Перейти к основному содержимому

Агент Token Validator Proxy

Основным элементом сервиса MFA компании «Индид Облако» является узел аутентификации – это адрес ресурса, который выполняет запрос на аутентификацию пользователя. Для корректной работы агента с сервером аутентификации необходимо каждый узел аутентификации прописать на сервере аутентификации. Несмотря на то, что MFA поддерживает возможность задать диапазон адресов, пользователи могут столкнуться с одной из следующих проблем:

  • Диапазон адресов невозможно однозначно определить.
  • Необходимо иметь возможность задавать режим «bypass» для большого количества узлов аутентификации (например, агенты для входа на рабочую станцию).

В этом случае рекомендуется использовать агент Token Validator Proxy (TVP), который на вход принимает запросы на аутентификацию, далее транслирует их на сервер аутентификации MFA. Для работы TVP необходимо:

  • В конфигурации самого TVP указать адрес сервера аутентификации MFA.
  • В конфигурации используемых агентов аутентификации вместо адреса MFA указать адрес TVP.
  • Добавить адрес TVP в список узлов аутентификации на сервере MFA.

Агент поддерживает все типы аутентификаторов, что делает его прозрачным прокси в системе аутентификации.

Отказоустойчивость и балансировка

Для обеспечения отказоустойчивости интеграции через TVP можно в агенте интеграции с целевым сервисом указать два адреса TVP, а сам агент TVP разместить за веб-балансировщиком, работающим в отказоустойчивом режиме (keepalive). TVP после обработки запроса на аутентификацию не хранят никакой информации о статусе, поэтому привязывать целевые ресурсы к определенным TVP не требуется.