База знаний FAM/MFA+ : 1.1. 2FA/MFA для корпоративных ресурсов

Задача

Двухфакторная аутентификация для внутренних и внешних корпоративных ресурсов.

Решение

Двухфакторная или многофакторная аутентификация является на сегодняшний день общепринятым средством защиты различных корпоративных информационных систем, особенно – публикуемых в Интернет. Использование второго фактора позволяет значительно снизить вероятность компрометации учётных записей сотрудников.

Построение системы корпоративной аутентификации на базе Avanpost FAM и Avanpost MFA+ позволяет обеспечить 2FA/MFA (двухфакторную/многофакторную аутентификацию) для корпоративных информационных систем в следующих наиболее распространённых сценариях:

  • для VPN с целью защиты от компрометации учётных записей сотрудников, работающих в режиме домашнего офиса;
  • при подключении к VDI и удалённым рабочим столам (RDP, RDGateway и т. д.) через интернет и изнутри сети;
  • при подключении к веб-приложениям, которые по ряду причин должны быть опубликованы в интернет без VPN;
  • при работе с корпоративной почтой и системами видеоконференцсвязи (ВКС).

Выгоды

Реализация 2FA/MFA для корпоративных информационных систем на основе Avanpost FAM и Avanpost MFA+ позволяет получить следующие выгоды:

  1. Быстрой замены используемого на текущий момент облачного или on-premise корпоративного решения 2FA на Avanpost FAM и Avanpost MFA+: используются стандартные, принятые в мировой практике протоколы и стандартные для отрасли IAM-решений механизмы.
  2. Простого ввода систему в эксплуатацию и минимальной нагрузки на ИТ и ИБ администраторов: в Avanpost FAM и Avanpost MFA+ встроена функциональность импорта и синхронизации пользователей из доменов/LDAP-каталогов .
  3. Поэтапного ввода новой системы Avanpost FAM и Avanpost MFA+ в эксплуатацию: 2FA/MFA можно включить только для отдельных групп пользователей, а дополнительные корпоративные информационные системы можно подключать к продуктивному контуру системы Avanpost FAM и Avanpost MFA+ постепенно.
  4. Быстрого onboarding'а пользователей с минимальным привлечением администраторов: в систему встроена функциональность inline enrollment для большинства факторов аутентификации и методов интеграции.
  5. Сохранения привычного для администраторов ИТ и ИБ подхода к управлению доступом через домен/LDAP: в Avanpost FAM встроена функциональность синхронизации прав доступа пользователей на основе групп в домене.
  6. Использование обширного набора методов аутентификации и гибких сценариев многофакторной аутентификации.
  7. Возможность масштабирования системы корпоративной аутентификации для решения других задач: SSO/SLO при работе переходе между приложениями , 2FA для серверов и компьютеров под управлением Windows и Linux , защиты унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA и т.д.

Примеры прикладных решений

Применение 2FA/MFA для VPN

Как правило, для VPN наиболее часто применяется технология интеграции по RADIUS . Для некоторых VPN-решений может потребоваться интеграция по протоколу SAML . Система Avanpost FAM, помимо прочего , поддерживает оба этих протокола, поэтому может быть использована для решения задачи 2FA/MFA для VPN.

С точки зрения фактора аутентификации для VPN наиболее универсальным решением является использование мобильного приложения Avanpost Authenticator в режиме подтверждения запросов на аутентификацию, в том числе push-запросов. Помимо этого возможно использование мессенджера Telegram в режиме push-запросов от Telegram-бота, доставки OTP через SMS , использования одноразовых кодов, генерируемых TOTP приложением-генератором и т.д.

Примеры готовых решений по обеспечению 2FA/MFA для VPN:

  1. Настройка 2FA/MFA для Cisco AnyConnect, Cisco ASA, Cisco ASAv ;
  2. Настройка 2FA для OpenVPN ;
  3. Настройка 2FA для CheckPoint VPN ;
  4. Настройка 2FA для Mikrotik VPN .

Применение 2FA/MFA для VDI и удалённых рабочих столов

Для VDI и удалённых рабочих столов используется RADIUS либо SAML . Также в некоторых случаях может применяться интеграция с использованием OpenID Connect . Для удалённого доступа к рабочему столу под управлением Microsoft Windows Server и Microsoft Windows Desktop можно применять Windows Logon через компонент Avanpost FAM Credential Provider .

Для аутентификации в режиме удалённых рабочих столов можно применять любой удобный для сотрудников и администраторов метод аутентификации : Avanpost Authenticator , Telegram , TOTP , SMS и т.д.

Примеры готовых решений по обеспечению 2FA/MFA для VDI и удалённых рабочих столов:

  1. Настройка 2FA/MFA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS ;
  2. Настройка 2FA для Remote Desktop Gateway/RD Gateway ;
  3. Настройка MFA для Windows Desktop/Server при подключении по RDP ;
  4. Настройка 2FA для VMware Horizon View .

Применение 2FA/MFA для веб-приложений

Примеры готовых решений по обеспечению 2FA/MFA для веб-приложений, публикуемых в интернет без VPN:

  1. Настройка MFA/SSO для GitLab ;
  2. Настройка MFA/SSO для Grafana ;
  3. Настройка MFA/SSO для Atlassian Confluence Server ;
  4. Настройка MFA/SSO для Atlassian Jira Server ;
  5. Настройка MFA/SSO для CRM Creatio (Terrasoft bpm'online) .

Применение 2FA/MFA для систем корпоративной почты и ВКС

Примеры готовых решений по обеспечению 2FA/MFA для корпоративной почты и систем ВКС:

  1. Настройка 2FA для Exchange Outlook Web Access (OWA) через IIS-компонент ;
  2. Настройка 2FA для Exchange ActiveSync (Outlook Mobile) через IIS-компонент ;
  3. Настройка 2FA для Microsoft Skype for Business, Microsoft Lync ;
  4. Настройка MFA/SSO в TrueConf .

Применение 2FA/MFA для ERP-систем

Примеры готовых решений по обеспечению 2FA/MFA для ERP-систем:

  1. Настройка MFA/SSO для 1С:Предприятие 8.3.13 и ниже (Тонкий клиент, Enterprise SSO) ;
  2. Настройка MFA/SSO для 1С:Предприятие 8.3.14 и выше (OpenID Connect) ;
  3. Настройка MFA/SSO для SAP Logon .