Интеграция с Avanpost FAM

Avanpost FAM — система единой аутентификации, которая применяется для продуктов ПО Скала^р Визион, ПО Скала^р Геном, ПО Скала^р Спектр и Скала^р Спектр S3, входящих в состав машин Скала^р.

При помощи Avanpost FAM реализуются следующие функции:

  • аутентификация по протоколу OIDC;

  • управление пользователями (заведение, активация, деактивация);

  • разграничение доступа при помощи ролей;

  • парольная политика;

  • управление сессиями пользователей;

  • журналирование событий безопасности;

  • возможность интеграции с каталогами пользователей LDAP(s).

Подробное описание всех функциональных возможностей приведено в документации производителя.

Avanpost FAM предназначен для аутентификации привилегированных пользователей, осуществляющих эксплуатацию машин.

Серверы Avanpost FAM размещаются на виртуальных машинах Базового модуля.

В сетевой архитектуре машин Avanpost FAM размещается во внутренней сети управления и доступен только привилегированным пользователям.

Avanpost FAM предоставляет административный интерфейс для администраторов FAM и пользовательские интерфейсы для доступа привилегированных пользователей к продуктам ПО Скала^р Визион, ПО Скала^р Геном, ПО Скала^р Спектр и Скала^р Спектр S3, входящих в состав машин Скала^р.

Схема потоков Avanpost FAM приведена на рисунке ниже.

image$avanpost fam schema
Настройка сервисов, отмеченных знаком, *, в базовой конфигурации не производится.

В таблице указаны назначения сетевых интерфейсов Avanpost FAM:

Сетевой интерфейс Назначение Протокол Порты по умолчанию

Web Auth UI

Аутентификация в веб-приложения, подключенные через OAuth/OpenID Connect, SAML, Reverse Proxy

HTTP/HTTPS

80/443

SelfService Web UI

Самообслуживание пользователей через веб-интерфейс личного кабинета

HTTP/HTTPS

80/443

Admin Web UI

Администрирование системы через веб-интерфейс административной консоли

HTTP/HTTPS

80/443

Metrics

Запросы на сбор метрик

HTTP/HTTPS

80/443

В таблице указаны внешние обращения к сетевым интерфейсам со стороны компонента Avanpost FAM Server:

Механизм Назначение Протокол Порты по умолчанию

Syslog

Отправка сообщений через syslog

TCP/UDP

514

LDAP Sync

LDAP-синхронизация, LDAP-аутентификация

LDAP/LDAPs

389/639

Базовая предварительно настроенная конфигурация.

Avanpost FAM интегрирован со Спектр S3. В базовой конфигурации настроены соответствующие приложения, роли и локальные группы Avanpost FAM, парольная политика, локальный суперпользователь с логином skala.

Административный интерфейс Avanpost FAM доступен по адресу:

https://<IP-адрес сервера avantpost fam>:<port>

Учётные данные суперпользователя Avanpost FAM:

  • логин: skala;

  • пароль: P@$$w0rd.

В качестве метода аутентификации установлен метод с использованием пароля с локальной базой данных в Avanpost FAM. В случае необходимости применения LDAP-каталогов (MS AD, OpenLDAP и др.) либо дополнительных методов аутентификации, необходимо произвести дополнительную настройку по инструкции.

Роли Avanpost FAM в базовой конфигурации приведены в таблице:

Наименование ПО Наименование приложения в Avanpost FAM Роль Имя локальной ролевой группы Avanpost FAM

Скала^р Спектр S3

s3gateway

Администратор

Admin

Скала^р Спектр S3

s3gateway

Аудитор

Auditor

Скала^р Спектр S3

s3gateway

Администратор тенанта

TenantAdmin

Скала^р Спектр S3

s3gateway

Аудитор тенанта

TenantAuditor

Пользователи Avanpost FAM в базовой конфигурации приведены в таблице:

Наименование ПО Роль пользователя Логин Пароль Ролевая группа в Avanpost FAM

Avanpost FAM

Локальный суперпользователь

skala

P@$$w0rd

adminconsole

Скала^р Спектр S3

Администратор Спектр S3

skala

P@$$w0rd

Admin

Парольная политика по умолчанию.

В ПО Avanpost FAM пред настроена политика по умолчанию с следующими параметрами:

  • шифрование пароля — вкл;

  • количество измененных символов: старый/новый пароль — 0;

  • минимальный срок жизни пароля — 1 день;

  • максимальный срок жизни пароля — 42 дня;

  • вести журнал паролей — вкл;

  • размер журнала паролей — 24;

  • минимальная длина пароля — 8;

  • максимальная длина пароля — 14;

  • пароль должен содержать цифры — вкл;

  • пароль должен содержать буквы в нижнем регистре — вкл;

  • пароль должен содержать буквы в верхнем регистре — вкл;

  • пароль должен содержать специальные символы — вкл;

  • блокировка пользователя при неправильном вводе пароля — да;

  • максимальное количество попыток ввода пароля — 3;

  • время блокировки пользователя — 1 день;

  • проверять пароль в черном списке — да;

  • срок действия ссылки для активации/восстановления пароля — 15 мин;

  • показывать капчу при вводе неверного пароля — нет.

Общий алгоритм настройки Avanpost FAM для предоставления доступа к Спектр S3:

  1. Авторизуйтесь в административном интерфейсе Avanpost FAM.

  2. Добавьте конфигурацию для приложения через пункт Добавить приложение.

  3. В конфигурации приложения укажите параметры интеграции.

  4. В конфигурации приложения укажите параметры области.

  5. Настройте ролевую модель доступа:

    1. Создайте группы.

    2. Создайте роли.

    3. Настройте соответствия для созданных групп и ролей.

  6. Создайте пользователей и установите им пароли.

  7. Назначьте пользователям роли посредством включения их в соответствующие группы.