Общие сведения
Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается локально на устройство пользователя для следующих задач:
- осуществления 2FA/MFA для получения доступа к рабочей станции;
- осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
- централизованного контроля доступа к рабочей станции или серверу через RDP.
Локальная установка Avanpost FAM Windows Logon рекомендуется в следующих случаях:
- Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
- Сервер расположен не в домене из соображений безопасности.
Если планируется установка Avanpost FAM Windows Logon на большое количество устройств, рекомендуется использовать способ установки через GPO.
Компонент поддерживает следующие ОС Windows:
- Microsoft Windows Desktop 7 (до 2024);
- Microsoft Windows Desktop 8.1;
- Microsoft Windows Desktop 10;
- Microsoft Windows Desktop 11;
- Microsoft Windows Server 2012R2 (до 2024);
- Microsoft Windows Server 2016;
- Microsoft Windows Server 2019;
- Microsoft Windows Server 2022.
Загрузка дистрибутива
Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:
- установочный MSI-файл;
- стандартный конфигурационный файл для MSI-файла.
Установка компонента на рабочей станции под управлением ОС Microsoft Windows
Установка Avanpost FAM Windows Logon (Credential Provider) осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:
- Распаковать скачанный дистрибутив в формате zip-архива в произвольный каталог каталог на устройстве пользователя.
- Отредактировать конфигурационный файл
avanpostcred.ini
(после установки конфигурационный файл можно найти для редактирования параметров по путиC:\windows\avanpostcred.ini
), указав в качестве значения параметраConnect
адрес gRPC-интерфейса Avanpost FAM Server (см. Приложение А). - Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
- В приветственном окне нажать "Далее".
- В окне подтверждения установки нажать "Далее".
- Дождаться окончания установки и перезагрузить устройство.
Важно
Начиная с версии 1.0-20 FAM Windows Logon использует пакет vcredist 2019, который должен быть установлен в ОС.
Установка и настройка компонента на стороне Avanpost FAM Server
Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).
На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().
Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" (). Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.
На последующих шагах установить дополнительные факторы аутентификации.
Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.
На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения).
Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса
Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini
) необходимо задать параметры:
CA=< имя файла сертификата сервера с полным путем > SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >
Обновление компонента
Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне рабочей станции пользователя.
При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.
1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.
2. Удалить ini-файл из нового распакованного дистрибутива.
3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.
Стандартное обновление осуществляется следующим образом:
- Распаковать дистрибутив в формате zip-архива в произвольный каталог.
- Отредактировать конфигурационный файл
avanpostcred.ini
в дистрибутиве, указав в качестве значения параметраConnect
адрес gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А). - Запустить установку MSI-пакета.
- Когда мастер установки предложит выполнить обновление, согласиться и нажать "Далее".
- Дождаться завершения обновления и перезагрузить устройство.
Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider)
В режиме доступа к рабочей станции:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Credential Provider.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
Приложение А. Параметры конфигурационного файла avanpostcred.ini
Конфигурационный файл avanpostcred.ini
обладает следующими параметрами.
Параметр | Описание |
---|---|
Connect | IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC. |
Flags | Доступные переменные для параметра Flags:
|
Token | Указывает библиотеку для используемых токенов. Доступные значения для параметра Token:
|
Model | Определяет модели используемых аппаратных токенов. Пример моделей для JaCard:
|
QR | Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки. |
IconFile | Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла в формате BMP. |
Tile | Задает количество сохраненных логинов в дополнение к основным:
|
LOG | Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования. |
LogLevel | Показывает уровень детальности логирования. По умолчанию уровень детализации INFO. Допустимо указание следующих параметров для фиксации информации:
|
SslTargetName | Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата. |
CA | Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата. |
AppName | Имя приложения для Avanpost FAM Server (если параметр не задан, автоматически используется название CredentialProvider). |
Timeout | Время ожидания ответа для сервера (по умолчанию 45 секунд). На время ожидания первого запроса (запрос проверки наличия QR-кода длиной 15 секунд) параметр не влияет. |
Конфигурационный файл avanpostcred.ini
, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.
[Avanpost] Connect=192.168.10.10:9007 Flags=NOFAMDOMAIN,SHOWALLCP Token=rtPKCS11.dll LogLevel=INFO