Управление сессиями – это функциональность в Avanpost FAM, предназначенная для решения следующих задач:
- Фиксации факта аутентификации пользователя и использования продукта.
- Фиксации дополнительных параметров о сессии, устанавливаемых продуктом, администратором и самим пользователем.
- Принудительного завершения сессии администратором.
- Отображения администратору сводной статистики по активным и завершенным сессиям.
Передавать информацию о параметрах сессии пользователя в механизм входа/выхода из продукта для разрешения/запрета запуска новых сессий и продолжения/прерывания текущей сессии.
Функциональность управления сессиями позволяет администратору осуществлять следующие действия:
- получать информацию о сессиях пользователей.
- завершать активные сессии пользователей.
- настраивать максимальную продолжительность сессии.
- настраивать максимальное количество сессий на УЗ пользователя.
Менеджер сессий
Получение данных и принудительное завершение сессий доступны во вкладке "Менеджер сессий" режима "Сервис", которая содержит:
- административную консоль с информацией о сессиях.
- элементы управления поиском, включающую фильтры и кнопку «Обновить».
- кнопку "Удалить завершенные".
Инструкцию по установке общих параметров сессии (максимальная продолжительность и максимальное число сессий на УЗ пользователя) можно найти в разделе Настройка параметров сессии.
Реестр сессий содержит следующие данные.
| Название параметра | Значение параметра |
|---|---|
Пользователь | Логин пользователя |
Дата создания | Дата и время начала сессии |
Статус | Статус сессии. В Avanpost FAM предусмотрены следующие статусы:
|
Приложения | Приложения, использовавшиеся во время сессии. |
Риск | Отображение коэффициента риска сессии. Коэффициента риска сессии представляет собой расчетный оценочный показатель, обобщающий влияние различных факторов на безопасность данной сессии пользователя. Для упрощения восприятия расчетный коэффициент представлен в виде стобалльной шкалы. |
В менеджере сессий есть следующие возможности и информация, получаемые при разворачивании описания сессии в административной консоли:
- идентификатор сессии ID;
- IP-адрес пользователя;
- тип браузера пользователя;
- тип операционной системы пользователя;
- тип устройства, использовавшегося для аутентификации;
- факторы аутентификации, применявшиеся в конкретной сессии;
- кнопка "Завершить" – Нажать для принудительного завершения сессии;
- Информация о риске сессии;
- Риск – Числовое значение рассчитанного коэффициента риска сессии;
- Детализация факторов, влияющих на коэффициент риска сессии:
- Права доступа – Доля фактора наличия/отсутствия прав администратора, имеющихся у пользователя, в расчетном значении коэффициента риска;
- Время – Доля фактора фактического времени аутентификации пользователя, учитываемая в расчетном значении коэффициента риска;
- Устройства – Доля факторов, связанных с устройствами пользователя, в расчетном значении коэффициента риска;
- Аутентификаторы – Доля факторов, связанных с использовавшимися при авторизации аутентификаторами, в расчетном значении коэффициента риска;
- Кнопка
– Нажать, чтобы пересчитать имеющееся значение коэффициента риска сессии.
Чтобы сменить статус сессии с "Активна" на "Завершена" требуется нажать на значок "Активно" в строке данной сессии. Сессия перейдет в состояние завершенной и пользователь принудительно покинет Avanpost FAM на данном устройстве.
Чтобы удалить данные о завершенных сессиях, требуется нажать "Удалить завершенные" и подтвердить действие.
Поиск сессий
Фильтры позволяют осуществить быстрый поиск пользователей по настроенным условиям фильтрации. Управление фильтрами осуществляется выбором параметров из выпадающих списков, которые разворачиваются нажатием на кнопку управления фильтрами.
| Название фильтра | Значение фильтра |
|---|---|
Фильтр статуса | Выбрать значение статуса из списка:
|
Пользователи | Ввести логин искомого пользователя. |
Время начала от | Выбрать нижнюю временную границу поиска. |
Время начала до | Выбрать верхнюю временную границу поиска. |
Приложение | Выбрать из выпадающего списка приложение, к которому обращался пользователь. |
Чтобы обновить данные, необходимо нажать на кнопку «Обновить».
Настройки сессий
В административной консоли Avanpost FAM доступна тонкая настройка сессий, которая выполняется в разделе "Системные настройки" режима "Сервис". В подразделе "Сессии" доступно управление следующими параметрами.
| Название параметра | Значение параметра |
|---|---|
| Время жизни сессии (в минутах) | Время, в течении которого сессия остается активной. По истечении этого времени пользователь должен авторизоваться заново. |
| Максимальное количество сессий для пользователя | Задать максимальной количество сессий, одновременно доступных для одного пользователя. При превышении данного значения, пользователь не сможет начать новую сессию, пока не завершит одну из открытых. |
| Фоновый logout для истекших сессий | |
| Включить | Установить флаг в чекбокс:
Процесс проверяет, какие сессии завершились по времени, и оповещает об этом интегрированные приложения, в которых аутентифицировался пользователь. Таким образом, после завершения сессии по времени происходит централизованный logout пользователя из остальных приложений. |
| Интервал фоновой задачи (в минутах) | Временной интервал, через который запускается процесс проверки logout истекших сессий. |
| Фоновая очистка сессий | |
| Удалять сессии старше (в днях) | Ввести возраст сессий (в днях), при превышении которого они будут автоматически удалятся из журнала. |
| Интервал задачи (в минутах) | Временной интервал, через который запускается процесс поиска и удаления сессий старше заданного возраста. |
Для сохранения внесенных изменений необходимо нажать кнопку "Сохранить", для отказа от изменений кнопку "Отмена".
Риск сессии
Риск сессии представляет собой расчетный оценочный показатель, обобщающий влияние различных параметров на безопасность аутентификации и последующей работы пользователя в системе для данной сессии. В отличие от коэффициента риска пользователя коэффициент риска сессии рассчитывается вновь для каждой конкретной сессии и может меняться в зависимости от пройденного сценария аутентификации, времени входа и т.д. (для получения информации о риске самого пользователя следует обратиться к разделу Управление пользователями). Факторы, учитываемые при расчете коэффициента сессии пользователя, напрямую влияют на риски компрометации сессии, риски обхода многофакторной аутентификации злоумышленником и гипотетический объем ущерба, который мог бы нанести злоумышленник при получении доступа к данной учетной записи.
Информация о риске сессии отображается в реестре сессий напротив логина пользователя. Для удобства при отображении в таблице коэффициент риска умножается на 100 (например, если коэффициент риска сессии 0,88, то в столбце Риск отобразится значение 88,00).
Коэффициент риска сессии может использоваться следующим образом:
- в скриптах MFA для автоматического упрощения, усложнения или запрета прохождения сценария аутентификации для пользователей с определенным коэффициентом риска;
- для получения администратором информации о сессии с целью принятия тех или иных решений в отношении пользователей с определенным коэффициентом (например, принудительного завершения сессии).
На значение риска пользователя влияют следующие факторы:
- наличие роли администратора;
- наличие устройства, с которого производится вход, в списке запомненных;
- время аутентификации пользователя (аутентификация в ночное время считается более высокорисковой);
- наличие IP пользователя в списке разрешенных;
- факторы аутентификации, которые использовались при прохождении сценария;
- количество факторов, пройденных пользователем в процессе аутентификации.
Пример разработки скрипта, использующего для динамического вычисления сценария аутентификации с учетом расчетных значений коэффициента риска сессии, представлен в статье Разработка скрипта MFA.
Принцип расчета коэффициента риска сессии и степень влияния различных факторов представлены в таблице.