Настройка функций Avanpost FAM/MFA+


Этап 1. Развёртывание в инфраструктуре

Этап 2. Интеграция с прикладными системами

Этап 3. Настройка функций

Этап 4. Перевод в эксплуатацию

Шаг 1. Ознакомитесь с системными требованиями 

Шаг 2. Установите серверные компоненты системы MFA+

Шаг 3. Выбор и настройка типовых интеграций с ИС 

Шаг 4. Проверка интеграций с ИС

Шаг 5. Выполните загрузку пользователей

Шаг 6. Выбор методов и настройка сценариев аутентификации

Шаг 7. Выполните последовательность действий с шага 1 до шага 6 в продуктивном контуре

Шаг 8. Активируйте лицензию

[ Шаг 5. Загрузка пользователей ] [ Шаг 6. Настройка способов/политик аутентификации ]


Шаг 5. Загрузка пользователей

Загрузка пользователей осуществляется двумя методами: настройка интеграции с LDAP-каталогом (импорт пользователей из домена) и создание пользователей вручную в административной консоли.

Так же возможна регистрация УЗ пользователей через доверенные источники информации такие как:

  • Единая система идентификации и аутентификации (ЕСИА);
  • Провайдеры аутентификации (IdP), соответствующие стандарту OpenID Connect (Google и т.д.);
  • LDAP-каталог (Active Directory, FreeIPA и др.).

Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать LDAP-каталоги MS AD, OpenLDAP, FreeIPA, Avanpost DS и т.д. 

Для первичной загрузки/импорта пользователей из домена Microsoft Active Directory нужно создать УЗ, от имени которой будет выполняться LDAP-синхронизация.

  1. Выполнить настройку LDAP-провайдера на стороне административной консоли Avanpost FAM согласно инструкции по настройке.
  2. Создать УЗ, от имени которой будет выполняться LDAP-синхронизация
    1. Microsoft Active Directory (MS AD) 
    2. FreeIPA
    3. OpenLDAP
    4. Avanpost DS

Шаг 6. Настройка способов/политик аутентификации

Avanpost FAM предоставляет обширный набор современных методов аутентификации, доступных для использования в рамках различных сценариев многофакторной аутентификации. Для обеспечения технической возможности использования метода аутентификации следует воспользоваться соответствующей инструкцией:

Метод аутентификацииНастройка

Мобильное приложение Avanpost Authenticator

Настройка фактора Avanpost Authenticator

Локальный пароль

Настройка парольных политик
Доменный парольНастраивается в рамках параметров интеграции с LDAP-каталогом
Программный TOTPНастройка фактора программный TOTP
Аппаратный TOTPНастройка фактора аппаратный ОТР
SMSНастройка фактора SMS OTP
Мессенджер TelegramНастройка фактора Telegram
E-mailНастройка фактора E-mail OTP
FIDO WebAuthn/U2FНе требуется
Смарт-карты и USB-токеныНе требуется
Электронная подписьНастройка фактора ЭП/сертификат

После настройки методов аутентификации необходимо выполнить настройку сценария MFA:

Вариант сценария аутентификацииНастройка/реализация
Простой многошаговый сценарий аутентификакции в приложениеНастройка сценария аутентификации
Сложный динамический сценарий аутентификации10.4. Разработка скрипта MFA


Обсуждение