Skip to content Skip to navigation Skip to footer

身份和访问管理 (IAM)

安全关联每个身份和资源并简化管理

适用于:
web product icon identity access management
概述 型号和规格 用户案例 资源 演示 生态系统 常见问题

身份和访问管理 (IAM) 概述

现今的企业身份环境由各种记录系统组成,包括网络设备、服务器、目录服务和云应用。在如此多样化的系统下,管理身份信息日渐复杂,可能稍有不慎就会给用户、管理员和应用开发人员带来不便。

此外,不恰当的用户访问权限还会导致当今许多最具破坏性的安全漏洞进一步恶化,在用户帐户和密码遭到泄露时更是雪上加霜。安全有效地管理所有系统和应用的身份验证和授权有助于最大限度地减少安全漏洞风险。

身份和访问管理产品信息

当用户和设备想要进入网络时,Fortinet IAM 可提供所需的服务来确认其身份的安全性。Fortinet 的强大解决方案可帮助您控制和管理身份,仅将合适的用户安全连接到合适的资源。

Fortinet IAM 解决方案包含以下产品:

  • FortiAuthenticator,为 Fortinet Security Fabric 提供集中身份验证服务,包括单点登录服务、证书管理和访客访问管理,以防不法用户未经授权地访问公司资源。
  • FortiToken,通过物理或移动应用令牌添加第二个身份验证因素,从而进一步确认用户身份。
  • FortiToken Cloud,提供多因素身份验证 (MFA) 即服务。企业可以使用其直观的仪表盘来管理 MFA。

在这个用户和设备连接迅速增长的时代,FortiAuthenticator 与 FortiToken 或 FortiToken Cloud 的结合可有效解决企业面临的身份和访问管理挑战。

身份和访问管理产品型号与规格

这是一款 Fortinet 身份认证和访问管理产品,可帮助企业有力应对在用户和设备身份验证方面的挑战。

FortiAuthenticator 为 Fortinet Security Fabric 提供了集中身份验证服务,包括单点登录服务、证书管理和访客管理。

硬件设备

FAC-200E
用户总数
500
描述
4 个 GE RJ45 端口,1 块 1TB HDD
FAC-300F
用户总数
1,500
描述
4 个 GE RJ45 端口,2 块 1TB HDD
FAC-400E
用户总数
2,000
描述
4 个 GE RJ45 端口,2 块 1TB HDD
FAC-1000D
用户总数
10,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB HDD
FAC-2000E
用户总数
20,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB SAS 硬盘
FAC-3000E
用户总数
40,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB SAS 硬盘
FAC-800F
用户总数
8,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB HDD

了解更多信息以及更多产品特性,请访问产品页

 

虚拟机

FAC-VM-Base
用户
100
描述
FortiAuthenticator 基础虚拟机版,许可支持 100 名用户
FAC-VM-100-UG
用户
+100
描述
许可支持将 100 名用户添加到基础虚拟机
FAC-VM-1000-UG
用户
+1000
描述
许可支持将 1000 名用户添加到基础虚拟机
FAC-VM-10000-UG
用户
+10000
描述
许可支持将 10000 名用户添加到基础虚拟机

FortiToken 可通过物理或移动应用令牌添加第二个身份验证因素,从而进一步强化确认用户身份。

FortiToken Mobile
描述
移动设备双因素身份验证应用
FortiToken 200
描述
符合 OATH 规定的标准多因素硬件令牌
FortiToken 300
描述
描述 X.509 PKI 证书硬件 USB 令牌

FortiToken Cloud 为 FortiGate 环境的双因素身份验证提供了安全的云管理(从配置到撤销)。 

点击此处 ,登录 FortiToken Cloud 服务页。

FortiAuthenticator 通过 AWS Marketplace 和 Azure Marketplace 提供公有云 BYOL(自带许可)选项。  有关更多信息,请点击以下链接:

 

身份和访问管理产品用户案例

提高安全性和生产力,同时将 IT 负担最小化

云应用和连接设备数量的增加改变了我们的工作方式,但同时也扩大了攻击面,为网络犯罪分子的针对性攻击带来了更多可乘之机。为了避免遭到攻击,企业必须确保只有合适权限的用户才能访问合适的网络资源。

Fortinet 用户身份验证为您提供了有效管理用户、设备、访客或合作伙伴身份和身份验证的工具及功能。您可以采用联合身份验证模式,为您的用户创造便利。

Fortinet 提供了本地即用型硬件、虚拟机、托管云或身份即服务 (IDaaS) 等部署选项,允许您根据需求灵活选择最合适的部署方式。快速集成 Fortinet IAM 与现有身份验证基础设施(比如 Active Directory (AD) 或 LDAP),或通过云服务提供商集成新服务。

 

Get Better Security with Multi-Factor Authentication (MFA)

通过多因素身份验证 (MFA) 进行更安全的访问

如何在安全访问本地或云端托管应用、服务或软件开发的同时,为最终用户提供出色的易用性?这是一个困扰企业已久的问题。     

您可以通过使用一次性密码 (OTP) 等额外凭据,让受保护信息进一步远离威胁攻击。OTP 是 MFA 的一个重要组成部分。MFA 是任何 IAM 解决方案的关键安全功能,因为它要求验证多个凭据: 

  • 用户常用的用户名和密码。
  • 用户的 OTP(以令牌或代码形式)。OTP 通过电子邮件或短信发送给用户、发送给硬件令牌生成器或者发送给用户智能手机上安装的身份验证器应用。
  • 用户特有信息:用户指纹等生物识别信息。

因此,即使网络犯罪分子获得了用户名和密码,如果没有其他信息,他们也无法访问系统。

Fortinet MFA 支持轻松、安全地访问企业 VPN、WiFi 网络以及本地或云端应用。在认证过程中,用户可以通过响应智能设备上的推送通知来快速登录。

了解更多信息
Increase security and easier access with IAM Single Sign-On (SSO)

通过单点登录 (SSO) 提高安全性并简化访问

集中管理用户身份及其对企业资源的访问是最有效的身份和访问管理 (IAM) 安全实践。借助 IAM 集中式解决方案,IT 管理员可以强制执行密码复杂性要求和多因素身份验证。此外,Fortinet IAM 可为用户访问云端或本地服务和应用提供更出色的体验。

单点登录 (SSO) 是 IAM 的关键组件,用户只需登录一次即可面向多个应用和网站进行身份验证。但是,并非所有 SSO 解决方案都千篇一律。有些 SSO 解决方案面向 Web 应用,有些基于公有云基础设施构建,还有一些 SSO 解决方案适用于应用、文件存储、服务器和网络等本地服务。由于云基础设施和本地服务具有不同的 SSO 需求,仅采 Web 应用 SSO 解决方案不足以打造有效的身份安全性。因此,身份管理(和联合)具有很大程度的分散性,应该集成不同的 SSO 解决方案,以实现真正的 SSO 功能。

Fortinet FortiAuthenticator 提供了一种支持集中式身份管理的 SSO 综合方法,使用传统本地及现代 Web 和云身份验证协议对用户进行身份验证。企业将获得全面的控制权。您可以将用户安全连接到云端或本地的合适资源,同时改善用户体验。

了解更多信息

产品说明

Fortinet Product Matrix

Product Matrix for popular Fortinet products

FortiAuthenticator Datasheet

FortiAuthenticator Datasheet

FortiToken Cloud Data Sheet

FortiToken Cloud Datasheet

FortiToken Series Data Sheet

FortiToken Series Datasheet

FortiToken 300 Data Sheet

The FortiToken 300 product is comprised of a hardware token (FortiToken 300 PKI USB token) with a chip operating system that resides on the smart card chip of the token, and a security ...

FortiToken Mobile Data Sheet

FortiToken Mobile is an application for iOS or Android that acts like a hardware token but utilizes hardware the majority of users posses, a mobile phone.

案例研究

Origo

New VPN Teleworking Solution Brings Big Gains to Iceland’s Leading IT Services Provider During COVID-19 Lockdown

Creditas

Fintech’s 1,600 Employees Ready to Telework in Just One Week

Salvador City Hall

Salvador City Hall Offers Free, Secure Wi-Fi to Thousands of People

Fortinet Teleworker Security Solutions

Security Fabric Solutions Create Work-From-Home Options Quickly

Salt Lake County

County Government Agency Increases Visibility and Control of Entire Infrastructure

TPx Communications

Nationwide MSP Bolsters Services With Secure SD-WAN and More Robust Security Tools

解决方案指南

Identity and Access Management (IAM) Advanced Practices with Fortinet

Managing identities and access entitlements while providing ease-of-use authentication, accessibility to applications, and optimal user experience to endusers is becoming increasingly challenging in ...

Fuse 社区


 

Related Links:

 

产品演示

这一完整演示可帮助您探索 FortiAuthenticator 在用户识别、单点登录和/或双因素身份验证方面的多项功能,了解各个身份源(与目录服务相集成)、身份验证方法(硬件、软件、短信令牌)和最终用户自助服务门户等功能,并体验在 FortiGate 部署中添加这些功能的简单性和可扩展性。

FortiAuthenticator 生态系统

作为 Fortinet Security Fabric 的关键一部分,FortiAuthenticator 能够与许多领先 IT 厂商的产品进行集成。以下是当前 FortiAutheticator 联盟合作伙伴的名单:

Alibaba Cloud
Alibaba Cloud

As a business unit of Alibaba Group, Alibaba Cloud provides a comprehensive suite of global cloud computing services to power both our international customers’ online businesses and Alibaba Group’s own e-commerce ecosystem.

Resources
Functionalities
Cloud
Amazon Web Services
Amazon Web Services

AWS services are trusted by more than a million active customers around the world – including the fastest growing startups, largest enterprises, and leading government agencies – to power their infrastructures, make them more agile, and lower costs.

Learn more on the Fortinet-AWS alliance

Resources
Functionalities
Cloud
Guardicore
Guardicore

Guardicore solutions provide a simpler, faster way to guarantee persistent and consistent security — for any application, in any IT environment. Together with Fortinet Guardicore provides visibility and control for hybrid clouds and data centers.

Resources
Functionalities
Cloud
McAfee
McAfee

McAfee is one of the world’s leading independent cybersecurity companies. Inspired by the power of working together, McAfee creates business and consumer solutions that make the world a safer place.

Resources
Functionalities
Endpoint Security
Microsoft Azure
Microsoft Azure

Microsoft is the leading platform and productivity company for the mobile-first, cloud-first world, and its mission is to empower every person and every organization on the planet to achieve more.

Resources
Functionalities
Cloud, Unified Communications
Learn More
Nutanix
Nutanix

Nutanix makes infrastructure invisible, elevating IT to focus on the applications and services that power their business. The Nutanix enterprise cloud platform leverages web-scale engineering and consumer-grade design to natively converge compute, virtualization and storage into a resilient, software-defined solution that delivers any application at any scale.

Resources
Functionalities
SDN-NFV & Virtualization
Oracle
Oracle

Oracle offers a comprehensive and fully integrated stack of cloud applications and platform services.

Resources
Functionalities
Cloud
Pulse Secure
Pulse Secure

Pulse Secure enables seamless access to resources by combining visibility, authentication and context-based access control. This solution with Fortinet extends perimeter protection to all devices visible to the Secure Access solution while allowing access controls to respond to threat intelligence gathered by the Fortinet platform.

Resources
Functionalities
Secure Access
Safe-T
Safe-T

Safe-T® is a provider of Zero Trust Access solutions that mitigate attacks on enterprises’ business-critical services while ensuring uninterrupted business continuity. Together with Fortinet, organizations deploy a best of breed Zero Trust Network Access solution, ensuring only authorized users have access to company resources.

Resources
Functionalities
Data Security
SentinelOne
SentinelOne

SentinelOne is shaping the future of endpoint security with an integrated platform that unifies the detection, prevention and remediation of threats initiated by nation states, terrorists, and organized crime. SentinelOne’s unique approach is based on deep inspection of all system processes combined with innovative machine learning to quickly isolate malicious behaviors, protecting devices against advanced, targeted threats in real time.

Resources
Functionalities
Endpoint Security

身份与访问管理常见问题解答

什么是 FortiAuthenticator (FAC)?
FortiAuthenticator 支持集中管理所有身份验证服务,包括双因素身份验证 (2FA)、Fortinet 单点登录、SAML 2.0 单点登录以及支持访客、入门和生命周期证书管理的门户。

FAC 是否支持虚拟机?
支持。FAC 虚拟机版支持 100 到 100 万以上用户。许可是可叠加使用的永久许可,不限 CPU 或 RAM。FAC 还提供五种设备型号。有关详细规格,请参阅 FAC 产品说明

FAC 是否支持高可用性和负载均衡?
支持。

Fortinet FortiGate 支持包含 2FA 功能的身份验证(包括 SAML)。我们为什么需要 FAC?
当安全架构需要一个中央集中身份验证管理平台,而不是单个 FortiGate 中的身份验证功能时,FAC部署就很有必要。通常,FAC 适用于需要集成身份验证并在环境中部署多个 FortiGate 的情况。

FAC 支持哪些身份验证协议或方法?
广泛的网络、Web 和门户身份验证协议。

  • 用户可以通过 Web 门户和一系列嵌入式小工具进行身份验证。
  • FortiClient SSO 移动代理会对已安装 FortiClient Endpoint Security 的用户自动进行身份验证。
  • 使用 Active Directory 的用户可以自动进行身份验证。
  • 可以使用 RADIUS Accounting 数据包触发 FSSO 身份验证。

如欲了解更多信息,请下载 FAC 产品说明

什么是双因素身份验证?
双因素身份验证 (2FA) 通过要求用户提供两种不同类型的信息,建立对在线应用、帐户或网络设备的访问连接。第一个因素是一种让在线服务或网络设备相信您所声称的身份的方法。通常这是指用户名和密码等较常见的信息。第二个因素要求您用您所拥有的东西证明身份,比如令牌。

所有双因素身份验证解决方案是否同样有效?
双因素身份验证有多种方法和形式。有一些更为安全。

  • 硬件令牌是传统的 2FA 方法。令牌通常采用密钥卡的形式,带有一个显示有时效的一次性密码 (OTP) 的显示屏。硬件令牌本身便可保护内部密钥。
  • 移动令牌的原理与硬件令牌一样,只不过是采用移动应用的方式。为了保障安全有效性,我们必须考虑移动应用和令牌之间的区别。移动应用是 OTP 生成器,其种子专门绑定到应用上安装的令牌。在令牌激活期间,一款有效的解决方案将以加密的格式(而非明文)交付令牌种子。Fortinet FortiToken Mobile (FTM) 可在激活期间安全(加密)交付 FTM 令牌种子,并防止令牌同时在多个设备上激活。此外,FortiAuthenticator FTM 或 FortiToken Cloud 可为 FTM 和第三方令牌提供交叉令牌传输服务(已获专利),允许在运行 iOS 或 Android 的不同平台上安全传输令牌 — 目前没有任何其他应用可以做到这一点。

Fortinet 提供哪些令牌选项?
各种令牌类型:

  • 各种外形的硬件:迷你信用凭证和具有较大显示屏的密钥卡(PKI 智能卡 USB 令牌)
  • 多种移动平台 (iOS、Android、windows) 上的软件令牌

什么是 SAML 2.0 身份验证?
安全声明标记语言 (SAML) 是一种对使用单点登录访问在线应用的用户进行身份验证的标准格式。SAML 是一个基于 XML 的框架,支持在服务提供商 (SP) 和身份提供商 (idP) 这两个实体之间进行身份验证和授权。SP 实体是用户希望访问的在线应用或服务,idP 实体则负责执行用户身份验证功能。

SAML 2.0 身份验证包含两个用户流:

  • idP 流通常由 idP 方页面发起,该页面显示了用户在其访问权限内可以登录的可用应用或服务列表。如果 SP 同意信任 idP,则会在 idP 进行用户身份验证后允许用户访问。
  • 当用户或浏览器请求访问 SP 提供的应用或服务时,就会触发 SP 流。只要用户尝试访问在线应用,SP 就会创建 SAML 请求,将用户和请求信息转发给 idP 进行身份验证。一旦用户被 idP 验证和核实,SP 就授予用户访问权限。

FAC 是否支持两个 SAML 2.0 流?
是的。FortiAuthenticator 提供强效身份验证 (2FA),支持两个 SAML 2.0 流(分别由 idP 和 SP 发起)。此外,在更复杂的部署下,FAC 可提供 idP 代理功能,以简化企业云应用的采用。

什么是单点登录 (SSO)?
单点登录 (SSO) 是身份和访问管理 (IAM) 功能的一部分,允许用户只需使用凭据安全地进行一次身份验证,便可登录具有访问权限的多个应用。

什么是 Fortinet 单点登录 (FSSO)?
Fortinet 单点登录是一种身份验证协议,前身是 FortiGate Server Authentication Extension (FSAE)。用户可以通过该协议在 FortiGate、FortiAuthenticator 和 FortiCache 平台上透明地进行身份验证。FAC 根据不同系统的身份验证来识别用户。用户可以通过以下多种方法进行身份验证:

  • 用户可以通过 Web 门户和一系列嵌入式小工具进行身份验证。
  • FortiClient SSO 移动代理会对已安装 FortiClient Endpoint Security 的用户自动进行身份验证。
  • 使用 Active Directory 的用户可以自动进行身份验证。
  • 可以使用 RADIUS Accounting 数据包触发 FSSO 身份验证。
  • 通过 FAC RestAPI 识别用户(适用于集成第三方系统的情况)

什么是 Fortinet 移动单点登录代理?
Fortinet 移动单点登录代理是 FortiClient Endpoint Security 的一项功能。该代理会自动指向 FAC 提供用户名和 IP 地址信息,以进行透明的身份验证。IP 地址如有变更(例如由于 WiFi 漫游引起的变更),系统将自动发送到 FAC。当用户退出登录或以其他方式下线时,FAC 会意识到这一点并对用户取消身份验证。

FAC 支持哪些云身份提供商?
任何符合 SAML 2.0 标准的 IdP 都受支持。通常大多数 SAML 2.0 IdP 都提供创建自定义属性的选项。FAC 几乎可以匹配任何自定义用户/组属性。经过测试的 IdP 包括 Azure、GSuite 和 Okta。

O365 2FA 是否是受支持的云应用?
当使用 FAC 作为支持本地 Active Directory (AD) 和 LDAP 身份验证的 IdP 时,O365 可以充当 SAML SP。

FAC 被设置为 IdP 时,O365 需要满足哪些条件才能充当 SP?
当使用 FAC 作为支持本地 Active Directory (AD) 和 LDAP 身份验证的 IdP 时,O365 可以充当 SAML SP。在 FAC 上,您只需要将 O365 设置为 SAML SP,并创建到本地 AD 的 LDAP 身份验证连接便可。

FAC 可以将域名映射到只有 “UserID”的 SAML IdP 上吗?
可以。每个 SAML IdP 都可以映射到一个 Realm。

哪些 FortiOS 版本支持 FortiToken Cloud?
最早支持 FortiToken Cloud 的是 FortiOS 6.2.x

如果想要购买云 2FA 令牌,是咨询 Fortinet 销售人员和合作伙伴,还是直接通过 Fortinet 购买?
所有 FTC 许可都作为 SKU 出现在价格表上。只有最低点 SKU(120 点)可通过应用程序购买。

FortiToken Cloud 是否也需要购买 FortiToken Mobile 或物理令牌许可?
FortiToken Cloud 订阅版自带 FortiToken Mobile。FortiToken 物理令牌需单独购买。

FortiToken Cloud 如何通过短信传输?
短信可以代替电子邮件,通过移动应用发送 FortiToken Mobile 的激活码。短信也可以代替 FortiToken Mobile 来提供 OTP,以支持正在进行的双因素身份验证。但是,此方法的安全性较低,只能在非关键访问场景中作为临时解决方案来使用。

订阅 FortiToken Cloud 时,是否需要计算每位用户每月的单点使用费用?
注册许可用户后,FortiToken Cloud 点任您使用。1 点 = 1 名用户 x 1 个月。FortiToken Cloud 订阅版自带 FortiToken Mobile 令牌,不再另行收费。每使用 250 条短消息也会消耗 1 点。

Fortinet 是否有指导如何设置 FTM 推送的任何文档?
点击此处,查看文档

关于如何在不开放端口的情况下从 FAC 设置 FTM 推送,Fortinet 是否有可供客户参考的文档?
点击此处,查看文档

FAC 或 FTC 是否支持在运行 iOS平台或 Android平台的不同设备上进行交叉令牌传输?
支持。用户需要在 FAC 中启用令牌传输选项,并在 FTM 应用中安装至少一个 FTM 令牌。

今天了解更多关于 Fortinet 的信息

请求演示
找到经销商