01. Компоненты сервиса

Редактировал(а) Ирина Сафонова 29.01.2024, 12:43
Содержание

Виды компонентов

В зависимости от решаемой задачи и защищаемых систем, применяется один или несколько технических компонентов сервиса Cloud Multifactor Authentication (MFA):

Компания Мультифактор разрабатывает и поддерживает вышеперечисленные компоненты.

Личный кабинет администратора

Личный кабинет администратора — веб-приложение, доступное из сети интернет. Через приложение ИТ-специалисты управляют четыреми элементами:

  • пользователями,
  • группами пользователей,
  • интеграцией с защищаемыми информационными системами,
  • списком доступных вторых факторов.

Radius Adapter

Radius Adapter — RADIUS-сервер, который используется для двухфакторной аутентификации пользователей при использовании удаленного доступа. Компонент доступен вместе с исходным кодом. Radius Adapter использует Linux-версию.

Radius adapter не передает пароль пользователя в облако Multifactor. Пароль не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.

Возможности

  • Прием запросов на аутентификацию по протоколу RADIUS.
  • Проверка первого фактора аутентификации — логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server.
  • Проверка второго фактора аутентификации на телефоне пользователя.
  • Настройка второго фактора в режиме диалога с пользователем.
  • Настройка доступа на основе принадлежности пользователя к группе в AD.
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
  • Настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе AD.
  • Проксирование запросов и ответов Network Policy Server.
  • Запись журналов в Syslog сервер или SIEM-систему.
  • Режим bypass. В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.

LDAP Adapter

LDAP Adapter — LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. Компонент доступен вместе с исходным кодом. LDAP Adapter использует Linux-версию.

Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только, после успешной проверки учетной записи в Active Directory или другом LDAP каталоге.

Возможности

  • Проксирование сетевого трафика по протоколу LDAP.
  • Поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.
  • Работа по протоколам LDAP и LDAPS (шифрованный TLS канал).
  • Перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM.
  • Пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора.
  • Настройка доступа на основе принадлежности пользователя к группе AD.
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
  • Звпись журналов в Syslog сервер или SIEM-систему.
  • Режим bypass.  В случае недоступности API система предлагает возможность пропускать пользователя без второго фактора или блокировать.

Портал самообслуживания

SelfService Portal (Портал самообслуживания) — веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP каталогов. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия и Windows-версии.

Возможности

Портал предназначен для установки и работы внутри корпоративной сети. Портал может быть опубликован для доступа из сети интернет.

  • Проверка логина и пароля пользователя в LDAP-каталоге или домене Active Directory. Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения.
  • Настройка второго фактора аутентификации.
  • Смена пароля пользователя после подтверждения второго фактора.
  • Смена просроченного или требующего замены пароля.
  • Единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / Oauth.
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе.
  • Управление ActiveSync устройствами для доступа к почте Exchange.
  • Поддержка проверки CAPTCHA на странице входа в портал.

Соответствие тарифов и адаптеров

Подключаемый сервисТип адаптера
NGAF ra VPNLDAP
UserGate ra VPNLDAP
Pfsense ra VPNRADIUS
OWAМодуль для OWA
ADFSМодуль для ADFS
Vmware horizon VDIRADIUS

Дополнительно прочтите про настройку двухфакторной аутентификации в VPN на основе межсетевого экрана UserGate.

В начало 🡱
К следующему разделу 🡲
К предыдущему разделу 🡰