Avanpost FAM Agent (Avanpost FAM Агент) – клиентский компонент, устанавливаемый на рабочие станции пользователей под управлением ОС Microsoft® Windows® 7/8/10/11. Данный компонент реализует набор функций для работы механизма Enterprise SSO.
Компонент обеспечивает решение следующих задач:
- Централизованное управление и аутентификация (пользователь идентифицируется на одном сервисе и получает доступ ко всем необходимым приложениям и сервисам).
- Поддержка множества приложений и сервисов, включая веб-приложения, SaaS-платформы, корпоративные приложения и т. д.
- Управление правами доступа (Avanpost FAM Agent позволяет пользователям и администраторам управлять правами доступа к различным приложениям и сервисам в рамках одной системы).
- Поддержка анализа журналов.
- Автоматическое продление времени жизни сессии в случае, когда пользователь проявляет активность на рабочей станции.
- Обеспечение безопасности при работе в многопользовательской среде (при подключении по RDP Агент перехватывает окна десктопных приложений, принадлежащих текущей сессии пользователя, и обеспечивает изоляцию данных и сессий между пользователями).
Системные требования
Установка компонента Avanpost FAM Agent рекомендуется на следующих серверных, десктопных операционных системах и платформах:
| Платформа | Операционная система | Формат поставки | Прочие требования |
|---|---|---|---|
| Любая современная платформа виртуализации (VMWare, Hyper-V и т.д.), любые 64-битные компьютеры и сервера | Microsoft Windows Desktop (срок поддержки до 2023 включительно)/Microsoft Windows Desktop 8.1/ Microsoft Windows Desktop 10/ Microsoft Windows Desktop 11 | zip-архив с MSI-установочным исполняемым файлом | 1 ГБ ОЗУ 60 МБ свободного дискового пространства |
| Microsoft Windows Server 2012R2 (срок поддержки до 2023 включительно), Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022 |
Варианты установки
Для установки компонента FAM Агент предусмотрены следующий варианты установки (в обоих случаях доступна упрощенная настройка клиентского компонента с использованием DIscovery-документа):
- Установка FAM Agent в ОС Windows (подробнее об установке см. Установка FAM Agent в ОС Windows):
- Локальная установка. Локальная установка производится в случае, если рабочая станция или сервер находятся не в управляющем домене. Осуществляется установка Avanpost FAM Agent на стороне рабочей станции и настройка OIDC-приложения на стороне Avanpost FAM Server.
- Через механизм групповых политик (GPO) помощью механизма GPO системный администратор может создавать групповые объекты политик (GPO), которые включают настройки для компьютеров и пользователей, входящих в определенные единицы управления Active Directory. Использование механизма групповых политик предпочтительно в случае, если планируется установка Avanpost FAM Agent на большое количество устройств. Рабочая станция или сервер должны находиться в управляющем домене.
- Установка FAM Agent в ОС Linux (подробнее об установке см. Установка FAM Agent в ОС Linux).
Безопасность
Кратковременное хранение учётных данных пользователя в процессе аутентификации
На этапе аутентификации в Avanpost FAM Agent и при авторизации действия перехвата окна Avanpost FAM Agent получает от сервера параметры (в т.ч. учетные данные), использует (подставляет) их и очищает. Таким образом, хранение учетных данных пользователя производится непродолжительное время (в момент аутентификации).
Использование ограниченного времени хранения данных аутентификации уменьшает риски, связанные с хранением данных на клиентском устройстве.
TLS-шифрование передаваемых данных в рамках gRPC-интерфейса
TLS-шифрование передаваемых данных в рамках gRPC-интерфейса – это механизм защиты данных, передаваемых через gRPC-интерфейс, с помощью использования протокола TLS (Transport Layer Security). Этот механизм обеспечивает конфиденциальность, целостность и подлинность передаваемых данных путем шифрования информации на транспортном уровне.
При использовании TLS-шифрования в рамках gRPC-интерфейса данные между клиентом и сервером обмениваются в зашифрованном виде, что позволяет предотвращать их перехват.
Рекомендации к настройке: см. раздел "Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса".
Аутентификация при помощи сертификатов
AM Agent поддерживает аутентификацию пользователей с использованием сертификата, записанного на аппаратный ключевой носитель. Данная функция позволяет входить в веб-приложения без ввода пароля учётной записи, используя только сертификат. Пользователь инициирует вход в веб-приложение посредством Агента. FAM Server отправляет запрос на аутентификацию по сертификату в FAM Agent. Агент определяет доступные сертификаты на подключённых токенах и при необходимости запрашивает PIN-код. Агент выполняет проверку сертификата и возвращает результат на FAM Server. В случае успеха пользователь получает доступ к приложению.
Поддерживаемые токены:
- Рутокен ЭЦП (включая NFC-версии);
- JaCarta;
- Другие PKCS#11-совместимые токены.