Управление устройствами – это функциональность в Avanpost FAM, предназначенная для адаптации динамического сценария аутентификации в зависимости от уровня доверия к устройству пользователя.
При регистрации устройство привязывается к пользователю(ям), аутентифицирующемуся с данного устройства. Каждое зарегистрированное устройство является уникальным объектом в универсальном каталоге Avanpost FAM и отображается в административной консоли на странице «Реестр устройств». Регистрация устройства происходит, когда пользователь создает учетную запись в продукте или аутентифицируется, используя данные своей УЗ. Администратор не может добавлять устройства из административной консоли.
Функциональность управления устройствами решает следующие задачи:
- Идентифицирует устройства пользователей вне зависимости от способа подключения и интеграции;
- Фиксирует факты использования устройств при аутентификации и подтверждении аутентификации;
- Фиксирует дополнительные признаки устройств, устанавливаемые для устройств продуктом, администратором и самим пользователем;
Передает информацию о текущем устройстве, с которого аутентифицирован пользователь, в механизм определения сценария аутентификации для упрощения, усложнения сценария MFA или для принятия решения о запрете аутентификации;
Запрещает аутентификацию со скомпрометированных устройств;
Разбирает инциденты по устройствам;
Отображать администратору сводную статистику по устройствам, используемым пользователями.
- Отображать администратору подробную информацию об устройстве, включающую данные о типе устройства и ОС, особенностях настроек безопасности, повышенных привилегиях пользователя.
Идентификация выполняться для следующих типов устройств:
мобильных и десктопных устройств с браузером при использовании OpenID Connect, SAML и Reverse Proxy;
мобильных устройств с установленным приложением Avanpost Authenticator;
десктопных/серверных устройств с установленным Avanpost FAM Windows Logon;
десктопных/серверных устройств с установленным Avanpost FAM Linux Logon;
десктопных/серверных устройств с установленным Avanpost FAM Agent.
Avanpost FAM собирает следующие данные об устройствах:
- тип устройства;
тип и версия ОС устройства;
идентификатор устройства;
fingerprint устройства;
cетевой адрес устройства;
- параметры безопасности устройства (наличие и тип блокировки экрана, состояние антивирусной защиты, наличие root-прав и т.д.).
Работа с устройствами пользователей доступна во вкладке «Реестр устройств» режима «Сервисы». Страница содержит:
- административную консоль с возможностью перехода на вкладку профиля устройства.
- элементы управления поиском, включающую фильтры и кнопку «Обновить».
Поиск устройств
Поиск устройств реализован с помощью административной консоли и механизма фильтрации по заданным параметрам.
Административная консоль содержит следующие данные.
| Название параметра | Значение параметра |
|---|---|
Описание | Данные о браузере и операционной системе. |
Тип | Тип устройства. В Avanpost FAM предусмотрены следующие типы устройств:
|
Статус | Статус устройства в Avanpost FAM. От статуса зависят права и возможности, а также сценарии аутентификации пользователя в продукте. В Avanpost FAM предусмотрены следующие статусы устройств:
|
Пользователи | Перечень логинов пользователей, аутентифицировавшихся при помощи данного устройства. |
Последнее изменение статуса | Дата и время последнего изменения статуса устройства. |
Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации. Управление фильтрами осуществляется выбором/вводом параметров, которые появляются при нажатии на кнопку управления фильтрами 
(чтобы закрыть интерфейс, следует нажать 
).
| Название фильтра | Значение фильтра |
|---|---|
Зарегистрировано | Выбрать дату, когда было зарегистрировано искомое устройство. |
Пользователи | Ввести логин пользователя, использующего искомое устройство. |
Статус | Выбрать из списка:
|
Тип устройства | Выбрать из списка:
|
Операционная система | Выбрать из выпадающего списка тип ОС. В текстовое поле ввести номер версии ОС. |
Браузер | Выбрать из выпадающего списка тип браузера. Ввести в текстовое поле номер версии браузера. |
Антивирусное ПО | Выбрать из выпадающего списка состояние антивирусного ПО на устройстве пользователя:
Ввести в текстовое поле наименование и версию антивирусного ПО. |
Тип агента | Выбрать из списка:
|
Для активации поиска по фильтрам необходимо нажать «Поиск». Чтобы сбросить выбранные параметры фильтров, нажать «Сбросить фильтр».
Чтобы обновить данные, необходимо нажать на кнопку 
.
Профили устройств
Avanpost FAM позволяет централизованно получать данные об идентифицированных устройствах. Для получения подробной информации об устройстве следует перейти в профиль данного устройства. Для этого необходимо выбрать интересующее устройство, нажав на него в графе «Описание» на административной консоли. Страница выбранного устройства содержит следующую информацию и возможности:
- Наименование и версия браузера, использующегося на устройстве;
- Наименование и версия браузера, использующейся на устройстве;
- Кнопка
– Нажать, чтобы изменить статус устройства (доступность статусов зависит от текущего статуса устройства):- Активировать – Сделать устройство активным (доступно, если устройство в статусе «Деактивировано» или «Приостановлено»);
- Деактивировать – Сделать устройство деактивированным (доступно, если устройство в статусе «Активировано» или «Приостановлено»);
- Приостановить – Приостановить работу устройства (доступно, если устройство в статусе «Активировано»);
- Отмена – Нажать для отказа от изменения статуса;
- Кнопка
– Нажать, чтобы удалить устройство (после подтверждения действия); - Вкладка «Сводка»;
- Вкладка «Данные и профиль устройства»;
- Вкладка «Пользователи».
Вкладка «Сводка» содержит следующие параметры:
| Название параметра | Значение параметра |
|---|---|
| Данные о пользователях | Основная информация о пользователе/пользователях, использующих данное устройство:
|
| Информация об устройстве | |
| Аутентификатор | Информация об использующемся аутентификаторе. |
| Модель | Информация о модели устройства. |
| Операционная система | Информация об типе и версии ОС, использующемся на устройстве. |
| Браузер | Информация о типе и версии браузера, использующемся на устройстве. |
| Антивирус | Информация о типе и версии антивирусного ПО, использующемся на устройстве. |
| Безопасность устройства | |
| Уязвимое (Root/Jailbreak) | Информация о наличии/отсутствии на устройстве прав суперпользователя. |
| Блокировка экрана | Информация о наличии/отсутствии на устройстве блокировки экрана, статус блокировки (включена/выключена), тип защиты (пароль, PIN, биометрия). |
| Шифрование диска | Информация о наличии/отсутствии на устройстве шифрования диска. |
| Пароль установлен | Информация о наличии/отсутствии на устройстве пароля. |
| Биометрия включена | Информация и наличии/отсутствии на устройстве включенного входа по биометрии. |
Вкладка «Данные и профиль устройства» содержит следующие параметры (перечень параметров выводимых для конкретного устройства зависит от типа устройства и используемой ОС):
| Название параметра | Значение параметра |
|---|---|
| Идентификатор устройства |
| Тип агента: В Avanpost FAM предусмотрены следующие типы агентов:
|
| Тип устройства. В Avanpost FAM предусмотрены следующие типы устройств:
|
| Статус устройства. Администратор при помощи скриптов устанавливает зависимость между сценарием аутентификации и статусом устройства. Предусмотрены следующие статусы для устройств в Avanpost FAM:
|
| Дата и время последнего изменения статуса. |
| Дата и время последней аутентификации. |
| IP-адрес устройства, использовавшийся при последнем входе в продукт. |
| Версию FAM Агент, использовавшаяся при аутентификации. |
| Наименование установленного антивируса. |
| Состояние антивирусной защиты (включено/выключено). |
| Статус актуальности антивирусных баз. |
| Дата и время последнего обновления антивирусных баз. |
| Тип браузера устройства. |
| Уникальный идентификатор десктопа, генерируемый на основе аппаратных и программных характеристик. |
| User Agent устройства. Идентификационная строка клиентского приложения, содержащая информацию об устройстве, его операционной системе и браузере. |
| Хэш User Agent устройства. |
| Версия браузера устройства. |
| Тип операционной системы устройства. |
| Версия операционной системы устройства. |
| Уникальный идентификатор мобильного устройства, генерируемый на основе аппаратных и программных характеристик. |
| Конкретная модель мобильного устройства. |
| Производитель мобильного устройства (Google, Apple, Xiaomi и пр.). |
| Наличие установленного пароля на устройстве. |
| Тип защиты экранной блокировки (пароль, PIN-код, биометрия, отсутствует). |
| Статус экранной блокировки (включено/выключено). |
| Поддержка экранной блокировки (включена/выключена/не поддерживается). |
| Тип аутентификации пользователя. |
| Имя пользователя, использующего данное устройство. |
| Наличие у пользователя повышенных привилегий (администратора). |
| Уровень привилегий (обычный пользователь/администратор). |
| Использование UAC (User Account Control). |
Вкладка «Пользователи» содержит следующие параметры:
| Название параметра | Значение параметра |
|---|---|
Пользователь | Логин пользователя. |
Время последнего использования | Дата и время последней аутентификации. |
IP-адрес последнего входа | IP-адрес устройства, использовавшийся при последнем входе в Avanpost FAM. |
Запомнено | Бинарный показатель, параметр которого можно учитывать в скрипте при настройке динамических сценариев аутентификации. При установке флажка устройство считается запомненным в продукте. Если пользователь в процессе аутентификации в Avanpost FAM установил флаг в чекбоксе "Чужое устройство", то устройство не запоминается в Avanpost FAM. Если пользователь убрал флаг из чекбокса "Чужое устройство" в процессе аутентификации, то устройство считается запомненным. Администратор может дать статус запомненного/незапомненного. |
Управление сценариями аутентификации устройств
Функциональность «Управление устройствами» позволяет администратору влиять на сценарии аутентификации устройств следующими способами:
- назначением статусов устройств пользователей.
- добавлением/исключением устройств пользователей из списка запомненных.
- удалением устройств.
Присваивание статусов позволяет разделить устройства на три категории: активные, приостановленные, деактивированные. При переходе в профиль устройства появляется возможность «Изменить статус». При нажатии кнопки 
Avanpost FAM предлагает администратору выбрать из двух статусов, отличных от текущего, либо отменить изменение статуса. При переходе на вкладку «Пользователи» в профиле устройства у администратора появляется возможность поставить/убрать флажок «Запомнено».
Атрибуты устройства (статус, запоминание в FAM, наличие в FAM), включая параметры безопасности устройства (наличие антивируса, Root-доступ, наличие шифрования диска и т.п.), администратор может использовать для разработки специфических или расширенных сценариев аутентификации. Для этого при написании скрипта MFA администратор устанавливает зависимость между применяемыми факторами аутентификации и атрибутами устройства. Более подробная информация о механизме работы скриптов для динамического вычисления шагов сценария дана в разделе Разработка скрипта MFA.