Общие сведения
Фактор аутентификации WebAuthn – метод многофакторной аутентификации, основанный на использовании современный протокол беспарольной аутентификации WebAuthn (Web Authentication), ,базирующейся на технологии FIDO2.
Метод WebAuthn позволяет пользователям проходить аутентификацию с использованием следующих типов устройств:
- Аппаратные ключи, совместимые с FIDO2 (например, YubiKey, JaCarta FIDO, Rutoken FIDO), подключаемые через USB, NFC или Bluetooth;
- Встроенные платформенные аутентификаторы, такие как Windows Hello, Touch ID, Face ID и Android Biometric Prompt, которые используют локальную биометрию или PIN для подтверждения владения ключом;
- Мобильные устройства, выступающие в роли внешних аутентификаторов для других устройств (например, ПК) через протокол CTAP2 (Client to Authenticator Protocol) по Bluetooth или NFC.
Аутентификация по WebAuthn осуществляется непосредственно в веб-браузерах (Chrome, Firefox, Safari и др.) через защищённое криптографическое доказательство владения приватным ключом. Эта технология не требует ввода пароля, если используется в режиме беспарольной аутентификации (Passwordless), где приватный ключ и метод его разблокировки (например, биометрия) полностью заменяют традиционные учётные данные.
Настройка фактора WebAuthn
Настройка метода аутентификации WebAuthn осуществляется в административной консоли Avanpost FAM Server следующим образом:
- Войти в раздел "Настройки методов аутентификации" режима "Сервис".
- Нажать кнопку "Добавить метод аутентификации".
- Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
Параметр Описание Название Ввести название. Фактор аутентификации Выбрать "WebAuthn". Метод активен Заполнить чекбокс:
- при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
- при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
- Установить параметры метода согласно таблице ниже.
Параметр Описание Название Название метода. Название метода отображаемое пользователям Ввести название метода для отображения пользователям. Ключ-тэг Ввести уникальный тэг (используется для ориентации в логах). Фактор аутентификации WebAuthn Метод активен Установить чекбокс:
- При установленном чекбоксе метод аутентификации активен и может использоваться.
- При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
- Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").
Восстановление метода Локальный пароль
Удаление метода Локальный пароль не приводит к удалению учётных данных пользователей, т.к. хэши паролей остаются в базе данных и могут быть использованы после восстановления. В случае, если метод Локальный пароль был удален из административной консоли Avanpost FAM, администратор обладает возможностью восстановить метод через системную консоль сервера. Для этого предусмотрена специальная команда, которая автоматически восстанавливает оригинальный ключ-тег метода, что гарантирует корректное сопоставление с существующими хэшами.
Для восстановления ранее удаленного метода Локальный пароль следует выполнить действия:
- Остановить службу idp при помощи команды:
sudo systemctl stop idp
- Восстановить удаленный метод Локальный пароль при помощи специальной команды:
./fam_linux_amd64 -restore-pwd-auth
- Дождаться появления сообщения "Succesfully restored local password authentication".
- Запустить службу idp при помощи команды:
sudo systemctl start idp
- Убедиться, что метод доступен в разделе "Настройки методов аутентификации", а пользователи, для которых ранее был настроен метод Локальный пароль, могут беспрепятственно аутентифицироваться при помощ старых паролей.