5.1. Управление пользователями

Управление пользователями - функциональность в Avanpost FAM, предназначенная для решения следующих задач:

сбор и фиксация данных о пользователях;
добавление пользователей, включая добавление пользователей из внешних источников;
управление УЗ с возможностью запуска/приостановки УЗ, расширения/ограничения привилегий пользователя;
настройка и управление параметрами факторов аутентификации пользователей;
управление уведомлениями пользователям;
передача параметров пользователей в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
отображение администратору данных о пользователях.

Функциональность управления пользователями позволяет администратору осуществлять следующие операции с пользовательскими аккаунтами и их данными:

поиск и получение информации о пользователях;
добавление и удаление пользователей;
добавление логинов пользователей в черный список;
добавление, редактирование и удаление дополнительных атрибутов пользователей и редактирование основных атрибутов пользователей;
управление доступом пользователей к приложениям;
управление группами и ролями пользователей;
контроль сценариев аутентификации пользователей с возможностью блокировки или разблокировки факторов аутентификации для конкретных пользователей;
управление паролями пользователей;
управление токенами, OTP-токенами и сертификатами пользователей;
управление статусом пользовательских устройств, их удаление и запоминание;
настройка и управление уведомлениями пользователям.

Управление пользователями осуществляется в режиме «Пользователи». Режим «Пользователи» содержит следующие компоненты:

реестр пользователей, отображающий базовую информацию о пользователях;
элементы управления поиском, включающие поисковую строку и фильтры;
кнопку «Добавить пользователя», переводящую на вкладку с формой добавления нового пользователя;
кнопку «Операции с несколькими пользователями», переводящую на вкладку с интерфейсом для проведения массовых операций;
кнопку «Редактор атрибутов», переводящую на вкладку управления дополнительными атрибутами пользователей;
кнопку «Черный список имен», переводящую на вкладку управления черным списком пользователей.

Avanpost FAM реализует функционал Управление устройствами, с которых аутентифицируются пользователи, более подробно описанный в разделе Управление устройствами.

Avanpost FAM реализует функционал Управление сессиями, более подробно описанный в разделе Управление сессиями.

Поиск пользователей

Управление поиском осуществляется при помощи поисковой строки и фильтров. Поисковая строка позволяет искать пользователей по значениям атрибутов «Имя», «Фамилия», «Логин», «E-mail», «Телефон». Поиск пользователей выполняется по любым совпадениям введенных слов с полями, участвующими в поиске (Имя, Фамилия, Отчество и т.п.) независимо от порядка введенных слов. Лишние пробелы перед введенным значением, после него, а также между значениями игнорируются.

В реестре отображается следующая информация о пользователях.

Название параметра	Значение параметра
Пользователь	Имя, фамилия и домен пользователя.
Домен	Домен, к которому принадлежит пользователь.
E-mail	Адрес электронной почты пользователя.
Риск	Отображение коэффициента риска пользователя. Коэффициента риска представляет собой расчетный оценочный показатель, обобщающий влияние различных факторов на безопасность аутентификации и дальнейшей работы пользователя. Для упрощения восприятия расчетный коэффициент представлен в виде стобалльной шкалы. Принцип расчета и дополнительная информация о коэффициенте риска описаны в разделе Риск пользователя.
Статус	Статусы УЗ пользователей: По включенности: включенная УЗ () – пользователь может использовать Avanpost FAM (включенные пользователи занимают лицензионное место). выключенная УЗ () – пользователь не может аутентифицироваться посредством Avanpost FAM (выключенные пользователи не занимают лицензионное место). По активации: активированная (без значка) – активные пользователи (созданные администратором, авторизовавшиеся в Avanpost FAM хотя бы единожды или загруженные из внешнего источника); требующая активации () – неактивные пользователи, аккаунтам которых требуется активация (самостоятельно зарегистрировавшиеся пользователи, которым требуется перейти по ссылке активации УЗ).

Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации с целью последующего получения необходимых сведений. Управление фильтрами осуществляется вводом данных в поля элемента интерфейса, которые можно развернуть нажатием на кнопку управления фильтрами.

Название фильтра	Значение фильтра
Имя	Ввести имя пользователя.
Фамилия	Ввести фамилию пользователя.
Логин	Ввести логин пользователя.
E-mail	Ввести адрес электронной почты пользователя.
Телефон	Ввести номер телефона пользователя.
Домен	Ввести домен пользователя.
Источник	Выбрать из выпадающего списка способ (или источник), посредством которого был создан пользователь. В списке можно выбрать как саморегистрацию пользователя или способы создания администратором вручную, так и предварительно настроенные внешние источники (LDAP-источник, ЕСИА, внешние IdP).
Активный	Установить или убрать флажок в чекбоксе: при установленном флажке будут показываться пользователи с активными УЗ; при выключенном флажке будут показываться пользователи с неактивными УЗ.
Никогда не аутентифицировался	Установить или убрать флажок в чекбоксе: при установленном флажке будут показываться пользователи, которые ни разу не аутентифицировались с момента создания/импорта в Avanpost FAM; при выключенном флажке пользователи будут показываться вне зависимости от того, аутентифицировались ли они в Avanpost FAM когда-либо.
Заблокирован	Установить или убрать флажок в чекбоксе: при установленном флажке будут показываться пользователи, чей аккаунт выключен; при выключенном флажке будут показываться пользователи, чей аккаунт включен.
Заблокирован до	Выбрать дату, до которой заблокирован искомый пользователь.
Атрибуты	Выбрать из списка ключ дополнительного атрибута. Ввести значение атрибута.

Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы очистить выбранные параметры фильтров, нажать «Сбросить фильтр».

Добавление пользователей и атрибутов

Создание пользователей и обновление их атрибутов возможны следующими способами:

администратором вручную:
- используя интерфейс административной консоли для создания/редактирования УЗ отдельного пользователя;
- используя интерфейс административной консоли для импорта пользователей из загружаемого в FAM CSV/XLSX-файла;
синхронизацией с LDAP-каталогами и при использовании LDAP-аутентификации в Avanpost FAM;
через API-запросы от внешних приложений с использованием HTTP-протокола;
с использованием внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider;
через функцию самостоятельной регистрации;

Для описания пользователей используются пары атрибут-значение. Каждый пользователь обладает набором атрибутов, которые можно разделить на две группы: основные и дополнительные.

Основные атрибуты формируют базовую информацию о пользователе. Основные атрибуты установлены в продукте изначально, и администратор может редактировать их значения, но не удалять сами атрибуты.
Дополнительные атрибуты представляют свойства и характеристики, связанные с профилем пользователя, его ролью, сценариями аутентификации и т.п. Дополнительные атрибуты добавляются, удаляются и редактируются администратором, исходя из задач и потребностей.

Управление дополнительными атрибутами пользователей

Avanpost FAM позволяет администратору задавать значения дополнительных атрибутов, которые могут использоваться для:

настройки нестандартных сценариев аутентификации;
передачи данных в подключенные приложения.

При настройке специфических или расширенных сценариев аутентификации администратор пишет скрипт, который ставит сценарий аутентификации в зависимость от тех или иных атрибутов. Более подробно разработка скрипта описывается в разделе Разработка скрипта MFA.

Avanpost FAM дает возможность настроить дополнительные атрибуты, которые будут загружаться и обновляться из подключенных LDAP-каталогов. Для настройки дополнительных атрибутов следует перейти на вкладку «Редактор атрибутов» сервиса «Пользователи». Редактор атрибутов содержит следующие компоненты:

реестр, содержащий данные о дополнительных атрибутах и позволяющую изменять/добавлять и обновлять данные о них;
кнопку «Добавить атрибут», переводящую на страницу добавления нового атрибута.

В реестре дополнительных атрибутов содержатся следующие данные.

Название параметра	Значение параметра
Имя атрибута	Наименование атрибута, загружаемого из подключенного LDAP-каталога.
Описание	Описание атрибута, которое может ввести администратор для упрощения работы с атрибутами.

На «Редакторе атрибутов» имеются кнопки с со следующими функциональностями.

Название	Назначение
Добавить атрибут	Переводит во вкладку, в которой доступен ввод имени и описания атрибута с последующим сохранением данных или отменой действия.
Изменить	Переводит во вкладку, в которой доступно изменение имени и описания выбранного атрибута с последующим сохранением или отменой изменений.
Удалить	После подтверждения удаляется выбранный атрибут.
Обновить	Обновляет данные о дополнительных атрибутах.

Добавление пользователей и атрибутов вручную

Для добавления нового пользователя требуется перейти во вкладку «Новый пользователь», нажав кнопку «Добавить пользователя» сервиса «Пользователи». В данной вкладке следует ввести значения основных атрибутов пользователя согласно таблице.

Название атрибута	Значение атрибута
Логин	Логин пользователя. Если логин не указан, сохранение нового пользователя недоступно. Если логин совпадет с уже существующим, сохранение нового пользователя будет недоступно и появится соответствующее предупреждение.
Фамилия	Фамилия пользователя. Если фамилия не указана, сохранение нового пользователя недоступно.
Имя	Имя пользователя. Если имя не указано, сохранение нового пользователя недоступно.
Отчество	Отчество пользователя.
Адрес электронной почты	Адрес электронной почты пользователя. Если адрес электронной почты не указан, сохранение нового пользователя недоступно. Avanpost FAM не позволит сохранить нового пользователя и выдаст предупреждение в следующих случаях: пользователь с введенным адресом электронной почты уже зарегистрирован; вводимый адрес электронной почты не соответствует общепринятому формату.
Домен	Домен пользователя.
Телефон	Телефон пользователя. Допустимое количество символов: от 6 до 17 цифр.

Помимо заполнения значений основных атрибутов в продукте имеется возможность выбрать способ настройки пароля и настроить дополнительные опции.

Название опции	Описание опции
Настройка пароля	Выбор способа настройки пароля пользователем. Допускается установить или убрать флажок «Отправить приветствие со ссылкой для смены пароля»: при установленном флажке на электронную почту нового пользователя направляется письмо со ссылкой на форму настройки пароля — после перехода по ссылке пользователю предлагается самостоятельно установить пароль, который будет использоваться при следующей аутентификации в продукте; при выключенном флажке письмо пользователю не направляется (администратору предлагается самостоятельно установить и подтвердить пароль для дальнейшей передачи пользователю).
Пароль	Ввести пароль. Доступно при выключенном флажке «Отправить приветствие со ссылкой для смены пароля». Для получения информации о требованиях к паролю следует нажать «Показать требования»
Подтверждение пароля	Подтвердить введенный пароль. Доступно при выключенном флажке «Отправить приветствие со ссылкой для смены пароля».
Дополнительные опции	Допускается установить или убрать флажок «Пользователь должен сменить пароль»: при установленном флажке созданный пользователь принудительно меняет пароль после прохождения первой аутентификации в Avanpost FAM; при выключенном флажке созданный пользователь может не изменять пароль, используемый для первичной аутентификации. Допускается установить или убрать флажок «Сделать пользователя активным»: при установленном флажке пользователь активируется в Avanpost FAM сразу после создания учетной записи и может аутентифицироваться для дальнейшей работы; при выключенном флажке пользователь не может аутентифицироваться в Avanpost FAM до тех пор, пока администратор не активирует аккаунт. Допускается установить или убрать флажок «Добавить в группу по умолчанию»: при установленном флажке пользователь добавляется в группу, установленную по умолчанию, получая права, возможности и сценарии аутентификации, настроенные для данной группы; при выключенном флажке пользователь не добавляется в какие-либо группы и не получает прав и возможностей, настроенных для группы по умолчанию, до тех пор, пока администратор не включит пользователя в какую-либо группу. Назначение группы по умолчанию осуществляется в режиме «Группы» и более подробно описан в разделе Управление доступом.

Импорт пользователей вручную

Встроенная функциональность импорта пользователей вручную из загружаемого CSV/XLSX-файла доступна по нажатию кнопки в режиме "Пользователи". В открывшемся окне "Импорт пользователей" администратор должен ввести следующие параметры.

Параметр	Описание
Выберите файл	Нажать кнопку "Выберите файл" для выбора файла, содержащего данные импортируемых пользователей. Поддерживаются следующие форматы файла: CSV; XLSX.
Имя пользователя	Ввести наименование параметра (в загружаемом файле), в котором содержится атрибута "Логин" для импортируемых пользователей.
Электронная почта	Ввести наименование параметра (в загружаемом файле), в котором содержится значение атрибута "Адрес электронной почты" для импортируемых пользователей.
Фамилия	Ввести наименование параметра (в загружаемом файле), в котором содержится значение атрибута "Фамилия" для импортируемых пользователей.
Имя	Ввести наименование параметра (в загружаемом файле), в котором содержится значение атрибута "Имя" для импортируемых пользователей.
Домен	Ввести наименование параметра (в загружаемом файле), в котором содержится значение атрибута "Домен" для импортируемых пользователей.
Добавить пользователя в группы	Выбрать группы из существующих в Avanpost FAM, в которые пользователи будут добавлены сразу после создания.
Сделать пользователей активными	Допускается установить/убрать флажок в чекбоксе «Сделать пользователей активными»: при установленном флажке загруженные пользователи активируется в Avanpost FAM сразу после импорта и могут аутентифицироваться для дальнейшей работы; при выключенном флажке импортированные пользователи не могут аутентифицироваться в Avanpost FAM до тех пор, пока администратор не активирует аккаунт (по отдельности или используя функциональность массовых операций).
Посылать письмо для смены пароля	Допускается установить/убрать флажок в чекбоксе «Посылать письмо для смены пароля»: при установленном флажке загруженные пользователи автоматически получают приветственное письмо со ссылкой для смены пароля; при выключенном флажке пользователя настраивают пароль при первой аутентификации.

Для завершения действия после загрузки файла и ввода параметров следует нажать кнопку "Сохранить", чтобы отказаться от действия — кнопку "Отмена".

При формировании CSV/XLSX-файла для загрузки пользователей допускается указание следующих параметров в файле загрузки:

Логин (обязателен);
Email (обязателен);
Имя (обязателен);
Фамилия (обязателен);
Отчество (не обязателен);
Домен (не обязателен);
Номер телефона (не обязателен).

Добавление пользователей и атрибутов из LDAP-каталогов

Встроенная функциональность LDAP-синхронизации и LDAP-аутентификации позволяет Avanpost FAM совершать следующие операции с пользователями и их атрибутами:

первичная загрузка данных о пользователях.
поддержка актуальности данных о пользователях.
загрузка информации о членстве пользователей.

Avanpost FAM поддерживает одновременную интеграцию с несколькими доменами, в качестве которых могут выступать LDAP-каталоги как на базе OpenLDAP, MS AD, FreeIPA, Avanpost DS и т.д., информация о настройке и сценариях использования которых дана в соответствующих разделах.

Настройка LDAP-провайдера для импорта данных пользователей и групп описана в разделе Управление LDAP-источниками.

Добавление пользователей и атрибутов через API

Avanpost FAM позволяет добавлять пользователей сторонним приложениям через API с использованием HTTP-протокола. Добавление пользователя осуществляется путем аутентификации пользователя в стороннем доверенном приложении, взаимодействующим с Avanpost FAM через API. При первой аутентификации через стороннее приложение Avanpost FAM автоматически создает пользователя, присваивая ему атрибуты из внешнего приложения.

Добавление пользователей и атрибутов через внешние IdP

Avanpost FAM позволяет создавать пользователей при помощи внешних провайдеров аутентификации, выступающих в роли SAML/OIDC Identity Provider. Если вход в Avanpost FAM осуществляется с при помощи IdP, пользователь создается автоматически и ему присваиваются атрибуты, полученные от внешнего IdP-провайдера.

Информация о настройке импорта пользователей из стороннего Identity Provider, поддерживающего OpenID Connect Federation дана в разделе Управление IdP с поддержкой OIDC Federation. Информация о настройке импорта пользователей через SAML Identity Provider дана в разделе Управление SAML-источниками.

Самостоятельная регистрация пользователей

Avanpost FAM предоставляет функцию самостоятельной регистрации пользователей и возможность управления ей как на уровне всего продукта, так и для конкретных приложений, доступ к которым осуществляется через Avanpost FAM. Пользователям, зарегистрировавшимся самостоятельно, присваивается статус неактивных и на указанный Email направляется ссылка для активации. После перехода по ссылке и дальнейшей авторизации, пользователь получает статус активного и можем пользоваться функционалом Avanpost FAM.

Политика регистрации в отношении пользователей осуществляется следующими способами:

через административную консоль во вкладке "Системные настройки" режима "Сервис";
через профиль приложения;
через конфигурационный файл.

Во вкладке "Системные настройки" режима "Сервис" настраиваются параметры самостоятельной регистрации для Avanpost FAM по умолчанию. Для редактирования требуется нажать в разделе "Настройки регистрации" и настроить следующие параметры:

Наименование параметра

Описание параметра

Включена

Заполнить чекбокс:

При включенном флажке самостоятельная регистрация по умолчанию доступна для пользователя;
При выключенном флажке самостоятельная регистрация по умолчанию не доступна для пользователя.

URL перенаправления после регистрации

URL-адрес, на который по умолчанию попадет пользователь после успешной регистрации.

Отключить ограничение уникальности для электронной почты и номера телефона

Заполнить чекбокс (управление настройкой доступно только администратору системы Avanpost FAM):

При включенном флажке обеспечивается возможность создания УЗ пользователей с одинаковыми значениями параметров E-mail/номера телефона при наличии у данных УЗ различных доменов (режим, в котором идентификация пользователей в рамках всего экземпляра системы будет осуществляться исключительно по логину или комбинации логина и домена в формате "домен/логин").
При выключенном флажке уникальность электронной почты и номера телефона сохраняется.
Доменом в данном случае является фиксированное короткое логическое название приложения, подключаемого к Avanpost FAM посредством RADIUS-протокола или через REST API. Avanpost FAM предоставляет интерфейс создания логина, идентичного логину клиента подключаемого приложения.
В случае, если ограничение уникальности для электронной почты и номера телефона отключено, API-запросы, направляемые интегрируемой системой-клиентом к Avanpost FAM, должны принимать комбинацию домена/логина пользователя в формате "домен/логин" (примеры и описание API-запросов задокументированы по ссылке).

После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Настройка регистрации через профиль приложения осуществляется в разделе "Настройки регистрации" вкладки "Настройки" и описаны в разделе Управление приложениями в статьях, посвященных разным типам приложений. Настройки регистрации для приложения (разрешение/запрет саморегистрации) применяются в приложении вне зависимости от политик регистрации в Avanpost FAM.

Настройка регистрации через конфигурационный файл осуществляется в следующей секции.

[selfregistration]
redirectUrl = 'https://<your_redirect_URL_after_registration>'
disabled = false

Параметры имеют следующее значение:

disabled - разрешает (false) или запрещает (true) самостоятельную регистрацию пользователем.
redirectUrl - URL-адрес перенаправления после регистрации.

Когда саморегистрация разрешена, при входе в Avanpost FAM незарегистрированному пользователю требуется нажать кнопку "Регистрация" и заполнить следующие поля:

Логин;
Фамилия;
Имя;
Адрес электронной почты;
Пароль;
Подтверждение пароля;
Код с картинки (CAPTCHA).

Управление восстановлением доступа

Avanpost FAM предоставляет возможность тонкой настройки сценария восстановления доступа пользователями.

Управление восстановлением доступа пользователей осуществляется через административную консоль. Во вкладке "Системные настройки" режима "Сервис" настраивается сценарий восстановления доступа. Для редактирования требуется нажать в разделе "Настройки восстановления доступа к аккаунтам" и настроить следующие параметры:

Наименование параметра

Описание параметра

Инструкция для пользователей

Текстовое поле, в которое вносится краткое описание со справочной информацией по восстановлению пароля для пользователей.

Механизм восстановления пароля

Выбрать механизм восстановления пароля:

Групповой (Legacy) – После нажатия кнопки "забыли пароль" в окне "Восстановление пароля" выбрать из выпадающего списка любой фактор аутентификации, посредством которого будет восстанавливаться пароль (в зависимости от того, какие факторы привязаны к устройству: Avanpost Authenticator, Email, SMS, TOTP), подтверждает свою личность и вводит новый пароль;
Скриптовый – Восстановление осуществляется в соответствии со скриптом, настроенным в разделе "Редактор скриптов".

Выбранный скрипт

Выбрать из выпадающего списка наименование скрипта, который будет использоваться для восстановления доступа. Для выбора доступны скрипты типа Account Recovery.

Для перехода к интерфейсу создания и редактирования скриптов восстановления доступа следует нажать кнопку "Редактор скриптов". Возможности и методы настройки описаны в статье Разработка скрипта восстановления доступа.

После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена", чтобы не вносить изменения.

Управление УЗ пользователя

Avanpost FAM позволяет централизованно управлять всеми параметрами пользователя из УЗ пользователя. Из вкладки УЗ пользователя администратор может решать следующие задачи:

получение данных о пользователях;
изменение атрибутами пользователей;
управление привилегиями пользователей через добавление/удаление ролей и удаления из групп;
настройку факторов аутентификации и их параметров;
управление паролями;
управление сроком действия УЗ пользователя;
настройка токенов, сертификатов и OTP-токенов для конкретного пользователя;
получение информации о рассчитанном риске пользователе и возможность повторно пересчитать риск.

Для перехода в профиль пользователя администратору следует найти необходимого пользователя при помощи реестра режима «Пользователи» и выбрать его в столбце «Пользователь». УЗ пользователя содержит следующие разделы:

Профиль;
Приложения;
Группы и роли;
Аутентификаторы;
Безопасность;
Дополнительно.

Вне зависимости от того, в каком разделе профиля УЗ находится администратор, ему доступны следующие возможности и информация:

Общая информация о пользователе – Имя, фамилия, логин и фотография (аватар) пользователя;
Информация о статусе УЗ пользователя – включенная УЗ ()/ выключенная УЗ ();
Кнопка "Изменить" – Нажать для смены изображения (аватара), привязанного к пользователю (после нажатия в открывшемся вкладке следует нажать кнопку "Выберите файл", указать путь до изображения и после загрузки нажать кнопку "Сохранить" для внесения изменений или "Отмена" для отказа);
Кнопка смены пользовательского статуса – Включенная УЗ при нажатии выключается/Выключенная УЗ при нажатии включается;
Кнопка – Нажать для удаления УЗ пользователя (после подтверждения);
Информация о риске;
- Риск – Числовое значение рассчитанного коэффициента риска пользователя;
- Детализация факторов, влияющих на коэффициент риска:
  - Права доступа – Доля фактора наличия/отсутствия прав администратора, имеющихся у пользователя, в расчетном значении коэффициента риска;
  - Устройства – Доля факторов, связанных с устройствами пользователя, в расчетном значении коэффициента риска;
  - Аутентификаторы – Доля факторов, связанных с использующимися пользователем аутентификаторами, в расчетном значении коэффициента риска;
- Кнопка – Нажать, чтобы пересчитать имеющееся значение коэффициента риска пользователя.

Вкладка «Профиль»

Вкладка «Профиль» предназначена для получения и редактирования атрибутов пользователя, получения данных о способе создания УЗ и о внешних УЗ. Вкладка «Профиль» содержит информацию об УЗ пользователя:

Раздел	Описание
Основные атрибуты	Атрибуты, содержащие базовую информацию о пользователе (основные атрибуты доступны для редактирования при нажатии кнопки ): Логин; Фамилия; Имя; Отчество; Электронная почта; Домен; Телефон.
Дополнительные атрибуты	Вспомогательные свойства и характеристики, связанные с профилем пользователя, его ролью, сценариями аутентификации и т.п (настраиваются в разделе "Редактор атрибутов" режима "Пользователи"). Дополнительные атрибуты доступны для редактирования при нажатии кнопки . При этом дополнительные атрибуты, которым не присвоены значения, не отображаются до нажатия кнопки редактирования.
Способ создания учетной записи	Информация о способе, которым пользователь был создан в Avanpost FAM: Дата создания пользователя – Дата и время создания пользователя; Тип пользователя – В продукте предусмотрены следующие типы пользователей: внутренний – пользователь был создан на стороне Avanpost FAM (вручную создан администратором или импортирован из CSV/XLXS-файла) или синхронизированного LDAP-каталога; внешний – пользователь был загружен из внешнего источника пользователей (Google, ЕСИА, внешний OIDC/SAML-провайдер и т.п.); Источник – Информация об источнике пользователя с дополнительными параметрами в зависимости от типа источника
Внешние учетные записи	В Avanpost FAM хранятся следующие данные о внешних учетных записях пользователей: Название поставщика - Наименование внешнего сервиса, в котором зарегистрирована УЗ пользователя; Ключ ID - идентификатор внешней УЗ пользователя; Дата связывания с учетной записью - дата и время, когда УЗ в Avanpost FAM была связана с внешней УЗ; Дата и последнего использования - дата и время последнего использования. Удаление данных о записи доступно нажатием на кнопку.

Вкладка «Приложения»

Вкладка «Приложения» предназначена для получения данных о приложениях, доступных пользователю и управления учеными записями пользователя в различных приложениях. При переходе в «Приложения» администратор может выбрать из вкладок:

«Приложения»;
«Учетные записи».

Во вкладке «Приложения» содержатся данные о доступных пользователю приложениях. Вкладка содержит реестр со следующими данными о приложениях:

Параметр

Описание

Приложение

Логотип и название приложения

Тип приложения

Информация о способе аутентификации в приложении (с логотипом):

OAuth/OpenID Connect;
SAML;
RADIUS;
Enterprise SSO;
Reverse Proxy;
Windows Logon;
Linux Logon;
LDAP Proxy;
Exchange ActiveSync.

Статус приложения:

Статус приложения:
- Активное;
- Неактивное.

Вкладка позволяет обновить данные о приложениях, нажав значок . Вкладка предоставляет возможность перейти в профиль управления приложением, нажав на наименование приложения.

Более подробное описание возможностей вкладки управления приложением в разделе Управление приложениями.

Вкладка «Учетные записи» предназначена для:

создания новых учетных записей в приложениях типов Reverse Proxy и Enterprise SSO, доступных пользователю;
редактирования существующих учетных записей в приложениях, доступных пользователю.

Вкладка «Учетные записи» содержит:

реестр со следующими параметрами учетных записей пользователя:
- учетная запись - логин, под которым пользователь авторизуется в приложении;
- приложение - наименование приложения;
- комментарий - комментарий администратора.
кнопку добавления новой учетной записи в приложении ;
кнопку просмотра установленного пароля для учетной записи в приложении - при нажатии открывается форма для просмотра установленного пароля (чтобы запретить просмотр пароля следует в конфигурационном файле задать значение allowRevealCredentials = false);
кнопка изменения установленного пароля для учетной записи в приложении - при нажатии в открывшейся форме администратору предлагается ввести и подтвердить новый пароль;
кнопка удаления выбранной учетной записи для приложении.

При добавлении новой учетной записи в приложении перед администратором открывается форма, предлагающая ввести следующие данные:

логин - логин пользователя в приложении (может отличаться от логина в Avanpost FAM);
пароль - пароль пользователя в приложении (может отличаться от пароля в Avanpost FAM);
подтверждение пароля;
приложение - требуется выбрать приложение из выпадающего списка;
домен - домен пользователя (может отличаться от домена в Avanpost FAM, устанавливается опционально);
комментарий - комментарий администратора (добавляется опционально);

При нажатии в реестре на наименование учетной записи открывается форма для редактирования следующих данных:

логин;
домен;
комментарий.

Вкладка «Группы и роли»

Вкладка «Группы и роли» предназначена для получения данных о группах, в которых состоит пользователь, и ролях, присвоенных пользователю, а также для управления ролями и группами пользователя.

При переходе в «Группы и роли» администратор может выбрать из вкладок:

«Группы»;
«Роли».

Во вкладке «Группы» содержатся данные о группах, в которых состоит пользователь. Вкладка содержит реестр с наименованиями групп.

При помощи реестра можно совершать следующие действия:

удалять пользователя из групп путем нажатия кнопки , лишая пользователя соответствующих прав и привилегий;
искать группы при помощи поисковой строки;
переходить в профиль группы путем нажатия на нее.

При переходе в профиль группы открываются возможности для ее настройки, более подробно описанные в разделе Управление доступом.

Во вкладке «Роли» содержатся данные о ролях, присвоенных пользователю. Вкладка содержит реестр со следующими данными:

Роль – название роли;
Описание – описание роли, добавляемое опционально
Тип – тип роли:
- system - системные роли, дающие возможность работы с элементами Avanpost FAM, более подробно описанные в разделе Спецификации ролей администраторов;
- custom - роли, настраиваемые для работы со сторонними приложениями;
Приложение - приложения, доступ к которым обеспечивается назначением данной роли;
Назначена - переключатель назначения/отзыва роли.

При помощи вкладки роли администратор может совершать следующие действия:

искать роли по наименованиям при помощи поисковой строки;
назначать/отзывать роли нажатием на переключатель в графе "Назначена";
переходить во вкладку редактирования ролей при нажатии на выбранную роль.

Возможности, которые дает настройка ролевой модели, более подробно описана в разделе Настройка ролей и прав.

Вкладка «Аутентификаторы»

Вкладка «Аутентификаторы» предназначена для получения информации о методах аутентификации, привязанных к пользователю, управления (привязки и отключения) методов к пользователю (функциональность доступна с версии Avanpost FAM 1.15). Методы аутентификации должны быть предварительно настроены в разделе "Настройка методов аутентификации" режима "Сервис" (настройка методов аутентификации описана в разделе Управление аутентификацией). При создании нового метода аутентификации он автоматически добавляется в раздел "Аутентификаторы" в УЗ пользователя (методам Локальный пароль и Доменный пароль автоматически присваивается статус "Включен", прочие методы требуют привязки).

Вкладка содержит реестр со следующими параметрами аутентификаторов пользователя:

Метод аутентификации – Наименование и тип метода аутентификации;
Дата и инициатор привязка – Дата привязки и логин пользователя, выполнившего привязку фактора;
Последнее использование – Время и дата последнего использования аутентификатора данного типа;
Статус – Состояние аутентификатора в конкретный момент жизненного цикла:
- Включен – Пользователь может использовать аутентификатор;
- Отключен – Аутентификатор привязан к пользователю, но не может быть использован (до тех пор, пока администратор не переведет аутентификатор в положение "Включен");
- Ожидает привязки – Аутентификатор не привязан к пользователю;
- Заблокирован – Аутентификатор привязан к пользователю, но не может быть использован из-за блокировки согласно настройкам политик безопасности (статус доступен с версии 1.16 и выше);
- Удален – Аутентификатор удален удален из карточки пользователя и восстановлению не подлежит (удаленные аутентификаторы не отображаются в карточке, если не установлен чекбокс "Показывать удаленные");
Действия – при нажатии на кнопку открывается список с доступными для данного аутентификатора действиями (перечень действий, доступных в конкретный момент, зависит от типа и статуса аутентификатора):
- Кнопка "Включить" – После включения пользователь сможет использовать ранее привязанный к нему аутентификатор;
- Кнопка "Отключить" – После отключения пользователь не сможет использовать аутентификатор;
- Кнопка "Привязать" – Выполнить привязку аутентификатора к пользователю: в процессе привязки к пользователю однозначно прикрепляется тот или иной идентификатор (телефонный номер, почтовый адрес, OTP-токен и т.п.);
- Кнопка "Сбросить" – Сбросить привязку аутентификатора, т.е. удалить соответствие между пользователем и его идентификатором (например, для фактора SMS будет сброшен текущий номер телефона пользователя, для фактора Email – адрес электронной почты, для фактора TOTP – привязанный OTP-токен и т.д.): после сбрасывания потребуется повторная привязка метода к пользователю.
- Кнопка "Разблокировать" – Разблокировать аутентификатор пользователя, если ранее он был заблокирован Avanpost FAM (функция доступна с версии 1.16 и выше).
Кнопка "Удалить" – Нажать, чтобы удалить выбранный аутентификатор (кнопка доступна для нажатия, если установлен флаг в чекбокс напротив как минимум одного аутентификатора): после подтверждения выбранный аутентификатор удаляется из карточки пользователя и восстановлению не подлежит;
Чекбокс "Показывать удаленные" – При установке флажка в чекбоксе в списке аутентификаторов отображаются ранее удаленные;
Кнопка "Новый аутентификатор" – Добавить пользователю новый аутентификатор, доступный для привязки. При нажатии на кнопку администратор должен выбрать из выпадающего списка ранее настроенный метод аутентификации и нажать "Сохранить" для добавления аутентификатора (или кнопку "Отмена" для отказа от действия).

Управление жизненным цикл аутентификаторов в Avanpost FAM выполняется при помощи действий, описанных в таблице:

Действие	Условия применения	Результат
Локальный пароль
Привязать	Привязывается автоматически при создании пользователя.	Аутентификатор переходит в статус "Включен" и пользователь может аутентифицироваться по локальному паролю.
Сбросить	В любой момент, когда пароль активен или отключён.	Удаляет текущий пароль и требует повторной установки пароля.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации по локальному паролю, переводит в статус "Включен".
Отключить	Только если установлен статус "Включен".	Переводит в статус"Отключен". Пароль остаётся в БД, но не может использоваться.
Разблокировать	Недоступно: блокировка не применяется.	Невозможно выполнить.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя. Пароль пользователя уничтожается.
Доменный пароль
Привязать	Привязывается автоматически при создании пользователя.	В случае, если пользователь синхронизирован с внешним LDAP-каталогом, доступна аутентификация по доменному паролю из данного каталога. У пользователя может быть настроено несколько доменных паролей (например, когда пользователь аутентифицируется в нескольких LDAP-каталогах).
Сбросить	Недоступно, т.к. невозможно изменить пароль в LDAP-каталоге через Avanpost FAM.	Невозможно выполнить.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации по локальному паролю, переводит в статус "Включен".
Отключить	Только если установлен статус "Включен".	Переводит в статус"Отключен". Пользователь не может аутентифицироваться по внешнему доменному паролю через данный метод.
Разблокировать	Недоступно: блокировка не применяется.	Невозможно выполнить.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
Avanpost Authenticator
Привязать	Если аутентификатор в статусе "Ожидает привязки".	В стандартной ситуации пользователь привязывает фактор самостоятельно через личный кабинет (через ввод OTP-кода или через сканирование QR-кода). Кнопку следует использовать для привязки фактора Avanpost Authenticator в ситуациях, когда пользователь не может отсканировать QR-код (не имеет доступа в личный кабинет). При нажатии на кнопку "Привязать" у администратора появляется окно "QR-код для привязки аутентификатора" со следующими возможностями: кнопка "Сохранить" – при нажатии указать путь для сохранения QR-кода на рабочую машину администратора (для дальнейшей отправки пользователю любым доступным способом); кнопка "Отправить пользователю" – при нажатии QR-код отправляется письмом на привязанный Email пользователя; кнопка "Закрыть" – "QR-код для привязки аутентификатора" закрывает окно.
Сбросить	В любой момент, когда аутентификатор активен (рекомендуется при смене устройства или подозрении на компрометацию).	Удаляет привязку, переводит в статус "Ожидает привязки". Требует повторной привязки приложения Avanpost Authenticator.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации через Avanpost Authenticator.
Отключить	Только если установлен статус "Включен".	Переводит в статус"Отключен". Пользователь не может аутентифицироваться через приложение Avanpost Authenticator.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
SMS
Привязать	Если аутентификатор в статусе "Ожидает привязки".	Аутентификатор переходит в статус "Включен". Невозможно выполнить действие, если номер телефона не указан или не подтверждён.
Сбросить	В любой момент, когда метод активен.	Удаляет привязку, переводит в статус "Ожидает привязки". Текущий номер телефона пользователя сбрасывается. Впоследствии требуется повторный ввод номера (если пользователь загружен из внешнего источника, то телефон обновится автоматически при следующей синхронизации) и его подтверждение.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации по SMS.
Отключить	Только если установлен статус "Включен".	Блокирует использование метода до повторного включения.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
Email OTP
Привязать	Если аутентификатор в статусе "Ожидает привязки".	Аутентификатор переходит в статус "Включен". Невозможно выполнить действие, если Email пользователя не указан.
Сбросить	В любой момент, когда метод активен.	Удаляет привязку, переводит в статус "Ожидает привязки". Текущий адрес электронной почты пользователя сбрасывается. Впоследствии требуется повторный ввод и подтверждение Email.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации через Email.
Отключить	Только если установлен статус "Включен".	Блокирует использование метода до повторного включения.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
TOTP
Привязать	Если аутентификатор в статусе "Ожидает привязки".	Привязка аутентификатора пользователем выполняется самостоятельно через личный кабинет. Подробнее процесс настройки и привязки OTP-аутентификатора описан в разделах Настройка метода аппаратный OTP и Личный кабинет пользователя.
Сбросить	В любой момент, когда метод активен.	Удаляет привязку, отвязывая TOTP-токен от пользователя. Для последующего использования пользователь должен вновь самостоятельно привязать TOTP-токен. Информацию привязанных токенах можно получить в разделе "OTP-токены" режима "Сервис".
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации через TOTP.
Отключить	Только если установлен статус "Включен".	Блокирует использование метода до повторного включения.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
Telegram
Привязать	Если аутентификатор в статусе "Ожидает привязки".	Инициирует процесс привязки через подтверждение в Telegram (для запуска операции должен быть привязан telegram id пользователя).
Сбросить	В любой момент, когда метод активен.	Удаляет привязку, переводит в статус "Ожидает привязки". Текущая привязка к Telegram-боту сбрасывается. Впоследствии пользователю требуется повторное прохождение процесса привязки.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации через Telegram.
Отключить	Только если установлен статус "Включен".	Блокирует использование метода до повторного включения.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.
WebAuthn
Привязать	Если аутентификатор в статусе "Ожидает привязки".	Пользователь должен привязывать аутентификатор WebAuthn самостоятельно через интерфейс личного кабинета (подробнее описано в разделе Личный кабинет пользователя)
Сбросить	В любой момент, когда метод активен.	Удаляет привязку, отвязывая внешний аутентификатор WebAuthn от пользователя. Для последующего использования пользователь должен вновь самостоятельно привязать аутентификатор.
Включить	Только если установлен статус "Отключен".	Восстанавливает доступ к аутентификации через Telegram.
Отключить	Только если установлен статус "Включен".	Блокирует использование метода до повторного включения.
Разблокировать	Если Avanpost FAM автоматически присвоил статус "Заблокирован" в соответствии с политиками безопасности.	Снимает блокировку, позволяет продолжить использование.
Удалить	Доступно из любого статуса.	Полностью удаляет аутентификатор из профиля пользователя.

В случае, если кнопка с действием доступна, но отсутствует фактическая возможность его совершить (например, администратор пытается привязать фактор SMS для пользователя, у которого не указан телефонный номер), выдается информационное сообщение с указанием причины.

Вкладка «Безопасность»

Вкладка «Безопасность» предназначена для получения данных об устройствах и сессиях пользователя, управления паролями пользователя и сроком действия его учетной записи.

При переходе в «Безопасность» администратор может выбрать из вкладок:

«Учетная запись»;
«Устройства»;
«Текущие сессии».

Вкладка «Учетная запись» позволяет совершать следующие действия:

задавать новый пароль пользователя;
сбрасывать старый пароль пользователя;
добавлять, изменять или удалять дату блокировки аккаунта.

Для изменения пароля пользователя следует нажать кнопку «Задать новый пароль», ввести новый пароль и подтвердить его.

Чтобы сбросить пароль, следует нажать кнопку «Сбросить». После подтверждения сброса пароля администратор сможет задать новый пароль в текстовой строке.

Для установки/изменения даты и времени блокировки аккаунта следует нажать на кнопку и выбрать/отредактировать дату или очистить строку.

Вкладка «Устройства» позволяет совершать следующие действия:

получать данные об устройствах пользователя;
добавлять устройства пользователя в запомненные;
удалять устройства пользователя из запомненных.

Вкладка содержит реестр со следующими параметрами устройств пользователя:

Описание – Данные о браузере и операционной системе;
Тип – Тип устройства, с которого аутентифицировался пользователь;
Статус – Статус устройства в FAM ("Активно", "Приостановлено" или "Деактивировано");
Последнее изменение статуса – Дата и время последнего изменения статуса устройства;
Запомнено – Присвоен ли устройству статус запомненного в FAM.

При нажатии кнопки администратор получает следующие данные об устройстве, представленные в виде таблицы. Выводимые параметры зависят от типа устройства и его ОС. Полный перечень параметров устройства представлен в разделе "Профили устройств" статьи Управление устройствами):

Администратор может получить дополнительные данные о параметрах устройства, нажав на , или перейти в профиль устройства, нажав на его наименование. Администратор может добавить устройства в запомненные, поставив флажок в графе «Запомнено».

Функционал управления устройствами и их параметры более подробно описаны в разделе Управление устройствами.

Вкладка «Текущие сессии» позволяет совершать следующие действия:

получать информацию о сессиях пользователя;
удалять отдельные сессии или очищать список сессий пользователя.

Вкладка содержит реестр со следующими параметрами:

IP-адрес – IP-адрес устройства, использующегося в данной сессии;
Начало – Время начала сессии;
Истекает – Время завершения сессии;
Браузер – Тип браузера;
Платформа – Тип операционной системы;
Устройство – Тип устройства;
Факторы аутентификации – Факторы аутентификации, пройденные владельцем сессии.

Для обновления данных о сессиях пользователя следует нажать . Чтобы очистить данные о сессиях пользователя, следует нажать «Очистить». Чтобы удалить данные о конкретной сессии, следует нажать напротив нее.

Функционал управления сессиями и их параметры более подробно описаны в разделе Управление сессиями.

Вкладка «Дополнительно»

Вкладка «Дополнительно» предназначена для привязки/удаления к УЗ пользователя usb-токенов, смарт-карт, аппаратных OTP (TOTP), программных TOTP-токенов и сертификатов электронной подписи.

При переходе в «Дополнительно» администратор может выбрать из вкладок:

«Токены»;
«Сертификаты»;
«OTP-токены».

Вкладка «Токены» позволяет администратору совершать следующие действия:

добавление токенов пользователя;
удаление токенов пользователя;
изменение токенов пользователя;
получение информации о токенах пользователя.

Вкладка содержит реестр с токенами и их основными данными (серийный номер). Для добавления нового токена следует нажать кнопку . В открывшейся форму необходимо ввести следующие данные:

серийный номер токена в текстовом поле;
установить или убрать флажок "Требовать пин-код"
- при установленном флажке у пользователя запрашивается пин-код при использовании данного токена для аутентификации;
- при выключенном флажке пин-код при использовании данного токена не запрашивается.

Для удаления токена необходимо нажать «Удалить» напротив выбранного сертификата, для внесения изменений - кнопку «Изменить».

Для получения дополнительной информации о токенах следует обратиться к статье Настройка метода программный TOTP.

Вкладка «Сертификаты» позволяет администратору совершать следующие действия:

добавление сертификатов ЭП пользователя;
удаление сертификатов ЭП пользователя;
получение информации о сертификатах пользователя.

Вкладка содержит реестр с сертификатами и их основными данными (серийный номер, издатель). Для добавления нового сертификата следует нажать кнопку и загрузить в открывшейся форме файл формата .cer с сертификатом. Для удаления сертификата необходимо нажать «Удалить» напротив выбранного сертификата и подтвердить действие.

Для получения дополнительной информации о настройке сертификатов следует обратиться к статье Настройка метода ЭП/сертификат.

Вкладка «OTP-токены» позволяет администратору совершать следующие действия:

назначать OTP-токены данному пользователю;
удалять токены, привязанные к данному пользователю;
получать информацию о токенах пользователя.

Во вкладке доступен реестр со следующей информацией о токенах:

Серийный номер - серийный номер токена;
Производитель - наименование производителя токена;
Модель - модель носителя для аппаратного генератора/soft - для программного;
Длина пароля - количество символов в пароле;
Алгоритм - тип алгоритма хеширования;
Период - время действия токена;
Статус - активен/заблокирован;
Привязан - время и дата привязки.

Назначение новых токенов возможно двумя способами:

При нажатии на кнопку «Назначить токены» открывается вкладка, содержащая реестр токенов и поисковую строку. Администратор может назначить соответствующие токены, выбрав их и «Сохранить»
При нажатии на кнопку «Назначить новый токен» открывается вкладка «Регистрация нового токена», которая позволяет назначить пользователю новый токен. Регистрация нового токена более подробна описана в разделе .

Для изменения параметров токена следует нажать на него и перейти во вкладку токена. Более подробно добавление и изменение параметров OTP-токена рассмотрено в разделе Настройка метода аппаратный OTP. Чтобы отвязать токен от данного пользователя, следует нажать на .

Управление черным списком

Функция черного списка предназначена для исключения возможности использования указанного логина. Логины, внесенные в черные список имен, не могут быть зарегистрированы в Avanpost FAM даже при отсутствии/удалении соответствующих пользователей.

Продукт позволяет проводить следующие операции с черным списком пользователей:

получение информации о черном списке;
добавление логинов пользователей в черный список;
удаление логинов пользователей из черного списка.

Управление черным списком через административную консоль доступно, если в конфигурационном файле Avanpost FAM Server включено использование черных списков (в разделе [usernameBlacklistPolicy] установлен параметр active = true).

Для управления черным списком следует перейти в соответствующую форму, нажав на кнопку «Черный список имен» в режиме «Пользователи». Форма «Черный список имен» содержит следующие компоненты:

кнопку «Добавить имя», переводящую на страницу добавления нового имени в черный список;
реестр, содержащий данные о логинах и времени блокировки пользователей с возможностью исключения из черного списка.

При нажатии на кнопку «Добавить имя» открывается форма добавления пользователя в черный список.

Наименование параметра	Значение параметра
Имя пользователя	Ввести логин, который требуется заблокировать.
Время блокировки	при включенном флажке «Навсегда» пользователь блокируется бессрочно. при выключенном флажке «Навсегда» предлагается заполнить форму с датой, до которой будет заблокирован пользователь.

Реестр черного списка имен содержит следующую информацию о пользователях:

логин заблокированного пользователя;
дату блокировки пользователя;
дату, когда пользователь будет разблокирован, или ее отсутствие, если пользователь заблокирован бессрочно.

В реестре представлена возможность удаления логина пользователя из черного списка нажатием на кнопку .

Управление инициализацией пользователей

Функциональность управления инициализацией пользователей позволяет настроить сценарии инициализации факторов аутентификации для пользователей, добавляемых/регистрирующихся в Avanpost FAM. Если в Avanpost FAM настроен сценарий инициализации, то после аутентификации пользователю будет предложено привязать факторы аутентификации, настроенные в данном сценарии. Факторы, настроенные в сценарии инициализации как обязательные, будут привязываться принудительно (пользователь не сможет пользоваться продуктом, пока не выполнит привязку). Инициализация факторов, не выбранных в качестве обязательных, будет предложена пользователю, но может быть пропущена без каких-либо последствий.

При настройке сценария инициализации могут использоваться следующие факторы:

Telegram;
TOTP;
SMS;
Email.

Для настройки сценария инициализации требуется перейти в режиме "Сервис" в раздел "Настройки инициализации пользователей". Раздел содержит реестр со следующей информацией:

Сценарий – Наименование сценария инициализации:
Шаг – Перечень шагов (с указанием факторов аутентификации) в сценарии инициализации.

Для настройки сценария следует перейти в его профиль, в котором содержится следующая информация и возможности:

Реестр используемых факторов в данном сценарии инициализации со следующей информацией:
- Наименование шага – Описание шага, который используется в процессе инициализации;
- Обязательный – Переключатель (изменение положения доступно при редактировании сценария): при включенном положении () инициализации данного фактора становится обязательной, при выключенном () инициализация фактора доступна пользователю, но не обязательна;
Кнопка "Редактировать" – Нажать для редактирования сценария (открывает возможности добавления/удаления шагов, включения/выключения обязательности шага, изменения периодичности шагов).
Кнопка "Удалить" – Нажать , чтобы удалить фактор из сценария (доступно при редактировании сценария).
Кнопка "Добавить шаг" – Нажать для добавления нового шага в сценарий инициализации (доступно при редактировании сценария). При нажатии открывается интерфейс со следующими возможностями:
- Шаг – Выбрать из выпадающего списка фактор, используемый на шаге инициализации:
  - Инициализация Telegram фактора;
  - Инициализация SMS фактора;
  - Инициализация TOTP фактора;
  - Активация пользователя через Email;
- Обязательный – Выбрать из выпадающего списка, является ли инициализация данного фактора обязательной;
- Кнопка "Добавить" – Нажать для добавления шага в сценарий;
- Кнопка "Отмена" – Нажать для отказа от добавления шага;
Кнопки изменения порядка инициализации – Нажать или для изменения порядка отображения пользователю факторов, настроенных в сценарии инициализации (доступно при наличии двух и более шагов в сценарии).

После редактирования сценария стоит нажать "Сохранить" для сохранения настроек, или "Отменить" для отказа от изменений.

Риск пользователя

Риск пользователя представляет собой расчетный оценочный показатель, обобщающий влияние различных параметров на безопасность аутентификации и последующей работы пользователя в системе (для получения информации о риске сессии следует обратиться к статье Управление сессиями). Факторы, учитываемые при расчете коэффициента риска пользователя, напрямую влияют на риски компрометации учетной записи пользователя, риски обхода многофакторной аутентификации злоумышленником и гипотетический объем ущерба, который мог бы нанести злоумышленник при получении доступа к данной учетной записи. Чем ниже значение коэффициента, тем меньше риски информационной безопасности.

Информация о риске отображается в профиле пользователя и в реестре пользователей напротив логина. Для удобства при отображении в реестре пользователей коэффициент риска умножается на 100 (например, если коэффициент риска пользователя 0,66, то в столбце Риск отобразится значение 66).

Коэффициент риска пользователя может использоваться следующим образом:

в скриптах MFA для автоматического упрощения, усложнения или запрета прохождения сценария аутентификации для пользователей с определенным коэффициентом риска;
для получения администратором информации о пользователях с целью принятия тех или иных действий в отношении пользователей с определенным коэффициентом (например, выключения аккаунта).

На значение риска пользователя влияют следующие факторы:

наличие роли администратора;
наличие и количество запомненных устройств;
тип привязанных аутентификаторов к профилю пользователя;
количество включенных аутентификаторов.

Пример разработки скрипта, использующего для динамического вычисления сценария аутентификации с учетом расчетных значений коэффициента риска пользователя, представлен в статье Разработка скрипта MFA.