11.1 Спецификация конфигурационного файла config.toml.default компонента Avanpost FAM Server

baseUrl

Базовый URL (основной URL, по которому доступен Avanpost FAM).

cert

Путь к сертификату и ключу, которые будут использоваться в Avanpost FAM.

privateKey

Путь к приватному ключу подписи SAML и шифрования gRPC.

encryptionKey

Имя ключа шифрования паролей в БД, генерируется Avanpost FAM (утрата ключа приведет к необходимости повторного создания базы данных).

issuer

Адрес автора сертификата при выдаче токенов подтверждения личности.

publicPath

Путь размещения публичных ресурсов (статические файлы и шаблоны).

backgroundTasks

Флаг, указывающий, должна ли выполняться задача импорта данных из MS AD (используется, когда несколько серверов FAM работают с одной БД). При значении true данные импортируются.

[kerberos]

(секция параметров для настройки Kerberos-аутентификации)

Путь к keytab-файлу, который содержит ключи аутентификации Kerberos.

Определяет имя УЗ службы, которая используется для представления приложения в системе.

Флаг, указывающий, требуется ли при аутентификации использовать IP-адрес хоста.

Если значение установлено в true, при аутентификации требуется совпадение IP-адреса хоста, с которого выполняется запрос, с зарегистрированным IP-адресом в Kerberos.

[server]

(секция настроек сервера)

Хост (адрес) сервера.

Порт, на котором работает сервер.

[database]

(секция настроек базы данных)

Строка подключения к базе данных PostgreSQL.

Драйвер базы данных.

[adminconsole]

(секция настроек административной консоли)

baseUrl

Базовый URL административной консоли. Для работы консоли в качестве отдельной службы значение 'baseUrl' не должно совпадать с базовым URL Avanpost FAM.

dir

Директория хранения файлов пользовательского интерфейса административной консоли.

path

Устанавливает относительный адрес административной консоли (необязательный параметр.)

runAsService

host

port

canCreateRadiusApp

canCreateDesktopApp

idleTimeoutInMinutes

[lk]

(секция настроек личного кабинета пользователя)

Устанавливает длительность сессии пользователя в личном кабинете, в минутах

 Директория хранения файлов интерфейса личного кабинета.

Определяет подпуть относительно текущего домена.

verifyPermissions

Если параметру присвоено значение false, то самостоятельное изменение пользователем своих данных (фамилия, имя, отчество, электронная почта, телефон) в личном кабинете запрещено.

runAs

Определяет режим запуска личного кабинета:

• nats – прием и отправка запросов в NATS от FAM SelfService, посредством которого опубликованы личные кабинеты;
• embedded – личный кабинет, встроенного в FAM Server, без использования FAM SelfService.

webauthnOrigin

URL-адрес компонента FAM SelfService, который используется для работы механизма WebAuthn.

[cryptoprovider]

(секция настроек криптопровайдера CryptoPro)

pathToCProCspDir

Путь к директории с установленным криптопровайдером CryptoPro CSP.

[cryptoprovider.certToUserLink]

(секция настроек сертификата криптопровайдера

OID (Идентификатор объекта) для RDN (Именованный дескриптор) сертификата пользователя.

Имя атрибута пользователя, который будет использоваться при связывании сертификата с пользователем.

[grpcServer]

(секция настроек gRPC-сервера)

Флаг, указывающий, должен ли запрос на gRPC сервере содержать токен.

Хост (адрес) для gRPC-сервера.

Сеть для gRPC-сервера.

Порт, на котором работает gRPC-сервер.

Флаг, указывающий, следует ли использовать TLS для защищенного соединения.

[metrics]

(секция настроек публикации метрик)

Хост (адрес) для метрик.

Порт, на котором доступны метрики.

[qrsigninConfig]

(секция настроек для входа по QR-коду)

Флаг, указывающий, необходим ли запрос пароля, если вход по QR-коду уже выполнен. Если флагу присвоено значение true, пароль запрошен не будет.

Устанавливает время существования QR-кода (после создания), в секундах.

[radiusServer]

(секция настройки сервера RADIUS)

Адрес и порт сервера RADIUS.

Секрет-пароль для аутентификации и взаимодействия клиент-сервер RADIUS.

[restorePassword]

(секция настроек восстановления пароля)

Устанавливает количество эмулируемых пользователей для восстановления пароля.

Флаг, указывающий, включить ли эмуляцию для восстановления пароля.

Определяет факторы эмуляции для восстановления пароля.

Флаг, указывающий, включить ли ограничение степени использования восстановления пароля.

[reverseproxyServer]

(секция настроек обратного прокси-сервера)

Хост (адрес) для обратного прокси-сервера.

Порт, на котором работает обратный прокси-сервер.

Флаг, запускающий NATS-сервер для приема запросов от компонента FAM Reverse Proxy Service.

[selfregistration]

(секция настроек самостоятельной регистрации пользователя)

URL-адрес перенаправления после самостоятельной регистрации пользователя.

Флаг, определяющий отключение возможности самостоятельной регистрации пользователя.

[session]

(секция настроек сессионной пользовательской политики)

Определяет длительность сессии пользователя, в минутах.

Устанавливает максимальное количество сессий для одного пользователя.

Флаг, включающий автоматическое удаление данных о завершенных сессиях через заданный промежуток времени.

Определяет промежуток времени в минутах, через который будут удалены завершенные сессии.

[templates]

(секция настроек шаблонов)

Путь размещения директории с шаблонами локализации.

Путь размещения шаблона ошибки OAuth2.

Путь размещения шаблона формы ответа OAuth2 для метода POST.

Путь размещения шаблона ответа SAML.

Путь размещения папки с шаблонами по умолчанию.

[cookie]

(секция настроек cookies-файлов)

Путь размещения директории для хранения файлов.

При назначении флагу значения true используется защищенное соединение (https).

При назначении флагу значения true используется незащищенное соединение (http) .

При установлении значения None cookie будет отправлено во всех запросах к выдавшему его сайту, даже в тех, которые вызваны не связанными с ним сторонними сайтами.

Устанавливает время жизни cookies-файлов, в секундах.

[payControlConfig]

(секция настроек взаимодействия с сервисом PayControl)

При присвоении флагу значения true активна интеграция с сервисом PayControl.

URL-адрес API сервиса PayControl.

URL-адрес обратного вызова.

Идентификатор системы для сервиса PayControl.

[replication]
(секция дополнительных настроек репликатора)

memberID

Уникальный UUID, сгенерированный для репликатора и указанный в параметре memberID в конфигурационном файле replicator/conf.json.

[events]

(секция настроек фоновых задач, связанных с событиями в системе)

maxTriesRunTasks

Максимальное количество попыток запуска фоновых задач (например, оповещения пользователя о смене пароля), связанных с событием в системе (например, сменой пароля, входом в приложение и т.д, по умолчанию 25.

archivatorTickerInMinutes

Периодичность запуска архиватора для задач, исчерпавших максимальное количество попыток запуска, в минутах. Архивированная задача больше не запускается.

taskExecTickerInSeconds

Периодичность запуска задач, связанных с событиями в системе, по умолчанию 20. Уменьшение значения не рекомендуется, так как ведет к повышению нагрузке.

savingDisabledFor

Список событий, не записывающихся в базу данных и не запускающих фоновые задачи. 

Доступные типы событий:

• USER_CREATED – Создание пользователя;
• SIGNED_IN – Вход в приложение под учетной записью пользователя;
• USER_DATA_UPDATED – Обновление данных пользователя. 

[syslog]
(секция параметров управления событиями безопасности)

network

Сетевой протокол, используемый для передачи syslog-сообщений.

address

IP-адрес и порт, используемый для подключения к SIEM-системе.

tag

Тег, добавляемый к каждому syslog-сообщению.

 tlsCertPath

Включение защищенного соединения TLS в системе журналирования.

[restorePassword]

(секция параметров для настройки парольной политики)

Количество эмулируемых пользователей для восстановления пароля.

Флаг, указывающий, включить ли эмуляцию для восстановления пароля.

Факторы эмуляции для восстановления пароля.

Флаг, указывающий, включить ли ограничение степени использования восстановления пароля.

[selfregistration]

(секция параметров для настройки параметров регистрации пользователя)

URL-адрес перенаправления после самостоятельной регистрации пользователя.

Флаг, указывающий на отключение возможности самостоятельной регистрации пользователя.

[server]

(секция базовых параметров настройки сервера)

Хост (адрес) сервера.

Порт, на работает сервер.

[telegram]

(секция параметров для настройки взаимодействия с Telegram)

Токен доступа Telegram, который используется для аутентификации и авторизации при взаимодействии с Telegram API.

Время жизни авторизации в секундах, которое определяет, сколько времени пользователю разрешено оставаться авторизованным, не выполняя повторную аутентификацию.

Флаг, указывающий, разрешено ли использование inline-привязки в Telegram для процесса аутентификации.

Время ожидания (в секундах) для получения Системой обновлений от Telegram-бота.

Время ожидания (в миллисекундах) для отправки сообщений.

[templates]

(секция параметров для настройки шаблонов)

Путь к директории с шаблонами локализации.

Путь к шаблону ошибки OAuth2.

Путь к шаблону формы ответа OAuth2 для метода POST.

Путь к шаблону ответа SAML.

Путь к папке с шаблонами по умолчанию.

[userLocker]

(секция настройки блокировки неактивных УЗ)

Время (в днях), через которое блокируется УЗ пользователя, не выполнявшего действий в течение этого периода.  

[user_providers]

(секция параметров для настройки пользовательских провайдеров)

[usernameBlacklistPolicy]

(секция параметров для настройки политики блокировки пользователей)

Флаг, указывающий, активна ли политика блокировки имен пользователей.

Стандартная длительность блокировки имен пользователей.

[logging]

(секция уровня логирования)

Уровень логирования системы.