Die heutigen Enterprise-Identity-Umgebungen bestehen aus unterschiedlichsten Systemen, die Anmeldedaten von Benutzern speichern – von Netzwerk-Geräten, Servern und Verzeichnisdiensten bis hin zu Cloud-Anwendungen. Durch diese Fülle an Systemen ist das Verwalten von Benutzeridentitäten heutzutage mit einem enormen Verwaltungsaufwand verbunden. Benutzer, Administratoren und Anwendungsentwickler haben damit gleichermaßen zu kämpfen.

Viele der gravierendsten Sicherheitsverstöße werden zudem erst möglich, weil Benutzer zu weit gefasste Zugriffsrechte haben oder – noch schlimmer – statische Passwörter verwendet werden, die auch Hacker kennen. Ein sicheres, effektives Management der Identitätsauthentifizierung und -autorisierung für alle Systeme und Anwendungen ist entscheidend, um Sicherheitsverletzungen zu minimieren.

Fortinet IAM bietet die notwendigen Dienste, um die Identität von Benutzern und Geräten bei der Verbindung mit dem Netzwerk sicher zu überprüfen und zu bestätigen. Mit unserer robusten Lösung können Sie die Identität kontrollieren und verwalten, um den Benutzerzugriff auf Ressourcen zu regeln.

Die Fortinet IAM-Lösung umfasst die folgenden Produkte:

• FortiAuthenticator: schützt vor unbefugtem Zugriff auf Unternehmensressourcen mit zentralisierten Authentifizierungsdiensten für die Fortinet Security Fabric, einschließlich Single Sign-on (SSO), Zertifikatsverwaltung und Gäste-Management.
• FortiToken: bestätigt zusätzlich die Identität von Benutzern, indem dem Authentifizierungsprozess durch Hardware- oder Software-Tokens (Smartphone App) ein zweiter Faktor hinzugefügt wird.
• FortiToken Cloud: bietet eine Multi-Faktor-Authentifizierung (MFA) „as a Service“ mit einem intuitiven Dashboard für das MFA-Management.

Die Kombination von FortiAuthenticator und FortiToken oder FortiToken Cloud ist eine effektive Lösung für die Identitäts- und Zugangsverwaltung in modernen Unternehmen – insbesondere in Zeiten, in denen sich immer mehr Benutzer und Geräte mit dem Netzwerk verbinden.

Die Zunahme von cloudbasierten Anwendungen und vernetzten Geräten hat die Art und Weise verändert, wie wir heute arbeiten. Leider wächst dadurch aber auch die Angriffsfläche, wodurch Cyber-Kriminelle mehr Möglichkeiten für gezielte Angriffe erhalten. Sicherheitsverletzungen lassen sich nur vermeiden, wenn ein Unternehmen gewährleisten kann, dass nur die richtigen Benutzer auf die richtigen Netzwerk-Ressourcen Zugriff erhalten.

Die Benutzerauthentifizierung von Fortinet bietet Ihnen die Tools und Funktionen, mit denen Sie die Identität und Authentifizierung von Benutzern, Geräten, Gästen und Partnern effektiv verwalten können. Sie können sogar Identitäten zusammenführen, um Anwendern ein noch besseres Benutzererlebnis zu bieten.

Mit flexiblen Implementierungsoptionen entscheiden Sie je nach Anforderungen, wie die Lösung am besten bereitgestellt werden soll: als sofort einsatzbereite On-Premises-Hardware, als virtuelle Maschine (VM), als Managed Cloud oder als Dienst mit IDaaS (Identity-as-a-Service). Zudem lässt sich Fortinet IAM schnell und einfach in vorhandene Authentifizierungsinfrastrukturen wie Active Directory (AD) oder LDAP oder auch in neue Dienste über Ihren Cloud-Anbieter integrieren. 

Wofür dient der FortiAuthenticator (FAC)?
Der FortiAuthenticator zentralisiert alle Authentifizierungsdienste – einschließlich der Zwei-Faktor-Authentifizierung (2FA), Fortinet Single Sign-on, SAML 2.0 Single Sign-on und Portale. Sie können damit Zertifikate für Gäste, Onboarding und das Life-Cycle-Management gemeinsam verwalten.

Funktioniert der FAC mit virtuellen Maschinen?
Ja. Der FAC für virtuelle Maschinen ist ab 100 Benutzern erhältlich und kann über 1 Million Benutzer schützen. Die Lizenz ist unbefristet, erweiterbar und funktioniert unabhängig vom Arbeitsspeicher (RAM) oder Prozessor (CPU). Der FAC ist außerdem als Gerät erhältlich. Fünf Modelle stehen zur Auswahl. Die genauen Spezifikationen finden Sie im FAC-Datenblatt.

Unterstützt der FAC auch Anforderungen wie Hochverfügbarkeit und Lastverteilung?
Ja.

Die Fortinet FortiGate unterstützt bereits die Zwei-Faktor-Authentifizierung (einschließlich SAML). Warum brauche ich den FAC?
Der FAC ist erforderlich, wenn die Security-Architektur ein zentrales Authentifizierungs-Management erfordert, das über die in einer FortiGate enthaltenen Authentifizierungsfunktionen hinausgeht. Im Allgemeinen wird der FAC benötigt, wenn eine Authentifizierungsintegration notwendig ist und mehr als eine FortiGate in der Umgebung bereitgestellt wird.

Welche Authentifizierungsprotokolle oder -methoden unterstützt der FAC?
Der FAC unterstützt unterschiedlichste Netzwerk-, Web- und Portal-Authentifizierungsprotokolle:

• Authentifizierung über ein Webportal und einbettbare Widgets
• Automatische Authentifizierung von Benutzern mit FortiClient (Endpunkt-Schutz) über den FortiClient SSO Mobility Agent
• Automatische Authentifizierung von Benutzern über Active Directory
• FSSO-Authentifizierung mit RADIUS-Kontoführungspaketen
  

Weitere Informationen finden Sie im FAC-Datenblatt.

Was ist eine Zwei-Faktor-Authentifizierung?
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Zugriffsmethode – z. B. auf eine Online-App, ein Konto oder ein Netzwerk-Gerät –, bei der der Benutzer zwei verschiedene Arten von Informationen bereitstellen muss. Beim ersten Faktor geht es einfach nur darum, einen Online-Dienst oder ein Netzwerk-Gerät davon zu überzeugen, dass Sie die Person sind, für die Sie sich ausgeben. Dafür müssen Sie in der Regel etwas angeben, das nur Ihnen bekannt ist, wie eine Kombination aus Benutzername und Passwort. Beim zweiten Faktor müssen Sie Ihre Identität mit etwas nachweisen, dass nur Sie besitzen, z. B. mit einem Token.

Sind alle Zwei-Faktor-Authentifizierungslösungen gleich sicher?
Es gibt unterschiedlichste Ansätze und Formfaktoren für die Zwei-Faktor-Authentifizierung. Und einige sind deutlich sicherer als andere.

• Hardware-Token sind die klassische Lösung für eine Zwei-Faktor-Authentifizierung. Diese Token sind meistens Schlüsselanhänger mit einem Display, das zeitbasierte Einmal-Passwörter (OTPs) anzeigt. Die Hardware schützt ihren internen Schlüssel selbst.
• Ein Smartphone-Token funktioniert genauso wie ein Hardware-Token, wird jedoch als mobile App bereitgestellt. Wie sicher das Verfahren ist, hängt bei Token-Apps für Smartphones von einem wichtigen Kriterium ab: Die App erzeugt ein Einmal-Passwort mit einem Startwert (Seed), der speziell an den in der App installierten Token gebunden ist. Dieser Startwert wird generiert, wenn das Token aktiviert ist. Eine gute Sicherheitslösung verschlüsselt diesen Token-Seed und verwendet dafür keinen Klartext. Fortinet FortiToken Mobile (FTM) erstellt beim Aktivieren einen sicheren (verschlüsselten) FTM-Token-Seed und verhindert so, dass das Token auf mehreren Geräten gleichzeitig aktiviert wird. Darüber hinaus bietet FTM mit dem FortiAuthenticator oder der FortiToken Cloud einen (patentierten) Cross-Token-Transfer-Dienst für FTM und Token von Drittanbietern. Dies ermöglicht die sichere Übertragung von Token auf verschiedene iOS- oder Android-Geräte – ein Vorteil, den derzeit keine andere App bietet.

Welche Token-Optionen bietet Fortinet an?
Bei Fortinet erhalten Sie eine umfassende Auswahl an unterschiedlichen Token-Typen:

• Verschiedene Hardware-Token: Kreditkartenformat, Schlüsselanhänger (USB für PKI-Smartcard-Token) und Token mit großem Display
• Software-Token für mobile Betriebssysteme (iOS, Android, Windows)
• MFA-as-a-Service über die Fortinet FortiToken Cloud

Was ist eine SAML 2.0-Authentifizierung?
SAML (Security Assertion Markup Language) ist ein Standardformat für die einmalige Anmeldung (SSO, Single Sign-on) von Benutzern bei Online-Apps. Es handelt sich um ein XML-basiertes Authentifizierungs-Framework zur Autorisierung zwischen zwei Stellen: einem Service Provider (SP) und einem Identity Provider (IDP). Eine SP-Entität ist eine Online-App oder ein Online-Dienst, auf die bzw. den ein Benutzer zugreifen möchte, während eine IDP-Entität die Benutzerauthentifizierung ausführt.

Bei der SAML 2.0-Authentifizierung gibt es zwei Abläufe für die Benutzerüberprüfung:

• den IDP-Ablauf und den SP-Ablauf. Der IDP-Ablauf wird normalerweise von einer Identity-Provider-Seite initiiert. Diese Seite umfasst eine Liste der verfügbaren Apps oder Dienste, bei denen sich ein Benutzer mit seinen Zugriffsrechten anmelden kann. Der SP erklärt sich damit einverstanden, dem IDP zu vertrauen, und gewährt den Zugriff, sobald der IDP den Benutzer authentifiziert hat.
• Der SP-Ablauf wird initiiert, wenn der Benutzer oder Browser den Zugriff auf die App oder den Dienst anfordert, die der SP anbietet. Während der Benutzer versucht, auf die Online-App zuzugreifen, erstellt der SP eine SAML-Anforderung und leitet den Benutzer und die Anforderungsinformationen zur Authentifizierung an den IDP weiter. Der SP gewährt dem Benutzer Zugriff, sobald der Benutzer vom IDP verifiziert und authentifiziert wurde.

Unterstützt der FAC beide SAML 2.0-Abläufe?
Ja, der FortiAuthenticator unterstützt bei der starken Zwei-Faktor-Authentifizierung (2FA) beide SAML 2.0-Abläufe: IDP-initiiert und SP-initiiert. Zudem bietet der FAC bei komplexeren Bereitstellungen eine IDP-Proxy-Funktion, um die Einführung von Cloud-Apps für Unternehmen zu vereinfachen.

Was ist ein Single Sign-on (SSO)?
SSO – auch als „einmalige Anmeldung“ bezeichnet – ist ein Teil einer Identitäts- und Zugangsverwaltung (IAM, Identity und Access Management). Die sichere Authentifizierung der Anmeldedaten erfolgt dabei einmalig und gilt dann für mehrere Anwendungen, für die ein Benutzer die Zugriffsrechte besitzt.

Was ist der Fortinet Single Sign-on (FSSO)?
Der Fortinet Single Sign-on – früher als FortiGate Server Authentication Extension (FSAE) bekannt – ist das Authentifizierungsprotokoll, mit dem Benutzer sich transparent bei FortiGate-, FortiAuthenticator- und FortiCache-Plattformen authentifizieren können. Der FAC identifiziert Benutzer anhand ihrer Authentifizierung bei einem anderen System. Die Benutzer-Authentifizierung kann dann mit verschiedenen Methoden erfolgen:

• Authentifizierung über ein Webportal und einbettbare Widgets
• Automatische Authentifizierung von Benutzern mit FortiClient (Endpunkt-Schutz) über den FortiClient SSO Mobility Agent
• Automatische Authentifizierung von Benutzern über Active Directory
• FSSO-Authentifizierung mit RADIUS-Kontoführungspaketen
• Identifizieren der Benutzer über die FAC RestAPI (nützlich bei der Integration mit Drittsystemen)

Was ist der Fortinet Mobile Single Sign-on Agent?
Dies ist eine Funktion des Endpunkt-Schutzes mit FortiClient. Der Agent stellt dem FAC automatisch Informationen (Benutzername und IP-Adresse) zur transparenten Authentifizierung zur Verfügung. IP-Adressänderungen, z. B. beim WiFi-Roaming, werden automatisch an den FAC gesendet. Meldet sich der Benutzer ab oder wird die Netzwerk-Verbindung aus anderen Gründen getrennt, erkennt das der FAC und widerruft die Benutzer-Authentifizierung.

Welche Cloud-IDPs unterstützt der FAC?
Jeder SAML 2.0-kompatible IDP kann unterstützt werden. Bei den meisten SAML 2.0-IDPs lässt sich normalerweise ein benutzerdefiniertes Attribut erstellen. Der FAC kann mit fast jedem benutzerdefinierten Benutzer- oder Gruppenattribut abgeglichen werden. Zu den getesteten IDPs gehören Azure, GSuite und Okta.

Wird die 2FA unterstützt, wenn Office 365 als Cloud-Anwendung ausgeführt wird?
Fortinet unterstützt Office 365 als SAML SP, wenn der FAC als IDP mit einem lokalen Active Directory (AD) mit LDAP-Authentifizierung verwendet wird.

Welche Voraussetzungen muss Office 365 als SP erfüllen, wenn der FAC als IDP eingerichtet ist?
Fortinet unterstützt Office 365 als SAML SP, wenn der FAC als IDP mit einem lokalen Active Directory (AD) mit LDAP-Authentifizierung verwendet wird. Im FAC müssen Sie nur Office 365 als SAML SP einrichten und eine LDAP-Authentifizierungsverbindung zu Ihrem lokalen AD erstellen.

Kann der FAC den Domain-Namen auf einem SAML-IDP zuordnen, der nur die Benutzer-ID hat?
Ja. Jeder SAML-IDP kann einem Realm zugeordnet werden.

Welche FortiOS-Versionen unterstützen FortiToken Cloud?
Alle Versionen ab FortiOS 6.2.x.

Was geschieht, wenn wir neue Cloud-2FA-Token brauchen? Werden wir dann an den Fortinet-Vertrieb oder einen Fortinet-Partner weitergeleitet? Oder kann man Token direkt bei Fortinet kaufen?
Alle FTC-Lizenzen sind in der Preisliste als SKUs enthalten. Nur die SKU mit 120 Punkten kann als In-App-Kauf erworben werden.

Erfordert FortiToken Cloud auch den Kauf von Lizenzen für FortiToken Mobile oder physische Token?
FortiToken Mobile ist im FortiToken Cloud-Abonnement bereits enthalten. Physische FortiToken müssen separat erworben werden.

Unterstützt FortiToken Cloud auch SMS?
Sie können sich über die mobile App den Aktivierungscode für FortiToken Mobile auch per SMS statt per E-Mail senden lassen. Auch können Sie das Einmal-Passwort während einer Zwei-Faktor-Authentifizierung per SMS statt über FortiToken Mobile erhalten. Diese Methode ist jedoch weniger sicher und sollte nur ausnahmsweise für unkritische Zugriffe verwendet werden.

Muss ich bei meinem FortiToken Cloud-Abonnement mit 1 Punkt pro Benutzer für die monatliche Nutzung kalkulieren?
Die FortiToken Cloud-Punkte können Sie verwenden, sobald ein lizenzierter Benutzer registriert ist: 1 Punkt = 1 Benutzer x 1 Monat. FortiToken Mobile-Token sind im Abonnement für FortiToken Cloud bereits enthalten. Für FortiToken Mobile-Token fallen keine zusätzlichen Nutzungsgebühren an. Pro 250 verwendete SMS-Nachrichten wird außerdem 1 Punkt angerechnet.

Gibt es von Fortinet eine Anleitung zum Einrichten von FTM Push?
Ja, die Dokumentation finden Sie hier.

Gibt es von Fortinet eine Anleitung zum Einrichten von FTM Push über den FAC, ohne Ports zu öffnen?
Ja, die Dokumentation finden Sie hier.

Ermöglicht der FAC oder FTC einen Cross-Token-Transfer auf verschiedene Geräte mit iOS oder Android?
Ja. Benutzer müssen die Token-Transfer-Option im FAC aktivieren. Außerdem muss mindestens ein FTM-Token in der FTM-App installiert sein.