Добрый день,
В данный момент, у заказчика публикация приложений реализована средствами программного продукта Web application proxy (WAP) из состава MS Windows server. Вопрос: можно ли средствами ПП Avanpost FAM реализовать аналогичный функционал?
Добрый день
Стоят задачи:
- Доступ для внешних пользователей к опубликованным приложениям по http, https
- аутентификация и авторизация средствами Avanpost FAM
Если выполняется взаимодействие между приложениями заказчика и WAP от MS просто прокси с предварительной аутентификацией - проблем нет.
Главный аспект взаимодействия, который необходимо понимать, чтобы убедиться в применимости FAM - реализуется ли аутентификация внутрь этих приложений. Если да - то какой механизм аутентификации применяется. Просто у MS много своих проприетарных механизмов аутентификации, которые используются в основном в кастомных сервисах/приложениях на базе .Net/Microsoft IIS.
В проприетарную историю теоретически тоже можно идти, проблем нет, но потребуется доработка на заказ. Либо переделать аутентификацию внутри самих приложений на стандартный протокол типа OIDC.
Если задача - проксировать с предварительной аутентификацией средствами FAM без аутентификации внутри самих приложений - то аспекты реализации взаимодействия WAP с приложениями не важны.
Мы делали кейс, когда наш Reverse Proxy аутентифицирует пользователя и далее пропускает запрос в приложение, а для аутентификации внутрь приложения это же приложение подключается к FAM по OIDC/SAML. Работает прекрасно.
Речь о FAM - ReverseProxy приложении - Avanpost FAM/MFA+ : 3.3.7. Reverse Proxy
Доступ через Reverse Proxy приложение проксирует весь трафик между backend сервером и клиентом
Плюс сейчас есть ещё отчуждаемый компонент Reverse Proxy. Работает идентично встроенному в FAM Server интерфейсу, но может устанавливаться в DMZ без публикации FAM Server наружу.