4.4.1. Локальная установка FAM Agent в ОС Windows

[ ] [ Общие сведения ] [ Установка и настройка компонента на стороне Avanpost FAM Server ] [ Настройка конфигурации FAM Agent ] [ Настройка аутентификации по сертификату ] [ Обычная установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows ] [ "Тихая" установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows ] [ Установка и настройка компонента на стороне сервера MS AD ] [ Настройка Avanpost FAM Agent на рабочей станции ] [ Обновление Avanpost FAM Agent ] [ Проверка установки установки Avanpost FAM Agent ] [ Миграция на версию FAM Agent 1.5.0 и выше ] [ Автоматическая настройка FAM Agent с использованием Discovery-документа ] [ Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config ] [ Приложение Б. Пример Discovery-документа FAM Agent ]

Общие сведения

Компонент Avanpost FAM Agent устанавливается локально для решения следующих задач:

осуществления 2FA/MFA в унаследованных десктопных приложениях при использовании механизма аутентификации Enterprise SSO;
SSO при переключении между унаследованными десктопными приложениями, подключенными посредством механизма Enterprise SSO.

В случае, если пользователь проявляет активность на рабочей станции, FAM Agent автоматически продлевает время жизни сессии, не требуя повторного прохождения аутентификации.

Avanpost FAM Агент корректно работает в многопользовательской среде, такой как Windows Server с ролью «Службы удалённых рабочих столов» (RDS). В данном режиме работы каждый пользователь, подключающийся по RDP, запускает собственный экземпляр Агента в рамках своей сессии. Агент перехватывает только окна десктопных приложений, принадлежащие текущей сессии пользователя. При этом перехват окон других пользователей исключён, что обеспечивает изоляцию и безопасность.

Допускаются следующие варианты установки компонента на рабочих станциях пользователей:

локальная установка на рабочей станции;
настройка через групповые политики.

Локальная установка Avanpost FAM Agent рекомендуется в следующих случаях:

Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
Сервер расположен не в домене из соображений безопасности.

Установка Avanpost FAM Agent через групповые политики рекомендуется в следующих случаях:

Планируется установка Avanpost FAM Agent на большое количество устройств.
Сервер и рабочие станции расположены в домене.

Локальная установка выполняется следующим образом:

Выполняется установка и настройка компонента на стороне FAM Server.
Выполняется установка и настройка компонента на рабочей станции пользователя.

Настройка через групповые политики выполняется следующим образом:

Выполняется установка и настройка компонента на стороне FAM Server.
Выполняется установка и настройка компонента на рабочей станции пользователя.

У администратора есть возможность настраивать конфигурационный файл Agent FAM Agent следующим образом:

автоматическая настройка через Discovery-документ (доступно в версиях FAM Server 1.15+);
настройка конфигурационного файла с вводом параметров вручную.

Поддерживаются следующие ОС Windows:

Microsoft Windows Desktop 7;
Microsoft Windows Desktop 8;
Microsoft Windows Desktop 10;
Microsoft Windows Desktop 11;
Microsoft Windows Server 2012R2;
Microsoft Windows Server 2016;
Microsoft Windows Server 2019;
Microsoft Windows Server 2022.

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности:

Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
На этапе "Основные настройки" требуется ввести наименование и выбрать тип OAuth/Open ID Connect (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление OpenID Connect-приложениями).
На этапе "Настройки интеграции" необходимо установить настройки приложения (более подробно описано в Шаг 2. Настройки интеграции для OIDC-приложения). Обязательно требуется задать значения параметров в графе Secret (произвольный секретный ключ, который будет использоваться для подключения к приложению) и Redirect URIs (URL-адрес, на который пользователь будет перенаправлен после успешной аутентификации).

Администратор может сменить секретный ключ (например, при компрометации ключа) в профиле созданного приложения во вкладке "Настройки" в разделе "Смена секрета".
Секретный ключ должен совпадать с тем, который задается в конфигурационном файле/в мастере установки на рабочей станции пользователя.
На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для OIDC-приложения).
На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 4. Завершение для OIDC-приложения).
После создания приложения требуется найти его в режиме "Приложения" и зайти в профиль, нажав на название приложения. Зайти во вкладку "Настройки" и нажать для перехода в режим редактирования.
В режиме редактирования следует задать следующие параметры:
– ID synonym - Cиноним идентификатора приложения;
– Allowed grant types - Перевести переключатель в положение "Активно" () для следующих Grant Types: Refresh token и Password.
Перейти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
На этапе "Основные настройки" ввести наименование и выбрать тип Enterprise SSO (более подробно описано в разделе Шаг 1. Основные настройки для Enterprise SSO-приложений).

На этапе "Настройки интеграции" в текстовое поле ввести шаблон приложения (более подробно описано в Шаг 2. Настройки интеграции для Enterprise SSO-приложений):

Шаблон приложения представлен в виде JSON-блока, содержащего параметры, определяющие признаки перехвата окон десктопного приложения, и последовательный набор команд для заполнения и сабмита формы аутентификации десктопного приложения. Шаблон может меняться по мере развития FAM Agent. Разработка шаблона приложения описана в разделе Разработка шаблона Enterprise SSO.

{
  "authenticateTemplates": [
    {
      "commands": [
        {
          "commandType": "Sleep",
          "sleepTime": 100
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$user"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
 
          "textMessage": "$password"
        },
        {
          "commandType": "KeyPress",
          "code1": "RETURN"
        }
      ],
      "grab": [
        {
          "windowName": "Login",
          "processName": "mockauth"         
        },
        {
          "windowName": "Login2",
          "processName": "mockauth",
          "windowClassName": "SomeWindowClassNameIfItNeed"
        }
      ]
    }
  ],
  "changePasswordTemplates": [
    {
      "commands": [
        {
          "commandType": "Sleep",
          "sleepTime": 100
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$user"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
          "textMessage": "$password"
        },
        {
          "commandType": "KeyPress",
          "code1": "TAB"
        },
        {
          "commandType": "TextEntry",
          "TextMessage": "$newpassword"
        },
        {
          "commandType": "KeyPress",
          "code1": "RETURN"
        }
      ],
      "grab": [
        {
          "windowName": "ChangePassword",
          "processName": "mockauth"
        }
      ]
    }
  ]
}

На этапе "Настройки аутентификации" следует выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно в Шаг 3. Настройки аутентификации для Enterprise SSO-приложений).
На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить.
Создать новую группу. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно в Добавление новых групп).
Добавить в группу пользователей, которые будут аутентифицироваться в настроенных приложениях. Ручное добавление пользователей администратором реализуется в профиле группы. Также доступ пользователя к группам и ролям допускается редактировать в УЗ пользователя.
Назначить ранее созданные OAuth/Open ID Connect и Enterprise SSO-приложения в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" () напротив созданных приложений.
Для настройки централизованной аутентификации в desktop-приложениях через Avanpost FAM в учетных записях пользователей зайти во вкладку "Приложения" в раздел "Учетные записи" в графу "Приложение" и выбрать в выпадающем списке FAM_Agent.
Для Упрощения настройки на стороне клиента при помощи Discovery-документа следует:
1. Перейти в раздел "Системные настройки" режима "Сервис".
2. В разделе "Конфигурация FAM Агента" в параметре "OpenID-приложение для агента" выбрать из выпадающего списка настроенное OIDC-приложение и нажать кнопку "Сохранить".
Для использования Avanpost FAM Agent совместно в контексте механизма Unified SSO требуется выполнить дополнительную настройку приложений, в которые пользователи смогут аутентифицироваться USSO (более подробная настройка описана в статье Настройка Unified SSO):
1. Для ранее созданных OpenID Connect/Reverse Proxy/SAML-приложений перейти во вкладку "Настройки интеграции" в профиле приложения и установить флаг в чекбокс "Включить USSO" (для приложений типа Enterprise SSO использование механизма USSO доступно автоматически и не требует дополнительной настройки).
2. При необходимости использования встроенных механизмов аутентификации операционных систем совместно с Unified SSO приложений настроить Windows Logon и/или Linux Logon-приложения.
3. При необходимости использования LDAP-аутентификации настроить LDAP Proxy-приложение (более подробно в статьях Установка FAM LDAP Proxy в ОС Linux из tar.gz-архива и Управление LDAP Proxy-приложениями).
  Для того, чтобы после входа через Windows/Linux Logon/LDAP Proxy-механизмы дальнейшая аутентификация проходила бесшовно, процесс аутентификации, настроенный для LDAP Proxy/Windows/Linux Logon-приложения, и процесс аутентификации, настроенный для OIDC-приложения FAM Agent, должны быть идентичны. В случае, если процессы отличаются, будет запрошено прохождение дополнительных факторов, которые не запрашивались в процессе Windows/Linux Logon/LDAP-аутентификации. Для изменения факторов аутентификации настроенных приложений требуется скорректировать факторы во вкладке MFA в профиле настроенных приложений (функционал основных вкладок описан в разделе Управление приложениями). Если для приложений, в которые аутентифицируется пользователь посредством USSO, были настроены дополнительные факторы аутентификации, они также будут запрошены при попытке пользователя авторизоваться в данных приложениях.
4. Убедиться, что пользователи, которые должны аутентифицироваться посредством USSO, добавлены в группы, предоставляющие доступ к приложениям из всей цепочки USSO-аутентификации (например, если пользователь должен аутентифицироваться через встроенные механизмы аутентификации Windows в 1C:Предприятие, то ему должен предоставлен доступ к соответствующему Windows Logon-приложению, OIDC-приложению компонента FAM Agent и OIDC-приложению, настроенному для 1C:Предприятие).

Настройка конфигурации FAM Agent

Администратору доступны дополнительные настройки использования FAM Агент в административной консоли FAM Server. Настройки располагаются в разделе "Системные настройки" режима "Сервис". Настройка дополнительных параметров Агента доступна в подразделе "Конфигурация FAM Агента":

Параметр	Значение
Настройки Enterprise SSO
Отключено	Заполнить чекбокс: при выключенном чекбоксе позволяет аутентифицироваться в приложениях типа Enterprise SSO: FAM Агент перехватывает окно согласно шаблону Enterprise SSO-приложения, выполняется передача и объединение сессии; при включенном чекбоксе аутентификация в приложениях типа Enterprise SSO посредством Агента недоступна.
Время обновления конфигурации приложения (в секундах)	Ввести время обновления конфигурации Enterprise SSO-приложения.
Настройки Unified SSO
Блокировать ОС при завершении сессии	Заполнить чекбокс: при включенном чекбоксе происходит автоматическая блокировка сессии пользователя после выхода из привязанного OIDC-приложения; при выключенном чекбоксе ОС на рабочей станции пользователя не блокируется после завершения сессии.
OpenID приложение для агента	Выбрать из выпадающего списка OIDC-приложение, связанное с Агентом.

Настройка аутентификации по сертификату

FAM Agent поддерживает аутентификацию пользователей с использованием сертификата, записанного на аппаратный ключевой носитель (смарт-карта, USB-токен). Данная функция позволяет входить в веб-приложения без ввода пароля учётной записи, используя только сертификат. Если у пользователя имеется один доступный сертификат, Агент выбирает автоматически выбирает его для аутентификации. Если сертификатов несколько, пользователю отображается список доступных сертификатов для выбора. Если токен защищён PIN-кодом, Агент запрашивает ввод.

Поддерживаются следующие токены:

Рутокен ЭЦП;
JaCarta;
Другие PKCS#11-совместимые токены.

Для полноценного использования функциональности требуется корректно настроенный метод аутентификации "Сертификат" в административной консоли FAM Server:

Создать и настроить метод аутентификации "Сертификат" (порядок настройки более подробно описан в шаге 7 статьи Настройка метода ЭП/сертификат).
Перейти в профиль OIDC и Enterprise SSO-приложений, настроенных для FAM Agent, и войти на вкладку "MFA".
В списке шагов выбрать "Сертификат" и установить переключатель в положение "Активно".
Убедиться, что аутентификация по сертификату настроена корректно:
1. Во время авторизации через Агент выбрать фактор «Сертификат» и нажать "Продолжить".
2. В случае, если привязанных сертификатов несколько, выбрать один и инициировать аутентификацию.
3. Ввести PIN-код, в случае если он установлен на используемый аппаратный носитель.
4. Убедиться, что аутентификация прошла успешно.

Обычная установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Agent осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

Перед установкой следует загрузить компонент Avanpost FAM Agent, представляющий собой установочный MSI-файл.
Запустить скачанный MSI-файл и перейти в мастер установки Avanpost FAM Agent.
Ознакомиться с описанием и нажать кнопку "Далее".
Указать путь к директории, в которую будет установлен Агент и нажать кнопку "Далее".

Нажать кнопку "Установить" и дождаться окончания установки.

В актуальных версиях Агента установка выполняется посредством Discovery-документа. В более ранних версиях Агента требуется предварительная настройка конфигурации Avanpost FAM Agent в интерфейсе мастера установки согласно таблице.

Параметр	Значение
Адрес (хост:порт) gRPC-интерфейса FAM	Адрес (хост и порт) gRPC-интерфейса (по умолчанию указывается `avanpost.fam.local:9007`).
Адрес сервера FAM	Адрес сервера, на котором развернут Avanpost FAM, используемый организацией (по умолчанию используется `https://avanpost.fam.local`).
Адрес OpenID Connect Discovery FAM	URL-адрес файла конфигурации OpenID-сервера, который используется для аутентификации.
Client ID Агента на сервере FAM	Указывается `ID synonym` или `ID` OIDC-приложения, созданного на шагах 1 - 5 данной инструкции.
Secret Агента на сервере FAM	Вводится секрет OIDC-приложения, созданного на шагах 1 - 5 данной инструкции.
Использовать TLS	Установить флажок в чекбокс: при установленном флажке используется TLS-шифрование, настраиваемое в "Сертификат сервера" и "CN сертификат сервера"; при выключенном флажке TLS-шифрование не используется.
Сертификат сервера	Путь к файлу сертификата `cerf.pem`, подписанного центром сертификации. Файл передается администратором FAM Server и сохраняется на устройстве с развернутым. Avanpost FAM Agent. Допускается выбрать файл сертификата в диалоговом окне, нажав "Browse".
CN сертификата сервера	Домен, на который был выдан сертификат. Администратор может посмотреть, кому выдан сертификат, изменив расширение файла cerf.pem на .crt и открыв его. Значение CN будет отображено в строке "Кому выдан".

Дождавшись окончания установки, нажать кнопку "Готово".
Запустить установленное приложение FAM Agent и ввести в открывшемся окне base URL FAM Server, к которому будет подключаться компонент, в графе "Адрес FAM Server". Прочие настройки компонента будут актуализированы автоматически.
В случае, если установка проведена корректно, но Агент выдает информационное сообщение "Не удалось установить соединение с сервером системы аутентификации", следует выполнить следующие действия (подробнее настройки описаны в Настройка FAM Agent на рабочей станции):
1. Во вкладке "Общие" установить флаг "Показать расширенную конфигурацию".
2. Перейти в появившуюся вкладку "Расширенные".
3. Установить флаг "Игнорировать ошибки сертификата SSL/TLS".

"Тихая" установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows

В режиме "тихой" установки компонент будет установлен без взаимодействия с пользователем, и все процессы будут выполнены автоматически. Перед началом установки в подготавливаемом дистрибутиве должен содержаться корректный конфигурационный файл avanpost_fam_agent.dll.config. Допускается провести настройку конфигурационного файла:

вручную в соответствии с Приложением А;
автоматически с использованием Discovery-документа (предварительно провести настройку параметров в административной консоли).

Для установки компонента следует использовать учетную запись, обладающую правами на установку приложений в системе.

Установка с использованием удаленного рабочего стола осуществляется следующим образом:

Открыть командную строку от имени администратора, нажав комбинацию клавиш Win+R. Ввести cmd и нажать OK.
Перейти в каталог с установочными файлами (c:\>cd Диск:\Адрес_директории\).

Выполнить следующую команду:

avanpost_fam_agent.msi /qn /quiet /norestart

Если учетная запись, используемая при установке, не обладает правами администратора, то при вводе команды используются следующие параметры: [-u пользователь [-p пароль]], в которых указав имя и пароль от учетной записи соответственно. Учетная запись, используемая при установке, должна обладать правами для установки приложений.

Локальная установка на рабочей станции осуществляется следующим образом:

Открыть командную строку от имени администратора, нажав комбинацию клавиш Win+R, ввести cmd и нажать OK.
Перейти в каталог с установочными файлами (c:\>cd Диск:\Адрес_директории\).
Если учетная запись, используемая при установке, не обладает правами администратора, то при вводе команды используются следующие параметры: [-u пользователь [-p пароль]], в которых указав имя и пароль от учетной записи соответственно. Учетная запись, используемая при установке, должна обладать правами для установки приложений.
Выполнить следующую команду:

avanpost_fam_agent.msi /qn /quiet /norestart

Чтобы проверить корректность установки приложения, нужно убедиться, что после завершения установки получен ответ "exited on имя_пользовательской_машины with error code 0".

Установка и настройка компонента на стороне сервера MS AD

Если планируется установка Avanpost FAM Agent на большое количество устройств, рекомендуется использовать способ установки через GPO (групповые политики).

Настройка компонента в интерфейсе сервера MS AD осуществляется в следующей последовательности:

Перед установкой следует загрузить в произвольный каталог компонент Avanpost FAM Agent, представляющий собой установочный MSI-файл.
Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести gpmc.msc и нажать OK.
Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.
В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера → Политики → Конфигурация программ → Установка программ, ЛКМ → Создать → Пакет).
Задать сетевой путь до установочного MSI-файла Avavpost FAM Agent.
В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".
Убедиться, что установленный Avanpost FAM Agent отобразился в списке раздела "Установка программ".
Для настройки FAM Agent cледует отредактировать конфигурационный файл avanpost_fam_agent.dll.config (находится в корневом каталоге c установочным файлом). Настройка параметров конфигурационного файла осуществляется согласно Приложению А.

Настройка Avanpost FAM Agent на рабочей станции

Настройка Агента на рабочей станции пользователя осуществляется в интерфейсе запущенного приложения. Приложение содержит следующие вкладки:

О программе – Основные данные о компоненте (наименование, версия, ссылка для перехода в личный кабинет);
Общие – Базовые настройки компонента;
Расширенные – Владка расширенных конфигурационных настроек компонента (доступна после установки флага "Показать расширенную конфигурацию" во вкладке "Общие");
Плагины – Вкладка управления плагинами;
Токены – Вкладка управления токенами.

Параметр	Описание
Общие
Адрес сервера системы аутентификации	URL-адрес FAM Server, к которому будет подключаться Агент.
Автозапуск	Установить флаг в чекбокс: при установленном флаге Агент автоматически запускается при каждом входе пользователя в ОС; при выключенном флаге виджет FAM Agent требует ручного запуска после входа в ОС.
Показать виджет управления	Установить флаг в чекбокс: при установленном флаге виджет FAM Agent отображается в правой нижней части экрана. при выключенном флаге виджет FAM Agent не отображается.
Язык интерфейса	Выбрать язык интерфейса из выпадающего списка.
Перезагрузить конфигурацию с сервера	При нажатии кнопки выполняется запрос к серверу для принудительной актуализации конфигурации клиентского компонента FAM Agent.
Показать расширенную конфигурацию	Установить флаг в чекбокс: при установленном флаге доступна вкладка "Расширенные", предназначенная для более тонкой настройки компонента; при выключенном флаге вкладка "Расширенные" не отображается.
Расширенные
Адрес gRPC	Хост и порт gRPC-интерфейса FAM Server для взаимодействия с Agent (по умолчанию указывается `avanpost.fam.local:9007`).
Имя службы Kerberos	SPN (Service Principal Name) для Kerberos-аутентификации.
Идентификатор клиента службы	ID synonym OIDC-приложения, настроенного для аутентификации FAM Agent на FAM Server
Секрет клиента службы	Секретный ключ клиента OpenID.
Время обновления шаблонов в минутах	Интервал опроса FAM Server для обновления конфигурации (в минутах).
Путь к сертификату сервера	Путь к файлу сертификата, подписанного центром сертификации. Предназначен для проверки SSL/TLS. Нажать кнопку , чтобы указать путь. Файл передается администратором FAM Server и сохраняется на устройстве с развернутым Avanpost FAM Agent.
Переопределение целевого имени сертификата	Настройка gRPC-канала, которая позволяет переопределить имя хоста, используемое для проверки SSL/TLS-сертификата сервера и в поле SNI (Server Name Indication). Значение этого параметра должно совпадать с именем хоста, которое прописано в SSL-сертификате сервера.
Игнорировать ошибки сертификата SSL/TLS	Установить флаг в чекбокс: При включенном флаге игнорируются ошибки с ошибочным сертификатом при безопасном подключении; При выключенном флаге ошибки не игнорируются.
Захватить окно	Установить флаг в чекбокс: При включенном чекбоксе Включение режима захвата окон для Enterprise SSO. При выключенном флаге окна не перехватываются.
Журнал захваченных окон	Нажать кнопку "Открыть журнал захваченных окон" для просмотра логов захваченных окон (для отладки Enterprise SSO).
Журнал событий	Нажать кнопку "Открыть запись с журнала событий" для перехода к полной записи журнала событий для детального анализа использования компонента.
Перезапустить как администратор	Нажать кнопку для выполнения перезапуска FAM Agent с правами администратора.
Плагины
Добавить	Нажать, чтобы указать путь и подключить дополнительный PKCS#11-совместимый токен (Рутокен, JaCarta).
Удалить	Нажать, чтобы удалить ранее добавленный плагин.
Токены
Обновить	Нажать, чтобы обновить токены, привязанные к пользователю на стороне FAM Server.
Удалить	Нажать, чтобы удалить существующий токен.

Обновление Avanpost FAM Agent

Стандартная процедура обновления включает в себя следующие действия:

Скачать актуальную версию FAM Agent.
Запустить установку скачанного MSI-пакета.
Мастер установки предложит выполнить обновление Avanpost FAM Agent (перенос настроек конфигурации в обновленную версию осуществляется автоматически).
Дождавшись завершения обновления, перезагрузить устройство, на котором было произведено обновление Avanpost FAM Agent.

Получать информацию о пакетах обновлений FAM Agent возможно через облачный сервис компании Avanpost. Для этого предлагается использовать следующие API-endpoints согласно таблице:

Endpoint	Метод	Описание
/api/v1/packages/fam-agent%2Favanpost_fam_agent	GET	Получение списка всех доступных версий пакета
/api/v1/packages/fam-agent%2Favanpost_fam_agent/versions/{version}	GET	Получение информации о конкретной версии пакета
/api/v1/packages/fam-agent%2Favanpost_fam_agent/versions/latest	GET	Получение информации о последней доступной версии

Проверка установки установки Avanpost FAM Agent

В режиме доступа к рабочей станции совершить следующие действия:

Инициировать вход на рабочую станцию.
Выбрать Avanpost FAM Agent в качестве способа аутентификации.
Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP совершить следующие действия:

Инициировать подключение по RDP на рабочую станцию.
Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Миграция на версию FAM Agent 1.5.0 и выше

При миграции на версию FAM Agent 1.5.0 и выше требуется провести дополнительную настройку аутентификации посредством Kerberos. Для этого в конфигурационном файле avanpost_fam_agent.dll.config необходимо прописать строку:

<add key="serviceAccountName" value="HTTP/localhost"/>

Параметр value соответствует параметру serviceName/Principal, который указывается при настройке Kerberos.

Дальнейшая миграция осуществляется бесшовно.

Автоматическая настройка FAM Agent с использованием Discovery-документа

Начиная с версии FAM Server 1.15, для упрощения развёртывания и настройки компонента Avanpost FAM Agent реализована поддержка автоматической конфигурации через Discovery-документ. Использование Discovery-документа исключает необходимость ручного указания ряда параметров в конфигурационном файле компонента, что упрощает массовое развёртывание и снижает вероятность ошибок при настройке. Discovery-документ позволяет компоненту автоматически получать все необходимые параметры подключения к серверу, включая:

адрес gRPC-интерфейса;
URL-адрес Avanpost FAM Server;
настройки безопасности;
идентификатор (ClientId) приложения, предварительно настроенного на стороне Avanpost FAM Server;
параметры Unified SSO и Enterprise SSO.

В конфигурационном файле достаточно указать параметр baseUri (в случае включения FAM Agent с пустой конфигурацией будет запрошен baseUri), а прочие параметры будут настроены автоматически.

Для корректной автоматической настройки компонента посредством Discovery-документа следует настроить FAM Агент в разделе "Системные настройки" режима "Сервис" в административной консоли FAM Server. В разделе "Конфигурация FAM Агента" нажать на кнопку и задать настройки согласно таблице:

Параметр	Значение
Настройки Enterprise SSO
Отключено	Установить флажок в чекбокс: при установленном флаге FAM Agent не использует механизм Enterprise SSO для аутентификации; при выключенном флаге FAM Agent может использовать Enterprise SSO для аутентификации.
Время обновления конфигурации приложения (в секундах)	Интервал между обновлениями конфигурации приложения. Шаблоны приложения и его конфигурации обновляются для поддержания актуальности данных.
Настройки UnifiedSSO
Блокировать ОС при завершении сессии	Установить флажок в чекбокс: при установленном флаге после завершения сессии в Avanpost FAM пользователь автоматически выходит из аккаунта в операционной системе на локальной рабочей станции; при выключенном флаге пользователь может работать на локальной рабочей станции даже после завершения сессии в FAM.
OpenID приложение для агента	Выбрать созданное OIDC-приложение, которое будет ассоциироваться в FAM Agent

Доступ к Discovery-документ осуществляется по защищенному https-соединению по адресу: https://<FAM_URL>/.well-known/agent-configuration. Пример настроенного Discovery-документа представлен в приложении Б.

Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config

Для ОС семейства Windows: конфигурационный файл компонента FAM Agent располагается по пути: C:\Users\<windowsUsername>\AppData\Local\Avanpost\appsettings.toml;

Конфигурационный файл "avanpost_fam_agent.dll.config" может быть настроен следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <appSettings>
    <add key="gRPCServerAddress" value="10.10.161.81:9007" />
    <add key="FAMServerUrl" value="https://apidp.ru" />
    <add key="OpenIDConfigurationUrl" value="https://apidp.ru/.well-known/openid-configuration" />
    <add key="OpenIDClientId" value="d9212935-1380-41ca-b100-dba7412827cf" />
    <add key="OpenIDSecret" value="d9212935" />
    <add key="ServerCertificatePath" />
    <add key="SSLTargetName" />
    <add key="TemplateRefreshTimerMinutes" value="125" />
    <add key="DefaultLanguage" value="ru-RU" />
    <add key="IgnoreFaultyCertificate" value="False" />
  </appSettings>
</configuration>

Таблица – Значения ключей конфигурационного файла


`gRPCServerAddress`	IP-адрес Avanpost FAM Server.
`FAMServerUrl`	URL-адрес сервера FAM.
`OpenIDConfigurationUrl`	URL-адрес файла конфигурации OpenID-сервера, который используется для аутентификации.
`OpenIDClientId`	Client ID приложения в системе FAM.
`OpenIDSecret`	Cекретный ключ клиента OpenID. Задается вручную.
`ServerCertificatePath`	Путь к сертификату сервера, который будет использоваться для безопасного подключения.
`SSLTargetName`	Имя, используемое для проверки подлинности сертификата SSL/TLS-сервера при установлении безопасного соединения.
`TemplateRefreshTimerMinutes`	Интервал обновления шаблонов в минутах.
`DefaultLanguage`	Язык по умолчанию.
`IgnoreFaultyCertificate`	Указывает, игнорировать ли ошибки с ошибочным сертификатом при безопасном подключении (True - игнорировать, False - не игнорировать).

Приложение Б. Пример Discovery-документа FAM Agent

В нижеприведенном примере приведена структура Discovery-документа:

{
  "unifiedSSOSettings": {
    "blockOSAfterSessionLogout": true
  },
  "enterpriseSSOSettings": {
    "disabled": false,
    "configurationRefreshTimeInSeconds": 60
  },
  "grpcSettings": {
    "host": "avanpost.fam.local",
    "port": 9007,
    "useTLS": true,
    "certificate": "-----BEGIN CERTIFICATE-----\nMIIFlzCCA3+gAwIBAgIUOY1/e/SoLnZwyRRwpmEZiagmQDcwDQYJKoZIhvcNAQEN\nBQTE-----\n"
  }
}

Таблица – Значения параметров приведенного конфигурационного Discovery-документа

Параметр	Значение
unifiedSSOSettings – параметры USSO
`blockOSAfterSessionLogout`	Флаг, определяющий, будет ли ОС блокироваться при завершении сессии при использовании механизмов USSO.
enterpriseSSOSettings
`disabled`	Флаг отключения Enterprise SSO.
`configurationRefreshTimeInSeconds`	Интервал между обновлениями конфигурации приложения.
grpcSettings – настройки gRPC (используются настройки из конфигурационного файла FAM Server)
`host`	Хост gRPC-сервера.
`port`	Порт gRPC-сервера.
`useTLS`	Флаг включения TLS-шифрования.
`certificate`	Сертификат сервера в формате PEM.