alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
10e8edff2e11ffadf7d6d700cdcc126f5dd9203a
fox/src/security/Cloud-MFA/description/components.md
T
Левченко Людмила Алексеевна 10e8edff2e сервис MFA
2026-05-04 17:59:22 +03:00

7.6 KiB
Raw Blame History

Компоненты сервиса

Виды компонентов

В зависимости от решаемой задачи и типа защищаемых систем применяется один или несколько технических компонентов сервиса Cloud Multifactor Authentication (MFA):

  • Личный кабинет администратора
  • RADIUS Adapter
  • LDAP Adapter
  • Портал самообслуживания (SelfService Portal)

Все перечисленные компоненты разрабатываются и поддерживаются компанией Мультифактор.

1. Личный кабинет администратора

Личный кабинет администратора — это веб-приложение, доступное из сети интернет. Предназначено для управления следующими элементами:

  • пользователями;
  • группами пользователей;
  • интеграцией с защищаемыми информационными системами;
  • списком доступных вторых факторов.

Управление осуществляется ИТ-специалистами.

2. Radius Adapter

RADIUS Adapter — RADIUS‑сервер, используемый для двухфакторной аутентификации пользователей при удалённом доступе. Компонент поставляется с исходным кодом, доступен в Linux‑версии.

::: warning Примечание

RADIUS Adapter не передаёт пароль пользователя в облако Multifactor. Пароль остаётся в периметре сети, в облако передаётся только логин (для идентификации пользователя и доставки второго фактора).

:::

Возможности

  • приём запросов на аутентификацию по протоколу RADIUS;
  • проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
  • проверка второго фактора на устройстве пользователя;
  • настройка второго фактора в режиме диалога с пользователем;
  • настройка доступа на основе принадлежности пользователя к группе AD;
  • избирательное включение второго фактора по组成员ству в группе AD;
  • настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
  • проксирование запросов и ответов Network Policy Server;
  • отправка журналов в Syslog‑сервер или SIEM‑систему;
  • режим bypass — при недоступности API можно либо пропускать пользователя без второго фактора, либо блокировать доступ.

3. LDAP Adapter

LDAP Adapter — LDAP proxy‑сервер для двухфакторной аутентификации в приложениях, использующих LDAP‑аутентификацию. Поставляется с исходным кодом, доступен в Linux‑версии.

::: warning Примечание

Компонент не вмешивается в проверку имени и пароля пользователя. Второй фактор запрашивается только после успешной проверки учётной записи в Active Directory или другом LDAP‑каталоге.

:::

Возможности

  • проксирование сетевого трафика по протоколу LDAP;
  • перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
  • работа по протоколам LDAP и LDAPS (шифрованный TLS‑канал);
  • перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
  • пропуск запросов от сервисных учётных записей (Bind DN) без второго фактора;
  • настройка доступа на основе принадлежности пользователя к группе AD;
  • избирательное включение второго фактора по членству в группе AD;
  • отправка журналов в Syslog‑сервер или SIEM‑систему;
  • режим bypass — при недоступности API можно пропускать пользователя без второго фактора или блокировать доступ.

4. Портал самообслуживания

SelfService Portal — веб‑сайт для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP‑каталогов. Поставляется с исходным кодом, доступен в Linux‑ и Windows‑версиях.

Назначение и особенности

Портал предназначен для работы внутри корпоративной сети, но может быть опубликован для доступа из интернета.

Возможности

  • проверка логина и пароля пользователя в LDAP‑каталоге или Active Directory;
    • Windows‑версия поддерживает работу с несколькими доменами при наличии доверительных отношений;
  • настройка второго фактора аутентификации;
  • смена пароля пользователя после подтверждения второго фактора;
  • смена просроченного или требующего замены пароля;
  • единая точка входа (Single SignOn, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
  • избирательное включение второго фактора на основе членства в группе AD при SSO‑входе;
  • управление ActiveSync‑устройствами для доступа к почте Exchange;
  • поддержка проверки CAPTCHA на странице входа в портал.

Соответствие тарифов и адаптеров

Подключаемый сервис Тип адаптера
NGAF ra VPN LDAP
UserGate ra VPN LDAP
Pfsense ra VPN RADIUS
OWA Модуль для OWA
ADFS Модуль для ADFS
Vmware horizon VDI RADIUS

Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.

Reference in New Issue View Git Blame Copy Permalink