Общие сведения
Avanpost FAM предоставляет функциональность многошаговых сценариев аутентификации, позволяющих решить следующие задачи:
- Выполнить последовательную проверку нескольких факторов при аутентификации в определённую информационную систему;
- Предоставить пользователю фактор на выбор, если факторов несколько и если интеграционный механизм, посредством которого подключена информационная система, предоставляет возможность выбора;
- Динамически адаптировать сценарий аутентификации исходя из группы, в которой состоит пользователь, после его идентификации;
- Динамически адаптировать сценарий аутентификации исходя из различных параметров контекста пользователя:
- Атрибутов профиля пользователя, как основных, так и дополнительных;
- Атрибутов запроса (состав атрибутов запроса зависит от интеграционного механизма, посредством которого подключена информационная система).
Сценарий аутентификации - фактически реализуемое поведение системы, которая применяется для аутентификации определённого пользователя в определённое приложение.
Реализуемый сценарий аутентификации для определённого пользователя в определённое приложение определяется процессом аутентификации, связанным с приложением.
Процесс аутентификации - набор правил, по которому выполняется сценарий аутентификации. Процесс аутентификации содержит в себе:
- Набор шагов, которые должны быть пройдены для аутентификации пользователя; процесс аутентификации может состоять из любого количества шагов;
- Набора факторов на каждом шаге, как минимум один из которых должен быть проверен, чтобы шаг считался пройденным; на шаге может быть указан один или несколько факторов.
Одному приложению соответствует строго один процесс аутентификации. При этом один процесс аутентификации может быть назначен нескольким приложениям.
Также сценарий аутентификации зависит от наличия сессии SSO, в рамках которой уже были проверены какие-либо из требуемых факторов аутентификации.
Настройка процесса аутентификации посредством визуального пошагового конструктора
Настройка процессов аутентификации осуществляется в разделе "Настройки процессов аутентификации" режима "Сервис". Раздел содержит следующую информацию и возможности:
- Перечень созданных процессов аутентификации с названиями (с возможностью перехода в профиль процесса);
- Кнопка "Добавить процесс"- Нажать для создания нового процесса аутентификации посредством визуального пошагового конструктора;
- Фильтры поиска процессов аутентификации:
- Фильтр по приложениям - Выбрать приложение, которому назначен искомый процесс аутентификации;
- Фильтр по группам - Выбрать группу, которой назначен искомый процесс аутентификации.
Для создания нового процесса аутентификации следует нажать кнопку "Добавить процесс" и заполнить информацию согласно таблице.
Параметр | Описание |
---|---|
Наименование | Название создаваемого процесса аутентификации |
Шаги | В разделе настраивается количество шагов и факторы, которые могут проверятся на каждом шаге. Факторы, проверяемые на одном шаге является взаимозаменяемыми (например, если на шаге настроена проверка посредством QR-кота и одноразового кода, направляемого на электронную почту, пользователь может пройти данный шаг обоими способами). Путем включения ()/выключения () переключателей есть возможность подключить/отключить для SAML-приложения следующие факторы:
Для добавления второго и последующего шагов следует нажать "Добавить шаг". Для удаления шага (кроме первого) требуется нажать . В каждом шаге должен быть хотя бы один фактор аутентификации. Для сохранения сценария аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии. |
Для сохранения настроенного процесса необходимо нажать кнопку "Сохранить". Для от создания процесса аутентификации следует нажать "Отмена".
Настройка процесса аутентификации посредством механизма скриптинга MFA
Avanpost FAM позволяет использовать механизм JS-скриптов для динамического вычисления шагов сценария MFA (сценария аутентификации). Данный способ определения сценария является альтернативой классическому механизму, использующему графический интерфейс настройки сценария MFA. Также он обладает дополнительными преимуществами перед классическим способом настройки MFA, позволяя использовать:
- Основные и дополнительные атрибуты профиля пользователя в логических условиях;
- Признаки наличия групп, ролей и прав у пользователя;
- Параметры входящего сетевого запроса, который был отправлен в рамках текущего запроса;
Чтобы использовать скрипт в настраиваемом процессе аутентификации, требуется выбрать Script
при настройке шагов и затем выбрать в выпадающем списке один из разработанных скриптов. Так как в скрипте рассчитывает собственный сценарий аутентификации на основе логики самого скрипта, прочие факторы и шаги в настройке процесса аутентификации становятся недоступны.