FIDO

Начиная с версии 2.8, ESET Secure Authentication On-Prem (ESA) поддерживает двухфакторную аутентификацию (2FA) на устройствах, которые поддерживают стандарты аутентификации FIDO2 (и FIDO U2F). Для получения дополнительной информации о FIDO щелкните здесь.

Требования

•Веб-браузер, который поддерживает API веб-аутентификации

oMozilla Firefox

oGoogle Chrome

oMicrosoft Edge

Для получения актуальной информации о поддерживаемых браузерах посетите https://platform-status.mozilla.org/ и выполните поиск по запросу «API веб-аутентификации».

•Безопасное подключение (HTTPS) (также могут использоваться самозаверяющие сертификаты)

•Решение .NET Framework 4.7.2 установлено на компьютере, на котором устанавливается ESA Authentication Server

Поддерживаемая среда

•Веб-среда входа, защищенная с помощью ESA:

oВеб-консоль ESA

oIIS

oAD FS

oСоединитель поставщика удостоверений

•Защита входа в Windows

Конфигурация в веб-консоли ESA

Конфигурация в разделе «Settings (Настройки)» > FIDO предназначена для опытных администраторов FIDO; здесь не нужно вносить какие-либо изменения.

•Проверка пользователя

oОбязательно — совместимый с FIDO аутентификатор должен поддерживать проверку пользователя (например, посредством биометрических данных или ввода PIN-кода). Если проверка пользователя не предусмотрена, такой совместимый с FIDO аутентификатор не может использоваться в качестве второго фактора аутентификации.

oПредпочтительно — рекомендуется, чтобы совместимый с FIDO аутентификатор поддерживал проверку пользователя, однако это не обязательное требование.

oНе рекомендуется — неважно, поддерживает ли совместимый с FIDO аутентификатор проверку пользователя или нет.

•Тип аутентификатора

oПлатформенный (на границе) — аутентификатор FIDO представляет собой встроенное решение (программное или аппаратное) для устройства, на котором оно используется в качестве второго фактора аутентификации.

oКроссплатформенный (роуминг) — аутентификатор FIDO является съемным и может использоваться на нескольких устройствах.

oНе указано — неважно, является ли съемным аутентификатор FIDO или нет.

Регистрация источника FIDO

Если FIDO используется в качестве второго фактора аутентификации для доступа к веб-консоли ESA по адресу https://my-web-console.com:8001, тогда в качестве источника необходимо зарегистрировать https://my-web-console.com:8001.

1.В ESA Web Console перейдите в раздел Components > Web Console (Компоненты > Веб-консоль).

2.Включить FIDO.

3.Введите URL-адрес веб-консоли ESA в окне FIDO Origin (Источник FIDO). В нашем примере это https://my-web-console.com:8001.

4.Нажмите Apply > Save (Применить > Сохранить).

Активация FIDO для администратора веб-консоли

В нашем примере мы активировали FIDO в качестве второго фактора аутентификации для администратора веб-консоли ESA, который хочет использовать USB-ключ FIDO как аппаратный аутентификатор.

1.Перейдите в раздел Settings > Web Console Administrators (Настройки > Администраторы веб-консоли) и щелкните имя администратора.

2.Включите FIDO в профиле пользователя.

3.Вставьте USB-ключ FIDO в порт компьютера, через который осуществляется доступ к веб-консоли ESA.

4.Щелкните Actions > Register FIDO credentials (Действия > Зарегистрировать учетные данные FIDO) и нажмите Apply (Применить).

5.Когда светодиод на USB-ключе мигнет, коснитесь сенсора на USB-ключе FIDO.

6.Веб-консоль ESA подтвердит успешную регистрацию учетных данных FIDO.

С этого момента администратору при попытке доступа к веб-консоли ESA потребуется проходить аутентификацию, прикладывая палец к USB-ключу FIDO после ввода правильных учетных данных для входа.

Активация FIDO для пользователя

1.Перейдите в раздел Settings > Enrollment (Настройки > Экспорт данных).

2.Включите FIDO и нажмите Save (Сохранить).

3.Перейдите в раздел Users (Пользователи) и выберите нужного пользователя.

4.Активируйте FIDO и нажмите Save (Сохранить).

5.Пользователю придется завершить настройку в процессе самостоятельной регистрации.

˄˅