Skip to content Skip to navigation Skip to footer

身份和访问管理 (IAM)

安全关联每个身份和资源并简化管理

web product icon identity access management

身份和访问管理 (IAM) 概述

现今的企业身份环境由各种记录系统组成,包括网络设备、服务器、目录服务和云应用。在如此多样化的系统下,管理身份信息日渐复杂,可能稍有不慎就会给用户、管理员和应用开发人员带来不便。

此外,不恰当的用户访问权限还会导致当今许多最具破坏性的安全漏洞进一步恶化,在用户帐户和密码遭到泄露时更是雪上加霜。安全有效地管理所有系统和应用的身份验证和授权有助于最大限度地减少安全漏洞风险。

身份和访问管理产品信息

当用户和设备想要进入网络时,Fortinet IAM 可提供所需的服务来确认其身份的安全性。Fortinet 的强大解决方案可帮助您控制和管理身份,仅将合适的用户安全连接到合适的资源。

Fortinet IAM 解决方案包含以下产品:

  • FortiAuthenticator,为 Fortinet Security Fabric 提供集中身份验证服务,包括单点登录服务、证书管理和访客访问管理,以防不法用户未经授权地访问公司资源。
  • FortiToken,通过物理或移动应用令牌添加第二个身份验证因素,从而进一步确认用户身份。
  • FortiToken Cloud,提供多因素身份验证 (MFA) 即服务。企业可以使用其直观的仪表盘来管理 MFA。

在这个用户和设备连接迅速增长的时代,FortiAuthenticator 与 FortiToken 或 FortiToken Cloud 的结合可有效解决企业面临的身份和访问管理挑战。

身份和访问管理产品型号与规格

这是一款 Fortinet 身份认证和访问管理产品,可帮助企业有力应对在用户和设备身份验证方面的挑战。

FortiAuthenticator 为 Fortinet Security Fabric 提供了集中身份验证服务,包括单点登录服务、证书管理和访客管理。

硬件设备

用户总数
500
描述
4 个 GE RJ45 端口,1 块 1TB HDD
用户总数
1,500
描述
4 个 GE RJ45 端口,2 块 1TB HDD
用户总数
2,000
描述
4 个 GE RJ45 端口,2 块 1TB HDD
用户总数
10,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB HDD
用户总数
20,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB SAS 硬盘
用户总数
40,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB SAS 硬盘
用户总数
8,000
描述
4 个 GE RJ45 端口,2 个 GE SFP,2 块 2TB HDD

了解更多信息以及更多产品特性,请访问产品页

 

虚拟机

用户
100
描述
FortiAuthenticator 基础虚拟机版,许可支持 100 名用户
用户
+100
描述
许可支持将 100 名用户添加到基础虚拟机
用户
+1000
描述
许可支持将 1000 名用户添加到基础虚拟机
用户
+10000
描述
许可支持将 10000 名用户添加到基础虚拟机

FortiToken 可通过物理或移动应用令牌添加第二个身份验证因素,从而进一步强化确认用户身份。

描述
移动设备双因素身份验证应用
描述
符合 OATH 规定的标准多因素硬件令牌
描述
描述 X.509 PKI 证书硬件 USB 令牌

FortiToken Cloud 为 FortiGate 环境的双因素身份验证提供了安全的云管理(从配置到撤销)。 

点击此处 ,登录 FortiToken Cloud 服务页。

FortiAuthenticator 通过 AWS Marketplace 和 Azure Marketplace 提供公有云 BYOL(自带许可)选项。  有关更多信息,请点击以下链接:

 

身份和访问管理产品用户案例

提高安全性和生产力,同时将 IT 负担最小化

云应用和连接设备数量的增加改变了我们的工作方式,但同时也扩大了攻击面,为网络犯罪分子的针对性攻击带来了更多可乘之机。为了避免遭到攻击,企业必须确保只有合适权限的用户才能访问合适的网络资源。

Fortinet 用户身份验证为您提供了有效管理用户、设备、访客或合作伙伴身份和身份验证的工具及功能。您可以采用联合身份验证模式,为您的用户创造便利。

Fortinet 提供了本地即用型硬件、虚拟机、托管云或身份即服务 (IDaaS) 等部署选项,允许您根据需求灵活选择最合适的部署方式。快速集成 Fortinet IAM 与现有身份验证基础设施(比如 Active Directory (AD) 或 LDAP),或通过云服务提供商集成新服务。

 

Get Better Security with Multi-Factor Authentication (MFA)

通过多因素身份验证 (MFA) 进行更安全的访问

如何在安全访问本地或云端托管应用、服务或软件开发的同时,为最终用户提供出色的易用性?这是一个困扰企业已久的问题。     

您可以通过使用一次性密码 (OTP) 等额外凭据,让受保护信息进一步远离威胁攻击。OTP 是 MFA 的一个重要组成部分。MFA 是任何 IAM 解决方案的关键安全功能,因为它要求验证多个凭据: 

  • 用户常用的用户名和密码。
  • 用户的 OTP(以令牌或代码形式)。OTP 通过电子邮件或短信发送给用户、发送给硬件令牌生成器或者发送给用户智能手机上安装的身份验证器应用。
  • 用户特有信息:用户指纹等生物识别信息。

因此,即使网络犯罪分子获得了用户名和密码,如果没有其他信息,他们也无法访问系统。

Fortinet MFA 支持轻松、安全地访问企业 VPN、WiFi 网络以及本地或云端应用。在认证过程中,用户可以通过响应智能设备上的推送通知来快速登录。

了解更多信息
Increase security and easier access with IAM Single Sign-On (SSO)

通过单点登录 (SSO) 提高安全性并简化访问

集中管理用户身份及其对企业资源的访问是最有效的身份和访问管理 (IAM) 安全实践。借助 IAM 集中式解决方案,IT 管理员可以强制执行密码复杂性要求和多因素身份验证。此外,Fortinet IAM 可为用户访问云端或本地服务和应用提供更出色的体验。

单点登录 (SSO) 是 IAM 的关键组件,用户只需登录一次即可面向多个应用和网站进行身份验证。但是,并非所有 SSO 解决方案都千篇一律。有些 SSO 解决方案面向 Web 应用,有些基于公有云基础设施构建,还有一些 SSO 解决方案适用于应用、文件存储、服务器和网络等本地服务。由于云基础设施和本地服务具有不同的 SSO 需求,仅采 Web 应用 SSO 解决方案不足以打造有效的身份安全性。因此,身份管理(和联合)具有很大程度的分散性,应该集成不同的 SSO 解决方案,以实现真正的 SSO 功能。

Fortinet FortiAuthenticator 提供了一种支持集中式身份管理的 SSO 综合方法,使用传统本地及现代 Web 和云身份验证协议对用户进行身份验证。企业将获得全面的控制权。您可以将用户安全连接到云端或本地的合适资源,同时改善用户体验。

了解更多信息

Fuse 社区


产品演示

这一完整演示可帮助您探索 FortiAuthenticator 在用户识别、单点登录和/或双因素身份验证方面的多项功能,了解各个身份源(与目录服务相集成)、身份验证方法(硬件、软件、短信令牌)和最终用户自助服务门户等功能,并体验在 FortiGate 部署中添加这些功能的简单性和可扩展性。

FortiAuthenticator 生态系统

作为 Fortinet Security Fabric 的关键一部分,FortiAuthenticator 能够与许多领先 IT 厂商的产品进行集成。以下是当前 FortiAutheticator 联盟合作伙伴的名单:

身份与访问管理常见问题解答

什么是 FortiAuthenticator (FAC)?
FortiAuthenticator 支持集中管理所有身份验证服务,包括双因素身份验证 (2FA)、Fortinet 单点登录、SAML 2.0 单点登录以及支持访客、入门和生命周期证书管理的门户。

FAC 是否支持虚拟机?
支持。FAC 虚拟机版支持 100 到 100 万以上用户。许可是可叠加使用的永久许可,不限 CPU 或 RAM。FAC 还提供五种设备型号。有关详细规格,请参阅 FAC 产品说明

FAC 是否支持高可用性和负载均衡?
支持。

Fortinet FortiGate 支持包含 2FA 功能的身份验证(包括 SAML)。我们为什么需要 FAC?
当安全架构需要一个中央集中身份验证管理平台,而不是单个 FortiGate 中的身份验证功能时,FAC部署就很有必要。通常,FAC 适用于需要集成身份验证并在环境中部署多个 FortiGate 的情况。

FAC 支持哪些身份验证协议或方法?
广泛的网络、Web 和门户身份验证协议。

  • 用户可以通过 Web 门户和一系列嵌入式小工具进行身份验证。
  • FortiClient SSO 移动代理会对已安装 FortiClient Endpoint Security 的用户自动进行身份验证。
  • 使用 Active Directory 的用户可以自动进行身份验证。
  • 可以使用 RADIUS Accounting 数据包触发 FSSO 身份验证。

如欲了解更多信息,请下载 FAC 产品说明

什么是双因素身份验证?
双因素身份验证 (2FA) 通过要求用户提供两种不同类型的信息,建立对在线应用、帐户或网络设备的访问连接。第一个因素是一种让在线服务或网络设备相信您所声称的身份的方法。通常这是指用户名和密码等较常见的信息。第二个因素要求您用您所拥有的东西证明身份,比如令牌。

所有双因素身份验证解决方案是否同样有效?
双因素身份验证有多种方法和形式。有一些更为安全。

  • 硬件令牌是传统的 2FA 方法。令牌通常采用密钥卡的形式,带有一个显示有时效的一次性密码 (OTP) 的显示屏。硬件令牌本身便可保护内部密钥。
  • 移动令牌的原理与硬件令牌一样,只不过是采用移动应用的方式。为了保障安全有效性,我们必须考虑移动应用和令牌之间的区别。移动应用是 OTP 生成器,其种子专门绑定到应用上安装的令牌。在令牌激活期间,一款有效的解决方案将以加密的格式(而非明文)交付令牌种子。Fortinet FortiToken Mobile (FTM) 可在激活期间安全(加密)交付 FTM 令牌种子,并防止令牌同时在多个设备上激活。此外,FortiAuthenticator FTM 或 FortiToken Cloud 可为 FTM 和第三方令牌提供交叉令牌传输服务(已获专利),允许在运行 iOS 或 Android 的不同平台上安全传输令牌 — 目前没有任何其他应用可以做到这一点。

Fortinet 提供哪些令牌选项?
各种令牌类型:

  • 各种外形的硬件:迷你信用凭证和具有较大显示屏的密钥卡(PKI 智能卡 USB 令牌)
  • 多种移动平台 (iOS、Android、windows) 上的软件令牌

什么是 SAML 2.0 身份验证?
安全声明标记语言 (SAML) 是一种对使用单点登录访问在线应用的用户进行身份验证的标准格式。SAML 是一个基于 XML 的框架,支持在服务提供商 (SP) 和身份提供商 (idP) 这两个实体之间进行身份验证和授权。SP 实体是用户希望访问的在线应用或服务,idP 实体则负责执行用户身份验证功能。

SAML 2.0 身份验证包含两个用户流:

  • idP 流通常由 idP 方页面发起,该页面显示了用户在其访问权限内可以登录的可用应用或服务列表。如果 SP 同意信任 idP,则会在 idP 进行用户身份验证后允许用户访问。
  • 当用户或浏览器请求访问 SP 提供的应用或服务时,就会触发 SP 流。只要用户尝试访问在线应用,SP 就会创建 SAML 请求,将用户和请求信息转发给 idP 进行身份验证。一旦用户被 idP 验证和核实,SP 就授予用户访问权限。

FAC 是否支持两个 SAML 2.0 流?
是的。FortiAuthenticator 提供强效身份验证 (2FA),支持两个 SAML 2.0 流(分别由 idP 和 SP 发起)。此外,在更复杂的部署下,FAC 可提供 idP 代理功能,以简化企业云应用的采用。

什么是单点登录 (SSO)?
单点登录 (SSO) 是身份和访问管理 (IAM) 功能的一部分,允许用户只需使用凭据安全地进行一次身份验证,便可登录具有访问权限的多个应用。

什么是 Fortinet 单点登录 (FSSO)?
Fortinet 单点登录是一种身份验证协议,前身是 FortiGate Server Authentication Extension (FSAE)。用户可以通过该协议在 FortiGate、FortiAuthenticator 和 FortiCache 平台上透明地进行身份验证。FAC 根据不同系统的身份验证来识别用户。用户可以通过以下多种方法进行身份验证:

  • 用户可以通过 Web 门户和一系列嵌入式小工具进行身份验证。
  • FortiClient SSO 移动代理会对已安装 FortiClient Endpoint Security 的用户自动进行身份验证。
  • 使用 Active Directory 的用户可以自动进行身份验证。
  • 可以使用 RADIUS Accounting 数据包触发 FSSO 身份验证。
  • 通过 FAC RestAPI 识别用户(适用于集成第三方系统的情况)

什么是 Fortinet 移动单点登录代理?
Fortinet 移动单点登录代理是 FortiClient Endpoint Security 的一项功能。该代理会自动指向 FAC 提供用户名和 IP 地址信息,以进行透明的身份验证。IP 地址如有变更(例如由于 WiFi 漫游引起的变更),系统将自动发送到 FAC。当用户退出登录或以其他方式下线时,FAC 会意识到这一点并对用户取消身份验证。

FAC 支持哪些云身份提供商?
任何符合 SAML 2.0 标准的 IdP 都受支持。通常大多数 SAML 2.0 IdP 都提供创建自定义属性的选项。FAC 几乎可以匹配任何自定义用户/组属性。经过测试的 IdP 包括 Azure、GSuite 和 Okta。

O365 2FA 是否是受支持的云应用?
当使用 FAC 作为支持本地 Active Directory (AD) 和 LDAP 身份验证的 IdP 时,O365 可以充当 SAML SP。

FAC 被设置为 IdP 时,O365 需要满足哪些条件才能充当 SP?
当使用 FAC 作为支持本地 Active Directory (AD) 和 LDAP 身份验证的 IdP 时,O365 可以充当 SAML SP。在 FAC 上,您只需要将 O365 设置为 SAML SP,并创建到本地 AD 的 LDAP 身份验证连接便可。

FAC 可以将域名映射到只有 “UserID”的 SAML IdP 上吗?
可以。每个 SAML IdP 都可以映射到一个 Realm。

哪些 FortiOS 版本支持 FortiToken Cloud?
最早支持 FortiToken Cloud 的是 FortiOS 6.2.x

如果想要购买云 2FA 令牌,是咨询 Fortinet 销售人员和合作伙伴,还是直接通过 Fortinet 购买?
所有 FTC 许可都作为 SKU 出现在价格表上。只有最低点 SKU(120 点)可通过应用程序购买。

FortiToken Cloud 是否也需要购买 FortiToken Mobile 或物理令牌许可?
FortiToken Cloud 订阅版自带 FortiToken Mobile。FortiToken 物理令牌需单独购买。

FortiToken Cloud 如何通过短信传输?
短信可以代替电子邮件,通过移动应用发送 FortiToken Mobile 的激活码。短信也可以代替 FortiToken Mobile 来提供 OTP,以支持正在进行的双因素身份验证。但是,此方法的安全性较低,只能在非关键访问场景中作为临时解决方案来使用。

订阅 FortiToken Cloud 时,是否需要计算每位用户每月的单点使用费用?
注册许可用户后,FortiToken Cloud 点任您使用。1 点 = 1 名用户 x 1 个月。FortiToken Cloud 订阅版自带 FortiToken Mobile 令牌,不再另行收费。每使用 250 条短消息也会消耗 1 点。

Fortinet 是否有指导如何设置 FTM 推送的任何文档?
点击此处,查看文档

关于如何在不开放端口的情况下从 FAC 设置 FTM 推送,Fortinet 是否有可供客户参考的文档?
点击此处,查看文档

FAC 或 FTC 是否支持在运行 iOS平台或 Android平台的不同设备上进行交叉令牌传输?
支持。用户需要在 FAC 中启用令牌传输选项,并在 FTM 应用中安装至少一个 FTM 令牌。