➡️ MFA в PAM: кто проверяет второй фактор и почему это важно
При защите привилегированного доступа хорошим тоном считается использовать двухфакторную аутентификацию. Во многих случаях этого напрямую требуют нормативные документы, да и здравый смысл подсказывает, насколько важно надёжно идентифицировать пользователя, обладающего повышенными полномочиями.
В случае с Avanpost SmartPAM возможны два сценария.
🔘 Первый – встроенная проверка TOTP (Time-based One-Time Password) внутри самой PAM-системы. При локальной аутентификации SmartPAM может выступать сервером проверки одноразовых кодов. Сервер генерирует и сохраняет секрет, пользователь добавляет его в любой совместимый TOTP-аутентификатор (Яндекс ID, Avanpost, Google Authenticator и др.), а при входе приложение и сервер независимо вычисляют одноразовый код на основе общего секрета и текущего времени. SmartPAM сравнивает результат, контролирует число попыток и, таким образом, полностью отвечает за проверку второго фактора.
🔘 Второй сценарий – делегирование аутентификации Identity Provider (например, Avanpost FAM) с использованием протокола OpenID Connect. В этом случае пользователь проходит многофакторную аутентификацию в IDP – с применением поддерживаемых последним факторов и сценариев аутентификации. SmartPAM со своей стороны убеждается, что пользователь прошел аутентификацию у доверенной стороны, и предоставляет ему привилегированный доступ.
Таким образом, Avanpost SmartPAM может как самостоятельно проверять второй фактор, так и полагаться на уже существующую инфраструктуру аутентификации через IDP. Выбор зависит от особенностей вашей инфраструктуры 👉
