сервис MFA
This commit is contained in:
Левченко Людмила Алексеевна
@@ -0,0 +1,101 @@
|
||||
# Компоненты сервиса
|
||||
|
||||
## Виды компонентов
|
||||
|
||||
В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:
|
||||
|
||||
- **Личный кабинет администратора**
|
||||
- **RADIUS Adapter**
|
||||
- **LDAP Adapter**
|
||||
- **Портал самообслуживания (SelfService Portal)**
|
||||
|
||||
Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**.
|
||||
|
||||
## 1. Личный кабинет администратора
|
||||
|
||||
**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:
|
||||
|
||||
- пользователями;
|
||||
- группами пользователей;
|
||||
- интеграцией с защищаемыми информационными системами;
|
||||
- списком доступных вторых факторов.
|
||||
|
||||
Управление осуществляется ИТ-специалистами.
|
||||
|
||||
## 2. Radius Adapter
|
||||
|
||||
**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- приём запросов на аутентификацию по протоколу RADIUS;
|
||||
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
|
||||
- проверка второго фактора на устройстве пользователя;
|
||||
- настройка второго фактора в режиме диалога с пользователем;
|
||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||
- избирательное включение второго фактора по组成员ству в группе AD;
|
||||
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
|
||||
- проксирование запросов и ответов Network Policy Server;
|
||||
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
||||
- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.
|
||||
|
||||
## 3. LDAP Adapter
|
||||
|
||||
**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- проксирование сетевого трафика по протоколу LDAP;
|
||||
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
|
||||
- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
|
||||
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
|
||||
- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
|
||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||
- избирательное включение второго фактора по членству в группе AD;
|
||||
- отправка журналов в Syslog‑сервер или SIEM‑систему;
|
||||
- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.
|
||||
|
||||
## 4. Портал самообслуживания
|
||||
|
||||
**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.
|
||||
|
||||
### Назначение и особенности
|
||||
|
||||
Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.
|
||||
|
||||
### Возможности
|
||||
|
||||
- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
|
||||
- Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
|
||||
- настройка второго фактора аутентификации;
|
||||
- смена пароля пользователя после подтверждения второго фактора;
|
||||
- смена просроченного или требующего замены пароля;
|
||||
- единая точка входа (Single Sign‑On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
||||
- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
|
||||
- управление ActiveSync‑устройствами для доступа к почте Exchange;
|
||||
- поддержка проверки CAPTCHA на странице входа в портал.
|
||||
|
||||
## Соответствие тарифов и адаптеров
|
||||
|
||||
|Подключаемый сервис | Тип адаптера |
|
||||
|--------------------|-----------------|
|
||||
|NGAF ra VPN | LDAP |
|
||||
|UserGate ra VPN | LDAP |
|
||||
|Pfsense ra VPN | RADIUS |
|
||||
|OWA | Модуль для OWA |
|
||||
|ADFS | Модуль для ADFS |
|
||||
|Vmware horizon VDI | RADIUS |
|
||||
|
||||
Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.
|
||||
Reference in New Issue
Block a user