Обзор Avanpost FAM, системы единой аутентификации пользователей в корпоративной сети


Обзор Avanpost FAM, системы единой аутентификации пользователей в корпоративной сети

Avanpost FAM (Federated Access Manager) от российской компании «Aванпост» — это единая платформа SSO (Single Sign-On) для обеспечения однократной аутентификации сотрудников в информационной инфраструктуре. Система позволяет организовать прозрачную и многофакторную аутентификацию в мобильных и веб-приложениях, продуктах с «толстым клиентом», SaaS-сервисах и терминальных решениях, поддерживая все современные факторы и способы удостоверения личности.

Сертификат AM Test Lab

Номер сертификата: 305

Дата выдачи: 22.09.2020

Срок действия: 22.09.2025

Реестр сертифицированных продуктов »

 

 

  1. Введение
  2. Функциональные возможности Avanpost FAM
    1. 2.1. Единая точка входа пользователей
    2. 2.2. Многофакторная и адаптивная аутентификация пользователя
    3. 2.3. Самообслуживание пользователей (управление безопасностью без привлечения администратора)
    4. 2.4. Аутентификация в облачных приложениях
  3. Преимущества использования Avanpost FAM
  4. Архитектура Avanpost FAM
  5. Технологии аутентификации
  6. Системные требования Avanpost FAM
  7. Установка и развёртывание компонентов Avanpost FAM
    1. 6.1. Подключение приложений к Avanpost FAM
    2. 6.2. Настройка и использование источников учётных записей
    3. 6.3. Подключение к ИБ-системам
  8. Подключение Avanpost FAM к ИТ-ландшафту
    1. 7.1. Подключение OIDC-приложения на примере системы визуализации Grafana
    2. 7.2. Подключение настольного приложения на примере 1C:Enterprise, SAP Logon и Cisco AnyConnect
  9. Работа с системой Avanpost FAM с точки зрения администратора
    1. 8.1. Настройка и управление параметрами системы
    2. 8.2. Аутентификация администратора в консоли управления
    3. 8.3. Интерфейс администратора
    4. 8.4. Управление пользователями
    5. 8.5. Управление электронными ключами пользователя
    6. 8.6. Управление группами
    7. 8.7. Управление приложениями
    8. 8.8. Управление сценариями многофакторной и адаптивной аутентификации
    9. 8.9. Стандартный сценарий использования системы
    10. 8.10. Отчёты
  10. Работа в системе с точки зрения пользователя
    1. 9.1. Личный кабинет пользователя
    2. 9.2. Использование агента Avanpost FAM
  11. Выводы

 

Введение

Технология единого входа (SSO, Single Sign-On) позволяет применять один набор учётных данных для получения доступа к различным приложениям, сервисам и ресурсам контролируемой сети, повысить комфортность работы пользователей и снизить нагрузку на ИТ-службу, предоставив ей расширенный контроль полномочий сотрудников, а также снизить риск несанкционированного доступа и достичь соответствия стандартам.

Система Avanpost FAM предназначена для создания и администрирования комплекса единого универсального входа во все ресурсы корпоративной сети, снижая расходы и выполняя требования регуляторов (ФСТЭК России, ФСБ России, ЦБ РФ и др.) в части парольных политик и аутентификации. При этом существенно повышается скорость доступа пользователей к данным, поскольку процесс удостоверения личности происходит однократно.

Avanpost FAM позволяет:

  • аутентифицировать пользователей по логину и паролю;
  • внедрить многофакторную аутентификацию с использованием современных факторов;
  • выполнять переход из одной информационной системы в смежную управляемую ИС без повторного запроса пароля;
  • анализировать аутентификационную информацию (IP-адрес рабочей станции, имя учётной записи, время входа в контролируемое приложение или ИС) пользователя и контролировать его открытые сессии.

Система Avanpost FAM прежде всего предназначена для использования в корпоративных сетях крупных и средних компаний, кредитно-финансовых организаций, государственных учреждений.

В 2020 году Avanpost FAM вошла в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России, подтвердив тем самым свой статус российского ПО.

 

Функциональные возможности Avanpost FAM

Единая точка входа пользователей

Система Avanpost FAM позволяет организовать универсальную платформу аутентификации, обеспечивающую пользователям единые правила входа во все современные корпоративные приложения вне зависимости от технологии их исполнения (как «веб», так и «толстый клиент»), поддерживающие протоколы SAML, OpenID Connect, OAuth. За счёт наличия в Avanpost FAM технологий аутентификации «reverse proxy» и перехвата оконных форм средствами агента Avanpost FAM (ESSO / Enterprise SSO) проблема совместимости SSO и приложений трансформируется в задачу выбора подходящей технологии подключения приложения к SSO. Наличие RADIUS позволяет подключать инфраструктурные решения в виде операционных систем (UNIX PAM), сетевых экранов (VPN), виртуальных и удалённых рабочих столов (VDI) и многих других корпоративных систем, поддерживающих этот протокол.

 

Многофакторная и адаптивная аутентификация пользователя

Система Avanpost FAM поддерживает многофакторную аутентификацию с использованием:

  • ключевых носителей (токены, смарт-карты и т. д.);
  • одноразовых паролей (TOTP / HOTP), E-mail / SMS-сообщений и пуш-кодов (в том числе посредством мессенджера Telegram);
  • доверенных устройств;
  • SSL-сертификатов и электронной подписи;
  • доменной аутентификации (SPNEGO / Kerberos);
  • биометрических датчиков (считывание отпечатка пальца, распознавание лица).

Avanpost FAM позволяет использовать адаптивную аутентификацию пользователей и создавать любые цепочки проверок для разных категорий сотрудников, ресурсов и условий предоставления доступа. Для работы со значимой информацией дополнительно можно настроить запрос второго фактора аутентификации (ОТР посредством E-mail или SMS, пуш-уведомление в Telegram, электронные ключи, смарт-карты и т. п.).

 

Самообслуживание пользователей (управление безопасностью без привлечения администратора)

В режиме самообслуживания неаутентифицированному пользователю доступны сценарии восстановления доступа, самостоятельная регистрация в системе (при разрешении этой функции администратором) и вход через доверенные поставщики идентификации (к примеру, через ЕСИА).

Аутентифицированный пользователь может управлять в личном кабинете данными своего профиля, своими факторами аутентификации (в том числе смарт-картами) и персональными параметрами безопасности.

 

Аутентификация в облачных приложениях

Система Avanpost FAM в режиме поставщика идентификации (identity provider) предоставляет возможность организовать безопасный доступ пользователей к облачным сервисам. Данная схема позволяет не допускать выхода аутентификационной информации пользователей за контролируемый периметр предприятия. Провайдер аутентификации IdP удостоверяет личности сотрудников и проверяет их идентификаторы внутри сети предприятия, а наружу в облачные сервисы передаётся только решение о допуске того или иного пользователя.

Avanpost FAM поддерживает:

  • облачные вычислительные инфраструктуры (Mail Cloud Solutions, Yandex Cloud, Huawei Cloud);
  • ERP-системы (облачный 1С, приложения SAP HANA Cloud);
  • системы корпоративной коммуникации (Zoom, Slack, Google Meet);
  • прочие облачные инструменты (Microsoft Office 365, GitHub, GitLab).

 

Преимущества использования Avanpost FAM

Основные преимущества, которые получает бизнес, внедряя в свою корпоративную сеть систему Avanpost FAM, связаны с повышением скорости доступа пользователей к информационным ресурсам, исключением необходимости запоминания множества логинов и паролей, а также со снижением временных затрат, связанных со сбросом скомпрометированных паролей. ИТ-подразделение получает меньшее количество заявок от сотрудников, сокращает издержки на администрирование каталогов учётных записей.

Также Avanpost FAM за счёт механизмов объединения («федерации») пользователей из внешних IdP упрощает организацию внешнего доступа сотрудников к информационным ресурсам.

С точки зрения информационной безопасности Avanpost FAM позволяет снизить риски компрометации паролей, усиливает процедуры аутентификации за счёт применения дополнительных факторов и помогает внедрить дополнительные политики аутентификации.

 

Архитектура Avanpost FAM

Система Avanpost FAM состоит из сервера и агентов, устанавливаемых на рабочие места сотрудников. При этом возможно использование системы и без установки агентов на рабочих станциях.

 

Рисунок 1. Архитектура Avanpost FAM

 Архитектура Avanpost FAM

 

В состав сервера Avanpost FAM входят следующие компоненты:

  • интерфейс аутентификации Auth UI, реализующий многофакторные сценарии удостоверения личности сотрудника;
  • интерфейс самообслуживания пользователя Self Service UI — одностраничное веб-приложение (SPA-приложение), позволяющее осуществлять навигацию по доступным пользователю информационным ресурсам, управлять личными данными, учётными записями и аутентификаторами, а также параметрами восстановления доступа;
  • интерфейс администратора Admin UI — SPA-приложение, позволяющее администрировать систему и управлять каталогами пользователя;
  • управляющий сервер для локальных агентов на рабочих местах пользователей Agent Manager, обеспечивающий доставку профилей аутентификации настольных приложений на рабочие места, а также взаимодействие с агентом в рамках процесса аутентификации для проверки локальных и сетевых факторов последней;
  • ядро адаптивной аутентификации Adaptive Authn Engine, обеспечивающее определение цепочки действий, которую должен выполнить пользователь для удостоверения своей личности в зависимости от условий (субъект и объект доступа, факторы исполнения среды);
  • плагины конкретных факторов аутентификации, определяющие интерфейс запроса фактора у пользователя и способ проверки получаемых значений;
  • модуль аутентификации в унаследованных веб-приложениях Reverse Proxy, работающий в разрыве между пользователем и приложением и обеспечивающий аутентификацию, авторизацию и фильтрацию запросов;
  • встроенный RADIUS-сервер для подключения VPN- / VDI-решений и других корпоративных систем, поддерживающих соответствующий протокол;
  • провайдер аутентификации IdP (Identity Provider), поддерживающий такие протоколы, как OpenID Connect, SAML, OAuth 2.0.

В состав агентов Avanpost FAM входят служба взаимодействия с управляющим сервером, плагины аутентификации для работы с локальными факторами (ключевые носители, считыватели, сканеры, камеры и т. д.), модуль Credential Provider, заменяющий стандартную аутентификацию в ОС Windows многофакторной, и фоновое приложение Agent App, запрашивающее факторы аутентификации у пользователя и удостоверяющее его личность в «толстых клиентах».

 

Технологии аутентификации

Система Avanpost FAM позволяет создать службу единой универсальной точки входа, обеспечивающую прозрачность аутентификации пользователей в корпоративных сетях и в приложениях всех типов. Поддерживаются следующие технологии удостоверения личности:

  • IdP с использованием протоколов SAML 2.0, OpenID Connect / OpenID, OAuth;
  • Reverse Proxy для унаследованных веб-приложений;
  • RADIUS для VPN / VDI / RDP;
  • перехват и заполнение форм ввода логина и пароля агентом корпоративного SSO (ESSO / Enterprise SSO) Avanpost FAM в операционных системах и настольных приложениях.

 

Рисунок 2. Технологии аутентификации, поддерживаемые Avanpost FAM

 Технологии аутентификации, поддерживаемые Avanpost FAM

 

Система Avanpost FAM в режиме Reverse Proxy модифицирует и ретранслирует запросы пользователей из внешней сети на один или несколько серверов контролируемой сети. При этом для сотрудника взаимодействие выглядит так, будто служба, к которой он обращается, находится на прокси-сервере.

 

Рисунок 3. Алгоритм аутентификации пользователя в веб-приложениях с помощью Avanpost FAM в режиме Reverse Proxy

 Алгоритм аутентификации пользователя в веб-приложениях с помощью Avanpost FAM в режиме Reverse Proxy

 

Avanpost FAM позволяет пользователям успешно проходить процедуру аутентификации в облачных сервисах и SaaS-приложениях в режиме IdP. Применение данной технологии обеспечивает проверку аутентификационных данных, включая пароли, электронные ключи, цифровые сертификаты, биометрические показатели и т. д., внутри контролируемой зоны без их передачи в недоверенную сеть. IdP принимает решение о допуске и отправляет его в облачные сервисы.

 

Рисунок 4. Алгоритм аутентификации пользователя в современных приложениях с помощью Avanpost FAM в режиме IdP

 Алгоритм аутентификации пользователя в современных приложениях с помощью Avanpost FAM в режиме IdP

 

Агент Avanpost FAM, находясь на рабочем месте пользователя, перехватывает регистрационные формы приложений и подставляет в них соответствующие значения. Эта операция проходит комфортно и незаметно для сотрудника. Учётные данные вводятся один раз на стороне сервера. Также, пройдя первоначальную аутентификацию, пользователь может прозрачно для себя получить доступ через Avanpost FAM к управляемой системе.

 

Рисунок 5. Алгоритм аутентификации пользователя с помощью Avanpost FAM в режиме Enterprise SSO

 Алгоритм аутентификации пользователя с помощью Avanpost FAM в режиме Enterprise SSO

 

RADIUS-сервер, встроенный в Avanpost FAM, предназначен для подключения межсетевых экранов (как аппаратных, так и программных), VPN-решений, виртуального и удалённого рабочего стола (VDI / RDP), а также Linux-операционных систем к системе корпоративной многофакторной аутентификации. Это позволяет обеспечить усиление проверки сотрудника дополнительными факторами аутентификации (в качестве второго фактора), а также использовать правила адаптивности в сценарии аутентификации в зависимости от контекста (сетевого окружения, профиля пользователя и т. д.).

 

Системные требования Avanpost FAM

Система Avanpost FAM поддерживает:

  • серверные ОС CentOS, Red Hat Enterprise Linux, Oracle Autonomous Linux, Debian, Microsoft Windows Server, ОС Astra Linux 1.6, «АЛЬТ 8 СП»,
  • СУБД PostgreSQL, Tarantool,
  • ОС Microsoft Windows 7 / 8 / 10 для функционирования агента Avanpost FAM.

Также возможно развёртывание системы в контейнеризованной среде с Docker.

Доступ к Avanpost FAM осуществляется с помощью веб-браузеров Google Chrome, Mozilla Firefox, Safari, Microsoft Edge, Opera.

 

Установка и развёртывание компонентов Avanpost FAM

При развёртывании серверной части Avanpost FAM требуется выполнить настройку портов и сетевых адресов для публикации веб-интерфейсов и веб-служб Avanpost. Эти параметры доступны в CL-интерфейсе системы. После выполнения настройки и получения доступа к административному веб-интерфейсу дальнейшее конфигурирование производится через консоль управления.

Система Avanpost FAM, первично настроенная в виде инсталляции из одного узла, в дальнейшем может быть перенастроена на кластерную конфигурацию. В системе предусмотрен механизм репликации (синхронизации) данных между узлами посредством шины сообщений (NATS.io), которая в режиме кластера устанавливается и настраивается дополнительно на каждом узле последнего.

При установке агента Avanpost FAM параметры подключения к серверу (адрес и сертификат) задаются либо вручную, либо автоматически из дистрибутива. Установка агента может быть произведена сотрудниками как самостоятельно, так и централизованно посредством корпоративных средств управления рабочими станциями. После установки агента все данные, необходимые для работы пользователя, будут обновляться автоматически с сервера Avanpost FAM.

 

Подключение приложений к Avanpost FAM

Система Avanpost FAM поддерживает следующие варианты взаимодействия с подключёнными приложениями:

  • режим Identity Provider (по стандартным протоколам SAML, OAuth, OpenID Connect);
  • режим Reverse Proxy;
  • режим Enterprise SSO;
  • режим RADIUS.

Если приложение поддерживает один из протоколов IdP, то подключение производится через консоль администратора Avanpost FAM.

Для веб-интерфейсов можно использовать режим Reverse Proxy — в этом случае все запросы аутентификации в целевом приложении переносятся на Avanpost FAM: на стороне системы описывается сценарий входа в приложение с использованием клиентских сценариев на JavaScript.

Для настольных приложений без поддержки указанных выше протоколов (SAML / OAuth / OIDC) единая аутентификация может быть подключена в режиме Enterprise SSO через агент Avanpost FAM.

Для подключения VPN-решений (к примеру, Cisco AnyConnect / Cisco ASA / ASAv, Check Point, Microsoft VPN, FortiGate) или VDI (Microsoft RDP, VMware vCloud) можно использовать встроенный RADIUS-сервер, при этом достаточно произвести настройку целевой системы на использование внешней службы аутентификации. Далее можно будет использовать стандартные возможности Avanpost FAM.

API подключаются к системе аутентификации с помощью механизма Identity Provider либо через интеграционные интерфейсы системы — HTTP REST API, брокеры сообщений и gRPC.

Управление всеми параметрами приложений доступно через административную консоль. Обновление параметров интеграции происходит автоматически без необходимости перезапуска Avanpost FAM.

 

Настройка и использование источников учётных записей

Для загрузки в систему Avanpost FAM сведений об основных учётных записях пользователей используется подключение к существующим LDAP-каталогам (Microsoft Active Directory, FreeIPA, openLDAP и т. д.), к IdM-решению либо ко внешним доверенным источникам учётных записей (через SAML, OpenID Connect и OAuth Identity Providers). Система одновременно поддерживает различные источники учётных данных.

Управление пользователями и корректировка сведений по ним осуществляются через интерфейс администратора.

 

Подключение к ИБ-системам

Система Avanpost FAM поддерживает стандарты сообщений Syslog (в соответствии с RFC 5424) и JSON (с поддержкой атрибутов в виде «ключ-значение» в JSON-контейнере), легко интегрируется с SIEM-решениями.

В части состава событий из области безопасности система фиксирует подробные сообщения о выполнении таких операций, как попытки входа (с фиксацией всех предъявленных пользователем факторов), всевозможные изменения учётных записей и прав доступа и т. д.

Система также позволяет администратору контролировать пользовательские сессии и управлять ими. При необходимости любая из них может быть завершена. Также можно автоматизировать блокировку сессий и учётных записей пользователей при возникновении инцидентов, подключив Avanpost FAM, к примеру, к системе класса Incident Response или к SOC посредством API.

 

Подключение Avanpost FAM к ИТ-ландшафту

Механизм подключения приложений к системе Avanpost FAM проще всего оценить на конкретных примерах. Разберём несколько таких случаев.

 

Подключение OIDC-приложения на примере системы визуализации Grafana

Приложение Grafana — популярная система визуализации данных в виде панелей мониторинга («дашбордов») с графиками, таблицами и прочими подобными элементами. Grafana поддерживает технологию аутентификации через внешний поставщик идентификации по протоколу OAuth, поэтому вполне просто подключается к Avanpost FAM посредством технологии IdP.

Сперва администратор создаёт новое приложение в Avanpost FAM, выбирая тип «Open ID».

 

Рисунок 6. Создание нового приложения типа «Open ID» в Avanpost FAM

 Создание нового приложения типа «Open ID» в Avanpost FAM

 

Далее для настройки необходимо указать ID приложения (по нему будет происходить идентификация запроса), секрет (общий секрет IdP и приложения, в идеале известный только Avanpost FAM и серверу Grafana) и адрес для перенаправления (обычно — стандартный, основывается на доменном имени сервера с /login/oauth, но лучше смотреть документацию по системе в части подключения по OIDC).

 

Рисунок 7. Настройка параметров приложения для подключения к серверу Grafana

 Настройка параметров приложения для подключения к серверу Grafana

 

Затем на экране настройки шагов аутентификации задаётся сценарий из двух факторов: первым шагом будет постоянный пароль, вторым — TOTP.

 

Рисунок 8. Настройка двух факторов для подключения к серверу Grafana

 Настройка двух факторов для подключения к серверу Grafana

Настройка двух факторов для подключения к серверу Grafana

 

На последнем шаге необходимо сделать приложение активным.

 

Рисунок 9. Завершение настройки нового приложения для подключения к серверу Grafana

 Завершение настройки нового приложения для подключения к серверу Grafana

 

Далее в карточке приложения можно добавить иллюстрацию, которая будет видна пользователям в личном кабинете и администраторам, работающим в консоли управления.

 

Рисунок 10. Карточка приложения, добавление логотипа

 Карточка приложения, добавление логотипа

 

В соответствии с документацией Grafana для корректной аутентификации пользователя через внешний IdP требуется передать параметры «openid», «email» и «profile». Они задаются на вкладке «Scopes».

 

Рисунок 11. Настройка параметров «openid», «email» и «profile» для приложения Grafana

 Настройка параметров «openid», «email» и «profile» для приложения Grafana

 

Далее необходимо прописать параметры на стороне Grafana — задать конфигурацию её сервера в части секции [auth.generic_oauth].

 

Рисунок 12. Проверка двухфакторной аутентификации в Grafana с помощью Avanpost FAM

 Проверка двухфакторной аутентификации в Grafana с помощью Avanpost FAM

 

Grafana перенаправляет пользователя в интерфейс аутентификации Avanpost FAM.

 

Рисунок 13. Ввод логина и пароля в интерфейсе аутентификации Avanpost FAM

 Ввод логина и пароля в интерфейсе аутентификации Avanpost FAM

 

После корректного ввода логина и пароля система запрашивает у пользователя второй фактор — одноразовый код, сгенерированный Google Authenticator.

 

Рисунок 14. Одноразовый пароль Google Authenticator для аутентификации в приложении

 Одноразовый пароль Google Authenticator для аутентификации в приложении

 

После успешной аутентификации пользователь «admin» попадает в интерфейс Grafana.

 

Рисунок 15. Интерфейс Grafana, доступный пользователю после аутентификации через Avanpost FAM

 Интерфейс Grafana, доступный пользователю после аутентификации через Avanpost FAM

 

При этом информация, отображаемая в профиле пользователя, получена и обновлена из соответствующего профиля в Avanpost FAM.

 

Подключение настольного приложения на примере 1C:Enterprise, SAP Logon и Cisco AnyConnect

Приложение SAP Logon (SAP GUI) и окно аутентификации в нём имеют «десктопный» пользовательский интерфейс.

 

Рисунок 16. Интерфейс пользователя приложения SAP Logon

 Интерфейс пользователя приложения SAP Logon

 

Можно попробовать настроить SSO централизованно (к примеру, через SAML, если он есть в версии и конфигурации целевого приложения), но рассмотрим подключение посредством ESSO.

Сперва в административной консоли необходимо настроить настольное приложение для SAP, оставив поле «Шаблон» пустым (к нему вернёмся позднее), и параметры аутентификации (по паролю).

 

Рисунок 17. Настройка SAP Logon в интерфейсе администратора Avanpost FAM

 Настройка SAP Logon в интерфейсе администратора Avanpost FAM

Настройка SAP Logon в интерфейсе администратора Avanpost FAM

 

В шаблоне требуется указать набор нажатий клавиш, которые будут эмулироваться при удостоверении личности пользователя, а также идентификатор окна аутентификации приложения, для получения которого можно воспользоваться стандартной программой «Диспетчер задач».

 

Рисунок 18. Диспетчер задач, идентификация окна аутентификации SAP Logon

 Диспетчер задач, идентификация окна аутентификации SAP Logon

 

Окно входа в SAP Logon имеет имя «SAP» и имя процесса «saplogon.exe». Эти данные вносятся в будущий шаблон в соответствии с документацией по его разработке:

"windowname": "SAP",

"processname": "saplogon"

Затем требуется повторить сценарий аутентификации. Для этого необходимо пройти её только с использованием клавиатуры и зафиксировать шаги. Для SAP Logon первым становится активным поле ввода логина, далее выполняются переход клавишей «TAB» в поле ввода пароля, собственно ввод пароля и нажатие клавиши «ENTER». Эти действия необходимо оформить в виде набора шагов и записать в секцию «commands», после чего добавить заголовок. В результате получаем шаблон аутентификации в настольном приложении SAP Logon. Для надёжности можно добавить предварительную эмуляцию паузы (Sleep), так как окно SAP Logon загружается долю секунды.

{

"commands": [

    {

        "CommandType": "Sleep",

        "SleepTime": 100

    },           

    {

        "CommandType": "TextEntry",

        "TextMessage": "$user"

    },

    {

        "CommandType": "KeyPress",

        "Code1": "TAB"               

    },

    {

        "CommandType": "TextEntry",

        "TextMessage": "$password"

    },

    {

        "CommandType": "KeyPress",

        "Code1": "RETURN"               

    }

],

"id": "sap",

"windowname": "SAP",

"processname": "saplogon"

}

Теперь проверим работу нашего шаблона аутентификации. Для этого сперва нужно добавить учётные данные тестовому пользователю и убедиться в том, что он имеет доступ к SAP Logon.

 

Рисунок 19. SAP Logon в списке приложений, доступных пользователю

 SAP Logon в списке приложений, доступных пользователю

 

Далее запускаем агент Avanpost FAM. После запуска он запрашивает прохождение аутентификации по первому фактору.

 

Рисунок 20. Окно «Авторизация SSO агента»

 Окно «Авторизация SSO агента»

 

Запускаем приложение SAP Logon. Можно заметить, что агент Avanpost FAM перехватил окно и уже заполнил данные аутентификации за пользователя (TEST_CONNECT).

 

Рисунок 21. Аутентификация в SAP Logon с помощью Avanpost FAM

 Аутентификация в SAP Logon с помощью Avanpost FAM

 

Через мгновение пользователь уже аутентифицирован в сеансе персональной учётной записи.

 

Рисунок 22. Персональная учётная запись SAP Logon

 Персональная учётная запись SAP Logon

 

Шаблон аутентификации в настольном приложении в Avanpost FAM – компактный, понятный для чтения и простой в настройке. Аналогичным образом к системе Avanpost FAM может быть подключен обширный перечень систем с desktop-интерфейсом..

 

Работа с системой Avanpost FAM с точки зрения администратора

Настройка и управление параметрами системы

Администратор Avanpost FAM управляет всеми параметрами системы, максимально гибко настраивая её и добиваясь наилучшей производительности. Система поддерживает публикацию собственных интерфейсов на отдельных хостах:

  • вынесение административной консоли на отдельный хост-порт;
  • вынесение службы Reverse Proxy на отдельный хост-порт;
  • публикация основного сервиса системы на хосте-порту.

В рамках конфигурирования системы доступна настройка парольных политик. Они позволяют не только задать требования к паролю, но и настроить правила поведения системы в части блокировки учётной записи при попытках подбора пароля. В системе доступны следующие политики:

  • Механизм хранения пароля (два варианта: хеш либо зашифрованный пароль).
  • Минимальная длина пароля.
  • Минимальное число изменённых символов в новом пароле (только при хранении пароля в зашифрованном виде).
  • Минимальный и максимальный срок действия пароля, после которого система обяжет пользователя сменить пароль.
  • Число попыток до блокировки при подборе пароля, а также время, на которое блокируется аккаунт пользователя.
  • Состав символов пароля (специальные символы, буквы, цифры, верхний и нижний регистр и т. д.).

Изменённые парольные политики начинают влиять также и на администраторов системы, заставляя их обновить свои пароли.

Интерфейс аутентификации — централизованный и фронтальный, поэтому его требуется индивидуализировать. Для этого в системе предусмотрен набор стандартных шаблонов, которые открыты и доступны для редактирования в виде файлов. Достаточно скопировать стандартные файлы шаблонов в отдельный каталог, и далее можно будет выполнять их брендирование.

 

Аутентификация администратора в консоли управления

Прежде чем администратор попадёт в интерфейс управления, ему необходимо будет пройти идентификацию и аутентификацию. Поскольку все стандартные интерфейсы системы Avanpost FAM подключены к ней же самой для выполнения многофакторной аутентификации, их требуется предварительно создать. Для этого в системе имеется стандартный механизм, который проверяет существование и корректность настройки параметров стандартных приложений и выполняет их создание и настройку автоматически.

Для создания учётных записей в системе предусмотрен набор CLI-команд. Поэтому администратору достаточно всего лишь вызвать через bash (на Linux) либо cmd / PowerShell (на Windows) соответствующую команду, после чего можно будет выполнять вход в систему.

При этом если требуется защитить административный интерфейс дополнительными факторами аутентификации, то это можно сделать точно так же, как и для остальных приложений.

 

Интерфейс администратора

Для удобства управления системой через веб-браузер администратору предоставляется доступ к графическому интерфейсу.

 

Рисунок 23. Раздел «Пользователи» интерфейса администратора Avanpost FAM

 Раздел «Пользователи» интерфейса администратора Avanpost FAM

 

На вкладке «Пользователи» администратору доступна информация по каждому сотруднику: Ф. И. О., логин, адрес электронной почты и статус в системе («Активен» / «Неактивен»). Для просмотра подробной информации и редактирования профиля пользователя необходимо нажать на его Ф. И. О. в общем списке. Откроется карточка пользователя.

 

Управление пользователями

Система Avanpost FAM предоставляет администратору полный доступ к аутентификационной информации пользователей, позволяя быстро задать нужные параметры для входа в приложения и сервисы.

Доступны следующие операции:

  • регистрация новой учётной записи;
  • просмотр и редактирование карточки пользователя;
  • смена пароля;
  • блокировка / разблокировка (с заблокированной учётной записью пользователь не может получить доступ как к самой системе Avanpost FAM, так и к контролируемой корпоративной сети);
  • назначение доступных сотруднику приложений;
  • удаление пользователя из группы;
  • изменение учётных записей пользователя в приложениях Reverse Proxy и настольных программных продуктах;
  • управление ключевыми носителями, привязанными к учётной записи;
  • удаление пользователя.

 

Рисунок 24. Редактирование учётной записи «admin»

 Редактирование учётной записи «admin»

 

Рисунок 25. Приложения пользователя «admin»

 Приложения пользователя «admin»

 

Для аутентификации пользователя в приложениях Reverse Proxy и настольных программных продуктах администратор задаёт логин и пароль сотрудника, а также выбирает приложение, заведённое в системе, или прописывает домен. При прохождении процедуры аутентификации агент перехватывает окно ввода учётных данных и подставляет значения, заданные администратором.

 

Рисунок 26. Назначение учётных данных для входа пользователя в приложение 1С

 Назначение учётных данных для входа пользователя в приложение 1С

 

Администратор может завершить активные сессии пользователя в случае возможного нарушения режима информационной безопасности.

 

Рисунок 27. Активные сессии пользователя «admin»

 Активные сессии пользователя «admin»

 

Управление электронными ключами пользователя

Электронные ключи задаются администратором через веб-браузер в карточке пользователя.

 

Рисунок 28. Личная карточка пользователя, раздел «Токены»

 Личная карточка пользователя, раздел «Токены»

 

Привязка токена осуществляется по его серийному номеру, при этом можно отключить запрос на ввод PIN-кода устройства пользователем при аутентификации. После привязки информация о токене появляется в настройках агента на рабочей станции.

 

Рисунок 29. Назначение пользователю нового ключевого носителя

 Назначение пользователю нового ключевого носителя

 

При этом администратор может указать приложения, для работы с которыми пользователь обязан предъявить ключевой носитель.

 

Рисунок 30. Выбор приложений, доступ в которые будет осуществляться по ключевому носителю

 Выбор приложений, доступ в которые будет осуществляться по ключевому носителю

 

Рисунок 31. Администратор видит назначенный пользователю токен на рабочем месте

 Администратор видит назначенный пользователю токен на рабочем месте

 

Снятием флага «Прикреплён» администратор может отвязать электронный ключ от учётной записи в случае его потери или компрометации.

С помощью настроек агента пользователь может осуществлять управление электронными ключами (токенами), назначенными ему администратором системы.

 

Рисунок 32. Настройки Avanpost FAM Agent

 Настройки Avanpost FAM Agent

 

Управление группами

Группы предназначены для объединения пользователей и предоставления им доступа к различным приложениям. Управление группами осуществляется в одноимённом разделе интерфейса администратора.

 

Рисунок 33. Группы пользователей, созданные в системе

 Группы пользователей, созданные в системе

 

Администратор может создавать и удалять группы, добавлять и исключать пользователей, назначать и снимать доступные приложения.

 

Рисунок 34. Карточка группы «lk-client», отображены приложения, в которых система авторизует пользователей группы

 Карточка группы «lk-client», отображены приложения, в которых система авторизует пользователей группы

 

Управление приложениями

Раздел «Приложения» позволяет задать перечень программных продуктов, в которых система будет аутентифицировать пользователей.

 

Рисунок 35. Перечень доступных приложений

 Перечень доступных приложений

 

Администратор может добавлять и удалять приложения, отключать их (при этом все настройки остаются в системе), устанавливать параметры аутентификации пользователей и задавать JSON-шаблоны.

Для регистрации нового приложения в системе Avanpost FAM необходимо нажать кнопку «Добавить приложение» и задать соответствующие настройки.

 

Рисунок 36. Добавление нового приложения в систему Avanpost FAM

 Добавление нового приложения в систему Avanpost FAM

 

Система поддерживает следующие типы интеграции: SAML (применяется для корпоративных систем и SaaS-приложений, например Zoom), Open ID, Reverse Proxy, Desktop, RADIUS.

Если требуется, чтобы пользователь видел приложения в личном кабинете, то устанавливается флажок «Показывать приложение пользователям».

Далее в зависимости от типа интеграции задаются соответствующие параметры.

При интеграции по протоколу SAML 2.0 необходимо указать уникальный идентификатор приложения, а также адреса сервисов на стороне последнего, отвечающих за создание и прекращение сессий.

 

Рисунок 37. Интеграция Avanpost FAM с приложением по типу «SAML»

 Интеграция Avanpost FAM с приложением по типу «SAML»

 

При интеграции по протоколу OAuth выбирается тип «Open ID». Здесь задаются следующие параметры: уникальный идентификатор, секрет приложения (secret), URL для возврата пользователя после аутентификации и адрес сервиса (опять же на стороне приложения), отвечающего за прекращение сессий.

 

Рисунок 38. Интеграция Avanpost FAM с приложением по типу «Open ID»

 Интеграция Avanpost FAM с приложением по типу «Open ID»

 

При подключении приложения с помощью Reverse Proxy задаются следующие параметры:

  • базовый адрес / хост приложения, по которому механизм обратного проксирования должен отличать запросы к данной программе от запросов к любым другим;
  • адрес бэкенд-сервера целевого приложения, на который механизм Reverse Proxy будет обращаться с модифицированными HTTP- / HTTPS-запросами пользователя и ожидать ответа.

 

Рисунок 39. Интеграция Avanpost FAM с приложением по типу «Reverse Proxy»

 Интеграция Avanpost FAM с приложением по типу «Reverse Proxy»

 

В выпадающем списке администратор может выбрать один из четырёх методов аутентификации в приложении:

  • «Без аутентификации» — в этом случае запросы проксируются через Avanpost FAM с проверкой авторизации на уровне групп;
  • «Базовый» — передача данных для аутентификации (логина и пароля пользователя, настроенных в его профиле для данного приложения) по схеме HTTP Basic в соответствии с RFC 7617;
  • «Пользовательский скрипт» — аутентификация и модификация запросов пользователя в соответствии со сценариями, описываемыми на языке JavaScript;
  • «Форма» — передача данных аутентификации по схеме HTTP Form Authentication.

При интеграции по типу «Desktop» задаётся JSON-шаблон аутентификации в поле ввода или в виде файла. Шаблон должен содержать заголовок (уникальный идентификатор приложения, название его окна, наименование соответствующего процесса операционной системы) и набор команд (JSON-блоки внутри коллекции «commands»), которые выполняются автоматически за пользователя в случае, если тот успешно прошёл процедуру аутентификации в системе Avanpost FAM. Шаблон не требует расширенных знаний языка и дополнительных инструментов для написания.

 

Рисунок 40. Интеграция Avanpost FAM с приложением по типу «Desktop»

 Интеграция Avanpost FAM с приложением по типу «Desktop»

 

Допускаются следующие команды шаблона аутентификации: пауза (для загрузки окна или полей приложения), ввод текста, нажатие клавиши и комбинации клавиш.

Все шаблоны загружаются в агент автоматически и не требуют ручной установки на АРМ пользователя.

 

Управление сценариями многофакторной и адаптивной аутентификации

На вкладке «MFA» карточки группы и в параметрах приложения задаётся многофакторная аутентификация. Администратор определяет очерёдность этапов и используемый на каждом из них фактор аутентификации.

 

Рисунок 41. Настройка аутентификации для нового приложения

 Настройка аутентификации для нового приложения

 

Возможно использование нескольких факторов аутентификации на одном шаге. Администратор сам выбирает опционально тот или иной фактор.

Допускается настраивать разные комбинации факторов в зависимости от работы пользователя, к примеру:

  • для настольного приложения внутри сети (например, SAP Logon) на первом шаге использовать комбинацию пароля и доменной аутентификации Kerberos, а на втором — смарт-карту;
  • для внешних пользователей на первом шаге использовать пароль, а на втором — TOTP, OTP в SMS-сообщении / электронном письме или пуш-уведомление в Telegram;
  • для работы в беспарольном сценарии аутентификации на первом шаге использовать доменную аутентификацию Kerberos, а на втором — смарт-карту без запроса PIN-кода либо пуш-уведомление на смартфон.

Для адаптивной аутентификации доступно использование данных среды, включая сетевое окружение, данные СКУД и т. д.

 

Рисунок 42. Карточка приложения 1С, настройка многофакторной аутентификации

 Карточка приложения 1С, настройка многофакторной аутентификации

 

В качестве факторов доступны постоянный пароль, временный одноразовый пароль, SMS-сообщения, аутентификация через внешний провайдер по протоколу OAuth2 / OpenID Connect, протокол Kerberos, цифровой ключ, IP-адрес. Перечень доступных факторов может быть расширен путём установки дополнительных библиотек провайдеров аутентификации.

 

Стандартный сценарий использования системы

Стандартный сценарий использования системы Avanpost FAM включает в себя следующие шаги:

  • регистрация приложения и пользователя,
  • создание группы,
  • добавление приложения и пользователя в группу,
  • проверка доступности приложения пользователю в системе,
  • успешная авторизация пользователя в приложении.

Подробнее с механизмами настройки Avanpost FAM на каждом шаге можно ознакомиться в эксплуатационной документации на сайте разработчика.

 

Отчёты

Avanpost FAM ведёт электронный журнал регистрации событий, связанных с попытками пользователей пройти процедуру аутентификации. Сводный отчёт содержит подробную информацию о действиях пользователей, времени обращений к информационной системе и приложениям, результатах попыток входа.

 

Работа в системе с точки зрения пользователя

У пользователей, в свою очередь, есть личный кабинет вкупе с механизмами по управлению ключевыми носителями и смене пароля. Это позволяет снизить нагрузку на корпоративную службу технической поддержки.

 

Личный кабинет пользователя

 

Рисунок 43. Личный кабинет пользователя Avanpost FAM

 Личный кабинет пользователя Avanpost FAM

 

На главной странице в разделе «Мои приложения» отображены все доступные пользователю (в соответствии с правилами) программные комплексы и облачные сервисы. Пиктограммы, которые видны на предыдущей иллюстрации, служат для быстрого перехода к ним в рамках действующей сессии авторизации.

В разделе «Профиль» пользователь имеет возможность самостоятельно изменить свою личную информацию и основной пароль.

 

Рисунок 44. Личная карточка пользователя в системе Avanpost FAM

 Личная карточка пользователя в системе Avanpost FAM

 

В разделе «Факторы аутентификации» пользователю доступно управление персональными параметрами многофакторной аутентификации, а также доступна возможность подключения или отключения отдельных факторов аутентификации, разрешённых администратором к управлению в режиме самообслуживания.

 

Рисунок 45. Управление факторами аутентификации в режиме самообслуживания

Управление факторами аутентификации в режиме самообслуживания

Управление факторами аутентификации в режиме самообслуживания

 

При необходимости пользователь может управлять своими параметрами — к примеру, языком интерфейса.

 

Рисунок 46. Настройка параметров личного кабинета

 Настройка параметров личного кабинета

 

Также пользователю доступен для просмотра список его сеансов.

 

Рисунок 47. Список текущих сеансов пользователя

 Список текущих сеансов пользователя

 

Использование агента Avanpost FAM

Для того чтобы агент, установленный на рабочем месте, выполнял свои функции, пользователю необходимо пройти однократную процедуру аутентификации.

 

Рисунок 48. Окно авторизации агента Avanpost FAM

 Окно авторизации агента Avanpost FAM

 

Рисунок 49. Сообщение об успешной аутентификации пользователя

 Сообщение об успешной аутентификации пользователя

 

В случае если на сервере Avanpost FAM для агентского приложения настроена аутентификация по первому фактору посредством Kerberos, агент Avanpost FAM будет пытаться инициировать соответствующий протокол удостоверения личности. Без использования доменной аутентификации операционной системы пользователю будет предложено самостоятельно пройти идентификацию и аутентификацию (в приведённом выше примере — по первому фактору «Пароль»).

Пользователь может применять агент Avanpost FAM, аутентифицированный по первому фактору, для входа в личный кабинет системы. Для этого требуется открыть контекстное меню агента и выбрать пункт «Перейти в личный кабинет».

 

Рисунок 50. Запуск личного кабинета пользователя с помощью агента

 Запуск личного кабинета пользователя с помощью агента

 

Агент Avanpost FAM перехватывает окна только тех настольных приложений, которые явно указаны в качестве таковых на сервере Avanpost FAM и для которых настроен корректный шаблон аутентификации, позволяющий агенту однозначно идентифицировать окно приложения. При появлении оконной формы контролируемой программы агент автоматически подставляет валидные учётные данные пользователя. Вся операция занимает несколько секунд.

 

Рисунок 51. Перехват агентом оконной формы приложения

 Перехват агентом оконной формы приложения

 

Если для запущенного пользователем приложения настроена аутентификация с применением аппаратного второго фактора, то агент Avanpost FAM запрашивает у сотрудника предъявление соответствующего устройства (токена).

 

Выводы

Система Avanpost FAM помимо того, что упрощает взаимодействие пользователей с корпоративными сетевыми ресурсами, существенно снижает нагрузку на системных администраторов и техническую поддержку. Использование SSO в качестве единой точки входа повышает скорость доступа к данным, а сам механизм аутентификации автоматизируется.

Для повышения уровня безопасности обрабатываемой в системе информации в Avanpost FAM реализована поддержка многофакторной и адаптивной аутентификации с использованием всех возможных современных факторов (электронные ключи и смарт-карты, биометрические данные пользователя, электронная подпись и SSL-сертификаты, одноразовые пароли, доверенные устройства и доменная аутентификация).

Данный продукт направлен на снижение издержек бизнеса, повышение общего уровня безопасности внутренней сети предприятия и удобства работы пользователей.

Достоинства:

  • Продукт российской компании, который включён в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России и может применяться в условиях роста спроса на импортозамещающее ПО.
  • Позволяет осуществлять централизованный контроль сессий аутентификации и управление ими во всех корпоративных системах.
  • Поддержка всех современных факторов аутентификации с возможностью комбинировать их наборы для разных категорий сотрудников с целью повышения безопасности доступа к критически значимой информации.
  • Разворачивается на мощностях заказчика, предотвращая использование недоверенных или иностранных серверов.
  • Предоставление личного кабинета пользователям снижает нагрузку на корпоративную службу технической поддержки, а навигация по приложениям позволяет возложить на SSO-решение также и обязанности по информированию и координации пользователей по ресурсам организации.

Недостатки:

  • Не хватает развёрнутого описания ошибок, возникающих при эксплуатации системы (таких как отсутствие у пользователя прав на выполнение операции).

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Выбор редакции: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.