Avanpost FAM

Поддерживаемые технологии аутентификации для корпоративных приложений

Система Avanpost FAM содержит в себе весь необходимый арсенал технологий интеграции с корпоративными приложениями всех видов:   

• Технология IDP с использованием протоколов SAML 2.0, OpenID Connect/OpenID, OAuth для современных приложений.
• Технология Reverse Proxy для унаследованных веб-приложений с возможностью настройки сценариев аутентификации любой сложности.
• Технология перехвата окон через Агент Avanpost FAM (ESSO/Enterprise SSO) для унаследованных десктопных приложений.
• Технология сервера аутентификации RADIUS для VPN, VDI и RDP-решений.
• Технология аутентификации в ОС Windows через FAM при помощи Microsoft Credential Provider.
• Технология аутентификации в ОС Linux через FAM при помощи PAM Linux.

TOTP

Для усиления аутентификации в Avanpost FAM присутствует возможность использования технологии одноразовых паролей TOTP (Time-based One Time Password Algorithm). На текущий момент поддерживается реализация данной технологии в виде приложения Google Authenticator. Пользователь устанавливает на свой телефон соответствующее мобильное приложение и получает там одноразовые пароли, которые должен вводить при аутентификации в Avanpost FAM помимо основного логина и пароля. Настройка дополнительного фактора аутентификации может осуществляться в том числе для отдельных критичных приложений.

Поддержка всех современных факторов аутентификации

Avanpost FAM поддерживает весь арсенал современных физических факторов, включая ключевые носители, биометрические считыватели и считыватели меток. Платформа, объединяющая функций ESSO и Web SSO, позволяет компании внедрить единые пропуска сотрудников. Данный пропуск может быть использован как для прохода на территорию предприятия, так и в качестве дополнительного фактора аутентификации в корпоративную сеть и любые приложения.

Поддерживаемые факторы аутентификации: 

• Аппаратные факторы аутентификации (ruToken, eToken, ESMART, MS_Key и другие), включая ключевые носители, биометрические считыватели, считыватели RFID-меток (часто применяется в СКУД), пин-коды, WebAuthn/FIDO U2F, доверенные устройства.
• Сертификаты (SSL Client Certificate) и электронные подписи (ГОСТ ЭП).
• Одноразовые пароли (OTP/TOTP/HOTP) с использованием аутентификаторов, OTP через SMS, OTP через E-mail, OTP через мессенджеры, Passwordless (Magic Link).
• Push-подтверждения в мессенджеры (Telegram).
• Доменная аутентификация (SPNEGO/Kerberos) и использование других данных окружения пользователя.
• LDAP-аутентификация.
• Система PayControl (мобильное приложение Android/iOS).

Современный технологический стек и удобство интеграции

Решение работает в следующих средах: 

• Средство автоматизации развертывания и контейнеризации Docker.
• Серверные ОС CentOS, RHEL, Debian, Oracle, Microsoft Windows Server, Astra Linux 1.6, АЛЬТ 8 СП.
• Десктопные ОС Microsoft Windows Desktop 7/8/10 для работы Агента FAM.

Поддерживает работу на базе высокопроизводительной и надежной СУБД PostgreSQL.

Поддерживает высокопроизводительные интеграционные сервисы gRPC и Apache Kafka, а также RESTful API с применением OpenAPI/Swagger.

Работа с различными источниками учетных записей

В качестве источников данных об учетных записях Avanpost FAM может использовать: 

• LDAP-каталоги Microsoft Active Directory, OpenDJ, FreeIPA, openldap.
• Решения класса Identity Management.
• Внешние SAML и OAuth IDP.
• Витрины данных и базы данных Microsoft SQL Server, PostgreSQL, Oracle.
• Любые источники данных, поставляющие данные по API и шине данных. 
• Встроенное хранилище учетных записей Avanpost FAM с интерфейсом управления.

Личный кабинет пользователя

Для удобства пользователя в Avanpost FAM реализован личный кабинет, в котором он, помимо управления своими данными и факторами аутентификации, может посмотреть каталог доступных ему приложений, представленный в виде визуализированных иконок. По клику мыши на иконку пользователь может аутентифицироваться в одном из них. Также в интерфейсе пользователя доступна информация по его профилю с возможностью редактирования личных данных.

Личный кабинет пользователя легко интегрируется в ИТ-экосистему и может стать простым и понятным навигатором по ресурсам организации для сотрудников.

Механизм изменения и распространения пароля для унаследованных приложений

Avanpost FAM интегрируется с унаследованными целевыми приложениями с помощью коннекторов и обеспечивает автоматическую смену паролей в них в соответствии с заданными парольными политиками. После смены пароли доставляются в профиль пользователя, что позволяет ему осуществлять прозрачную аутентификацию в приложениях при соблюдении действующих политик безопасности.

Avanpost FAM позволяет реализовать автоматическое исполнение парольных политик прозрачно для пользователя без ограничения по их требованиям. Т.е. пароли могут меняться каждый месяц, быть длиной больше 10 символов и содержать весь машинный алфавит. Это значительно затруднит атаку злоумышленника прямым перебором паролей.

Автоматическое изменение пароля пользователя в управляемых ИС на основании настраиваемых политик позволяет защитить аккаунты от кражи или подбора пароля.