101 lines
7.6 KiB
Markdown
101 lines
7.6 KiB
Markdown
|
# Компоненты сервиса
|
|||
|
|
|
|||
|
|
## Виды компонентов
|
|||
|
|
|
|||
|
|
В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
|
|||
|
|
|
|||
|
|
- **Личный кабинет администратора**
|
|||
|
|
- **RADIUS Adapter**
|
|||
|
|
- **LDAP Adapter**
|
|||
|
|
- **Портал самообслуживания (SelfService Portal)**
|
|||
|
|
|
|||
|
|
Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**.
|
|||
|
|
|
|||
|
|
## 1. Личный кабинет администратора
|
|||
|
|
|
|||
|
|
**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:
|
|||
|
|
|
|||
|
|
- пользователями;
|
|||
|
|
- группами пользователей;
|
|||
|
|
- интеграцией с защищаемыми информационными системами;
|
|||
|
|
- списком доступных вторых факторов.
|
|||
|
|
|
|||
|
|
Управление осуществляется ИТ-специалистами.
|
|||
|
|
|
|||
|
|
## 2. Radius Adapter
|
|||
|
|
|
|||
|
|
**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.
|
|||
|
|
|
|||
|
|
::: warning Примечание
|
|||
|
|
|
|||
|
|
RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).
|
|||
|
|
|
|||
|
|
:::
|
|||
|
|
|
|||
|
|
### Возможности
|
|||
|
|
|
|||
|
|
- приём запросов на аутентификацию по протоколу RADIUS;
|
|||
|
|
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
|
|||
|
|
- проверка второго фактора на устройстве пользователя;
|
|||
|
|
- настройка второго фактора в режиме диалога с пользователем;
|
|||
|
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
|||
|
|
- избирательное включение второго фактора по组成员ству в группе AD;
|
|||
|
|
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
|
|||
|
|
- проксирование запросов и ответов Network Policy Server;
|
|||
|
|
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
|||
|
|
- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.
|
|||
|
|
|
|||
|
|
## 3. LDAP Adapter
|
|||
|
|
|
|||
|
|
**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.
|
|||
|
|
|
|||
|
|
::: warning Примечание
|
|||
|
|
|
|||
|
|
Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.
|
|||
|
|
|
|||
|
|
:::
|
|||
|
|
|
|||
|
|
### Возможности
|
|||
|
|
|
|||
|
|
- проксирование сетевого трафика по протоколу LDAP;
|
|||
|
|
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
|
|||
|
|
- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
|
|||
|
|
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
|
|||
|
|
- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
|
|||
|
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
|||
|
|
- избирательное включение второго фактора по членству в группе AD;
|
|||
|
|
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
|||
|
|
- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.
|
|||
|
|
|
|||
|
|
## 4. Портал самообслуживания
|
|||
|
|
|
|||
|
|
**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.
|
|||
|
|
|
|||
|
|
### Назначение и особенности
|
|||
|
|
|
|||
|
|
Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.
|
|||
|
|
|
|||
|
|
### Возможности
|
|||
|
|
|
|||
|
|
- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
|
|||
|
|
- Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
|
|||
|
|
- настройка второго фактора аутентификации;
|
|||
|
|
- смена пароля пользователя после подтверждения второго фактора;
|
|||
|
|
- смена просроченного или требующего замены пароля;
|
|||
|
|
- единая точка входа (Single Sign‑On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
|||
|
|
- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
|
|||
|
|
- управление ActiveSync‑устройствами для доступа к почте Exchange;
|
|||
|
|
- поддержка проверки CAPTCHA на странице входа в портал.
|
|||
|
|
|
|||
|
|
## Соответствие тарифов и адаптеров
|
|||
|
|
|
|||
|
|
|Подключаемый сервис | Тип адаптера |
|
|||
|
|
|--------------------|-----------------|
|
|||
|
|
|NGAF ra VPN | LDAP |
|
|||
|
|
|UserGate ra VPN | LDAP |
|
|||
|
|
|Pfsense ra VPN | RADIUS |
|
|||
|
|
|OWA | Модуль для OWA |
|
|||
|
|
|ADFS | Модуль для ADFS |
|
|||
|
|
|Vmware horizon VDI | RADIUS |
|
|||
|
|
|
|||
|
|
Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.
|