Современные среды идентификации предприятий включают различные системы записи: сетевые устройства, серверы, службы каталогов и облачные приложения. Управление идентификацией в этих различных системах может в скором времени настолько усложнить задачу администрирования, что это негативно отразится на пользователях, администраторах и разработчиках приложений.

Кроме того, причиной многих наиболее опасных нарушений безопасности является использование скомпрометированных паролей и учетных записей, и, что еще хуже, получение пользователями доступа на уровни, не соответствующие их реальным полномочиям. Крайне важно обеспечить безопасное и эффективное управление проверкой подлинности и авторизацией для всех систем, чтобы свести к минимуму нарушения безопасности.

Решение IAM компании Fortinet предоставляет службы, необходимые для безопасного подтверждения личности пользователей и устройств при их входе в сеть. С помощью этого надежного решения можно управлять идентификацией для безопасного подключения требуемых пользователей только к соответствующим ресурсам.

Решение IAM компании Fortinet включает следующие продукты.

• Решение FortiAuthenticator обеспечивает защиту от несанкционированного доступа к корпоративным ресурсам за счет предоставления централизованных служб проверки подлинности для Fortinet Security Fabric, включая службы единого входа, управления сертификатами и гостевым доступом.
• Кроме того, решение FortiToken подтверждает личность пользователей, добавляя второй фактор к процессу проверки подлинности через физические токены и токены мобильных приложений.
• Решение FortiToken Cloud предлагает многофакторную проверку подлинности (MFA) как услугу. Организации могут использовать свои интуитивно понятные панели мониторинга для управления MFA.

Сочетание решений FortiAuthenticator и FortiToken или облачной службы FortiToken позволяет эффективно решать задачи по управлению идентификацией и доступом, с которыми сталкиваются организации в нашу эпоху постоянно расширяющихся каналов связи между пользователями и устройствами.

Увеличение числа облачных приложений и подключенных устройств изменило стиль нашей работы. Кроме того, это увеличило количество возможных направлений атак, так как киберпреступники получили больше возможностей для целенаправленных атак. Для предотвращения нарушений безопасности организации должны гарантировать, что только требуемые пользователи получат доступ к соответствующим сетевым ресурсам.

Решение Fortinet для проверки подлинности пользователей предоставляет необходимые средства и возможности для эффективного управления идентификацией и проверкой подлинности пользователей, устройств, а также гостей и партнеров. Можно интегрировать решения идентификации для повышения качества обслуживания пользователей.

Гибкие возможности развертывания позволят вам выбрать самый удобный способ развертывания решений в соответствии со своими потребностями. Выберите локальное готовое к использованию оборудование, виртуальную машину, управляемую облачную службу или идентификацию как услугу (IDaaS). Быстрая интеграция решения IAM компании Fortinet с имеющейся инфраструктурой проверки подлинности, например Active Directory (AD) или LDAP, а также с новыми службами с помощью поставщиков облачных услуг. 

Что представляет собой FortiAuthenticator (FAC)?
FortiAuthenticator предоставляет все централизованные службы проверки подлинности, включая двухфакторную проверку подлинности (2FA), единый вход Fortinet, единый вход SAML 2.0 и портал для поддержки гостей, отслеживания и управления жизненным циклом сертификатов.

Работает ли FAC с виртуальными машинами?
Да. FAC для виртуальных машин может обрабатывать от 100 до более чем 1 млн пользователей. Лицензия является бессрочной и расширяемой, а также не имеет ограничений по ЦП или ОЗУ. Кроме того, FAC обеспечивает пять моделей применения. Для получения подробных спецификаций см. таблицу технических данных FAC.

Поддерживает ли FAC режимы высокой доступности и балансировки нагрузки?
Да.

Решение Fortinet FortiGate уже поддерживает функцию проверки подлинности (включая SAML) с двухфакторной проверкой подлинности (2FA). Каковы причины использования FAC?
Система FAC необходима в том случае, если для архитектуры безопасности требуется центральная платформа управления проверкой подлинности, которая выходит за рамки стандартного механизма проверки подлинности единого решения FortiGate. Как правило, система FAC необходима, если требуется интеграция механизма проверки подлинности, а в среде развернуто несколько решений FortiGate.

Какие протоколы и методы проверки подлинности поддерживает FAC?
Целый ряд протоколов проверки подлинности на уровне сети, веб-сайта и портала.

• Пользователи могут выполнять проверку подлинности с помощью веб-портала и набора встроенных мини-приложений.
• Для пользователей с установленной системой FortiClient Endpoint Security проверка подлинности может выполняться автоматически с помощью мобильного агента единого входа FortiClient.
• Для пользователей, подлинность которых проверяется с помощью Active Directory, проверка подлинности может выполняться автоматически.
• Для запуска проверки подлинности FSSO можно использовать пакеты учета RADIUS.
  

Для получения дополнительной информации загрузите таблицу технических данных FAC

Что представляет собой двухфакторная проверка подлинности?
Двухфакторная проверка подлинности (2FA) является методом установки доступа к интерактивному приложению, учетной записи или сетевому устройству, в рамках которого пользователь должен предоставить два различных типа информации. Первый фактор идентификации просто подразумевает способ удостоверения своей личности в веб-службе или на сетевом устройстве. Обычно это известные вам сведения, например сочетание вашего имени пользователя и пароля. В рамках второго фактора идентификации потребуется подтвердить свою личность с помощью чего-то, что вы имеете, например токена.

Все ли решения двухфакторной проверки подлинности одинаково эффективны?
Существует множество подходов и форматов двухфакторной проверки подлинности. Некоторые обеспечивают значительно более надежную защиту, чем другие.

• Аппаратные токены являются традиционным методом для проверки 2FA. Токены зачастую поставляются в виде брелока с дисплеем, на котором отображаются одноразовые пароли (OTP) с привязкой по времени. Защита внутреннего ключа обеспечивается с помощью аппаратных средств.
• Мобильные токены аналогичны по функциям аппаратным, но предоставляются в виде мобильных приложений. По соображениям безопасности необходимо учитывать различия между мобильным приложением и токеном. Приложение представляет собой генератор одноразовых паролей (OTP), а значение seed специально привязывается к токену, установленному в приложении. Во время активации токена действующее решение предоставляет значение seed токена в зашифрованном, а не в обычном формате. Во время активации решение Fortinet FortiToken Mobile (FTM) предоставляет значение seed токена FTM в защищенном (зашифрованном) виде и предотвращает одновременную активацию токена на нескольких устройствах. Кроме того, FTM с FortiAuthenticator или FortiToken Cloud обеспечивает (запатентованную) службу передачи токенов для FTM, а также сторонних токенов. Это позволяет защитить передачу токенов между различными платформами с iOS или Android. Это преимущество не может обеспечить никакое другое приложение в настоящее время.

Какие варианты токенов предлагает компания Fortinet?
Полный спектр типов токенов:

• Аппаратные различных форм-факторов: миниатюрные в форме кредитной карты и брелоки с крупным дисплеем (USB-токен со смарт-картой PKI)
• Программный токен на различных мобильных платформах (iOS, Android, Windows)
• Многофакторная проверка подлинности (MFA) как услуга в облаке Fortinet FortiToken

Что представляет собой проверка подлинности SAML 2.0?
Язык разметки заявлений системы безопасности (SAML) представляет собой стандартный формат, который используется для проверки подлинности пользователей при доступе к интерактивным приложениям с помощью единого входа. Это платформа на основе XML предназначена для проверки подлинности и авторизации между двумя организациями: поставщиком услуг (SP) и поставщиком удостоверений (idP). Поставщик услуг представляет собой интерактивное приложение или службу, к которой пользователь хочет получить доступ, а поставщик удостоверений осуществляет функцию проверки подлинности пользователя.

При проверке подлинности SAML 2.0 используются два пользовательских потока.

• Поток idP обычно запускается страницей на стороне поставщика idP, отображающего список доступных приложений или услуг, доступ к которым может получить пользователь в соответствии со своими правами. Поставщик услуг (SP) соглашается доверять поставщику idP и предоставлять доступ после того, как idP выполнит проверку подлинности пользователя.
• Поток SP запускается, когда пользователь или браузер запрашивают доступ к приложению или службе, предлагаемой поставщиком услуг (SP). Как только пользователь предпринимает попытку получить доступ к интерактивному приложению, поставщик услуг (SP) создает запрос SAML и направляет сведения о пользователе и запрос поставщику удостоверений (idP) для проверки подлинности. После подтверждения подлинности пользователя поставщиком удостоверений (idP) поставщик услуг (SP) предоставляет пользователю доступ.

Поддерживает ли FAC оба потока SAML 2.0?
Да, решение FortiAuthenticator поддерживает оба потока SAML 2.0, запускаемые как idP, так и SP с эффективной проверкой подлинности (2FA). Кроме того, при более сложных развертываниях, FAC обеспечивает функциональные возможности прокси-сервера idP для упрощения внедрения корпоративных облачных приложений.

Что представляет собой технология единого входа (SSO)?
SSO является частью функции управления идентификацией и доступом (IAM). Она предоставляет пользователям возможность однократной безопасной проверки подлинности с использованием их учетных данных, а также использования многочисленных приложений, для доступа к которым у пользователя имеются соответствующие права.

Что представляет собой функция единого входа Fortinet (FSSO)?
Функция единого входа Fortinet, которая ранее называлась FortiGate Server Authentication Extension (FSAE), представляет собой протокол проверки подлинности, с помощью которого можно выполнять прозрачную проверку подлинности пользователей для доступа к платформам FortiGate, FortiAuthenticator и FortiCache.  FAC идентифицирует пользователей на основе проверки их подлинности другой системой. Затем проверку подлинности пользователей можно выполнить с помощью нескольких методов, включая следующие.

• Пользователи могут выполнять проверку подлинности с помощью веб-портала и набора встроенных мини-приложений.
• Для пользователей с установленной системой FortiClient Endpoint Security проверка подлинности может выполняться автоматически с помощью мобильного агента единого входа FortiClient.
• Для пользователей, подлинность которых проверяется с помощью Active Directory, проверка подлинности может выполняться автоматически.
• Для запуска проверки подлинности FSSO можно использовать пакеты учета RADIUS.
• Пользователей можно идентифицировать с помощью FAC RestAPI. (Это удобно при интеграции со сторонними системами.)

Что представляет собой мобильный агент единого входа Fortinet?
Он является компонентом системы FortiClient Endpoint Security. Агент автоматически предоставляет сведения об имени пользователя и IP-адресе системе FAC для прозрачной проверки подлинности. Сведения об изменениях IP-адреса, например из-за роуминга Wi-Fi, автоматически отправляются в систему FAC. При выходе или ином отсоединении пользователя от сети система FAC получает соответствующие сведения и проводит отмену проверки подлинности пользователя.

Каких облачных поставщиков удостоверений (IdP) поддерживает система FAC?
Могут поддерживаться любые поставщики удостоверений, совместимые с SAML 2.0. Большинство поставщиков удостоверений SAML 2.0 обычно позволяют создать настраиваемый атрибут. Система FAC может выполнять сопоставление практически с любыми настраиваемыми атрибутами пользователей/групп. К проверенным поставщикам удостоверений относятся Azure, GSuite и Okta.

Поддерживается ли метод 2FA для облачных приложений O365?
Мы поддерживаем O365 в качестве поставщика услуг SAML при использовании системы FAC в качестве поставщика удостоверений с локальным Active Directory (AD), обеспечивающим проверку подлинности LDAP.

Каковы предварительные требования для O365 в качестве поставщика услуг, когда система FAC настроена в качестве поставщика удостоверений?
Мы поддерживаем O365 в качестве поставщика услуг SAML при использовании системы FAC в качестве поставщика удостоверений с локальным Active Directory (AD), обеспечивающим проверку подлинности LDAP. В системе FAC необходимо только настроить O365 в качестве поставщика услуг SAML и создать соединение для проверки подлинности LDAP с локальным AD.

Может ли FAC сопоставить доменное имя в поставщике удостоверений SAML, имеющее только идентификатор пользователя (UserID)?
Да. Каждого поставщика удостоверений SAML можно сопоставить с областью.

Какие версии FortiOS поддерживает облачная служба FortiToken?
Самой ранней версией является FortiOS 6.2.x

При запросах новых токенов для метода 2FA для облачных приложений направляется ли запрос торговым представителям или партнерам Fortinet или возможно прямое приобретение в компании Fortinet?
Все лицензии FTC доступны в качестве единиц хранения (SKU) в прайс-листе. Через приложение возможно приобретение только SKU с минимальным количеством баллов (120 баллов).

Требуется ли для облачной службы FortiToken также приобретать лицензии на FortiToken Mobile или физические токены?
Решение FortiToken Mobile включено в подписку облачной службы FortiToken. Физические токены FortiToken необходимо приобретать отдельно.

Каким образом служба коротких сообщений (SMS) реализована в облачной службе FortiToken?
Для отправки кода активации для FortiToken Mobile через мобильное приложение вместо электронной почты можно использовать службу SMS. Кроме того, службу SMS можно использовать вместо решения FortiToken Mobile для предоставления одноразовых паролей (OTP) в рамках применяемой двухфакторной проверки подлинности. Однако этот метод менее безопасный, поэтому его следует использовать только в качестве временного решения для доступа, не имеющего критического значения.

В моей подписке облачной службы FortiToken нужно ли мне рассчитывать исходя из 1 балла за 1 пользователя при месячном использовании?
После регистрации лицензированного пользователя точки облачной службы FortiToken в вашем распоряжении. Один балл = один пользователь x один месяц. Токены FortiToken Mobile включены в подписку для облачной службы FortiToken, поэтому дополнительная плата за использование токенов FortiToken Mobile не взимается. Кроме того, один балл списывается за каждые 250 отправленных сообщений SMS.

Имеется ли у компании Fortinet какая-либо документация для демонстрации способов настройки отправки FTM?
Документацию можно получить, щелкнув здесь.

Имеется ли у компании Fortinet какая-либо документация, которую она может предоставить клиентам, для демонстрации способов настройки отправки FTM из системы FAC без открытия портов?
Документацию можно получить, щелкнув здесь.

Предлагаются ли в системе FAC или FTC способы передачи токенов на различные устройства с iOS или Android?
Да. Пользователи должны включить передачу токенов в системе FAC и располагать по крайней мере одним токеном FTM, установленным в приложении FTM.