Общие сведения
Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, использующих APM под управлением Windows Desktop. В инструкции описывается настройка 2FA для APM с использованием Windows Desktop. Интеграция реализуется с использованием компонента Avanpost FAM Windows Logon (Credential Provider) и механизма Windows Logon-приложений в Avanpost FAM. Поддерживается аутентификация как при локальном входе, так и при подключении по протоколу удалённого рабочего стола (RDP).
Установка Avanpost FAM Windows Logon может осуществляться:
- локально на устройство пользователя;
- через групповые политики (GPO).
Для уточнения особенностей настройки клиентского компонента компонента Avanpost FAM Windows Logon (Credential Provider) рекомендуется обратиться к статье Установка FAM Windows Logon в ОС Windows.
Настройка на стороне рабочей станции локально
Настройка на стороне рабочей станции с Windows Desktop выполняется следующим образом:
- Скачать дистрибутив компонента Avanpost FAM Windows Logon из репозитория. Архив должен содержать установочный MSI-файл, конфигурационный файл
avanpostcred.ini. - Если планируется использовать аппаратные токены (например, Рутокен ЭЦП), следует скачать плагины для работы с аппаратными токенами из репозитория.
- Распаковать архив в произвольную директорию на рабочей станции.
- Отредактировать конфигурационный файл
avanpostcred.ini, указав параметры подключения к серверу Avanpost FAM. Для настройки конфигурационного файла следует руководствоваться приложением А статьи Установка FAM Windows Logon в ОС Windows.Для включения режима TLS-шифрования в файле настроек (конфигурационный файл
avanpostcred.ini) необходимо задать параметры:CA=< имя файла сертификата сервера с полным путем > SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >
- Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
- В приветственном окне нажать "Далее".
- В окне подтверждения установки нажать "Далее".
- Дождаться окончания установки и перезагрузить устройство.
Настройка через групповые политики
Настройка компонента через групповые политики выполняется в интерфейсе сервера MS AD следующим способом:
- Скачать дистрибутив компонента Avanpost FAM Windows Logon из репозитория. Архив должен содержать установочный MSI-файл, конфигурационный файл
avanpostcred.ini. - Если планируется использовать аппаратные токены (например, Рутокен ЭЦП), следует скачать плагины для работы с аппаратными токенами из репозитория.
- Распаковать скачанный дистрибутив в формате zip-архива в каталоге домена SYSVOL.
- Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести
gpmc.mscи нажать OK.Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.
- В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера → Политики → Конфигурация программ → Установка программ, ЛКМ → Создать → Пакет).
- Выбрать установочный MSI-файл, находящийся в каталоге домена SYSVOL вместе с файлом
avanpostcred.ini. - В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".
- В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
- Отредактировать конфигурационный файл
avanpostcred.ini,задав значения параметров в соответствии с приложением А статьи Установка FAM Windows Logon в ОС Windows. - Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.
Настройка на стороне Avanpost FAM
Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).
На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" (
).Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" (
). Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.На последующих шагах установить дополнительные факторы аутентификации.
Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.
На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения).
Проверка установки
После завершения установки следует убедиться в правильности проведенной настройка рабочей станции.
В режиме физического доступа к рабочей станции проверку выполнять следующим образом:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Credential Provider.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP проверку выполнять следующим образом:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.