Fortinet Identity and Access Management позволяет организовать аутентификацию и авторизацию пользователей, а также централизованное управление удостоверениями и доступом устройств к сети. Решение состоит из двух компонентов:
- FortiAuthenticator отвечает за централизованную аутентификацию и авторизацию, обеспечивая такие сервисы как служба единого входа и управление сертификатами в сети
- FortiToken является устройством или мобильным приложением, которое выполняет проверку личности пользователя, предоставляя услугу двухфакторной аутентификации.
FortiAuthenticator – централизованное решение Identity and Access Management
FAC хранит идентификационную информацию пользователей и устройств сети, реализуя централизованное управление всеми процедурами аутентификации и авторизации. В основу работы FortiAuthenticator положен метод Fortinet Single Sign-On, который обеспечивает доступ на основе ролей. Взаимодействие с каталогом Active Directory и собственная DB устройства, предоставляющая учетные данные пользователей с помощью RADIUS и LDAP, существенно снижают стоимость внедрения корпоративных механизмов аутентификации. Поддержка IEEE802.1x позволяет контролировать подключения пользователей к проводным и беспроводным сетям, и предотвращать случаи несанкционированного доступа.
Служба Certificate Authority обеспечивает централизованное управление электронными сертификатами доступа. Эта возможность FortiAuthenticator приобретает особое значение для случаев, связанных с массовым использованием VPN подключений. Благодаря FAC Certificate Authority формирование сертификатов устройств для подключения по VPN происходит автоматически.
Модельный ряд FortiAuthenticator представлен следующими устройствами:
- FAC 200E и 400E способны обеспечить централизованную, защищенную двухфакторную аутентификацию для предприятий с 500 и 2 000 пользователей, соответственно;
- FAC 1000D ориентирован на Enterprise решения и предназначен для предприятий с количеством пользователей до 20 000;
- FAC 2000E и 3000E – устройства операторского уровня, обеспечивающие аутентификацию от 20 000 до 40 000 пользователей.
Как и в большинстве случаев с устройствами Fortinet, FortiAuthenticator доступен в виде virtual appliance для развертывания в виртуальной среде.
FortiToken – устройства двухфакторной аутентификации пользователей
Использование статических паролей для удаленного доступа к сети или доступа к корпоративным веб ресурсам не обеспечивает необходимого уровня безопасности – такие пароли могут быть украдены или подобраны. Устройства FortiToken дополняют возможности FortiAuthenticator, еще больше увеличивая безопасность благодаря применению динамических одноразовых паролей.
OTP token FortiToken 200
FortiToken 200 является аппаратным токеном для двухфакторной проверки подлинности, использующим для генерации одноразовых паролей TOTP (Time-based One-time Password) алгоритм. В качестве сервера аутентификации для FortiToken 200 применяются устройства FortiGate или FortiAuthenticator. В этом случае, развертывание решения не требуется какого-либо другого оборудования или программного обеспечения.
USB token FortiToken 300
Устройство хранит клиентские X.509 PKI сертификаты, которые применяются для шифрования файлов и сообщений e-mail, электронной подписи документов, а также для аутентификации VPN соединений и подключений к корпоративным веб сервисам. Использование сертификатов является более защищенным решением, нежели OTP токены. Однако, надо всегда помнить о том, что USB token должен храниться в надежном месте и не может передаваться третьим лицам.
SW OTP token FortiToken Mobile
FortiToken Mobile – это программное приложение для генерации одноразовых паролей. FortiToken Mobile соответствует требованиям OATH, и может быть установлен на любое мобильное устройство под управлением iOS или Android. Приложение может быть установлено на смартфон удаленно и снабжено индивидуальным PIN кодом с функцией самоуничтожения. Важным преимуществом FortiToken Mobile является тот факт, что для удаленной раздачи одноразовых паролей не используется интернет. Это делает сервис аутентификации пользователей неуязвимым для сетевых атак.
