Модуль PAM обеспечивает многофакторную и многошаговую аутентификацию в ОС Linux как при входе в графическую оболочку рабочих станций и серверов, так и при работе в терминале. При этом параметры сценария аутентификации управляются централизованно из административной консоли системы FAM.
В свою очередь, новая версия Credential Provider, поставляемая с Avanpost FAM, обеспечивает многофакторную и многошаговую аутентификацию в ОС Windows. Модуль использует полностью стандартные легковесные механизмы и API операционной системы Windows и поставляется стандартными средствами Microsoft-инфраструктуры. Кроме того, он может работать и с доменными пользователями, и с локальными учётными записями операционной системы. Модуль можно применять не только для многофакторной аутентификации и разблокировки сеанса в Windows, но также сброса и смены пароля.
Avanpost FAM позволяет обеспечить усиленную дополнительными факторами аутентификацию для отдельных групп специалистов с повышенными привилегиями, к примеру, администраторов, оставаясь при этом удобным и простым сервисом входа для остальных сотрудников. Достичь этого можно с помощью централизованных средств настройки сценариев аутентификации, доступных в административной консоли FAM новой версии.
Защитить корпоративные API и микросервисы можно за счет развитых средств протокола OAuth 2.0. FAM позволяет реализовывать сценарии с применением общего Access Token, разделяемого между системами, что упрощает администрирование средств аутентификации при наличии большого числа микросервисов. Для последних также была реализована встроенная функциональность авторизации, позволяющая получать набор полномочий субъекта в составе JWT-токена в соответствии с UMA. Это экономит затраты на самостоятельную авторизацию на стороне микросервисов.
В новой версии добавлена поддержка метрик работы системы в формате Prometheus. Метрики можно применять для автоматизации процессов в Kubernetes. Также они могут быть полезны для отображения оперативной информации о важных показателях работы системы в реальном времени, к примеру, при помощи дашбордов Grafana.
Чтобы упростить интеграцию с приложениями в бизнес-сценариях, разработчики добавили в Avanpost FAM новый GraphQL API. Являясь более современным и удобным форматом для получения данных, чем классический REST API, он позволяет сократить затраты на реализацию интеграций корпоративных систем с FAM.
Используя Avanpost FAM, можно контролировать активные сеансы аутентификации сотрудников в различных приложениях и при необходимости блокировать доступ. Развитые средства самообслуживания сотрудников, доступные в новой версии системы, в том числе средства инициализации аутентификаторов, позволяют существенно снизить нагрузку с администраторов и упростить ввод системы в эксплуатацию.
«Новая версия поддерживает средства аутентификации для самых требовательных компонентов корпоративной инфраструктуры – микросервисов, при этом сохраняет все необходимые функции для классических корпоративных приложений. Механизмы управления аутентификацией, реализованные в Avanpost FAM, позволяют выстраивать многофакторные сценарии, исходя из критичности систем и привилегированности сотрудников», – отметил Дмитрий Грудинин, системный архитектор компании «Аванпост».
Avanpost FAM (Federated Access Manager) – платформа для единой аутентификации сотрудников в корпоративных приложениях, которая обладает уникальными функциональными возможностями на российском рынке. Система единого входа, созданная с помощью Avanpost FAM, позволяет организовать прозрачную и многофакторную аутентификацию в мобильных и веб-приложениях, приложениях с толстым клиентом, SaaS-сервисах и терминальных решениях. Продукты такого класса сейчас, в условиях удаленного режима работы, особенно востребованы.
Отличительной особенностью Avanpost FAM является поддержка обширного пула технологий аутентификации: Enterprise SSO (ESSO), IDP (Identity Provider, включая SAML и OAuth/OpenID Connect), Reverse Proxy (Web Access Manager), RADIUS, Credential Provider для Windows, PAM для Linux/UNIX. Это позволяет обеспечить по-настоящему «бесшовную» единую однократную аутентификацию в смешанных ИТ-инфраструктурах, где есть приложения как с «толстым», так и с «тонким» клиентом, рабочие станции, веб-интерфейсы, микросервисы и мобильные приложения.