Аутентификаторы и жизненный цикл
SAS поддерживает аппаратные HOTP/TOTP-токены, мобильное приложение MFASOFT, Google-совместимые приложения и токены «запрос-ответ». Мобильное приложение выдаёт коды по времени или событию, принимает push и защищает доступ ПИН-кодом или биометрией.
Администратор импортирует, выдаёт, активирует, приостанавливает и отзывает токены. Автоназначение связывает эти действия с группами и пользователями LDAP, а портал самообслуживания позволяет пользователю сбросить ПИН-код, синхронизировать токен, запросить новый или повторно получить ссылку активации.
Интеграция с ресурсами
- агент FreeRADIUS — VPN, RDP/VDI, Linux и другие RADIUS-ресурсы;
- LDAP-прокси — приложения и устройства, принимающие только LDAP-пароль;
- агенты ADFS и Keycloak — SSO по SAML и OpenID Connect;
- Web API — приложение без подходящего стандартного протокола;
- агент синхронизации — Active Directory, Samba и FreeIPA;
- syslog — передача событий в систему сбора и анализа.
В архитектуре можно использовать несколько экземпляров агентов и балансировку, чтобы исключить одну точку отказа.
LDAP и адаптивные цепочки
LDAP-пароль можно использовать как временный пароль, ПИН вместе с OTP, отдельный первый этап или фактор в LDAP-прокси. Последовательность проверки может зависеть от типа агента, даты и времени, IP-адреса, группы пользователя, наличия токена и результата проверки LDAP.
Например, внутри периметра пользователь входит на портал самообслуживания по LDAP, а снаружи — по LDAP и OTP. Для VPN новый пользователь без активированного токена может получить ограниченный первый вход, необходимый для безопасной активации.
Многоуровневая мультиарендность
Одна установка может содержать автономные аккаунты с собственными пользователями, группами, агентами, токенами, политиками и журналами. Управление делегируется оператору подразделения или внешней организации. Аккаунт может создавать вложенные аккаунты, что подходит холдингам, филиалам и сервис-провайдерам.
Совпадающие логины разделяются доменным суффиксом или порядком выбора аккаунта. Перед внедрением нужно спроектировать границы арендаторов, администраторские роли и модель лицензирования.
Модульная архитектура и доступность
Сервер аутентификации состоит из независимых модулей: ядра проверки, активации токенов, push, LDAP-синхронизации, консоли, портала самообслуживания, планировщика, отчётности и API. Компоненты поставляются в контейнерном виде, могут размещаться на разных узлах и объединяться в фермы встроенными средствами или внешними балансировщиками.
Варианты размещения: корпоративный контур, VDS/VPS и сервисная модель с агентами внутри сети заказчика.
Управление, аудит и отчётность
Веб-консоль разграничивает доступ к разделам интерфейса. Через API платформу можно включить в существующую панель управления. Журнал входов содержит пользователя, время, IP-адрес, агент, результат и токен; события отправляются по syslog.
Отчёты создаются по шаблонам однократно или по расписанию. Доступность модулей можно контролировать внешней системой мониторинга.
Сценарии внедрения
Один ресурс
Подключить VPN или веб-портал, синхронизировать тестовую группу LDAP, выдать мобильные токены и проверить резервный способ входа.
Корпоративная MFA
Подключить несколько типов ресурсов, внедрить самообслуживание, автоматическую выдачу и отзыв, SIEM/syslog и отказоустойчивые агенты.
Холдинг или сервис-провайдер
Разделить арендаторов, делегировать управление, определить общие и локальные политики, кластеризовать модули и проверить биллинг/отчётность.
На пилоте проверим
- успешный и отклонённый OTP/push-вход;
- синхронизация пользователей и групп LDAP;
- автоматическую выдачу и отзыв токена;
- работу портала самообслуживания;
- реакцию на отказ одного агента или модуля;
- передачу событий в syslog;
- разделение арендаторов при включённой мультиарендности.