надёжный и безопасный метод аутентификации, который может использоваться в сценариях аутентификации 2FA/MFA, предоставляемых Avanpost FAM.
Avanpost Authenticator доступен бесплатно в магазинах приложений для смартфонов под управлением iOS и Android:
- Avanpost Authenticator в RuStore.
- Avanpost Authenticator в Google Play.
- Avanpost Authenticator в Apple AppStore;
- Avanpost Authenticator в AppGallery.
Мобильное приложение Avanpost Authenticator обеспечивает следующие методы аутентификации:
- Запрос на аутентификацию. Приходит в мобильное приложение пользователю при аутентификации в различные приложения (веб-приложения, десктопные приложения, сервисы и т.д.). Может доставляться либо посредством механизма push-запросов (если выполнена необходимая настройка для push-запросов), либо посредством механизма получения запросов на аутентификацию от Avanpost FAM Server через компоненты Avanpost FAM Mobile Services.
- Ввод одноразового TOTP-кода. Работает либо как классический TOTP, либо в качестве резервного метода аутентификации при отсутствии связи.
- Беспарольный вход посредством сканирования QR-кода на экране компьютера камерой мобильного устройства в мобильном приложении Avanpost Authenticator.
Для того, чтобы пользователь мог пользоваться своим смартфоном в качестве аутентификатора, требуется выполнить привязку пользовательского приложения Avanpost Authenticator к аккаунту в Avanpost FAM. Привязка Avanpost Authenticator возможна в следующих сценариях:
- Привязка в личном кабинете Avanpost FAM посредством считывания QR-кода;
- Привязка в процессе аутентификации посредством считывания QR-кода (веб-приложения, десктоп-приложения);
- Привязка в процессе аутентификации посредством ввода в Avanpost Authenticator секретного одноразового кода (VPN, VDI и другие RADIUS-приложения).
Avanpost Authenticator может использоваться для 2FA/MFA сценариев при аутентификации в приложения, подключенные посредством следующих механизмов интеграции:
- OAuth/OpenID Connect;
- SAML;
- Reverse Proxy;
- RADIUS;
- Enterprise SSO через Avanpost FAM Agent;
- Windows Logon через Avanpost FAM Windows Logon;
- Linux Logon через Avanpost FAM Linux Logon.
Системные требования к смартфону для работы мобильного приложения Avanpost Authenticator:
- Android 6.0 или новее;
- iOS 12.4 или новее;
- Huawei.
Системные требования к инфраструктуре для работы мобильного приложения Avanpost Authenticator:
- Развёрнутый во внутренней сети компонент Avanpost FAM Server 1.4.0 или новее.
- Развёрнутый в DMZ либо во внутренней сети компонент Avanpost FAM Mobile Services.
Avanpost Authenticator предоставляет ряд дополнительных функций для обеспечения максимально удобного процесса ввода системы в эксплуатацию и обеспечения технической поддержки пользователей:
- Инженерный режим работы приложения, включаемый пользователем в Avanpost Authenticator по запросу администратора организации. Предназначен для записи журналов взаимодействия Avanpost Authenticator и последующей ручной отправки их администратору организации.
- Режим разрешения взаимодействия с использованием не доверенных TLS-сертификатов, устанавливаемых на сервер Avanpost FAM. Предназначен для первичной отладки взаимодействия приложения Avanpost Authenticator с новой инсталляцией Avanpost FAM, когда нет возможности выпустить в короткие сроки выпустить TLS-сертификат, подтверждённый доверенным удостоверяющим центром.
Сценарии использования
Некоторые возможные сценарии применения мобильного приложения Avanpost Authenticator для решения прикладных задач:
- Аутентификация в веб-приложения с push-подтверждением или вводом OTP через Avanpost Authenticator
- Аутентификация в VPN/VDI (RADIUS) с push-подтверждением или вводом OTP через Avanpost Authenticator
- Аутентификация в десктопные приложения (Enterprise SSO) с push-подтверждением через Avanpost Authenticator
- Аутентификация на рабочие станции с push-подтверждением через Avanpost Authenticator
- Аутентификация на рабочие станции путём сканирования QR-кода
- Аутентификация в любые подключенные приложения с подтверждением push-запроса на смарт-часах
- Аутентификация в любые подключенные приложения посредством сканирования QR-кода
- Привязка Avanpost Authenticator посредством считывания QR-кода (веб-приложения, АРМ, десктопные приложения)
- Привязка Avanpost Authenticator посредством ввода одноразового кода в мобильное приложение (для VPN, VDI)
- Привязка Avanpost Authenticator посредством считывания QR-кода в личном кабинете
Аутентификация в веб-приложения с push-подтверждением или вводом OTP через Avanpost Authenticator
Возможно использование push-аутентификации через мобильное приложение Avanpost Authenticator для всех веб-приложений, подключаемых с целью 2FA/MFA/SSO посредством технологий:
Также для этих приложений доступен ввод OTP-кода в качестве резервного или альтернативного метода аутентификации. Например, в том случае, если у пользователя в данный момент нет доступа к интернету.
Скринкаст процесса аутентификации в веб-приложение посредством подтверждения push-запроса через мобильное приложение Avanpost Authenticator выглядит следующим образом:
Скринкаст процесса аутентификации в веб-приложение посредством ввода одноразового кода при невозможности получения push-уведомления выглядит следующим образом:
Примеры некоторых корпоративных систем, для которых применим данный сценарий:
- MFA/SSO в Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS;
- MFA/SSO в CRM Creatio (Terrasoft bpm'online);
- MFA/SSO в Grafana;
- MFA/SSO в Atlassian Jira Server;
- MFA/SSO в Atlassian Confluence Server.
Аутентификация в VPN/VDI (RADIUS) с push-подтверждением или вводом OTP через Avanpost Authenticator
Возможно использование push-аутентификации через мобильное приложение Avanpost Authenticator для всех приложений, подключаемых с целью 2FA посредством RADIUS.
Также для этих приложений доступен ввод OTP-кода в качестве резервного метода аутентификации. Например, в том случае, если у пользователя в данный момент нет доступа к интернету.
Скринкаст аутентификации в VPN, подключенный к 2FA в Avanpost FAM по RADIUS, на примере аутентификации в OpenVPN. Аутентификация выполняется посредством подтверждения push-запроса через мобильное приложение Avanpost Authenticator. Процесс выглядит следующим образом:
Примеры корпоративных систем, для которых применим данный сценарий:
- 2FA в Cisco AnyConnect, Cisco ASA, Cisco ASAv;
- 2FA в OpenVPN;
- 2FA в Remote Desktop Gateway/RD Gateway;
- 2FA в Microsoft VPN.
Аутентификация в десктопные приложения (Enterprise SSO) с push-подтверждением через Avanpost Authenticator
Avanpost FAM позволяет выполнять аутентификацию через мобильное приложение Avanpost Authenticator в десктопные приложения, подключенные с целью 2FA/MFA/SSO посредством механизма Enterprise SSO и с использованием клиентского компонента Avanpost FAM Agent.
Скрипкаст процесса аутентификации в десктопное приложение, подключенное по Enterprise SSO, на примере аутентификации в Тонкий клиент 1С:ЗУП 3.1:
Примеры корпоративных систем, для которых применим сценарий:
- MFA/SSO в 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO);
- MFA/SSO в SAP Logon;
- MFA/SSO в TrueConf.
Аутентификация на рабочие станции с push-подтверждением через Avanpost Authenticator
Avanpost FAM позволяет выполнять аутентификацию с подтверждением 2FA/MFA через мобильное приложение Avanpost Authenticator на рабочие станции и сервера под управлением ОС Microsoft® Windows и Linux.
Доступно для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью 2FA/MFA посредством компонентов Avanpost FAM Credential Provider и Avanpost FAM PAM Linux.
Примеры задач, для которых применим сценарий:
- 2FA/MFA при подключении по RDP к Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019;
- 2FA/MFA при входе в Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019.
Аутентификация на рабочие станции путём сканирования QR-кода
Avanpost FAM позволяет выполнять аутентификацию путём сканирования QR-кода через мобильное приложение Avanpost Authenticator на рабочие станции и сервера под управлением ОС Microsoft® Windows. Метод аутентификации является самоидентифицирующим, поэтому пользователю не требуется выполнять предварительную идентификацию до сканирования QR-кода.
При первом входе пользователя на рабочую станцию перед использованием метода входа по QR-коду требуется выполнить однократную аутентификацию по логину и паролю.
Доступно для всех рабочих станций и серверов, подключенных к Avanpost FAM с целью аутентификации посредством компонентов Avanpost FAM Credential Provider.
Примеры задач, для которых применим сценарий:
- 2FA/MFA при подключении по RDP к Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019;
- 2FA/MFA при входе в Windows Desktop 7/8/10/11 и Windows Server 2012R2/2016/2019.
Аутентификация в любые подключенные приложения с подтверждением push-запроса на смарт-часах
Avanpost FAM позволяет выполнять аутентификацию с подтверждением 2FA/MFA через мобильное приложение Avanpost Authenticator в связке со смарт-часами под Android и iOS.
Запрос на аутентификацию отображается в виде удобного сообщения с кнопками «Одобрить» и «Отклонить»:
При этом если в мобильном приложении Avanpost Authenticator включена блокировка приложения при помощи PIN-кода, то приложение Avanpost Authenticator перед подтверждением запроса на аутентификацию после нажатия на «Одобрить» запрашивает у пользователя ввод PIN-кода.
Аутентификация в любые подключенные приложения посредством сканирования QR-кода
Avanpost FAM позволяет выполнять аутентификацию с аутентификацию посредством сканирования QR через мобильное приложение Avanpost Authenticator. Метод аутентификации является самоидентифицирующим, поэтому пользователю не требуется выполнять предварительную идентификацию до сканирования QR-кода.
Данный метод может комбинироваться в рамках сценария аутентификации с другими факторами.
Доступно для приложений, подключаемых посредством технологий:
Примеры приложений, для которых применима аутентификация посредством сканирования QR-кода:
- Atlassian Confluence Server;
- Atlassian Jira Server;
- 1С:Предприятие 8.3.14 и выше (OpenID Connect);
- CRM Creatio (Terrasoft bpm'online).
Привязка Avanpost Authenticator посредством считывания QR-кода (веб-приложения, АРМ, десктопные приложения)
Мобильное приложение Avanpost Authenticator позволяет выполнить привязку аутентификатора посредством считывания камерой смартфона QR-кода.
Это удобно для тех приложений и технологий интеграции в части аутентификации, которые поддерживают отображение пользователю на экране QR-кода. К таким относятся множество приложений, подключаемых посредством механизмов аутентификации:
Скринкаст процесса привязки аутентификатора Avanpost Authenticator посредством считывания QR-кода на примере аутентификации в веб-приложение выглядит следующим образом:
Примеры корпоративных систем, для которых доступна привязка путём считывания QR-кода:
- Atlassian Confluence Server;
- Atlassian Jira Server;
- 1С:Предприятие 8.3.14 и выше (OpenID Connect);
- CRM Creatio (Terrasoft bpm'online);
- и т.д.
Привязка Avanpost Authenticator посредством ввода одноразового кода в мобильное приложение (для VPN, VDI)
Мобильное приложение Avanpost Authenticator позволяет выполнить привязку аутентификатора посредством ввода одноразового кода.
Это удобно для тех приложений и технологий интеграции в части аутентификации, которые не поддерживают отображение пользователю на экране QR-кода, но могут вывести пользователю сообщение, включающее в себя одноразовый код. К таким относятся множество приложений, подключаемых посредством RADIUS и Linux Logon без возможности отображения QR-кода.
Скринкаст процесса привязки аутентификатора Avanpost Authenticator посредством ввода одноразового кода на примере аутентификации в веб-приложение выглядит следующим образом:
Привязка Avanpost Authenticator посредством считывания QR-кода в личном кабинете
Привязка и настройка аутентификатора Avanpost Authenticator может быть выполнена посредством считывания QR-кода камерой на смартфоне в личном кабинете.
Безопасность и меры защиты
Для безопасности использования Avanpost Authenticator предпринят ряд важных мер.
Изолированное размещение внешних компонентов Avanpost FAM Mobile Services в DMZ
Для полноценной работы функций push-аутентификации требуется открытие сетевого доступа из интернета до компонента API из состава Avanpost FAM Mobile Services. API может быть размещён в DMZ без необходимости открытия сетевого доступа в направлении Avanpost FAM Server. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services.
Такая схема позволяет полностью изолировать внешние компоненты Avanpost FAM от внутренних, что значительно повышает защищённость системы аутентификации.
Проверка всех push-запросов на основе сертификата сервера Avanpost FAM
Компонент Avanpost FAM Server при формировании QR-кода предоставляет мобильному приложению Avanpost Authenticator свой сертификат. Каждое сообщение в направлении Avanpost Authenticator от Avnapost FAM Server подписывается этим сертификатом.
Мобильное приложение проверяет каждое сообщение. Некорректно подписанные запросы и сообщения отклоняются.
Защита входа в приложение Avanpost Authenticator PIN-кодом и отпечатком пальца
При доступе пользователя к приложению с целью подтверждения push-запроса либо с целью получения одноразового кода Avanpost Authenticator запрашивает у пользователя разблокировку. Пользователю доступны 2 метода:
- PIN-код;
- Отпечаток пальца.
Блокировка мобильных аутентификаторов в Avanpost Authenticator по инициативе администраторов
Администратор может заблокироватьм мобильный аутентификатор через административную консоль. После блокировки пользователь не сможет воспользоваться этим аутентификатором.
Часто задаваемые вопросы
Для чего в Avanpost Authenticator используется механизм push-уведомлений?
Для улучшения пользовательского опыта взаимодействия с приложением. Push-запросы функционируют на базе механизмов операционной системы (Android, iOS и т.д.) и позволяют присылать пользователю всплывающие уведомления в панели уведомлений без запуска или выполнения в фоне приложения. На сегодняшний день это единственный доступный способ оперативного отображения пользователю оповещений от мобильного приложения.
Для чего Push Service из состава Avanpost FAM Mobile Services взаимодействует с Google Firebase?
Под каждую платформу (Android, iOS, Huawei) существуют свои сервисы доставки push-уведомлений:
- Для доставки push-уведомлений на устройство под управлением Android используется механизм Google Cloud Messaging, для отправки сообщений в который требуется послать запрос в сервис Google Firebase.
- Для доставки push-уведомлений на устройство под управлением iOS используется механизм Apple Push Notification Service. Для отправки сообщения в iOS его можно отправить как напрямую в APN, но для этого требуется в APN зарегистрировать сертификат сервера системы, которая отправляет запрос. Либо воспользоваться промежуточным сервисом, например, Google Firebase.
- Для доставки push-уведомлений на устройство под управлением Huawei используется механизм push-уведомлений Huawei. Аналогично, push-запросы в него можно отправлять либо напрямую, либо через Google Firebase.
Google Firebase является наиболее универсальным сервисом, позволяющим доставлять push-уведомления на устройства под управлением Android, iOS и Huawei. При этом его использование является обязательным для доставки push-уведомлений на устройства Android.
Существуют ли российские сервисы push-уведомлений?
Для устройств под управлением ОС Android, iOS и Huawei для работы push-уведомлений необходимо использование сервисов производителя ОС.
Насколько безопасно использование сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в процессе корпоративной аутентификации?
Если приложение подключено к Avanpost FAM, а для аутентификации используется Avanpost Authenticator, то для защиты копроративных ресурсов применяется ряд мер:
- Шифрование всех взаимодействий при помощи TLS.
- Безопасное размещение компонентов Avanpost FAM Mobile Services в DMZ. Avanpost FAM Server, размещённый во внутренней сети, самостоятельно обращается и взаимодействует с компонентами Avanpost FAM Mobile Services, размещаемыми в DMZ.
- Проверка электронной подписи всех push-запросов и сообщений от Avanpost FAM Server в сторону мобильного устройства с Avanpost Authenticator при помощи сертификата сервера, который хранится в приложении Avanpost Authenticator. Если подпись запроса на аутентификацию некорректна, то такое push-сообщение или запрос на аутентификацию отклоняется приложением Avanpost Authenticator.
- Проверка электронной подписи всех запросов от мобильного приложения Avanpost Authenticator в сторону сервера Avanpost FAM. Для каждого аккаунта в Avanpost Authenticator выпускается ключ, который хранится на устройстве и используется для подписи всех сообщений, отправляемых в сторону API-компонента Avanpost FAM. На сервере Avanpost FAM хранится сертификат этого ключа и используется для проверки электронной подписи каждого сообщения. Если подпись некорректна, то сообщение отклоняется компонентом Avanpost FAM Server.
Описанный перечень мер является достаточным для максимальной защиты процесса аутентификации в корпоративные информационные системы, в том числе с использованием иностранных сервисов типа Google Firebase, Google Cloud Messaging, Apple Push Notification Services и т.д. Кроме этого Avanpost Authenticator может функционировать без механизма push-уведомлений.
Будет ли работать аутентификация через Avanpost Authenticator при возможной блокировке или недоступности сервисов Google Firebase, Google Cloud Messaging, Apple Push Notification Services в России?
Да, будет.
Станет невозможной лишь доставка всплывающих push-уведомлений на устройства под управлением Android и iOS. Сам же процесс аутентификации через Avanpost FAM и Avanpost Authenticator будет работать в этом случае следующим образом:
- Пользователь открывает мобильное приложение Avanpost Authenticator.
- Мобильное приложение Avanpost Authenticator обращается к серверу Avanpost FAM через API Service-компоненту в DMZ и получает список всех актуальных запросов на аутентификацию. Эти запросы отображаются пользователю с возможностью подтвердить/отклонить.
- Пользователь одобряет/отклоняет запрос. Запрос с решением пользователя отправляется API Service-компонент, размещённый в DMZ.
- После обработки запроса пользователя Avanpost FAM аутентифицирует пользователя в целевом приложении.
Будет ли доступно мобильное приложение Avanpost Authenticator в случае блокировки магазинов Google Play и Apple AppStore?
Да, для Android приложение доступно бесплатно в российском магазине приложений RuStore.
Для iOS возможности установки приложений из альтернативных магазинов приложений нет.