Задача
Двухфакторная аутентификация для внутренних и внешних корпоративных ресурсов.
Решение
Двухфакторная или многофакторная аутентификация является на сегодняшний день общепринятым средством защиты различных корпоративных информационных систем, особенно – публикуемых в Интернет. Использование второго фактора позволяет значительно снизить вероятность компрометации учётных записей сотрудников.
Построение системы корпоративной аутентификации на базе Avanpost FAM и Avanpost MFA+ позволяет обеспечить 2FA/MFA (двухфакторную/многофакторную аутентификацию) для корпоративных информационных систем в следующих наиболее распространённых сценариях:
- для VPN с целью защиты от компрометации учётных записей сотрудников, работающих в режиме домашнего офиса;
- при подключении к VDI и удалённым рабочим столам (RDP, RDGateway и т. д.) через интернет и изнутри сети;
- при подключении к веб-приложениям, которые по ряду причин должны быть опубликованы в интернет без VPN;
- при работе с корпоративной почтой и системами видеоконференцсвязи (ВКС).
Выгоды
Реализация 2FA/MFA для корпоративных информационных систем на основе Avanpost FAM и Avanpost MFA+ позволяет получить следующие выгоды:
- Быстрой замены используемого на текущий момент облачного или on-premise корпоративного решения 2FA на Avanpost FAM и Avanpost MFA+: используются стандартные, принятые в мировой практике протоколы и стандартные для отрасли IAM-решений механизмы.
- Простого ввода систему в эксплуатацию и минимальной нагрузки на ИТ и ИБ администраторов: в Avanpost FAM и Avanpost MFA+ встроена функциональность импорта и синхронизации пользователей из доменов/LDAP-каталогов.
- Поэтапного ввода новой системы Avanpost FAM и Avanpost MFA+ в эксплуатацию: 2FA/MFA можно включить только для отдельных групп пользователей, а дополнительные корпоративные информационные системы можно подключать к продуктивному контуру системы Avanpost FAM и Avanpost MFA+ постепенно.
- Быстрого onboarding'а пользователей с минимальным привлечением администраторов: в систему встроена функциональность inline enrollment для большинства факторов аутентификации и методов интеграции.
- Сохранения привычного для администраторов ИТ и ИБ подхода к управлению доступом через домен/LDAP: в Avanpost FAM встроена функциональность синхронизации прав доступа пользователей на основе групп в домене.
- Использование обширного набора методов аутентификации и гибких сценариев многофакторной аутентификации.
- Возможность масштабирования системы корпоративной аутентификации для решения других задач: SSO/SLO при работе переходе между приложениями, 2FA для серверов и компьютеров под управлением Windows и Linux, защиты унаследованных (legacy) корпоративных информационных систем при помощи 2FA/MFA и т.д.
Примеры прикладных решений
Применение 2FA/MFA для VPN
Как правило, для VPN наиболее часто применяется технология интеграции по RADIUS. Для некоторых VPN-решений может потребоваться интеграция по протоколу SAML. Система Avanpost FAM, помимо прочего, поддерживает оба этих протокола, поэтому может быть использована для решения задачи 2FA/MFA для VPN.
С точки зрения фактора аутентификации для VPN наиболее универсальным решением является использование мобильного приложения Avanpost Authenticator в режиме подтверждения запросов на аутентификацию, в том числе push-запросов. Помимо этого возможно использование мессенджера Telegram в режиме push-запросов от Telegram-бота, доставки OTP через SMS, использования одноразовых кодов, генерируемых TOTP приложением-генератором и т.д.
Примеры готовых решений по обеспечению 2FA/MFA для VPN:
- Настройка 2FA/MFA для Cisco AnyConnect, Cisco ASA, Cisco ASAv;
- Настройка 2FA для OpenVPN;
- Настройка 2FA для CheckPoint VPN;
- Настройка 2FA для Mikrotik VPN.
Применение 2FA/MFA для VDI и удалённых рабочих столов
Для VDI и удалённых рабочих столов используется RADIUS либо SAML. Также в некоторых случаях может применяться интеграция с использованием OpenID Connect. Для удалённого доступа к рабочему столу под управлением Microsoft Windows Server и Microsoft Windows Desktop можно применять Windows Logon через компонент Avanpost FAM Credential Provider.
Для аутентификации в режиме удалённых рабочих столов можно применять любой удобный для сотрудников и администраторов метод аутентификации: Avanpost Authenticator, Telegram, TOTP, SMS и т.д.
Примеры готовых решений по обеспечению 2FA/MFA для VDI и удалённых рабочих столов:
- Настройка 2FA/MFA для Citrix Virtual Apps and Desktops, Citrix XenApp, Citrix XenDesktop без Citrix FAS;
- Настройка 2FA для Remote Desktop Gateway/RD Gateway;
- Настройка MFA для Windows Desktop/Server при подключении по RDP;
- Настройка 2FA для VMware Horizon View.
Применение 2FA/MFA для веб-приложений
Примеры готовых решений по обеспечению 2FA/MFA для веб-приложений, публикуемых в интернет без VPN:
- Настройка MFA/SSO для GitLab;
- Настройка MFA/SSO для Grafana;
- Настройка MFA/SSO для Atlassian Confluence Server;
- Настройка MFA/SSO для Atlassian Jira Server;
- Настройка MFA/SSO для CRM Creatio (Terrasoft bpm'online).
Применение 2FA/MFA для систем корпоративной почты и ВКС
Примеры готовых решений по обеспечению 2FA/MFA для корпоративной почты и систем ВКС:
Применение 2FA/MFA для ERP-систем
Примеры готовых решений по обеспечению 2FA/MFA для ERP-систем: