Avanpost FAM/MFA+ : 5.4.2. Настройка метода Avanpost Authenticator

Общие сведения

Avanpost Authenticator – мобильное приложение для 2FA/MFA аутентификации в приложениях (веб-приложениях, десктопных приложениях, сервисах и т.д.), интегрированных с системой Avanpost FAM.

Методы аутентификации, доступные с помощью мобильного приложения Avanpost Authenticator:

  1. Запрос на аутентификацию. Приходит в мобильное приложение при попытке входа в приложение или сервис. Может доставляться либо посредством механизма push-запросов (если выполнена необходимая настройка для push-запросов), либо посредством механизма получения запросов на аутентификацию от Avanpost FAM Server через компоненты Avanpost FAM Mobile Services.
  2. Ввод одноразового TOTP-кода. ТОТР-код генерируется в мобильном приложении при попытке входа в сервис. Работает как самостоятельный метод аутентификации или как альтернативный при отсутствии связи.
  3. Беспарольный вход посредством сканирования QR-кода на экране компьютера камерой мобильного устройства в мобильном приложении Avanpost Authenticator.

Список доверенных источников для скачивания приложения Avanpost Authenticator: 

  • RuStore;
  • Google Play;
  • Apple AppStore;
  • Huawei AppGallery.

Настройка метода аутентификации Avanpost Authenticator

Настройка выполняется однократно для приложения Avanpost Authenticator, а не для отдельных аккаунтов/групп аккаунтов пользователей.

Настройка метода аутентификации Avanpost осуществляется в административной консоли Avanpost FAM Server следующим образом:

  1. Войти в раздел "Настройки методов аутентификации" режима "Сервис".
  2. Нажать кнопку "Добавить метод аутентификации". 
  3. Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
    ПараметрОписание
    НазваниеВвести название.
    Фактор аутентификацииВыбрать "Avanpost Authenticator".
    Метод активен

    Заполнить чекбокс:

    • при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
    • при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
  4. Установить параметры метода согласно таблице ниже.  

    Параметр 

    Описание

    Название метода отображаемое пользователям

    Ввести название метода для отображения пользователям

    Ключ-тэг

    Ввести уникальный тэг (используется для ориентации в логах)

    Фактор аутентификацииAvanpost Authenticator
    Метод активен

    Заполнить чекбокс:

    • При установленном чекбоксе метод аутентификации активен и может использоваться.
    • При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
    Настройки привязки фактора
    Разрешить Inline-привязку с помощью других факторов

    Заполнить чекбокс:

    • при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации;
    • при выключенном чекбоксе у пользователя отсутствует привязывать факторы в процессе аутентификации.
    Разрешить дополнительные привязки для пользователей в личном кабинете

    Заполнить чекбокс:

    • при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы аутентификации в личном кабинете;
    • при выключенном чекбоксе пользователь не имеет возможность привязывать дополнительные факторы аутентификации в личном кабинете.
    Основные настройки
    Мобильные сервисы включены и доступны для пользователей

    Заполнить чекбокс:

    • При установленном чекбоксе фактор Avanpost Authenticator активен.
    • Если выключенном чекбоксе использование фактора Avanpost Authenticator будет недоступно.
    Отключить подтверждение входа через пуш-уведомления и запросы входа от сервера

    Заполнить чекбокс:

    • При включенном чекбоксе пользователь не может аутентифицироваться в Avanpost FAM посредством push-уведомления, полученного в приложении. При этом возможность входа при помощи QR-кода и TOTP сохраняется.
    • При выключенном чекбоксе пользователь может аутентифицироваться в Avanpost FAM посредством push-уведомления.
    Отправлять временные коды для привязки во внешнее хранилище

     Заполнить чекбокс:

    • При включенном чекбоксе временные коды отправляются во внешнее хранилище Firebase;
    • При выключенном чекбоксе временные коды не отправляются во внешнее хранилище.

    Если временный код  напрямую отправляется во внешнее хранилище Firebase, то приложение Avanpost Authenticator затем получает данный код из хранилища при помощи OTP-кода подтверждения (четырехзначного). Avanpost Authenticator отображает пользователю временный код и код подтверждения. Информация о привязке отображаются пользователю после проверки обоих кодов.

    Отправлять временные коды для привязки во внешнее хранилище напрямую (не используя Push-сервис)

     Заполнить чекбокс:

    • При включенном чекбоксе временный код отправляется во внешнее хранилище напрямую без использования Push-сервиса;
    • При выключенном чекбоксе используется Push-сервис.

    Настройка позволяет не отправлять временный во внешнее хранилище Firebase, а сохранять его напрямую в БД Avanpost FAM. Т.к. не код отправлен в Firebase, приложение Avanpost Authenticator не может получить код из данного хранилища. Поэтому привязка происходит указанием адреса сервера, с которого будут получаться данные кода, вручную.

    Не отправлять push-уведомления

    Заполнить чекбокс:

    • При включенном чекбоксе уведомления не отправляются во внешнее хранилище Firebase, а хранятся локально на стороне сервиса, откуда приложение запрашиваются приложением Avanpost Authenticator при очередном обновлении списка привязок (при запросе на аутентификацию пользователь вручную обновляет список запросов в приложении Avanpost Authenticator, чтобы у него отобразился индикатор о новом активном запросе).
    • При включенном чекбоксе уведомления отправляются во внешнее хранилище Firebase.
    Шифровать TOTP-секрет и передавать только при привязке устройства

    Заполнить чекбокс:

    • При включенном чекбоксе TOTP-код шифруется на стороне Avanpost FAM и передается в приложение Avanpost Authenticator в зашифрованном виде (вместе с указанием алгоритма для расшифровки);
    • При выключенном чекбоксе TOTP-код передается в приложение Avanpost Authenticator  в открытом виде
    Время ожидания push-уведомления (в секундах) перед запросом TOTP в Desktop и Radius-приложениях

    Ввести число в текстовое поле.

    Параметр, который показывает время в секундах, в течение которого Avanpost FAM ожидает реакции пользователя на push-уведомление в приложении (по умолчанию, 15). После истечение данного периода пользователь может аутентифицироватся в Avanpost FAM посредством TOTP-кода, генерирующегося в Avanpost Authenticator c заданной периодичностью.

    Адрес Push-сервиса

    Ввести адрес и порт для подключения к сервису обработки push-уведомлений.

    У администратора есть возможность указать несколько адресов через запятую (в целях повышения отказоустойчивости сервиса).

    Настройки TLS
    Набор переключателей, позволяющих задать настройки защищенного TLS-соединения для Push-сервиса:
      • при включенном переключателе используется TLS-соединение для передачи данных между приложением и Push-сервисом (если Push-сервис использует TLS-соединение);
      • при выключенном переключателе TLS-соединение не используется
      • при включенном переключателе отключена проверка сертификата Push-сервиса (для случаев, когда веб-клиент, отправляющий запросы на сервер, выдает ошибки при проверке сертификата);
      • при выключенном переключателе осуществляется проверка сертификата Push-сервиса (рекомендуется в целях повышения безопасности);

        Проверка TLS-сертификата осуществляется веб-клиентом ОС пользователя, а не приложением Avanpost Authenticator.

        Ссылки на перечни доступных доверенных сертификатов для платформ:

      • при включенном переключателе используется
      • при выключенном переключателе требуется загрузить файл TLS-сертификата.
    Сертификат TLS (PEM)

    Нажать "Выберите файл", чтобы загрузить файл TLS-сертификата Push-сервиса в формате *.pem. В открывшемся окне указать путь к файлу сертификата и нажать "Открыть".

    Настройка доступна при выполнении следующих условий: 

    • включенном 
    Использовать API-сервис в DMZ для запросов с мобильных устройств

    Установить чекбокс:

    • При установленном флажке используется API-сервис в DMZ для запросов с мобильных устройств.
    • При установленном флажке API-сервис в DMZ для запросов с мобильных устройств  не используется.

    API-сервис, размещенный в демилитаризованной зоне (DMZ), обрабатывает запросы с мобильных устройств и передает в Систему, защищая ресурсы от прямого доступа через Интернет.

    Параметр направлен на обеспечение безопасности передачи данных и повышенную защиту ресурсов сети от несанкционированного доступа. 

    Адрес API-сервиса

    Ввести адрес и порт API-сервиса, на которые будут направляться запросы от Avanpost FAM.  

    У администратора есть возможность указать несколько адресов API-сервисов через запятую (в целях повышения отказоустойчивости сервиса).

    Настройка доступна при включенном чекбоксе "Использовать API-сервис в DMZ для запросов с мобильных устройств"

    Настройки TLS
      • при включенном переключателе используется TLS-соединение для передачи данных между приложением и ом (если использует TLS-соединение);
      • при выключенном переключателе TLS-соединение не используется
      • при включенном переключателе отключена проверка сертификата API-сервиса (для случаев, когда веб-клиент, отправляющий запросы на сервер, выдает ошибки при проверке сертификата);
      • при выключенном переключателе осуществляется проверка сертификата API-сервиса (рекомендуется в целях повышения безопасности);

        Проверка TLS-сертификата осуществляется веб-клиентом ОС пользователя, а не приложением Avanpost Authenticator.

        Ссылки на перечни доступных доверенных сертификатов для платформ:

      • при включенном переключателе используется
      • при выключенном переключателе требуется загрузить файл TLS-сертификата.

    Настройка доступна при включенном чекбоксе "Использовать API-сервис в DMZ для запросов с мобильных устройств".

    Сертификат TLS (PEM)

    Нажать "Выберите файл", чтобы загрузить файл TLS-сертификата API-сервиса в формате *.pem. В открывшемся окне указать путь к файлу сертификата и нажать "Открыть".

    Настройка доступна при выполнении следующих условий:

    • включенном чекбоксе "Использовать API-сервис в DMZ для запросов с мобильных устройств";
    • включенном 
    Внешний URL-адрес

    Ввести внешний URL-адрес (или IP-адрес), куда направляются запросы от мобильных устройств с установленным Avanpost Authenticator.

    Настройка доступна при включенном чекбоксе "Использовать API-сервис в DMZ для запросов с мобильных устройств".

    Токен для подключения к API-сервису

    Ввести токен для подключения к API-сервису. Данный токен представляет собой произвольный пароль, задаваемый администратором, для обеспечения безопасности подключения к API-сервису.

    Настройка доступна при включенном чекбоксе "Использовать API-сервис в DMZ для запросов с мобильных устройств".

    Требования безопасности к мобильному аутентификатору

    Пин-код приложения должен быть установлен

    Чекбокс "Пин-код приложения должен быть установлен":

    • При установленном флажке при входе в приложение Avanpost Authenticator запрашивается пин-код.
    • При выключенном флажке пользователь входит в приложение Avanpost Authenticator без ввода пин-кода.

    Пин-код устанавливается в приложении Avanpost Authenticator.

    Минимальная длина пин-кода

    Установить минимальное число символов пин-кода при входе в приложение (по умолчанию 4 символа).

    Вход в приложение по биометрии должен быть настроен

    При установленном флажке вход в приложение по биометрическим данным должен быть настроен в параметрах Avanpost Authenticator.

    Настройка биометрической аутентификации (отпечаток пальца, распознавание лица, голоса и др.) зависит от технических возможностей мобильного устройства.

    Длина одноразового пароля (TOTP)Установить число символов одноразового пароля (по умолчанию 6).
    Алгоритм одноразового пароля (TOTP)
    • генерирует 160-битные хэши;
    Ограничить работу приложения на устройствах с root-доступом

    При установленном флажке работа приложения на мобильных устройствах с правами root (на iPhone Jailbreak) ограничена ввиду повышенной уязвимости устройства.

    При ограниченном режиме работы интеграция приложения и системы Avanpost FAM приостанавливается. После выполнения условий сервиса работоспособность всех функций восстанавливается.

    Ограничить работу приложения при установке из недоверенного источника

    При активном флажке работа приложения, установленного из недоверенного источника, ограничена. Недоверенными источниками считаются те, что не входят в список магазинов для скачивания (см. Список).

    При ограниченном режиме работы интеграция приложения и системы Avanpost FAM приостанавливается. После выполнения условий сервиса работоспособность всех функций восстанавливается.

    Контактная информация
    Email службы технической поддержки

    Ввести Email службы техподдержки, отображающийся в контактной информации пользователю.

    Телефон службы технической поддержки

    Ввести телефон службы техподдержки, отображающийся в контактной информации пользователю.

    Сообщение для пользователей

    Информационное сообщение о техподдержке, отображающееся пользователю в приложении.

  5. Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").

Привязка фактора аутентификации к профилю пользователя

Привязка фактора аутентификации к профилю пользователя производится в личном кабинете пользователя системы Avanpost FAM. Для этого необходимо установить приложение Avanpost Authenticator на мобильное устройство и выполнить следующие действия:

  1. Зайти в ЛК Avanpost FAM.
  2. Перейти в режим "Факторы аутентификации" и выбрать иконку "Authenticator".
  3. Запустить на мобильном устройстве приложение Avanpost Authenticator и нажать кнопку "Сканировать QR".
  4. Отсканировать QR-код, сгенерированный в личном кабинете Avanpost FAM.
  5. Подтвердить данные аккаунта в приложении Avanpost Authenticator нажатием кнопки "Далее".


Обсуждение