Avanpost FAM/MFA+ : 4.8. Настройка Unified SSO

[ ] [ Общие сведения ] [ Настройка платформы USSO ] [ Сценарии использования ]

Общие сведения

Avanpost Unified SSO — единая платформа для управления доступом, обеспечивающая прозрачный и безопасный вход в веб-приложения и десктопные приложения, VPN, VDI и другие ресурсы на базе протоколов OIDC, SAML, RADIUS, LDAP и Enterprise SSO. Avanpost USSO позволяет передавать сессию от точки входа в ОС к любым корпоративным сервисам без повторного ввода учётных данных (в случае низкорисковых сценариев) или с запросом дополнительных факторов (в случае более высокорисковых сценариев или при попытке пользователя получить доступ к критически важным данным). Поддержка аппаратных токенов, адаптивной MFA и интеграция с IDM позволяют реализовать концепцию Zero Trust в гибридных и облачных средах. Функционал не зависит от домена или Kerberos, что обеспечивает универсальное применение как внутри периметра, так и за его пределами.

При настройке механизмов Avanpost USSO следует учитывать особенности взаимодействия с внешними приложениями, настраиваемыми на стороне FAM Server. Пользователи аутентифицируются в Avanpost FAM при помощи клиентского компонента FAM Agent, получая впоследствии доступ к приложениям типов Enterprise SSO, OpenID Connect, Reverse Proxy, SAML для дальнейшей работы. Приложения типов Windows Logon, Linux Logon, LDAP Proxy используются для выполнения аутентификации клиентов в FAM с использованием внешних механизмов (встроенных механизмов входа в Windows, Linux, а также классической LDAP-аутентификации соответственно). 

В данной статье описывается процесс настройки платформы Avanpost USSO и основные сценарии использования функционала платформы пользователем.

Платформа Avanpost Unified SSO работает совместно с серверным компонентом FAM Server В зависимости от редакции основного серверного компонента механизм доступен для использования: 

  • по умолчанию встроен и доступен для использования в редакции Avanpost FAM;
  • доступен, если приобретена лицензия на механизм USSO для редакции Avanpost MFA+.

Настройка платформы USSO

Для настройки на стороне Avanpost FAM Server необходимо:

  1. Настроить OIDC-приложение, предназначенное для интеграции компонента Avanpost FAM Агент (подробнее в статье Локальная установка FAM Agent в ОС Windows). 
  2. Если планируется LDAP-аутентификация пользователей, настроить компонент FAM LDAP Proxy (подробнее в статье Установка FAM LDAP Proxy в ОС Linux из tar.gz-архива) и LDAP Proxy-приложение (подробнее в статье Управление LDAP Proxy-приложениями).
  3. Если планируется аутентификация пользователей через Windows Logon, настроить компонент FAM Windows Logon и Windows Logon-приложение, предназначенное для интеграции с встроенным механизмом аутентификации ОС Windows (установка компонента FAM Windows Logon описана в статье Установка FAM Windows Logon в ОС Windows).
  4. Если планируется аутентификация пользователей через Linux Logon, настроить компонент FAM Linux Logon и Linux Logon-приложение, предназначенное для интеграции с встроенным механизмом аутентификации ОС Linux (для настройки FAM Linux Logon следует обратиться к статьям Установка FAM Linux Logon в Astra Linux из .tar.gzУстановка FAM Linux Logon в РЕД ОСУстановка FAM Linux Logon в ALT Linux).

    Чтобы после входа через Windows/Linux Logon/LDAP Proxy-механизмы дальнейшая аутентификация проходила бесшовно, процесс аутентификации, настроенный для LDAP Proxy/Windows/Linux Logon-приложения, и процесс аутентификации, настроенный для OIDC-приложения FAM Agent, должны быть идентичны. В случае, если процессы отличаются, будет запрошено прохождение дополнительных факторов, которые не запрашивались при Windows/Linux Logon/LDAP-аутентификации. Для изменения факторов аутентификации настроенных приложений требуется скорректировать факторы во вкладке MFA в профиле настроенных приложений (функционал основных вкладок описан в разделе Управление приложениями). Если для приложений, в которые аутентифицируется пользователь посредством USSO, были настроены дополнительные факторы аутентификации, они также будут запрошены при попытке пользователя авторизоваться в данных приложениях.

  5. Создать (если таковые приложения не были созданы ранее) и настроить внешние приложения, в которые пользователи смогут входить посредством механизма USSO (подробнее в статье Управление приложениями):
    1. Настроить приложение в соответствии с инструкциями для различных типов приложений: Управление OpenID Connect-приложениямиУправление SAML-приложениямиУправление Reverse Proxy-приложениями.
    2. Перейти в профиль созданного приложения и во вкладке "Настройки" включить чекбокс в графе "Включить USSO".
    3. Если предполагается работа в приложениях с WebView, не поддерживающими кастомные URL-схемы, включить переключатель "Режим для устаревших браузеров".

      Компонентом USSO поддерживается аутентификация в приложениях с WebView, не поддерживающими кастомные URL-схемы (например, тонкий клиент 1С). При аутентификации в таких приложениях пользователю предлагается открыть ссылку в браузере по умолчанию. После успешной аутентификации в браузере происходит переключение обратно в приложение через обработчик ссылок.

  6. Создать (если таковые приложения не были созданы ранее) и настроить группы, члены которых имеют доступ к приложениям, созданным в предыдущем пункте (подробнее о настройке групп в разделе Управление доступом).
  7. Добавить пользователей, которым предоставлен доступ к OIDC-приложению компонента FAM Agent, в те или иные группы (в зависимости от того, к каким приложениям должны получить доступ те или иные пользователи), для которых настроен доступ к созданным приложениям (рекомендуется использовать упрощенную настройку компонента при помощи Discovery-документа).

    Если необходимо настроить более сложный механизм аутентификации для доступа к тому или иному приложению, администратору стоит воспользоваться механизмами настройки процессов аутентификации. Настройка процессов аутентификации выполняется при помощи пошагового визуального конструктора (более подробно описано в статье Настройка процесса аутентификации), из профиля приложения и в процессе создания приложения (подробнее в разделе Управление приложениями, включая статьи, посвященные настройке различных типов приложений), а также из профиля группы (подробнее в разделе Управление доступом). 

  8. Согласно инструкции установить компонент FAM Агент на рабочие машины пользователей, для которых будет реализовываться USSO.

Сценарии использования

Администратор хочет настроить безопасную кросспротокольную аутентификацию в OIDC-приложение и Enterprise SSO-приложение пользователя, авторизовывающегося на рабочем месте при помощи механизма Windows Logon. Администратор планирует сделать это с использованием механизма Unified SSO. При этом администратор хочет, чтобы аутентификация в OIDC-приложение происходила с запросом дополнительного фактора Hardware или Сертификата (чтобы сотрудник аутентифицировался посредством ЭЦП), а аутентификация в Enterprise SSO осуществлялась бесшовно. Для настройки описанного сценария администратор должен совершить следующие действия:

  1. Установить и настроить FAM Agent на рабочих станциях пользователя (подробнее описано в статье Локальная установка FAM Agent в ОС Windows):
    1. Установить приложение FAM Agent на рабочих станциях пользователей, которые будут аутентифицироваться при помощи USSO.
    2. Настроить OIDC-приложение для аутентификации при помощи FAM Agent.
  2. Настроить механизм аутентификации в Avanpost FAM посредством Windows Logon (подробнее описано в статье Установка FAM Windows Logon (Credential Provider) в ОС Windows):
    1. Установить FAM Windows Logon на рабочие машины пользователей (например, через групповые политики для большого количества устройств).
    2. Настроить Windows Logon-приложение на стороне Avanpost FAM Server.
    3. В процессе первоначальной настройки приложения или в профиле приложения (вкладка "MFA") установить такой процесс аутентификации, который совпадал с процессом, настроенным для OIDC-приложения Агента.
  3. Настроить приложение типа OpenID Connect, в котором планируется аутентификация пользователей:
    1. В режиме "Приложения" нажать кнопку "Добавить приложение".
    2. Настроить приложение в соответствии с инструкцией по настройке OIDC-приложений.
    3. В процессе первоначальной настройки приложения или в профиле приложения (вкладка "MFA") задать корректный механизм аутентификации:
      1. Для первого шага (шагов) установить процесс аутентификации, так чтобы он совпадал с процессом, настроенным для OIDC-приложения Агента.
      2. Добавить шаг, на котором включить факторы Hardware и Сертификат.
    4. В профиле приложения установить флаг "Включить USSO" и нажать "Сохранить".
  4. Настроить приложение типа Enterprise SSO, в котором планируется аутентификация пользователей:
    1. В режиме "Приложения" нажать кнопку "Добавить приложение".
    2. Настроить приложение в соответствии с инструкцией по настройке Enterprise SSO-приложений.
    3. В процессе первоначальной настройки приложения или в профиле приложения (вкладка "MFA") установить такой процесс аутентификации, который совпадал с процессом, настроенным для OIDC-приложения Агента.
  5. Убедиться, что пользователи, для которых требуется аутентификация при помощи USSO обладают доступом к приложениям. созданным на предыдущих шагах. Для этого они должны состоять в группе/группах, которые предоставляют своим членам доступ к данным приложениям.
  6. Пройти аутентификацию в соответствии с планировавшимся способом:
    1. Авторизоваться в соответствии с настроенным сценарием на рабочей станции с Windows Logon.
    2. Бесшовно войти в Enterpise SSO-приложение.
    3. Войти в OIDC-приложение и убедиться для аутентификации в нем требуется использование Сертификата или Hardware. 

Обсуждение