Uwierzytelnienie

Fudo Enterprise ma szeroki spektrum metod uwierzytelnienia użytkownika przed serwerem docelowym. Są to:

• uwierzytelnienie zewnętrzne:

  • CERB,
  • RADIUS,
  • LDAP,
  • Active Directory,

• OATH,

• SMS,

• DUO,

• OpenID Connect.

Uwierzytelnienie użytkowników za pomocą zewnętrznych serwerów uwierzytelniania wymaga skonfigurowania połączeń z serwerami usług danego typu:

Widok zarządzania serwerami uwierzytelniania

Widok zarządzania zewnętrznymi serwerami uwierzytelniania pozwala na dodanie nowych oraz edycję istniejących serwerów.

Aby przejść do widoku zarządzania serwerami uwierzytelniania, wybierz z lewego menu Ustawienia > Uwierzytelnienie.

Definicja serwera zewnętrznego uwierzytelniania

Aby dodać serwer uwierzytelniania, postępuj zgodnie z poniższą instrukcją.

1. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.
2. Kliknij Dodaj źródło zewnętrznego uwierzytelnienia.
3. Z listy rozwijalnej Typ, wybierz rodzaj systemu uwierzytelnienia.
4. Uzupełnij parametry konfiguracyjne, zależne od typu wybranego systemu uwierzytelnienia.
5. Kliknij Zapisz.

Parametr	Opis
CERB
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa CERB.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelnienia.
Serwis	Serwis w systemie CERB w oparciu o który będzie uwierzytelniany użytkownik.
Sekret	Sekret wykorzystywany do połączeń z serwerem. Sekret odpowiada hasłu zdefiniowanemu podczas konfiguracji klienta RADIUS w systemie CERB.
Powtórz sekret	Sekret wykorzystywany do połączeń z serwerem.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
RADIUS
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa RADIUS.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelniania.
NAS ID	Parametr, który zostanie przekazany w atrybucie NAS-Identifier do serwera RADIUS.
Sekret	Sekret serwera RADIUS służący szyfrowaniu haseł użytkowników.
Powtórz sekret	Sekret serwera RADIUS służący szyfrowaniu haseł użytkowników.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
LDAP
Host	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa LDAP.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelniania.
Bind DN	Miejsce w strukturze katalogowej, w której zawarte są definicje użytkowników uwierzytelnianych w usłudze LDAP. Np. dc=example,dc=com
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
Active Directory
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa AD.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelnienia.
Domena Active Directory	Domena, w oparciu o którą będzie wykonywane uwierzytelnienie w serwerze Active Directory.
Połączenie szyfrowane	Ta opcja jest konieczna do zaznaczenia, aby użytkownicy domenowi mogli zmieniać hasło na Portalu Użytkownika.
Login	Login konta uprzywilejowanego do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Sekret	Sekret do nawiązywania połączeń do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Powtórz sekret	Sekret do nawiązywania połączeń do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.

Ostrzeżenie

Kiedy została wybrana dodatkowa metoda uwierzytelnienia (OATH, SMS or DUO) jako drugi czynnik dla synchronizacji z zewnętrznym serwerem uwierzytelnienia (AD / LDAP / CERB / RADIUS), nie będzie wystarczające wybranie samego Zewnętrznego uwierzytelnienia w definicji Użytkownika. Dodatkowo wybrana metoda uwierzytelnienia powinna zostać skonfigurowana dla Użytkownika jako główna metoda uwierzytelnienia. Wtedy Użytkownik będzie automatycznie synchronizowany, zgodnie z ustawieniami źródła zewnętrznego uwierzytelnienia.

Informacja

Etykietowane adresy IP

W przypadku konfiguracji klastrowej, z listy rozwijalnej Adres źródłowy wybierz etykietowany adres IP i upewnij się, że na pozostałych węzłach wybrana etykieta posiada przypisany adres IP odpowiedni dla danego węzła. Więcej informacji na temat etykietowanych adresów IP znajdziesz w rozdziale Etykiety adresów IP.

Definicja uwierzytelniania OATH

Sprawdź szczegóły na stronie Dwuskładnikowe uwierzytelnienie OATH z Google Authenticator.

Definicja uwierzytelniania SMS

1. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.

2. Wybierz zakładkę Uwierzytelnienie SMS.

• Wprowadź Długość tokenu.

Informacja

Długość tokenu powinna być w przedziale 4-16.

• Wprowadź ID konta.
• Wprowadź Token produktu.
• Wprowadź Adres API oraz port.

Informacja

Wartości dla ID konta, Token produktu oraz Adres API są generowane po stronie dostawcy usług CM.COM. W tym celu jest wymagana rejestracja konta w tym serwisie.

• Wybierz Adres źródłowy.

3. Kliknij Zapisz.

Skonfiguruj metodę uwierzytelnienia SMS dla użytkownika:

4. Wybierz z lewego menu Zarządzanie > Użytkownicy.

5. Znajdź i wybierz użytkownika, dla którego chcesz uruchomić uwierzytelnianie SMS.

• Wprowadź numer telefonu w polu Telefon.
• Pod sekcją Uwierzytelnienie wybierz Typ: SMS
• Z listy Pierwszy składnik wybierz Hasło statyczne albo Zewnętrzne uwierzytelnianie (AD albo LDAP).

6. Kliknij Zapisz.

7. Zaloguj się do Access Gateway przy pomocy SMS kodu.

Definicja uwierzytelniania DUO

1. Pobierz i zainstaluj aplikację mobilną Duo Mobile.
2. Zarejestruj się na stronie Duo Security w celu stworzenia własnego konta.

3. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.

4. Wybierz zakładkę Uwierzytelnienie DUO.

• Ze swojego profilu na Duo Security wprowadź: Adres API, Klucz integracyjny oraz Klucz tajny.
• Wybierz Adres źródłowy.

5. Kliknij Zapisz.

Skonfiguruj metodę uwierzytelnienia DUO dla użytkownika:

6. Wybierz z lewego menu Zarządzanie > Użytkownicy.

7. Znajdź i wybierz użytkownika, dla którego chcesz uruchomić uwierzytelnienie DUO.

• Pod sekcją Uwierzytelnianie wybierz Typ: DUO.
• Z listy Pierwszy składnik wybierz Hasło statyczne albo Zewnętrzne uwierzytelnianie (AD albo LDAP).
• Wprowadź Użytkownik DUO.
• Wprowadź ID użytkownika DUO.

8. Kliknij Zapisz.

9. Zaloguj się do Access Gateway, akceptując notyfikację typu push z aplikacji Duo Mobile.

Definicja uwierzytelniania OpenID Connect

Definicja uwierzytelnienia przez OpenID Connect jest globalną metodą uwierzytelniania i nie jest przywiązywana do użytkownika. Zatem jeśli użytkownik nie ma ustawionych żadnych metod uwierzytelniania, to też może się uwierzytelniać korzystając z OpenID Connect w Access Gateway oraz w Panelu Admina.

Postępuj zgodnie z instrukcją, aby ustawić uwierzytelnienie za pomocą OpenID Connect:

1. Wybierz Ustawienia > Uwierzytelnienie.
2. Wybierz zakładkę Uwierzytelnienie OpenID Connect .
3. Kliknij Dodaj źródło zewnętrznego uwierzytelnienia
4. Zaznacz opcję Włączone dla uruchomienia uwierzytelnienia OpenID Connect za pomocą Azure AD.
5. Podaj nazwę (na przykład, Azure, Okta).
6. Podaj Configuration URL.

Informacja

Ten URL jest specyficzny dla każdego dostawcy OpenID Connect, więc służy do jego identyfikacji w celu prawidłowej konfiguracji. Przykład Configuration URL dla Google: https://accounts.google.com/.well-known/openid-configuration.

7. Podaj Client ID, Client secret. Te dane są dostępne po rejestracji na stronie wybranego dostawcy.
8. Dodaj Username mapping oraz Email mapping. Te pola są przydatne w przypadku innej konwencji nazewnictwa użytkownika.
9. Podaj Bind address.
10. Kliknij Zapisz.

Informacja

Algorytm ustalania tożsamości użytkownika jest następujący:

1. Jeśli zdefiniowano Username mapping, próbujemy znaleźć w danych pole o tej nazwie. Jeśli dane JSON zawierają to pole, użytkownik wyszukiwany jest pod tą nazwą.
2. Jeśli Username mapping nie zostało zdefiniowane, pole nie zostało znalezione w danych, lub nie odnaleziono użytkownika po nazwie, następnym krokiem jest sprawdzennie, czy zdefiniowano Email mapping. Jeśli jest ono zdefiniowane oraz istnieje w danych JSON, następuje próbuba znalezienia użytkownika za pomocą tego adresu email.
3. Gdy ani Username mapping, ani Email mapping nie są zdefiniowane, następuje próbuba odnalezienia użytkownika po jego nazwie lub adresie email. Wyszukiwanie tych pól w danych odbywa się w następującej kolejności: email, upn, unique_name.

Ponadto, jeśli w danych znajduje się pole email_verification, jego wartość musi być ustawiona na true.

11. Zaloguj się przy użyciu skonfigurowanej metody uwierzytelnienia:

Tematy pokrewne:

• Metody uwierzytelniania
• Opis systemu
• Integracja z serwerem CERB