01. Компоненты сервиса

Версия 15.1 от Ирина Сафонова на 14.08.2023, 16:44

Содержание

Виды компонентов

В зависимости от решаемой задачи, а также от защищаемых систем, в рамках сервиса применяется один или несколько технических компонентов:

Личный кабинет администратора

Личный кабинет администратора – веб-приложение, доступное из сети интернет, через которое ИТ-специалисты Заказчика могут управлять следующими элементами:

  • пользователями; 
  • группами пользователей;
  • интеграцией с защищаемыми информационными системами.
  • списком доступных вторых факторов.

Radius Adapter

Radius Adapter – RADIUS сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей при использовании удаленного доступа.
Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия.

Radius adapter не передает пароль пользователя в облако Multifactor. Пароль не покидает периметр сети. Передается только логин для идентификации пользователя и доставки ему второго фактора.

Функции компонента

  • Прием запросов на аутентификацию по протоколу RADIUS.
  • Проверка первого фактора аутентификации – логина и пароля пользователя в Active Directory (в том числе AD LDS) или Network Policy Server.
  • Проверка второго фактора аутентификации на телефоне пользователя.

Дополнительные возможности

  • Настройка второго фактора в режиме диалога с пользователем.
  • Настройка доступа на основе принадлежности пользователя к группе в Active Directory (AD).
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
  • Настройка атрибутов ответа RADIUS на основе принадлежности пользователя к группе AD.
  • Проксирование запросов и ответов Network Policy Server.
  • Запись журналов в Syslog сервер или SIEM-систему.
  • Режим bypass. В случае недоступности API есть возможность пропускать пользователя без второго фактора или блокировать.

LDAP Adapter

LDAP Adapter – LDAP proxy-сервер, разработанный и поддерживаемый компанией Мультифактор для двухфакторной аутентификации пользователей в приложениях, использующих LDAP аутентификацию. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия.

Компонент не влияет на проверку имени и пароля пользователя. Второй фактор включается только, после успешной проверки учетной записи в Active Directory или другом LDAP каталоге.

Функции компонента

  • Проксирование сетевого трафика по протоколу LDAP.
  • Поиск запросов на аутентификацию и подтверждение вторым фактором на телефоне пользователя.

Основные возможности

  • Работа по протоколам LDAP и LDAPS (шифрованный TLS канал).
  • Перехват запросов на аутентификацию, использующих механизмы Simple, Digital, NTLM.
  • Пропуск запросов от сервисных учетных записей (Bind DN) без второго фактора.
  • Настройка доступа на основе принадлежности пользователя к группе AD.
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе AD.
  • Звпись журналов в Syslog сервер или SIEM-систему.
  • Режим bypass. В случае недоступности API есть возможность пропускать пользователя без второго фактора или блокировать.

Портал самообслуживания

SelfService Portal (Портал самообслуживания) – веб-сайт, разработанный и поддерживаемый компанией Мультифактор для самостоятельной регистрации второго фактора аутентификации пользователями с учётными записями из Active Directory или других LDAP каталогов. Компонент доступен вместе с исходным кодом. В рамках сервиса применяется Linux-версия и Windows-версии.

Функции компонента

Портал предназначен для установки и работы внутри корпоративной сети. При этом, портал может быть опубликован для доступа из сети интернет.

  • Проверка логина и пароля пользователя в LDAP каталоге или домене Active Directory. Windows-версия может осуществлять проверку в нескольких доменах, если между ними настроены доверительные отношения.
  • Настройка второго фактора аутентификации.
  • Смена пароля пользователя после подтверждения второго фактора.
  • Смена просроченного или требующего замены пароля.
  • Единая точка входа (Single Sign-On) для корпоративных приложений с поддержкой протоколов SAML, OpenID Connect / Oauth.
  • Избирательное включение второго фактора на основе принадлежности пользователя к группе в AD при Single Sign-On входе.
  • Управление ActiveSync устройствами для доступа к почте Exchange.
  • Поддержка проверки CAPTCHA на странице входа в портал.
Подключаемый сервисТип адаптера
1NGAF ra VPNLDAP
2UserGate ra VPNLDAP
3Pfsense ra VPNRADIUS
4OWAМодуль для OWA
5ADFSМодуль для ADFS
6Vmware horizon VDIRADIUS