Skip to content Skip to navigation Skip to footer

Управление идентификацией и доступом

Безопасное подключение любого пользователя к ресурсам и простое управление ими

web product icon identity access management

Обзор решения для управления идентификацией и доступом (IAM)

Современные среды идентификации предприятий включают различные системы записи: сетевые устройства, серверы, службы каталогов и облачные приложения. Управление идентификацией в этих различных системах может в скором времени настолько усложнить задачу администрирования, что это негативно отразится на пользователях, администраторах и разработчиках приложений.

Кроме того, причиной многих наиболее опасных нарушений безопасности является использование скомпрометированных паролей и учетных записей, и, что еще хуже, получение пользователями доступа на уровни, не соответствующие их реальным полномочиям. Крайне важно обеспечить безопасное и эффективное управление проверкой подлинности и авторизацией для всех систем, чтобы свести к минимуму нарушения безопасности.

 

Сведения о решении для управления идентификацией и доступом

Решение IAM компании Fortinet предоставляет службы, необходимые для безопасного подтверждения личности пользователей и устройств при их входе в сеть. С помощью этого надежного решения можно управлять идентификацией для безопасного подключения требуемых пользователей только к соответствующим ресурсам.

Решение IAM компании Fortinet включает следующие продукты.

  • Решение FortiAuthenticator обеспечивает защиту от несанкционированного доступа к корпоративным ресурсам за счет предоставления централизованных служб проверки подлинности для Fortinet Security Fabric, включая службы единого входа, управления сертификатами и гостевым доступом.
  • Кроме того, решение FortiToken подтверждает личность пользователей, добавляя второй фактор к процессу проверки подлинности через физические токены и токены мобильных приложений.
  • Решение FortiToken Cloud предлагает многофакторную проверку подлинности (MFA) как услугу. Организации могут использовать свои интуитивно понятные панели мониторинга для управления MFA.

Сочетание решений FortiAuthenticator и FortiToken или облачной службы FortiToken позволяет эффективно решать задачи по управлению идентификацией и доступом, с которыми сталкиваются организации в нашу эпоху постоянно расширяющихся каналов связи между пользователями и устройствами.

Особенности и преимущества

icon benefits secure authentication

Интуитивно понятные, централизованные службы проверки подлинности и авторизации

Эффективный инструмент обеспечения для пользователей соответствующего уровня доступа к данным, ресурсам и приложениям
icon benefits migration

Многофакторная проверка подлинности и управление

Повышенная точность проверки личности пользователя за счет применения второго фактора при проверке
simple icon

Единый вход (SSO) для веб-/облачных приложений и сетевых ресурсов

Fortinet SS0 (FSSO) включает современные протоколы проверки подлинности, в которые интегрирована идентификация для SSO (SAML, oAuth, OIDC и поддержка API)
icon benefits management

Управление гостевым доступом, BYOD и сертификатами

Настраиваемые порталы, в том числе возможности самообслуживания
intelligent icon

Удобство развертывания и лицензирования

Гибкие варианты развертывания (устройства, виртуальные машины, облачные решения) с разовыми или обновляемыми вариантами лицензий
Compliance icon

Интеграция с безопасными каталогами

Применение имеющихся локальных или облачных систем идентификации записей

Модели и характеристики средств управления удостоверениями и доступом

Продукты Fortinet для управления идентификацией и доступом обеспечивают надежный ответ на вызовы, с которыми сегодня сталкиваются компании при проверке личности пользователей и устройств.

Решение FortiAuthenticator предоставляет централизованные службы проверки подлинности для Fortinet Security Fabric, включая службы единого входа, управления сертификатами и гостями.

Аппаратные средства

Всего пользователей
500
Описание
4x GE RJ45 ports, 1x 1 TB HDD
Всего пользователей
2,000
Описание
4x GE RJ45 ports, 2x 1 TB HDD
Всего пользователей
10,000
Описание
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB HDD
Всего пользователей
20,000
Описание
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB SAS Drive
Всего пользователей
40,000
Описание
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB SAS Drive
Всего пользователей
8,000
Описание
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB HDD

Для получения дополнительной информации об этих и других функциях продуктах см. страницу описания продукции. 

 

Виртуальные машины

Пользователи
100
Описание
Base FortiAuthenticator-VM with 100 user license
Пользователи
+100
Описание
License to add 100 users to base VM
Пользователи
+1000
Описание
License to add 1000 users to base VM
Пользователи
+10000
Описание
License to add 10000 users to base VM

Служба FortiToken также подтверждает личность пользователей, добавляя второй фактор к процессу проверки подлинности через токены на основе физических и мобильных приложений.

Описание
Two factor authentication application for mobile devices
Описание
Standard multi-form factor OATH compliant hardware token
Описание
Hardware USB token for X.509 PKI certificates

Щелкните здесь, чтобы посмотреть соответствующие технические данные. 

Облачная служба FortiToken Cloud обеспечивает безопасное облачное управление двухфакторной проверкой подлинности для сред FortiGate на всех этапах: от инициализации до отзыва. 

Щелкните здесь, чтобы войти в облачную службу FortiToken.

Решение FortiAuthenticator обеспечивает концепцию использования собственной лицензии (BYOL) общедоступного облака за счет платформ AWS Marketplace и Azure Marketplace.  Для получения дополнительной информации щелкните ссылки ниже:

 

Пример использования решения для управления идентификацией и доступом

Повышение безопасности и производительности наряду со снижением нагрузки на специалистов ИТ

Увеличение числа облачных приложений и подключенных устройств изменило стиль нашей работы. Кроме того, это увеличило количество возможных направлений атак, так как киберпреступники получили больше возможностей для целенаправленных атак. Для предотвращения нарушений безопасности организации должны гарантировать, что только требуемые пользователи получат доступ к соответствующим сетевым ресурсам.

Решение Fortinet для проверки подлинности пользователей предоставляет необходимые средства и возможности для эффективного управления идентификацией и проверкой подлинности пользователей, устройств, а также гостей и партнеров. Можно интегрировать решения идентификации для повышения качества обслуживания пользователей.

Гибкие возможности развертывания позволят вам выбрать самый удобный способ развертывания решений в соответствии со своими потребностями. Выберите локальное готовое к использованию оборудование, виртуальную машину, управляемую облачную службу или идентификацию как услугу (IDaaS). Быстрая интеграция решения IAM компании Fortinet с имеющейся инфраструктурой проверки подлинности, например Active Directory (AD) или LDAP, а также с новыми службами с помощью поставщиков облачных услуг. 

 

Воспользуйтесь более удобным доступом с помощью многофакторной проверки подлинности (MFA)

Постоянной задачей является обеспечение безопасного локального или облачного доступа к приложениям, службам или для разработки программного обеспечения наряду с облегчением их использования для конечного пользователя.

Вы можете значительно усложнить хакерам задачу по получению доступа к защищенной информации за счет применения таких дополнительных учетных данных, как одноразовые пароли (OTP). OTP является компонентом MFA. Проверка MFA является важнейшей функцией безопасности любого решения IAM, так как при ее использовании требуется проверить многочисленные учетные данные:

  • То, что известно пользователю: имя пользователя и пароль.
  • То, чем пользователь располагает: одноразовый пароль OTP в форме токена или кода. Эти данные пользователь получает по электронной почте или SMS, на генератор аппаратных токенов или в приложение Authenticator, установленное на смартфоне пользователя.
  • То, что является отличительной чертой пользователя: биометрическая информация, например отпечаток пальца пользователя.

Поэтому даже если киберпреступник получит имя пользователя и пароль, он не сможет получить доступ к системе без другой информации.

Решение MFA компании Fortinet обеспечивает простой и защищенный доступ к корпоративным сетям VPN, Wi-Fi, локальным или облачным приложениям. Пользователи могут быстро войти в систему, ответив на push-уведомление со своих смартфонов во время процедур проверки подлинности.

Подробнее

Повышение безопасности наряду с облегчением доступа для пользователей за счет единого входа (SSO)

Централизованное управление идентификацией пользователей и их доступом к ресурсам организации является самой эффективной практикой обеспечения безопасности с использованием системы управления идентификацией и доступом (IAM). Благодаря централизованному решению IAM администраторы ИТ могут установить более серьезные требования к сложности пароля, а также применить многофакторную проверку подлинности. Кроме того, решение IAM компании Fortinet обеспечивает более удобный облачный или локальный доступ пользователей к службам и приложениям.

Основным компонентом решения IAM является единый вход (SSO), который предоставляет пользователям возможность безопасной проверки подлинности при использовании нескольких приложений и веб-сайтов за счет однократного входа. Однако не все решения SSO реализованы одинаково. Некоторые поставщики предлагают решение SSO для веб-приложений, а другие используют общедоступную облачную инфраструктуру. Кроме того, другие решениям SSO разработаны для локальных служб, включая приложения, системы хранения файлов, серверы и сети. Использования только решения SSO на основе веб-приложения недостаточно для эффективного обеспечения безопасности при идентификации, так как облачная инфраструктура и локальные службы будут иметь разные требования к SSO. В результате управление (и объединение) систем идентификации в значительной степени останутся децентрализованными, что потребует значительных усилий по интеграции различных решений SSO для обеспечения эффективной возможности SSO.

Решение FortiAuthenticator компании Fortinet обеспечивает комплексный подход к SSO за счет централизованного управления идентификацией. Оно выполняет проверку подлинности пользователей с помощью традиционных локальных средств, а также современных протоколов проверки подлинности на основе веб-приложений и облачной среды. Организации получают полный контроль. Вы можете обеспечить безопасное подключение своих пользователей к соответствующим ресурсам в облачной или локальной среде, повысив их удобство.

Подробнее

Product Demo

This full working demo lets you explore the many capabilities of FortiAuthenticator - for user identification, single sign-on, and/or two-factor authentication. You can see the range of identity sources (integration with directory services), authentication methods (hardware, software, SMS tokens), end user self-service portal, and more. And you'll quickly learn how easy it is to scalably add these capabilities to a FortiGate deployment.

Ответы на вопросы по управлению идентификацией и доступом

Что представляет собой FortiAuthenticator (FAC)?
FortiAuthenticator предоставляет все централизованные службы проверки подлинности, включая двухфакторную проверку подлинности (2FA), единый вход Fortinet, единый вход SAML 2.0 и портал для поддержки гостей, отслеживания и управления жизненным циклом сертификатов.

Работает ли FAC с виртуальными машинами?
Да. FAC для виртуальных машин может обрабатывать от 100 до более чем 1 млн пользователей. Лицензия является бессрочной и расширяемой, а также не имеет ограничений по ЦП или ОЗУ. Кроме того, FAC обеспечивает пять моделей применения. Для получения подробных спецификаций см. таблицу технических данных FAC.

Поддерживает ли FAC режимы высокой доступности и балансировки нагрузки?
Да.

Решение Fortinet FortiGate уже поддерживает функцию проверки подлинности (включая SAML) с двухфакторной проверкой подлинности (2FA). Каковы причины использования FAC?
Система FAC необходима в том случае, если для архитектуры безопасности требуется центральная платформа управления проверкой подлинности, которая выходит за рамки стандартного механизма проверки подлинности единого решения FortiGate. Как правило, система FAC необходима, если требуется интеграция механизма проверки подлинности, а в среде развернуто несколько решений FortiGate.

Какие протоколы и методы проверки подлинности поддерживает FAC?
Целый ряд протоколов проверки подлинности на уровне сети, веб-сайта и портала.

  • Пользователи могут выполнять проверку подлинности с помощью веб-портала и набора встроенных мини-приложений.
  • Для пользователей с установленной системой FortiClient Endpoint Security проверка подлинности может выполняться автоматически с помощью мобильного агента единого входа FortiClient.
  • Для пользователей, подлинность которых проверяется с помощью Active Directory, проверка подлинности может выполняться автоматически.
  • Для запуска проверки подлинности FSSO можно использовать пакеты учета RADIUS.

Для получения дополнительной информации загрузите таблицу технических данных FAC

Что представляет собой двухфакторная проверка подлинности?
Двухфакторная проверка подлинности (2FA) является методом установки доступа к интерактивному приложению, учетной записи или сетевому устройству, в рамках которого пользователь должен предоставить два различных типа информации. Первый фактор идентификации просто подразумевает способ удостоверения своей личности в веб-службе или на сетевом устройстве. Обычно это известные вам сведения, например сочетание вашего имени пользователя и пароля. В рамках второго фактора идентификации потребуется подтвердить свою личность с помощью чего-то, что вы имеете, например токена.

Все ли решения двухфакторной проверки подлинности одинаково эффективны?
Существует множество подходов и форматов двухфакторной проверки подлинности. Некоторые обеспечивают значительно более надежную защиту, чем другие.

  • Аппаратные токены являются традиционным методом для проверки 2FA. Токены зачастую поставляются в виде брелока с дисплеем, на котором отображаются одноразовые пароли (OTP) с привязкой по времени. Защита внутреннего ключа обеспечивается с помощью аппаратных средств.
  • Мобильные токены аналогичны по функциям аппаратным, но предоставляются в виде мобильных приложений. По соображениям безопасности необходимо учитывать различия между мобильным приложением и токеном. Приложение представляет собой генератор одноразовых паролей (OTP), а значение seed специально привязывается к токену, установленному в приложении. Во время активации токена действующее решение предоставляет значение seed токена в зашифрованном, а не в обычном формате. Во время активации решение Fortinet FortiToken Mobile (FTM) предоставляет значение seed токена FTM в защищенном (зашифрованном) виде и предотвращает одновременную активацию токена на нескольких устройствах. Кроме того, FTM с FortiAuthenticator или FortiToken Cloud обеспечивает (запатентованную) службу передачи токенов для FTM, а также сторонних токенов. Это позволяет защитить передачу токенов между различными платформами с iOS или Android. Это преимущество не может обеспечить никакое другое приложение в настоящее время.

Какие варианты токенов предлагает компания Fortinet?
Полный спектр типов токенов:

  • Аппаратные различных форм-факторов: миниатюрные в форме кредитной карты и брелоки с крупным дисплеем (USB-токен со смарт-картой PKI)
  • Программный токен на различных мобильных платформах (iOS, Android, Windows)
  • Многофакторная проверка подлинности (MFA) как услуга в облаке Fortinet FortiToken

Что представляет собой проверка подлинности SAML 2.0?
Язык разметки заявлений системы безопасности (SAML) представляет собой стандартный формат, который используется для проверки подлинности пользователей при доступе к интерактивным приложениям с помощью единого входа. Это платформа на основе XML предназначена для проверки подлинности и авторизации между двумя организациями: поставщиком услуг (SP) и поставщиком удостоверений (idP). Поставщик услуг представляет собой интерактивное приложение или службу, к которой пользователь хочет получить доступ, а поставщик удостоверений осуществляет функцию проверки подлинности пользователя.

При проверке подлинности SAML 2.0 используются два пользовательских потока.

  • Поток idP обычно запускается страницей на стороне поставщика idP, отображающего список доступных приложений или услуг, доступ к которым может получить пользователь в соответствии со своими правами. Поставщик услуг (SP) соглашается доверять поставщику idP и предоставлять доступ после того, как idP выполнит проверку подлинности пользователя.
  • Поток SP запускается, когда пользователь или браузер запрашивают доступ к приложению или службе, предлагаемой поставщиком услуг (SP). Как только пользователь предпринимает попытку получить доступ к интерактивному приложению, поставщик услуг (SP) создает запрос SAML и направляет сведения о пользователе и запрос поставщику удостоверений (idP) для проверки подлинности. После подтверждения подлинности пользователя поставщиком удостоверений (idP) поставщик услуг (SP) предоставляет пользователю доступ.

Поддерживает ли FAC оба потока SAML 2.0?
Да, решение FortiAuthenticator поддерживает оба потока SAML 2.0, запускаемые как idP, так и SP с эффективной проверкой подлинности (2FA). Кроме того, при более сложных развертываниях, FAC обеспечивает функциональные возможности прокси-сервера idP для упрощения внедрения корпоративных облачных приложений.

Что представляет собой технология единого входа (SSO)?
SSO является частью функции управления идентификацией и доступом (IAM). Она предоставляет пользователям возможность однократной безопасной проверки подлинности с использованием их учетных данных, а также использования многочисленных приложений, для доступа к которым у пользователя имеются соответствующие права.

Что представляет собой функция единого входа Fortinet (FSSO)?
Функция единого входа Fortinet, которая ранее называлась FortiGate Server Authentication Extension (FSAE), представляет собой протокол проверки подлинности, с помощью которого можно выполнять прозрачную проверку подлинности пользователей для доступа к платформам FortiGate, FortiAuthenticator и FortiCache.  FAC идентифицирует пользователей на основе проверки их подлинности другой системой. Затем проверку подлинности пользователей можно выполнить с помощью нескольких методов, включая следующие.

  • Пользователи могут выполнять проверку подлинности с помощью веб-портала и набора встроенных мини-приложений.
  • Для пользователей с установленной системой FortiClient Endpoint Security проверка подлинности может выполняться автоматически с помощью мобильного агента единого входа FortiClient.
  • Для пользователей, подлинность которых проверяется с помощью Active Directory, проверка подлинности может выполняться автоматически.
  • Для запуска проверки подлинности FSSO можно использовать пакеты учета RADIUS.
  • Пользователей можно идентифицировать с помощью FAC RestAPI. (Это удобно при интеграции со сторонними системами.)

Что представляет собой мобильный агент единого входа Fortinet?
Он является компонентом системы FortiClient Endpoint Security. Агент автоматически предоставляет сведения об имени пользователя и IP-адресе системе FAC для прозрачной проверки подлинности. Сведения об изменениях IP-адреса, например из-за роуминга Wi-Fi, автоматически отправляются в систему FAC. При выходе или ином отсоединении пользователя от сети система FAC получает соответствующие сведения и проводит отмену проверки подлинности пользователя.

Каких облачных поставщиков удостоверений (IdP) поддерживает система FAC?
Могут поддерживаться любые поставщики удостоверений, совместимые с SAML 2.0. Большинство поставщиков удостоверений SAML 2.0 обычно позволяют создать настраиваемый атрибут. Система FAC может выполнять сопоставление практически с любыми настраиваемыми атрибутами пользователей/групп. К проверенным поставщикам удостоверений относятся Azure, GSuite и Okta.

Поддерживается ли метод 2FA для облачных приложений O365?
Мы поддерживаем O365 в качестве поставщика услуг SAML при использовании системы FAC в качестве поставщика удостоверений с локальным Active Directory (AD), обеспечивающим проверку подлинности LDAP.

Каковы предварительные требования для O365 в качестве поставщика услуг, когда система FAC настроена в качестве поставщика удостоверений?
Мы поддерживаем O365 в качестве поставщика услуг SAML при использовании системы FAC в качестве поставщика удостоверений с локальным Active Directory (AD), обеспечивающим проверку подлинности LDAP. В системе FAC необходимо только настроить O365 в качестве поставщика услуг SAML и создать соединение для проверки подлинности LDAP с локальным AD.

Может ли FAC сопоставить доменное имя в поставщике удостоверений SAML, имеющее только идентификатор пользователя (UserID)?
Да. Каждого поставщика удостоверений SAML можно сопоставить с областью.

Какие версии FortiOS поддерживает облачная служба FortiToken?
Самой ранней версией является FortiOS 6.2.x

При запросах новых токенов для метода 2FA для облачных приложений направляется ли запрос торговым представителям или партнерам Fortinet или возможно прямое приобретение в компании Fortinet?
Все лицензии FTC доступны в качестве единиц хранения (SKU) в прайс-листе. Через приложение возможно приобретение только SKU с минимальным количеством баллов (120 баллов).

Требуется ли для облачной службы FortiToken также приобретать лицензии на FortiToken Mobile или физические токены?
Решение FortiToken Mobile включено в подписку облачной службы FortiToken. Физические токены FortiToken необходимо приобретать отдельно.

Каким образом служба коротких сообщений (SMS) реализована в облачной службе FortiToken?
Для отправки кода активации для FortiToken Mobile через мобильное приложение вместо электронной почты можно использовать службу SMS. Кроме того, службу SMS можно использовать вместо решения FortiToken Mobile для предоставления одноразовых паролей (OTP) в рамках применяемой двухфакторной проверки подлинности. Однако этот метод менее безопасный, поэтому его следует использовать только в качестве временного решения для доступа, не имеющего критического значения.

В моей подписке облачной службы FortiToken нужно ли мне рассчитывать исходя из 1 балла за 1 пользователя при месячном использовании?
После регистрации лицензированного пользователя точки облачной службы FortiToken в вашем распоряжении. Один балл = один пользователь x один месяц. Токены FortiToken Mobile включены в подписку для облачной службы FortiToken, поэтому дополнительная плата за использование токенов FortiToken Mobile не взимается. Кроме того, один балл списывается за каждые 250 отправленных сообщений SMS.

Имеется ли у компании Fortinet какая-либо документация для демонстрации способов настройки отправки FTM?
Документацию можно получить, щелкнув здесь.

Имеется ли у компании Fortinet какая-либо документация, которую она может предоставить клиентам, для демонстрации способов настройки отправки FTM из системы FAC без открытия портов?
Документацию можно получить, щелкнув здесь.

Предлагаются ли в системе FAC или FTC способы передачи токенов на различные устройства с iOS или Android?
Да. Пользователи должны включить передачу токенов в системе FAC и располагать по крайней мере одним токеном FTM, установленным в приложении FTM.