Avanpost Authenticator позволяет пользователям проходить многофакторную аутентификацию посредством наиболее универсального и удобного метода - при помощи подтверждения запросов в мобильном приложении. Данный метод применим для безопасной аутентификации во все типы информационных систем – для веб-приложений, сайтов и порталов (OpenID Connect, OAuth 2.0, SAML, Reverse Proxy), десктопных приложений (Enterprise SSO), инфраструктурных сервисов (VPN, VDI и RPD, подключаемых через RADIUS), рабочих станций и серверов под управлением Windows (Credential Provider) и Linux (PAM Linux).
Мобильное приложение объединяет в рамках одного аутентификатора сразу два метода подтверждения доступа - механизм push-запросов и механизм входа по одноразовому коду. Поэтому в случае отсутствия связи на мобильном устройстве пользователя он может воспользоваться одноразовым кодом, выпускаемым приложением Avanpost Authenticator. При использовании Avanpost Authenticator нет необходимости регистрировать отдельно TOTP и аутентификацию через push-запросы – они уже совмещены в рамках одного удобного метода аутентификации.
Активация аутентификатора на устройстве пользователя осуществляется путём считывания QR-кода в мобильном приложении Avanpost Authenticator как через личный кабинет, так и при первой аутентификации нового пользователя. Для информационных систем, подключаемых посредством RADIUS (например, VPN и VDI-решений и других инфраструктурных сервисов) и с помощью механизма Logon Provider (рабочие станции и сервера под управлением ОС Microsoft Windows), приложение предоставляет также функциональность inline-выпуска аутентификатора в режиме диалога. Это позволяет реализовать максимально простую и удобную для пользователей и администраторов процедуру привязки аутентификатора при первом подключении к VPN или VDI.
Особое внимание при создании Avanpost Authenticator было уделено вопросам безопасности размещения в инфраструктуре заказчика. За счёт своей архитектуры приложение продолжит функционировать даже в случае недоступности сервисов Google Cloud Messaging и Apple Push Notification Services, предоставляющих стандартные сервисы push-запросов в Android и iOS. Также разработчики предусмотрели изолированное размещение компонентов системы Avanpost FAM, необходимых для работы Avanpost Authenticator, в демилитаризованной зоне (DMZ) on-premise инфраструктуры. Для удобства самостоятельного внедрения решения предусмотрен инженерный режим, позволяющий администраторам продиагностировать взаимодействие приложения Avanpost Authenticator с Avanpost FAM.
С точки зрения защиты пользовательских аккаунтов от компрометации предусмотрен ряд мер. Все запросы и ответы Avanpost Authenticator подписываются ключом, который хранится на пользовательском устройстве. В приложении предусмотрена функциональность разблокировки приложения при помощи PIN-кода и отпечатка пальца. Администраторы системы Avanpost FAM, в свою очередь, могут самостоятельно заблокировать мобильный аутентификатор, либо ограничить доступ пользователям из группы риска.
«Кибератак сегодня становится все больше. Обезопасить себя от них при помощи пароля пользователь может далеко не всегда. Как результат, корпоративным ресурсам сильно не хватает дополнительных инструментов, таких как Avanpost Authenticator. С помощью данного метода аутентификации можно значительно упростить процесс аутентификации без снижения его безопасности и ощутимо повысить удобство для пользователей. Выгодно отличает его от аналогов архитектура, построенная с учётом актуальных и возможных рисков и ориентированная на независимость от внешних и зарубежных сервисов» , - комментирует Дмитрий Грудинин, системный архитектор компании «Аванпост».
Avanpost Authenticator поддерживает популярные мобильные операционные системы iOS 12+ и Android 5+. Найти решение можно в магазинах приложений для смартфонов на iOS и Android.