Uwierzytelnienie

Fudo Enterprise ma szeroki spektrum metod uwierzytelnienia użytkownika przed serwerem docelowym. Są to:

• uwierzytelnienie zewnętrzne:

  • CERB,
  • RADIUS,
  • LDAP,
  • Active Directory,

• OATH,

• SMS,

• DUO,

• OpenID Connect.

Uwierzytelnienie użytkowników za pomocą zewnętrznych serwerów uwierzytelnienia wymaga skonfigurowania połączeń z serwerami usług danego typu.

Widok zarządzania serwerami uwierzytelnienia

Widok zarządzania zewnętrznymi serwerami uwierzytelnienia pozwala na dodanie nowych oraz edycję istniejących serwerów.

Aby przejść do widoku zarządzania serwerami uwierzytelnienia, wybierz z lewego menu Ustawienia > Uwierzytelnienie.

Definicja serwera zewnętrznego uwierzytelniania

Aby dodać serwer uwierzytelnienia, postępuj zgodnie z poniższą instrukcją.

1. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.
2. Kliknij Dodaj źródło zewnętrznego uwierzytelnienia.
3. Z listy rozwijalnej Typ, wybierz rodzaj systemu uwierzytelnienia.
4. Uzupełnij parametry konfiguracyjne, zależne od typu wybranego systemu uwierzytelnienia.
5. Kliknij Zapisz.

Parametr	Opis
CERB
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa CERB.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelnienia.
Serwis	Serwis w systemie CERB w oparciu o który będzie uwierzytelniany użytkownik.
Sekret	Sekret wykorzystywany do połączeń z serwerem. Sekret odpowiada hasłu zdefiniowanemu podczas konfiguracji klienta RADIUS w systemie CERB.
Powtórz sekret	Sekret wykorzystywany do połączeń z serwerem.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
RADIUS
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa RADIUS.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelniania.
NAS ID	Parametr, który zostanie przekazany w atrybucie NAS-Identifier do serwera RADIUS.
Sekret	Sekret serwera RADIUS służący szyfrowaniu haseł użytkowników.
Powtórz sekret	Sekret serwera RADIUS służący szyfrowaniu haseł użytkowników.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
LDAP
Host	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa LDAP.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelniania.
Bind DN	Miejsce w strukturze katalogowej, w której zawarte są definicje użytkowników uwierzytelnianych w usłudze LDAP. Np. dc=example,dc=com
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.
Active Directory
Adres	Adres IP serwera lub nazwa hosta.
Port	Numer portu, na którym nasłuchuje usługa AD.
Adres źródłowy	Adres IP, z którego będą wysyłane zapytania do serwera uwierzytelnienia.
Domena Active Directory	Domena, w oparciu o którą będzie wykonywane uwierzytelnienie w serwerze Active Directory.
Połączenie szyfrowane	Ta opcja jest konieczna do zaznaczenia, aby użytkownicy domenowi mogli zmieniać hasło na Portalu Użytkownika.
Login	Login konta uprzywilejowanego do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Sekret	Sekret do nawiązywania połączeń do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Powtórz sekret	Sekret do nawiązywania połączeń do zmiany hasła użytkownika domenowego na serwerze Active Directory.
Drugi czynnik	Dodatkowa weryfikacja metodą uwierzytelnienia OATH, SMS albo DUO.

Ostrzeżenie

Kiedy została wybrana dodatkowa metoda uwierzytelnienia (OATH, SMS or DUO) jako drugi czynnik dla synchronizacji z zewnętrznym serwerem uwierzytelnienia (AD / LDAP / CERB / RADIUS), nie będzie wystarczające wybranie samego Zewnętrznego uwierzytelnienia w definicji Użytkownika. Dodatkowo wybrana metoda uwierzytelnienia powinna zostać skonfigurowana dla Użytkownika jako główna metoda uwierzytelnienia. Wtedy Użytkownik będzie automatycznie synchronizowany, zgodnie z ustawieniami źródła zewnętrznego uwierzytelnienia.

Informacja

Przy konfiguracji uwierzytelnienia Radius Fudo Enterprise wspiera tylko Password Authentication Protocol (PAP). Ponieważ PAP sam w sobie nie szyfruje procesu uwierzytelniania, Fudo Enterprise zwiększa bezpieczeństwo, szyfrując hasła za pomocą konfigurowanego wspólnego sekretu. Ta dodatkowa warstwa bezpieczeństwa pomaga chronić dane uwierzytelniające podczas transmisji.

Informacja

• Uwierzytelnienie przy użyciu Kerberosa jest pierwszym krokiem w przypadku korzystania z metody zewnętrznego uwierzytelnienia Active Directory.
• Funkcjonalność ta jest domyślnie włączona, a Kerberos jest używany do uwierzytelnienia na serwerze podczas sesji RDP oraz przy metodzie zewnętrznego uwierzytelnienia Active Directory.
• W celu wyłączenia obsługi protokołu Kerberos wybierz Ustawienia > System, przejdź do sekcji Uwierzytelnianie użytkowników i sesje i zaznacz opcję Używaj uwierzytelniania Kerberos.

Informacja

Etykietowane adresy IP

W przypadku konfiguracji klastrowej, z listy rozwijalnej Adres źródłowy wybierz etykietowany adres IP i upewnij się, że na pozostałych węzłach wybrana etykieta posiada przypisany adres IP odpowiedni dla danego węzła. Więcej informacji na temat etykietowanych adresów IP znajdziesz w rozdziale Etykiety adresów IP.

Definicja uwierzytelniania OATH

Sprawdź szczegóły na stronie Dwuskładnikowe uwierzytelnienie OATH z Google Authenticator.

Definicja uwierzytelniania SMS

1. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.

2. Wybierz zakładkę Uwierzytelnienie SMS.

• Wprowadź Długość tokenu.

Informacja

Długość tokenu powinna być w przedziale 4-16.

• Wprowadź ID konta.
• Wprowadź Token produktu.
• Wprowadź Adres API oraz port.

Informacja

Wartości dla ID konta, Token produktu oraz Adres API są generowane po stronie dostawcy usług CM.COM. W tym celu jest wymagana rejestracja konta w tym serwisie.

• Wybierz Adres źródłowy.

3. Kliknij Zapisz.

Skonfiguruj metodę uwierzytelnienia SMS dla użytkownika:

4. Wybierz z lewego menu Zarządzanie > Użytkownicy.

5. Znajdź i wybierz użytkownika, dla którego chcesz uruchomić uwierzytelnianie SMS.
6. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz SMS.

• W sekcji Pierwszy składnik wybierz Hasło statyczne lub Uwierzytelnienie zewnętrzne (AD lub LDAP).
• Wprowadź numer telefonu w polu Telefon.

7. Kliknij Zapisz.

8. Zaloguj się do Access Gateway przy pomocy SMS kodu.

Definicja uwierzytelniania DUO

1. Pobierz i zainstaluj aplikację mobilną Duo Mobile.
2. Zarejestruj się na stronie Duo Security w celu stworzenia własnego konta.

3. Wybierz z lewego menu Ustawienia > Uwierzytelnienie.

4. Wybierz zakładkę Uwierzytelnienie DUO.

• Ze swojego profilu na Duo Security wprowadź: Adres API, Klucz integracyjny oraz Klucz tajny.
• Wybierz Adres źródłowy.

5. Kliknij Zapisz.

Skonfiguruj metodę uwierzytelnienia DUO dla użytkownika:

6. Wybierz z lewego menu Zarządzanie > Użytkownicy.

7. Znajdź i wybierz użytkownika, dla którego chcesz uruchomić uwierzytelnienie DUO.
8. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz DUO.

• Z listy Pierwszy składnik wybierz Hasło statyczne lub Zewnętrzne uwierzytelnianie (AD lub LDAP).
• Wprowadź Użytkownik DUO.
• Wprowadź ID użytkownika DUO.

9. Kliknij Zapisz.

10. Zaloguj się do Access Gateway, akceptując notyfikację typu push z aplikacji Duo Mobile.

Definicja uwierzytelniania OpenID Connect

Definicja uwierzytelnienia przez OpenID Connect jest globalną metodą uwierzytelniania i nie jest przywiązywana do użytkownika. Zatem jeśli użytkownik nie ma ustawionych żadnych metod uwierzytelniania, to też może się uwierzytelniać korzystając z OpenID Connect w Access Gateway oraz w Panelu Admina.

Postępuj zgodnie z instrukcją, aby ustawić uwierzytelnienie za pomocą OpenID Connect:

1. Wybierz Ustawienia > Uwierzytelnienie.
2. Wybierz zakładkę Uwierzytelnienie OpenID Connect .
3. Kliknij Dodaj źródło zewnętrznego uwierzytelnienia
4. Zaznacz opcję Włączone dla uruchomienia uwierzytelnienia OpenID Connect za pomocą Azure AD.
5. Podaj nazwę (na przykład, Azure, Okta).
6. Podaj Configuration URL.

Informacja

Ten URL jest specyficzny dla każdego dostawcy OpenID Connect, więc służy do jego identyfikacji w celu prawidłowej konfiguracji. Przykład Configuration URL dla Google: https://accounts.google.com/.well-known/openid-configuration.

7. Podaj Client ID, Client secret. Te dane są dostępne po rejestracji na stronie wybranego dostawcy.
8. Dodaj Username mapping oraz Email mapping. Te pola są przydatne w przypadku innej konwencji nazewnictwa użytkownika.
9. Podaj Bind address.
10. Kliknij Zapisz.

Informacja

Algorytm ustalania tożsamości użytkownika jest następujący:

1. Użytkownik jest początkowo identyfikowany za pomocą pola sub od dostawcy OpenID Connect (OIDC).
2. Jeśli użytkownik nie został zidentyfikowany za pomocą pola sub, następnym krokiem jest sprawdzenie ustawienia autolink dla dostawcy OIDC. Jeśli to ustawienie jest niepoprawne, proces kończy się bez odnalezienia użytkownika. Jeśli ustawienie autolink jest poprawne, proces wyszukiwania jest kontynuowany.
3. Jeśli zdefiniowano Mapowanie nazwy użytkownika, przeprowadzane jest wyszukiwanie odpowiadającego pola w danych JSON. Po zlokalizowaniu pola w danych, system następnie szuka użytkownika o tej nazwie.
4. Jeśli Mapowanie nazwy użytkownika nie zostało zdefiniowane, pole nie zostało odalezione w danych lub użytkownik nie został odnaleziony po nazwie, kolejnym krokiem jest sprawdzenie, czy zdefiniowano Mapowanie email. Jeśli zostało zdefiniowane i istnieje w danych JSON, następnym krokiem jest próba zidentyfikowania użytkownika na podstawie tego adresu email.
5. Jeśli ani Mapowanie nazwy użytkownika, ani Mapowanie email nie są zdefiniowane, system będzie starał się zidentyfikować użytkownika po jego nazwie lub adresie email. Jest to realizowane przez wyszukiwanie w danych pól upn lub unique_name w tej określonej kolejności.
6. Gdy do identyfikacji użytkownika używane jest pole email, wymagane jest, aby w danych znajdowało się pole email_verified o wartości true.
7. Ostatnim krokiem jest sprawdzenie, czy odnaleziony użytkownik ma już przechowywane pole sub, inne niż to otrzymane od dostawcy OIDC. Jeśli się nie zgadzają, proces kończy się niepowodzeniem.
8. Otrzymane pole sub użytkownika jest przechowywane w bazie danych do przyszłego użytku.

11. Zaloguj się przy użyciu skonfigurowanej metody uwierzytelnienia:

Tematy pokrewne:

• Metody uwierzytelniania
• Konfiguracja uwierzytelnienia OpenID Connect w Azure
• Opis systemu
• Integracja z serwerem CERB