FIDO
ESET Secure Authentication On-Prem (ESA) verzie 2.8 a vyššej umožňuje dvojúrovňové overovanie (2FA) na zariadeniach, ktoré podporujú autentifikačný štandard FIDO2 (a FIDO U2F). Viac informácií o štandarde FIDO nájdete tu.
Požiadavky
•Webový prehliadač, ktorý podporuje Web Authentication API:
oMozilla Firefox
oGoogle Chrome
oMicrosoft Edge
Aktuálne informácie o podporovaných prehliadačoch nájdete na https://platform-status.mozilla.org/ po vyhľadaní výrazu „Web Authentication API“.
•Zabezpečené pripojenie (HTTPS) (možno tiež použiť certifikáty s vlastným podpisom)
•.NET Framework 4.7.2 na počítači s nainštalovaným autentifikačným serverom ESA
Podporované prostredie
•Webové prihlasovacie prostredie chránené programom ESA:
oIIS
oKonektor poskytovateľa identity
•Ochrana prihlasovania do systému Windows
|
POZNÁMKA Implementácia štandardu FIDO v programe ESET Secure Authentication On-Prem ešte nebola certifikovaná alianciou FIDO. |
Konfigurácia v nástroji ESA Web Console
Konfigurácia v sekcii Settings > FIDO je určená pre pokročilých správcov FIDO, žiadne zmeny v tejto časti nie sú potrebné.
•Overenie používateľa
oRequired – autentifikátor kompatibilný so štandardom FIDO musí podporovať overenie používateľa (napr. prostredníctvom biometrie alebo PIN kódu). V opačnom prípade nemôže byť takýto autentifikátor použitý ako druhý autentifikačný faktor.
oPreferred – je lepšie, keď autentifikátor kompatibilný so štandardom FIDO podporuje overenie používateľa, nie je to však nevyhnutné.
oDiscouraged – nezáleží na tom, či autentifikátor kompatibilný so štandardom FIDO podporuje overenie používateľa alebo nie.
•Typ autentifikátora
oPlatform (On bound) – autentifikátor FIDO je vstavanou súčasťou zariadenia (softvér, hardvér), kde slúži ako druhý autentifikačný faktor.
oCross-platform (Roaming) – autentifikátor FIDO sa dá odpojiť a používať na viacerých zariadeniach.
oNot specified – nezáleží na tom, či sa dá autentifikátor FIDO odpojiť alebo nie.
Registrácia zdroja autentifikátora FIDO
Ak chcete použiť štandard FIDO ako druhý autentifikačný faktor na prístup k nástroju ESA Web Console na adrese https://my-web-console.com:8001, táto adresa musí byť zaregistrovaná ako zdroj autentifikátora FIDO.
1.V nástroji ESA Web Console prejdite na Components > Web Console.
2.Zapnite FIDO.
3.Do okna FIDO Origin zadajte URL adresu nástroja ESA Web Console. V našom prípade je to https://my-web-console.com:8001.
4.Kliknite na Apply > Save.
|
Zdroj autentifikátora FIDO Každý ESA komponent, kde bude FIDO použitý ako druhý autentifikačný faktor, musí byť zaregistrovaný ako zdroj. Ak chcete použiť FIDO pre iné ESA komponenty ako ESA Web Console, pre FIDO musí byť povolená individuálna registrácia, aby mohol byť zdroj autentifikátora FIDO nastavený automaticky. |
Aktivácia autentifikátora FIDO pre správcu nástroja Web Console
V našom príklade aktivujeme FIDO ako druhý autentifikačný faktor pre správcu nástroja ESA Web Console. Ten chce používať USB kľúč FIDO ako hardvérový autentifikátor.
1.Prejdite na Settings > Web Console Administrators a kliknite na názov správcu.
2.V profile používateľa zapnite FIDO.
3.Vložte USB kľúč FIDO do počítača, z ktorého ste sa prihlásili do nástroja ESA Web Console.
4.Kliknite na Actions > Register FIDO credentials a potom na Apply.
5.Keď USB kľúč FIDO zabliká, dotknite sa snímača na kľúči.
6.ESA Web Console potvrdí úspešnú registráciu prihlasovacích údajov FIDO.
Odteraz bude musieť správca pri pokuse o prístup k nástroju ESA Web Console zadať správne prihlasovacie údaje a následne schváliť autentifikáciu priložením prsta na USB kľúč FIDO.
Aktivácia autentifikátora FIDO pre používateľa
1.Prejdite do sekcie Settings > Enrollment.
2.Zapnite FIDO a kliknite na Save.
3.Prejdite do časti Users a vyberte príslušného používateľa.
4.Zapnite FIDO a kliknite na Save.
5.Používateľ bude musieť dokončiť nastavenie počas individuálnej registrácie.