MFA + правки структуры
This commit is contained in:
Александр Анисин
@@ -0,0 +1,101 @@
|
||||
# Компоненты сервиса
|
||||
|
||||
## Виды компонентов
|
||||
|
||||
В зависимости от задачи и типа защищаемых систем сервис Cloud Multifactor Authentication (MFA) использует один или несколько технических компонентов:
|
||||
|
||||
- Личный кабинет администратора
|
||||
- RADIUS Adapter
|
||||
- LDAP Adapter
|
||||
- Портал самообслуживания (SelfService Portal)
|
||||
|
||||
> Все перечисленные компоненты разрабатывает и поддерживает компания Мультифактор.
|
||||
|
||||
## Личный кабинет администратора
|
||||
|
||||
Личный кабинет администратора — веб-приложение, которое доступно из интернета. В нем вы можете управлять:
|
||||
|
||||
- пользователями;
|
||||
- группами пользователей;
|
||||
- интеграцией с защищаемыми информационными системами;
|
||||
- списком доступных вторых факторов.
|
||||
|
||||
## RADIUS Adapter
|
||||
|
||||
RADIUS Adapter — RADIUS-сервер, который проводит двухфакторную аутентификацию пользователей при удаленном доступе. Компонент поставляется с исходным кодом, есть Linux-версия.
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
RADIUS Adapter не передает пароль пользователя в облако Multifactor. Пароль остается в периметре сети. В облако отправляется только логин для идентификации пользователя и доставить ему уведомление с запросом на вход.
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- прием запросов на аутентификацию по протоколу RADIUS;
|
||||
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
|
||||
- проверка второго фактора на устройстве пользователя;
|
||||
- настройка второго фактора в режиме диалога с пользователем;
|
||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||
- избирательное включение второго фактора по принадлежности пользователя в группе AD;
|
||||
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
|
||||
- проксирование запросов и ответов Network Policy Server;
|
||||
- отправка журналов в Syslog-сервер или SIEM-систему;
|
||||
- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
|
||||
|
||||
## LDAP Adapter
|
||||
|
||||
LDAP Adapter — LDAP proxy-сервер для двухфакторной аутентификации в приложениях, которые используют LDAP-аутентификацию. Поставляется с исходным кодом, есть Linux-версия.
|
||||
|
||||
::: warning Примечание
|
||||
|
||||
Компонент не участвует в проверке имени пользователя и пароля. Второй фактор запрашивается только после успешной проверки учетной записи в Active Directory или другом LDAP-каталоге.
|
||||
|
||||
:::
|
||||
|
||||
### Возможности
|
||||
|
||||
- проксирование сетевого трафика по протоколу LDAP;
|
||||
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
|
||||
- работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
|
||||
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
|
||||
- пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
|
||||
- настройка доступа на основе принадлежности пользователя к группе AD;
|
||||
- избирательное включение второго фактора по членству в группе AD;
|
||||
- отправка журналов в Syslog-сервер или SIEM-систему;
|
||||
- режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.
|
||||
|
||||
## Портал самообслуживания
|
||||
|
||||
SelfService Portal — веб-сайт, на котором пользователи с учетными записями из Active Directory или других LDAP-каталогов самостоятельно регистрируют второй фактор аутентификации. Поставляется с исходным кодом, есть Linux- и Windows-версии.
|
||||
|
||||
### Назначение и особенности
|
||||
|
||||
Портал работает внутри корпоративной сети, но его можно опубликовать для доступа из интернета.
|
||||
|
||||
### Возможности
|
||||
|
||||
- проверка логина и пароля пользователя в LDAP-каталоге или Active Directory;
|
||||
- настройка второго фактора аутентификации;
|
||||
- смена пароля пользователя после подтверждения второго фактора;
|
||||
- смена просроченного или требующего замены пароля;
|
||||
- единая точка входа (Single Sign-On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
|
||||
- избирательное включение второго фактора на основе членства в группе AD при SSO-входе;
|
||||
- управление ActiveSync-устройствами для доступа к почте Exchange;
|
||||
- проверка CAPTCHA на странице входа в портал.
|
||||
|
||||
::: info Примечание
|
||||
Версия для Windows поддерживает несколько доменов, между которыми установлены доверительные отношения.
|
||||
:::
|
||||
|
||||
## Соответствие тарифов и адаптеров
|
||||
|
||||
| Подключаемый сервис | Тип адаптера |
|
||||
| ------------------- | --------------- |
|
||||
| NGAF ra VPN | LDAP |
|
||||
| UserGate ra VPN | LDAP |
|
||||
| Pfsense ra VPN | RADIUS |
|
||||
| OWA | Модуль для OWA |
|
||||
| ADFS | Модуль для ADFS |
|
||||
| Vmware horizon VDI | RADIUS |
|
||||
|
||||
Reference in New Issue
Block a user