Avanpost FAM/MFA+ : 5.4. Управление аутентификацией

Общие сведения

Avanpost FAM предоставляет функциональность многошаговых сценариев аутентификации, позволяющих решить следующие задачи:

  • Выполнить последовательную проверку нескольких факторов при аутентификации в определённую информационную систему;
  • Предоставить пользователю фактор на выбор, если факторов несколько и если интеграционный механизм, посредством которого подключена информационная система, предоставляет возможность выбора;
  • Динамически адаптировать сценарий аутентификации исходя из группы, в которой состоит пользователь, после его идентификации;
  • Динамически адаптировать сценарий аутентификации исходя из различных параметров контекста пользователя:
    • Атрибутов профиля пользователя, как основных, так и дополнительных;
    • Атрибутов запроса (состав атрибутов запроса зависит от интеграционного механизма, посредством которого подключена информационная система).

Сценарий аутентификации

Сценарий аутентификации – фактически реализуемое поведение системы, которая применяется для аутентификации определённого пользователя в определённое приложение.

Реализуемый сценарий аутентификации для определённого пользователя в определённое приложение определяется процессом аутентификации, связанным с приложением.

Также сценарий аутентификации зависит от наличия сессии SSO, в рамках которой уже были проверены какие-либо из требуемых факторов аутентификации.

Процесс аутентификации

Процесс аутентификации – набор правил, по которому выполняется сценарий аутентификации. Процесс аутентификации содержит в себе:

  • Набор шагов, которые должны быть пройдены для аутентификации пользователя; процесс аутентификации может состоять из любого количества шагов;
  • Набора методов аутентификации на каждом шаге, как минимум один из которых должен быть проверен, чтобы шаг считался пройденным; на шаге может быть указан один или несколько факторов.

Одному приложению соответствует строго один процесс аутентификации. При этом один процесс аутентификации может быть назначен нескольким приложениям.

Метод аутентификации

Метод аутентификации — атомарная операция проверки аутентификатора пользователя, ассоциированного с пользователем и указанным методом аутентификации.

Таблица доступных методов аутентификации и их особенностей:


Наименование метода в административной консолиРеализуемый метод аутентификации
1ИдентификацияПредварительная идентификация пользователя
2ScriptДинамическое вычисление сценария аутентификации в соответствии со скриптом, заданным в параметре «Скрипт MFA»
3Вход по QR-кодуОтображение QR-кода пользователю с последующим сканированием мобильным приложением-аутентификатором Avanpost Authenticator
4Внешний провайдерАутентификация посредством стороннего внешнего Identity Provider (OIDC, SAML)
5PasswordАутентификация посредством проверки локального пароля или пароля с проверкой в подключенном LDAP-каталоге
6TOTPАутентификация посредством OTP-кода, вычисляемого посредством алгоритма TOTP
7Avanpost AuthenticatorАутентификация посредством Push в мобильное приложение Avanpost Authenticator или посредством усиленного TOTP
8OTP via E-mailАутентификация посредством ввода OTP-кода, направляемого на электронную почту
9SMSАутентификация посредством ввода OTP-кода, направляемого посредством SMS
10TelegramАутентификация посредством Push в мессенджер Telegram
11СертификатАутентификация посредством электронной подписи
12WebAuthnАутентификация посредством FIDO2 CTAP/Passkeys/WebAuthn/U2F-токенов
13KerberosАутентификация посредством Kerberos
14HardwareАутентификация посредством предъявления аппаратного фактора (смарт-карты, СКУД и т.д.)

Настройка методов аутентификации

Для того, чтобы обеспечить корректное функционирование методов аутентификации, требуется выполнить настройку каждого из указанных методов. Настройка осуществляется в режиме "Настройки методов аутентификации" режима "Сервис". Вкладка содержит следующую информацию и и возможности:

  • Реестр настроенных методов аутентификации с общей информацией:
    • Наименование - Наименование метода аутентификации, заданное администратором при создании;
    • Ключ-тэг - Уникальный тэг (используется для ориентации в логах);
    • Тип - Тип настроенного метода аутентификации:
      • Telegram;
      • Email;
      • TOTP;
      • Certificate;
      • Avanpost Authenticator;
      • SMS;
    • Статус - Статус метода аутентификации
      • Active - Метод активен;
      • Inactive - Метод выключен.
  • Кнопка "Добавить метод аутентификации" - Нажать для создания нового метода аутентификации.

Для создания нового метода аутентификации необходимо нажать кнопку "Добавить метод аутентификации" и последовательно заполнить данные о методе на следующих шагах:

  1. Шаг 1. Общие настройки метода.
  2. Шаг 2.  Индивидуальная настройка метода.

Общие настройки требуется заполнить согласно таблице

ПараметрЗначение
НазваниеНаименование метода, отображаемое администратору.
Фактор аутентификации

Выбрать один из типов методов аутентификации:

Метод активен

Чекбокс "Метод активен":

  • при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
  • при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.

Индивидуальная настройке на шаге 2 зависит от типа метода аутентификации и отражена в соответствующих разделах:

Определение сценария аутентификации

Сценарий аутентификации, реализуемый применительно к конкретному пользователю определяется настроенным процессом аутентификации применительно к группе, приложению и данному пользователю, а также информацией о пользователе, которой владеет Avanpost FAM (например, заходит пользователь со своего или с чужого устройства), реализуя тот или иной сценарий. Процесс аутентификации настраивается посредством визуального конструктора: либо вручную, либо назначением для процесса определенного скрипта MFA (более подробно описано в Настройка процесса аутентификации).

Для пользователя, состоящего в группах с различными сценариями аутентификации, выбор сценария определяется следующим образом. Приоритет отдается сценарию, запускаемому скриптом MFA, исходя из значений различных параметров пользователя и его устройства. Следующим по приоритетности является сценарий аутентификации, настраиваемый для группы, в которой состоит пользователь. При этом, если пользователь состоит в нескольких группах с различными сценариями аутентификации, используется сценарий одной из групп, выбираемой случайно.

При выборе сценария учитывается настройка доступных/недоступных факторов аутентификации для конкретного пользователя, доступная в учетной записи. При аутентификации в приложении запрашиваются дополнительные факторы, если в сценарии аутентификации, настроенном для данного приложения, обязательна проверка по тем факторам, которые не проверялись в обычном сценарии аутентификации пользователя в Avanpost FAM.


Обсуждение