Общие сведения
Avanpost FAM предоставляет функциональность многошаговых сценариев аутентификации, позволяющих решить следующие задачи:
- Выполнить последовательную проверку нескольких факторов при аутентификации в определённую информационную систему;
- Предоставить пользователю фактор на выбор, если факторов несколько и если интеграционный механизм, посредством которого подключена информационная система, предоставляет возможность выбора;
- Динамически адаптировать сценарий аутентификации исходя из группы, в которой состоит пользователь, после его идентификации;
- Динамически адаптировать сценарий аутентификации исходя из различных параметров контекста пользователя:
- Атрибутов профиля пользователя, как основных, так и дополнительных;
- Атрибутов запроса (состав атрибутов запроса зависит от интеграционного механизма, посредством которого подключена информационная система).
Сценарий аутентификации
Сценарий аутентификации – фактически реализуемое поведение системы, которая применяется для аутентификации определённого пользователя в определённое приложение.
Реализуемый сценарий аутентификации для определённого пользователя в определённое приложение определяется процессом аутентификации, связанным с приложением.
Также сценарий аутентификации зависит от наличия сессии SSO, в рамках которой уже были проверены какие-либо из требуемых факторов аутентификации.
Процесс аутентификации
Процесс аутентификации – набор правил, по которому выполняется сценарий аутентификации. Процесс аутентификации содержит в себе:
- Набор шагов, которые должны быть пройдены для аутентификации пользователя; процесс аутентификации может состоять из любого количества шагов;
- Набора методов аутентификации на каждом шаге, как минимум один из которых должен быть проверен, чтобы шаг считался пройденным; на шаге может быть указан один или несколько факторов.
Одному приложению соответствует строго один процесс аутентификации. При этом один процесс аутентификации может быть назначен нескольким приложениям.
Метод аутентификации
Метод аутентификации — атомарная операция проверки аутентификатора пользователя, ассоциированного с пользователем и указанным методом аутентификации.
Таблица доступных методов аутентификации и их особенностей:
Наименование метода в административной консоли | Реализуемый метод аутентификации | |
---|---|---|
1 | Идентификация | Предварительная идентификация пользователя |
2 | Script | Динамическое вычисление сценария аутентификации в соответствии со скриптом, заданным в параметре «Скрипт MFA» |
3 | Вход по QR-коду | Отображение QR-кода пользователю с последующим сканированием мобильным приложением-аутентификатором Avanpost Authenticator |
4 | Внешний провайдер | Аутентификация посредством стороннего внешнего Identity Provider (OIDC, SAML) |
5 | Password | Аутентификация посредством проверки локального пароля или пароля с проверкой в подключенном LDAP-каталоге |
6 | TOTP | Аутентификация посредством OTP-кода, вычисляемого посредством алгоритма TOTP |
7 | Avanpost Authenticator | Аутентификация посредством Push в мобильное приложение Avanpost Authenticator или посредством усиленного TOTP |
8 | OTP via E-mail | Аутентификация посредством ввода OTP-кода, направляемого на электронную почту |
9 | SMS | Аутентификация посредством ввода OTP-кода, направляемого посредством SMS |
10 | Telegram | Аутентификация посредством Push в мессенджер Telegram |
11 | Сертификат | Аутентификация посредством электронной подписи |
12 | WebAuthn | Аутентификация посредством FIDO2 CTAP/Passkeys/WebAuthn/U2F-токенов |
13 | Kerberos | Аутентификация посредством Kerberos |
14 | Hardware | Аутентификация посредством предъявления аппаратного фактора (смарт-карты, СКУД и т.д.) |
Настройка методов аутентификации
Для того, чтобы обеспечить корректное функционирование методов аутентификации, требуется выполнить настройку каждого из указанных методов. Настройка осуществляется в режиме "Настройки методов аутентификации" режима "Сервис". Вкладка содержит следующую информацию и и возможности:
- Реестр настроенных методов аутентификации с общей информацией:
- Наименование - Наименование метода аутентификации, заданное администратором при создании;
- Ключ-тэг - Уникальный тэг (используется для ориентации в логах);
- Тип - Тип настроенного метода аутентификации:
- Telegram;
- Email;
- TOTP;
- Certificate;
- Avanpost Authenticator;
- SMS;
- Статус - Статус метода аутентификации
- Active - Метод активен;
- Inactive - Метод выключен.
- Кнопка "Добавить метод аутентификации" - Нажать для создания нового метода аутентификации.
Для создания нового метода аутентификации необходимо нажать кнопку "Добавить метод аутентификации" и последовательно заполнить данные о методе на следующих шагах:
- Шаг 1. Общие настройки метода.
- Шаг 2. Индивидуальная настройка метода.
Общие настройки требуется заполнить согласно таблице
Параметр | Значение |
---|---|
Название | Наименование метода, отображаемое администратору. |
Фактор аутентификации | Выбрать один из типов методов аутентификации: |
Метод активен | Чекбокс "Метод активен":
|
Индивидуальная настройке на шаге 2 зависит от типа метода аутентификации и отражена в соответствующих разделах:
Определение сценария аутентификации
Сценарий аутентификации, реализуемый применительно к конкретному пользователю определяется настроенным процессом аутентификации применительно к группе, приложению и данному пользователю, а также информацией о пользователе, которой владеет Avanpost FAM (например, заходит пользователь со своего или с чужого устройства), реализуя тот или иной сценарий. Процесс аутентификации настраивается посредством визуального конструктора: либо вручную, либо назначением для процесса определенного скрипта MFA (более подробно описано в Настройка процесса аутентификации).
Для пользователя, состоящего в группах с различными сценариями аутентификации, выбор сценария определяется следующим образом. Приоритет отдается сценарию, запускаемому скриптом MFA, исходя из значений различных параметров пользователя и его устройства. Следующим по приоритетности является сценарий аутентификации, настраиваемый для группы, в которой состоит пользователь. При этом, если пользователь состоит в нескольких группах с различными сценариями аутентификации, используется сценарий одной из групп, выбираемой случайно.
При выборе сценария учитывается настройка доступных/недоступных факторов аутентификации для конкретного пользователя, доступная в учетной записи. При аутентификации в приложении запрашиваются дополнительные факторы, если в сценарии аутентификации, настроенном для данного приложения, обязательна проверка по тем факторам, которые не проверялись в обычном сценарии аутентификации пользователя в Avanpost FAM.