alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
69fd40db5993f876996f050d595cd0dade3f5d0d
fox/src/security/Cloud-MFA/components.md
T
Александр Анисин 1140a0295d MFA + правки структуры
2026-05-29 07:54:17 +03:00

7.2 KiB
Raw Blame History

Компоненты сервиса

Виды компонентов

В зависимости от задачи и типа защищаемых систем сервис Cloud Multifactor Authentication (MFA) использует один или несколько технических компонентов:

  • Личный кабинет администратора
  • RADIUS Adapter
  • LDAP Adapter
  • Портал самообслуживания (SelfService Portal)

Все перечисленные компоненты разрабатывает и поддерживает компания Мультифактор.

Личный кабинет администратора

Личный кабинет администратора — веб-приложение, которое доступно из интернета. В нем вы можете управлять:

  • пользователями;
  • группами пользователей;
  • интеграцией с защищаемыми информационными системами;
  • списком доступных вторых факторов.

RADIUS Adapter

RADIUS Adapter — RADIUS-сервер, который проводит двухфакторную аутентификацию пользователей при удаленном доступе. Компонент поставляется с исходным кодом, есть Linux-версия.

::: warning Примечание

RADIUS Adapter не передает пароль пользователя в облако Multifactor. Пароль остается в периметре сети. В облако отправляется только логин для идентификации пользователя и доставить ему уведомление с запросом на вход.

:::

Возможности

  • прием запросов на аутентификацию по протоколу RADIUS;
  • проверка первого фактора (логин и пароль) в Active Directory (включая AD LDS) или Network Policy Server (NPS);
  • проверка второго фактора на устройстве пользователя;
  • настройка второго фактора в режиме диалога с пользователем;
  • настройка доступа на основе принадлежности пользователя к группе AD;
  • избирательное включение второго фактора по принадлежности пользователя в группе AD;
  • настройка атрибутов ответа RADIUS на основе принадлежности к группе AD;
  • проксирование запросов и ответов Network Policy Server;
  • отправка журналов в Syslog-сервер или SIEM-систему;
  • режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.

LDAP Adapter

LDAP Adapter — LDAP proxy-сервер для двухфакторной аутентификации в приложениях, которые используют LDAP-аутентификацию. Поставляется с исходным кодом, есть Linux-версия.

::: warning Примечание

Компонент не участвует в проверке имени пользователя и пароля. Второй фактор запрашивается только после успешной проверки учетной записи в Active Directory или другом LDAP-каталоге.

:::

Возможности

  • проксирование сетевого трафика по протоколу LDAP;
  • перехват запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя;
  • работа по протоколам LDAP и LDAPS (шифрованный TLS-канал);
  • перехват аутентификационных запросов с механизмами Simple, Digest, NTLM;
  • пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора;
  • настройка доступа на основе принадлежности пользователя к группе AD;
  • избирательное включение второго фактора по членству в группе AD;
  • отправка журналов в Syslog-сервер или SIEM-систему;
  • режим bypass — если API недоступен, можно пропустить пользователя без второго фактора или заблокировать доступ.

Портал самообслуживания

SelfService Portal — веб-сайт, на котором пользователи с учетными записями из Active Directory или других LDAP-каталогов самостоятельно регистрируют второй фактор аутентификации. Поставляется с исходным кодом, есть Linux- и Windows-версии.

Назначение и особенности

Портал работает внутри корпоративной сети, но его можно опубликовать для доступа из интернета.

Возможности

  • проверка логина и пароля пользователя в LDAP-каталоге или Active Directory;
  • настройка второго фактора аутентификации;
  • смена пароля пользователя после подтверждения второго фактора;
  • смена просроченного или требующего замены пароля;
  • единая точка входа (Single Sign-On, SSO) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / OAuth;
  • избирательное включение второго фактора на основе членства в группе AD при SSO-входе;
  • управление ActiveSync-устройствами для доступа к почте Exchange;
  • проверка CAPTCHA на странице входа в портал.

::: info Примечание Версия для Windows поддерживает несколько доменов, между которыми установлены доверительные отношения. :::

Соответствие тарифов и адаптеров

Подключаемый сервис Тип адаптера
NGAF ra VPN LDAP
UserGate ra VPN LDAP
Pfsense ra VPN RADIUS
OWA Модуль для OWA
ADFS Модуль для ADFS
Vmware horizon VDI RADIUS
Reference in New Issue View Git Blame Copy Permalink