MFASOFT Secure Authentication Server

Функции и сценарии MFASOFT SAS

Аутентификаторы, интеграции, адаптивные цепочки, мультиарендность, управление, аудит и архитектура MFASOFT SAS.

Аутентификаторы и жизненный цикл

SAS поддерживает аппаратные HOTP/TOTP-токены, мобильное приложение MFASOFT, Google-совместимые приложения и токены «запрос-ответ». Мобильное приложение выдаёт коды по времени или событию, принимает push и защищает доступ ПИН-кодом или биометрией.

Администратор импортирует, выдаёт, активирует, приостанавливает и отзывает токены. Автоназначение связывает эти действия с группами и пользователями LDAP, а портал самообслуживания позволяет пользователю сбросить ПИН-код, синхронизировать токен, запросить новый или повторно получить ссылку активации.

Интеграция с ресурсами

  • агент FreeRADIUS — VPN, RDP/VDI, Linux и другие RADIUS-ресурсы;
  • LDAP-прокси — приложения и устройства, принимающие только LDAP-пароль;
  • агенты ADFS и Keycloak — SSO по SAML и OpenID Connect;
  • Web API — приложение без подходящего стандартного протокола;
  • агент синхронизации — Active Directory, Samba и FreeIPA;
  • syslog — передача событий в систему сбора и анализа.

В архитектуре можно использовать несколько экземпляров агентов и балансировку, чтобы исключить одну точку отказа.

LDAP и адаптивные цепочки

LDAP-пароль можно использовать как временный пароль, ПИН вместе с OTP, отдельный первый этап или фактор в LDAP-прокси. Последовательность проверки может зависеть от типа агента, даты и времени, IP-адреса, группы пользователя, наличия токена и результата проверки LDAP.

Например, внутри периметра пользователь входит на портал самообслуживания по LDAP, а снаружи — по LDAP и OTP. Для VPN новый пользователь без активированного токена может получить ограниченный первый вход, необходимый для безопасной активации.

Многоуровневая мультиарендность

Одна установка может содержать автономные аккаунты с собственными пользователями, группами, агентами, токенами, политиками и журналами. Управление делегируется оператору подразделения или внешней организации. Аккаунт может создавать вложенные аккаунты, что подходит холдингам, филиалам и сервис-провайдерам.

Совпадающие логины разделяются доменным суффиксом или порядком выбора аккаунта. Перед внедрением нужно спроектировать границы арендаторов, администраторские роли и модель лицензирования.

Модульная архитектура и доступность

Сервер аутентификации состоит из независимых модулей: ядра проверки, активации токенов, push, LDAP-синхронизации, консоли, портала самообслуживания, планировщика, отчётности и API. Компоненты поставляются в контейнерном виде, могут размещаться на разных узлах и объединяться в фермы встроенными средствами или внешними балансировщиками.

Варианты размещения: корпоративный контур, VDS/VPS и сервисная модель с агентами внутри сети заказчика.

Управление, аудит и отчётность

Веб-консоль разграничивает доступ к разделам интерфейса. Через API платформу можно включить в существующую панель управления. Журнал входов содержит пользователя, время, IP-адрес, агент, результат и токен; события отправляются по syslog.

Отчёты создаются по шаблонам однократно или по расписанию. Доступность модулей можно контролировать внешней системой мониторинга.

Сценарии внедрения

Один ресурс

Подключить VPN или веб-портал, синхронизировать тестовую группу LDAP, выдать мобильные токены и проверить резервный способ входа.

Корпоративная MFA

Подключить несколько типов ресурсов, внедрить самообслуживание, автоматическую выдачу и отзыв, SIEM/syslog и отказоустойчивые агенты.

Холдинг или сервис-провайдер

Разделить арендаторов, делегировать управление, определить общие и локальные политики, кластеризовать модули и проверить биллинг/отчётность.

На пилоте проверим

  • успешный и отклонённый OTP/push-вход;
  • синхронизация пользователей и групп LDAP;
  • автоматическую выдачу и отзыв токена;
  • работу портала самообслуживания;
  • реакцию на отказ одного агента или модуля;
  • передачу событий в syslog;
  • разделение арендаторов при включённой мультиарендности.

Запланировать пилот MFASOFT SAS

Обсудить ваш сценарий

Посмотрите продукт с инженером AFI

Согласуем содержание демонстрации, критерии пилота или исходные данные для расчёта стоимости лицензии и интеграции.