Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, выполняющих подключение к системе для создания единой базы знаний Confluence, разработанной компанией Atlassian. В инструкции описывается настройка 2FA/MFA с использованием SAML-механизма системы Avanpost FAM. Использование механизма поддерживает функциональность SSO (Single Sign-On), обеспечиваемую протоколом SAML 2.0.
Настройка на стороне Atlassian Confluence Server
Настройка на стороне Atlassian Confluence Server выполняется следующим образом:
- Перейдите в раздел настроек SSO по пути General Configuration → Security → SAML single sign-on.
- Нажать кнопку «Add SSO provider» (или изменить ранее настроенного провайдера).
- Заполнить параметры согласно таблице:
Параметр Значение Name Ввести имя конфигурации Identity provider issuer URL Указать URL настроенного Avanpost FAM SAML IdP (параметр, Issuer). Identity provider login URL Указать URL сервера аутентификации. Identity provider logout URL Указать URL завершения сессии. User name attribute Установить значение атрибута на стороне Avanpost FAM, содержащего имя пользователя. Show on login page Включить, чтобы отображать кнопку входа через Avanpost FAM на странице аутентификации. Login button text Указать текст, который будет отображаться на странице аутентификации. - Сохранить настройки, нажав кнопку "Save configuration".
Настройка на стороне Avanpost FAM Server
Настройка на стороне административной консоли FAM Server выполняется следующим образом:
Настройку приложения в интерфейсе административной консоли Avanpost FAM Server необходимо выполнить следующим образом:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
На этапе "Основные настройки" требуется ввести наименование и выбрать тип SAML (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление SAML-приложениями).
- На этапе "Настройки интеграции" необходимо установить настройки приложения (В URL, представленных в таблице в качестве примеров, вместо значения “example” необходимо указывать DNS сервера, на котором развернут Attlasian Confluence Server) согласно таблице.
Название параметра Описание параметра Issuer Уникальный идентификатор приложения. ACS Ввести адрес сервиса на стороне приложения, на который должен быть отправлен ответ, например, https://<ваш-confluence>/plugins/servlet/samlconsumerБазовый URL http://example/adfs/ks/idpinitiatedsignonLogout Адрес сервиса на стороне приложения, отвечающего за прекращение сессий, например: https://example/logoutNameID Format Выбрать один из вариантов:
Не указан(Unspecified в SAML 2.0) – форматurn:oasis:names:tc:SAML:1.1:nameid-format:unspecified;Постоянный(Persistent в SAML 2.0) –форматurn:oasis:names:tc:SAML:2.0:nameid-format:persistent.
Значение NameID Выбрать атрибут, содержащий логин пользователя.
- На этапе "Настройки аутентификации" выбрать факторы аутентификации для приложения, установив переключатели напротив тех или иных факторов.
- На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить.
- Создать группу, если таковая ещё не существует (подробнее о настройке групп в разделе Управление доступом).
- Предоставить пользователям группы доступ к созданному приложению
- Добавить пользователей, которые будут аутентифицироваться в Confluence Server, в ранее созданную группу.
Проверка установки
После завершения настройки выполнить проверку ее корректности:
- Открыть в браузере URL настроенного Confluence Server.
- На странице входа нажать кнопку входа через Avanpost FAM.
- Убедиться, что открывается страница аутентификации Avanpost FAM.
- Пройти аутентификацию в соответствии с настроенным сценарием MFA.
- После успешного прохождения всех шагов вы должны быть автоматически перенаправлены в Confluence Server под своей учётной записью.