3.5.10. Avanpost Unified SSO

Avanpost Unified SSO – единая платформа для управления цифровым доступом, обеспечивающая безопасный и прозрачный вход (SSO) в корпоративные приложения и сервисы на базе различных протоколов (OIDC, SAML, RADIUS, Enterprise SSO, LDAP). 

Unified SSO обеспечивает передачу сессии от точки входа в операционную систему к веб-приложениям, десктопным клиентам, VPN, VDI и другим ресурсам без повторного ввода учётных данных. Функционал работает независимо от наличия домена или Kerberos-инфраструктуры, что позволяет использовать его как в локальных, так и в удалённых сценариях. Avanpost Unified SSO реализует концепцию Zero Trust и поддерживает гибридные и облачные среды.

Avanpost Unified SSO обеспечивает решение следующих задач:

• Кросспротокольный SSO: единый вход между ОС, веб-приложениями, десктопными клиентами и сетевыми сервисами на основе различных протоколов (OpenID Connect, SAML, RADIUS, LDAP, Enterprise SSO, Reverse Proxy).
• Прозрачная аутентификация: автоматический вход в приложения после аутентификации без повторного ввода логина и пароля.
• Интеграция с операционными системами семейств Windows и Linux через специализированные модули входа (Avanpost Windows Logon и Avanpost Linux Logon).
• Условно-прозрачный вход в RADIUS-сервисы: подключение к VPN, VDI и Wi-Fi без повторной аутентификации при наличии активной сессии.
• Enterprise SSO для legacy-приложений: автоматическая подстановка учётных данных в десктопные клиенты (ERP, CRM), не поддерживающие современные протоколы.
• Адаптивная 2FA/MFA: динамическое применение многофакторной аутентификации на основе контекста (устройство, местоположение, поведение).
• Поддержка аппаратных токенов: использование Рутокен, JaCarta, FIDO2 и PKI-сертификатов для аутентификации в любых типах приложений.
• Управление сессиями: автоматическое продление, условное прозрачное продление, защита от перехвата (hijacking).
• Интеграция с IDM и LDAP: синхронизация, самообслуживание паролей, интеграция через Avanpost FAM LDAP Proxy.
• Централизованное администрирование и мониторинг: настройка политик, управление лицензиями, аудит событий через веб-интерфейс и интеграцию с SIEM.

На схеме изображены возможные взаимодействия компонентов системы в контексте работы платформы Avanpost Unified SSO (нумерация списка соответствует нумерации стрелок на схеме):

1. Передача сессии от Windows/Linux Logon в FAM Agent. После успешной аутентификации пользователя в ОС модуль FAM Logon передаёт информацию о сессии в FAM Agent. При необходимости запрашивается дополнительный фактор (MFA).

2. Прозрачная аутентификация в веб-приложения (OIDC/SAML). При открытии веб-приложения FAM Agent предоставляет активную сессию через защищённый канал. Пользователь аутентифицируется без повторного ввода логина и пароля. Поддерживается условно-прозрачный вход с запросом MFA при изменении контекста.

3. Автоматическая аутентификация в десктопные приложения (Enterprise SSO). При запуске legacy-приложения FAM Agent автоматически подставляет учётные данные. Функционал работает независимо от наличия Kerberos-инфраструктуры.

4. Условно-прозрачный вход в RADIUS-сервисы (VPN, VDI). При подключении к RADIUS-серверу FAM Server проверяет наличие активной сессии у пользователя. Если сессия действительна, аутентификация проходит без повторного ввода данных. При необходимости запрашивается MFA через FAM Agent.

5. Интеграция с LDAP-приложениями через LDAP Proxy. Для приложений, поддерживающих только LDAP-аутентификацию, используется Avanpost FAM LDAP Proxy. FAM Agent обеспечивает прозрачную передачу сессии, что позволяет реализовать SSO даже для устаревших систем.

6. Запрос MFA через Avanpost Authenticator. При необходимости подтверждения второго фактора FAM Agent инициирует запрос к мобильному приложению Avanpost Authenticator. Поддерживается подтверждение через push-уведомления, TOTP, Рутокен ЭЦП, FIDO2 и другие методы.

7. Синхронизация с IDM-системами (AD, LDAP, SelfService). FAM Server интегрируется с системами управления идентификацией для синхронизации пользователей, управления политиками и обеспечения функции самообслуживания (сброс пароля, регистрация MFA). Отправка событий в SIEM (MaxPatrol). Все события аутентификации, включая успешные и неуспешные попытки, логируются и передаются в SIEM-систему для аудита, мониторинга и анализа инцидентов.

8. Управление агентом через gRPC API. Взаимодействие между FAM Server и FAM Agent осуществляется по защищённому каналу. Через этот интерфейс передаются политики, конфигурации, управляются сессии и MFA.

9. Push-уведомления в мобильные сервисы. Для доставки запросов MFA в Avanpost Authenticator используются внешние мобильные сервисы. Обмен происходит по HTTPS с использованием push-технологий.

10. Доступ к веб-интерфейсам. Администрирование, самообслуживание и аутентификация через веб-интерфейсы доступны по HTTP/HTTPS. Интерфейсы предоставляют доступ к настройкам политик, управления лицензиями и мониторинга.

Системные требования

Сценарии использования

Прозрачная аутентификация в OIDC/SAML-приложения

После успешного входа в операционную систему (с использованием компонента Avanpost FAM Windows Logon или Avanpost FAM Linux Logon), сессия передаётся в клиентский компонент Avanpost FAM Agent. При открытии веб-приложения, подключённого по протоколу OpenID Connect или SAML, браузер взаимодействует с FAM Agent. Если в рамках сессии уже были подтверждены необходимые факторы аутентификации, пользователь автоматически аутентифицируется без ввода логина и пароля. При необходимости — запрашивается дополнительный фактор в зависимости от настроек сценария аутентификации (например, через приложение Avanpost Authenticator, Рутокен ЭЦП или TOTP).

Прозрачный вход в десктопные приложения (Enterprise SSO)

При запуске десктопного приложения (например, 1С), требующего ввода учётных данных, клиентский компонент Avanpost FAM Agent направляет запрос к FAM Server и проверяет наличие активной сессии. Если сессия активна, FAM Agent автоматически подставляет логин и пароль. При необходимости — запрашивает дополнительный фактор аутентификации через доверённый канал. Механизм работает независимо от наличия домена или Kerberos-инфраструктуры.

Прозрачный вход в RADIUS-сервисы (VPN, VDI)

При попытке подключения к RADIUS-сервису (например, CheckPoint VPN, Microsoft RDGW + NPS) сервер отправляет запрос аутентификации в Avanpost FAM Server. После получения запроса FAM Server проверяет наличие активной сессии на клиентском устройстве при помощи FAM Agent. Если сессия активна и устройство является доверенным, аутентификация проходит бесшовно. Если сессия неактивна или устройство не в списке доверенных или имеются иные факторы, снижающие доверие к субъекту, FAM запрашивает прохождение дополнительного фактора аутентификации.

Прозрачный вход по RDP/XRDP

При подключении к удалённому рабочему столу (RDP или XRDP) через Windows или Linux, FAM Agent проверяет наличие активной сессии. Если сессия активна, пользователь аутентифицируется без повторного ввода учётных данных. Если неактивно или при анализе контекста выявлены факторы, снижающие доверие к пользователю, выполняется проверка дополнительных факторов MFA (например, TOTP, сертификат, SMS).

Прозрачный вход в почтовые системы

При доступе к Outlook Web Access, подключённому посредством ADFS (с использованием или без использования ADFS Plugin), пользователь аутентифицируется прозрачно на основе активной сессии в FAM Agent. Если в рамках текущей сессии ранее были подтверждены необходимые факторы, то дополнительная аутентификация не требуется. В противном случае запрашивается MFA.

Интеграция с LDAP-приложениями

Для приложений, поддерживающих классическую LDAP-аутентификацию, используется компонент Avanpost FAM LDAP Proxy. При попытке доступа к такому приложению, FAM LDAP Proxy проверяет наличие активной сессии у пользователя. При её наличии выполняется прозрачная аутентификация. При отсутствии сессии запускается классический сценарий многофакторной аутентификации.

Использование аппаратных токенов

Avanpost Unified SSO поддерживает использование аппаратных токенов для аутентификации в любых типах приложений. При прохождении аутентификации продукт может использовать различные токены: ЭП через Рутокен ЭЦП или JaCarta (с запросом PIN-кода), FIDO2-токены, OTP-токены. FAM Agen выступает в роли универсальной среды аутентификации, позволяя использовать один токен для всех ресурсов. FAM Agent выступает в роли универсального посредника между аппаратным токеном и любым целевым приложением, независимо от используемого протокола (OIDC, SAML, RADIUS, Enterprise SSO). Например, после входа в ОС с помощью Рутокен ЭЦП, сессия передаётся в FAM Agent, который затем может использовать тот же носитель для автоматической аутентификации в веб-портале, подключении к VPN или запуске ERP-системы. Таким образом, обеспечивается единое пространство аутентификации, где аппаратный токен становится универсальным доверенным фактором, а не привязанным к отдельной системе, что повышает безопасность и удобство для пользователя.

Централизованное завершение сессии ОС

Администратор или система мониторинга информационной безопасности (например, MaxPatrol SIEM) обнаруживает подозрительную активность, исходящую от учетной записи пользователя. Принимается решение инициировать принудительное завершение сессии пользователя. Завершение выполняется через FAM Server, который отправляет команду на FAM Agent. FAM Agent блокирует сессию.

Безопасность

Шифрование каналов связи

Все сетевые взаимодействия между компонентами защищены с использованием TLS, который использует симметричное и асимметричное шифрование для защиты данных. Для веб-интерфейсов и внешних вызовов (например, Mobile Services или SIEM-система) настраивается и используется протокол HTTPS. При взаимодействии посредством gRPC API между FAM Agent и FAM Server используется gRPC over TLS.

Кратковременное хранение учётных данных

Учётные данные пользователя передаются в FAM Agent только на этапе аутентификации. После подстановки в приложение данные немедленно очищаются. Хранение учетных данных происходит только в оперативной памяти процесса FAM Agent и не сохраняется для повторного использования.

Защита от перехвата сессий

Использование Avanpost Unified SSO позволяет минимизировать возможность перехвата сессий (session hijacking), т.е. ситуации при котором злоумышленник получает контроль над активной пользовательской сессией без необходимости прохождения аутентификации. 

Avanpost USSO включает механизмы проверки целостности и подлинности сессии:

• Контроль фингерпринта устройства,
• Проверка активности агента,
• Оценка контекста (IP, местоположение, поведение).

При обнаружении подозрительной активности выполняется принудительное завершение сессии.

Адаптивные сценарии MFA

Безопасность доступа к ключевой информации значительно повышается за счет использования адаптивных сценариев многофакторной аутентификации. Таким образом, могут применяется не только стандартные сценарии прохождения аутентификации, но и гибкий механизм, автоматически рассчитывающий сценарий на основе контекста:

• Устройства, используемого пользователем (для доверенных устройств может устанавливаться более простой сценарий аутентификации);
• Местоположения пользователя,
• Времени суток;
• Приложения, к которому получается доступ (для приложений, посредством которых можно получить доступ к важной информации, может устанавливаться более сложный сценарий).

Поддержка аппаратных токенов и PKI

Аппаратные токены могут использоваться как основной или дополнительный фактор аутентификации в любом сценарии. Avanpost USSO поддерживает: Рутокен ЭЦП, JaCarta, FIDO2, PKI-сертификаты. 

Управление жизненным циклом сессий

При помощи платформы Avanpost USSO можно гибко настраивать время жизни сессии, условное продление при активности, автоматическое завершение при неактивности. Политики применяются централизованно через Avanpost FAM Server.

Интеграция с SIEM-системами

События аутентификации могут отправляться в SIEM-систему (например, MaxPatrol) через Syslog. Таким образом, администратор обладает возможностью получить исчерпывающую информацию о события, включая ID сессии, IP-адрес пользователя, метод аутентификации, используемый компонент FAM и т.д.