Giới thiệu về FortiAuthenticator
Mạng và Internet là yếu tố cần thiết, không thể thiếu đối với hầu hết mọi tiến trình hoạt động trong doanh nghiệp. Tuy nhiên để đảm bảo tính an toàn khi truy nhập Mạng và Internet trong hệ thống, doanh nghiệp cũng cần tới giải pháp quản lý về xác thực danh tính và kiểm soát quyền truy cập mạng – cho phép đúng người – đúng quyền truy cập – vào đúng thời điểm mà không ảnh hưởng đến bảo mật hệ thống.
Fortinet Single Sign-On là một phương thức nhận dạng người dùng an toàn, cung cấp quyền truy cập dựa trên vai trò của người dùng khi người dùng kết nối tới hệ thống mạng, có khả năng tích hợp với hệ thống xác thực thứ ba như Active Directory hoặc hệ thống LDAP để cho phép đảm bảo tính bảo mật dựa trên việc định danh người dùng mà không ảnh hưởng tới hoạt động bình thường của người dùng hoặc quản trị viên hệ thống.
FortiAuthenticator được xây dựng dựa trên nền tảng Fortinet Single Sign-On, và được bổ sung thêm nhiều phương thức nhận dạng người dùng hơn, có khả năng mở rộng hơn Fortinet Single Sign-On. Có thể xem FortiAuthenticator như người gác cổng được ủy quyền để bảo vệ hệ thống mạng doanh nghiệp bằng cách xác minh người dùng, truy vấn quyền truy cập từ hệ thống bên thứ 3 và truyền thông tin này tới FortiGate để áp dụng các chính sách kiểm soát truy cập dựa trên danh tính người dùng.
Mô hình đơn giản triển khai FortiAuthenticator
Một số tính năng chính
- Quản lý xác thực người dùng với cơ sở dữ liệu người dùng cục bộ, hoặc kết hợp với hệ thống xác thực bên ngoài RADIUS, LDAP
- Tích hợp với FortiAuthenticator Single Sign-On Mobility Agent để phát hiện sự kiện đăng nhập, địa chỉ IP bị thay đổi và sự kiện đăng xuất
- Quản lý xác thực một lần với FSSO với các tiện ích theo dõi để giảm nhu cầu cần xác thực lại
- Kết hợp xác thực đa yếu tố/Xác thực OTP với sự hỗ trợ từ FortiToken
- Quản lý tập trung Certificate cho triển khai VPN
- Hỗ trợ IEEE 802.1X bảo mật cho mạng có dây và mạng không dây
- Hỗ trợ SAML SP/IdP Web SSO
- Hỗ trợ FIDO2
- Hỗ trợ người dùng tự đăng ký và khôi phục mật khẩu mà không cần quản trị viên can thiệp
- Giám sát RADIUS Accounting thu thập dữ liệu cho mục đích thống kê và giám sát mạng.
FortiAuthenticator Single Sign-On
FortiAuthenticator rất linh hoạt, có khả năng kiểm tra, quản lý xác thực người dùng thông qua nhiều phương thức khác nhau
- Active Directory Polling
- Kerberos
- SSO mobility Agent
- Login & Portal & Widgets
- RADIUS Accounting Records
- SYSLOG
- REST API
FortiAuthenticator có thể tích hợp với hệ thống xác thực bên thứ ba LDAP hoặc Active Directory để gán quyền truy cập dữ liệu cho người dùng/nhóm người dùng theo vai trò và giao tiếp với FortiGate để sử dụng các chính sách quản lý truy cập theo người dùng.
Multi-factor Authentication
FortiAuthenticator tăng cường bảo mật xác thực cho hệ thống bằng cách cung cấp xác thực đa yếu tố cho nhiều thiết bị FortiGate và các giải pháp của bên thứ ba hỗ trợ xác thực như RADIUS hay LDAP
Thông tin xác minh người dùng từ FortiAuthenticator kết hợp với thông tin xác thực từ FortiToken hoặc dịch vụ xác thực FIDO2, điều này đảm bảo chỉ những người được ủy quyền mới được cấp quyền truy cập vào tài nguyên bí mật trong tổ chức doanh nghiệp. Xác thực đa yếu tố làm giảm thiểu khả năng dữ liệu quan trọng bị rò rỉ, đồng thời giúp các tổ chức doanh nghiệp đáp ứng được các kiểm toán quy định về quyền riêng tư trong hệ thống chính phủ và doanh nghiệp.
Xác thực đa yếu tố được sử dụng để kiểm soát quyền truy cập vào các tài nguyên ứng dụng, có thể sử dụng trong các cấu hình sau:
- Quản trị thiết bị FortiGate
- SSL VPN
- IPsec VPN
- Xác thực mạng không dây đăng nhập Captive Portal
- Nhà cung cấp dịch vụ SAML
- ….
Ngoài ra FortiAuthenticator cung cấp REST API để sử dụng xác thực đa yếu tố vào các ứng dụng dựa trên web.
Enterprise Certificate-based VPNs
VPN site to site thường cung cấp quyền truy cập trực tiếp từ nhiều chi nhánh ở xa tới hệ thống mạng tại trụ sở chính. Các VPN site to site có thể sử dụng lớp bảo mật đơn giản bằng cách chia sẻ một khóa dùng chung, nếu khóa này bị lộ quyền truy cập vào toàn bộ mạng sẽ bị ảnh hưởng nghiêm trọng.
FortiOS hỗ trợ VPN site to site dựa trên chứng chỉ (certificate). FortiAuthenticator hợp lý hóa việc triển khai hàng loạt certificate để sử dụng VPN trong FortiGate bằng các kết hợp với FortiManager để cấu hình và tự phân phối các certificate thông qua giao thức SCEP.
Đối với dạng VPN client to site dựa trên certificate, certificate có thể được tạo và lưu trên FortiToken 300 USB Certificate, được bảo vệ mã pin, tương thích với FortiClient và được sử dụng để tăng cường tính bảo mật của các kết nối VPN từ người dùng từ xa khi kết nối VPN.