102 lines
7.2 KiB
Markdown
102 lines
7.2 KiB
Markdown
|
# Компоненты сервиса
|
||
|
|
|
||
|
|
## Виды компонентов
|
||
|
|
|
||
|
|
В зависимости от задачи и типа защищаемых систем сервис Cloud Multifactor Authentication (MFA) использует один или несколько технических компонентов:
|
||
|
|
|
||
|
|
- Личный кабинет администратора
|
||
|
|
- RADIUS Adapter
|
||
|
|
- LDAP Adapter
|
||
|
|
- Портал самообслуживания (SelfService Portal)
|
||
|
|
|
||
|
|
> Все перечисленные компоненты разрабатывает и поддерживает компания Мультифактор.
|
||
|
|
|
||
|
|
## Личный кабинет администратора
|
||
|
|
|
||
|
|
Личный кабинет администратора — веб-приложение, которое доступно из интернета. В нем вы можете управлять:
|
||
|
|
|
||
|
|
- пользователями;
|
||
|
|
- группами пользователей;
|
||
|
|
- интеграцией с защищаемыми информационными системами;
|
||
|
|
- списком доступных вторых факторов.
|
||
|
|
|
||
|
|
## RADIUS Adapter
|
||
|
|
|
||
|
|
RADIUS Adapter — RADIUS-сервер, который проводит двухфакторную аутентификацию пользователей при удаленном доступе. Компонент поставляется с исходным кодом, есть Linux-версия.
|
||
|
|
|
||
|
|
::: warning Примечание
|
||
|
|
|
||
|
|
RADIUS Adapter не передает пароль пользователя в облако Multifactor. Пароль остается в периметре сети. В облако отправляется только логин для идентификации пользователя и доставить ему уведомление с запросом на вход.
|
||
|
|
|
||
|
|
:::
|
||
|
|
|
||
|
|
### Возможности
|
||
|
|
|
||
|
|
- прием запросов на аутентификацию по протоколу RADIUS;
|
||
|
|
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
|
||
|
|
- проверка второго фактора на устройстве пользователя;
|
||
|
|
- настройка второго фактора в режиме диалога с пользователем;
|
||
|
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||
|
|
- избирательное включение второго фактора по принадлежности пользователя в группе AD;
|
||
|
|
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
|
||
|
|
- проксирование запросов и ответов Network Policy Server;
|
||
|
|
- отправка журналов в Syslog-сервер или SIEM-систему;
|
||
|
|
- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
|
||
|
|
|
||
|
|
## LDAP Adapter
|
||
|
|
|
||
|
|
LDAP Adapter — LDAP proxy-сервер для двухфакторной аутентификации в приложениях, которые используют LDAP-аутентификацию. Поставляется с исходным кодом, есть Linux-версия.
|
||
|
|
|
||
|
|
::: warning Примечание
|
||
|
|
|
||
|
|
Компонент не участвует в проверке имени пользователя и пароля. Второй фактор запрашивается только после успешной проверки учетной записи в Active Directory или другом LDAP-каталоге.
|
||
|
|
|
||
|
|
:::
|
||
|
|
|
||
|
|
### Возможности
|
||
|
|
|
||
|
|
- проксирование сетевого трафика по протоколу LDAP;
|
||
|
|
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
|
||
|
|
- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
|
||
|
|
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
|
||
|
|
- пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
|
||
|
|
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||
|
|
- избирательное включение второго фактора по членству в группе AD;
|
||
|
|
- отправка журналов в Syslog-сервер или SIEM-систему;
|
||
|
|
- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
|
||
|
|
|
||
|
|
## Портал самообслуживания
|
||
|
|
|
||
|
|
SelfService Portal — веб-сайт, на котором пользователи с учетными записями из Active Directory или других LDAP-каталогов самостоятельно регистрируют второй фактор аутентификации. Поставляется с исходным кодом, есть Linux- и Windows-версии.
|
||
|
|
|
||
|
|
### Назначение и особенности
|
||
|
|
|
||
|
|
Портал работает внутри корпоративной сети, но его можно опубликовать для доступа из интернета.
|
||
|
|
|
||
|
|
### Возможности
|
||
|
|
|
||
|
|
- проверка логина и пароля пользователя в LDAP-каталоге или Active Directory;
|
||
|
|
- настройка второго фактора аутентификации;
|
||
|
|
- смена пароля пользователя после подтверждения второго фактора;
|
||
|
|
- смена просроченного или требующего замены пароля;
|
||
|
|
- единая точка входа (Single Sign-On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
||
|
|
- избирательное включение второго фактора на основе членства в группе AD при SSO-входе;
|
||
|
|
- управление ActiveSync-устройствами для доступа к почте Exchange;
|
||
|
|
- проверка CAPTCHA на странице входа в портал.
|
||
|
|
|
||
|
|
::: info Примечание
|
||
|
|
Версия для Windows поддерживает несколько доменов, между которыми установлены доверительные отношения.
|
||
|
|
:::
|
||
|
|
|
||
|
|
## Соответствие тарифов и адаптеров
|
||
|
|
|
||
|
|
| Подключаемый сервис | Тип адаптера |
|
||
|
|
| ------------------- | --------------- |
|
||
|
|
| NGAF ra VPN | LDAP |
|
||
|
|
| UserGate ra VPN | LDAP |
|
||
|
|
| Pfsense ra VPN | RADIUS |
|
||
|
|
| OWA | Модуль для OWA |
|
||
|
|
| ADFS | Модуль для ADFS |
|
||
|
|
| Vmware horizon VDI | RADIUS |
|
||
|
|
|