# Компоненты сервиса

## Виды компонентов

В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса **Cloud Multifactor Authentication (MFA)**:

- **Личный кабинет администратора**
- **RADIUS Adapter**
- **LDAP Adapter**
- **Портал самообслуживания (SelfService Portal)**

Все перечисленные компоненты разрабатываются и поддерживаются компанией **Мультифактор**.

## 1. Личный кабинет администратора

**Личный кабинет администратора** — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:

- пользователями;
- группами пользователей;
- интеграцией с защищаемыми информационными системами;
- списком доступных вторых факторов.

Управление осуществляется ИТ-специалистами.

## 2. Radius Adapter

**RADIUS Adapter** — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.

::: warning Примечание

RADIUS Adapter **не передаёт** пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).

:::

### Возможности

- приём запросов на аутентификацию по протоколу RADIUS;
- проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
- проверка второго фактора на устройстве пользователя;
- настройка второго фактора в режиме диалога с пользователем;
- настройка доступа на основе принадлежности пользователя к группе AD;
- избирательное включение второго фактора по组成员ству в группе AD;
- настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
- проксирование запросов и ответов Network Policy Server;
- отправка журналов в Syslog‑сервер или SIEM‑систему;
- режим **bypass** — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.

## 3. LDAP Adapter

**LDAP Adapter** — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.

::: warning Примечание

Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.

::: 

### Возможности

- проксирование сетевого трафика по протоколу LDAP;
- перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
- работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
- перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
- пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
- настройка доступа на основе принадлежности пользователя к группе AD;
- избирательное включение второго фактора по членству в группе AD;
- отправка журналов в Syslog‑сервер или SIEM‑систему;
- режим **bypass** — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.

## 4. Портал самообслуживания

**SelfService Portal** — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.

### Назначение и особенности

Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.

### Возможности

- проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
  - Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
- настройка второго фактора аутентификации;
- смена пароля пользователя после подтверждения второго фактора;
- смена просроченного или требующего замены пароля;
- единая точка входа (Single Sign‑On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
- избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
- управление ActiveSync‑устройствами для доступа к почте Exchange;
- поддержка проверки CAPTCHA на странице входа в портал.

## Соответствие тарифов и адаптеров

|Подключаемый сервис | Тип адаптера    |
|--------------------|-----------------|
|NGAF ra VPN         | LDAP            |
|UserGate ra VPN     | LDAP            |
|Pfsense ra VPN      | RADIUS          |
|OWA                 | Модуль для OWA  |
|ADFS                | Модуль для ADFS |
|Vmware horizon VDI  | RADIUS          |

Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.