FIDO
ESET Secure Authentication On-Prem (ESA) версії 2.8 або більш пізньої підтримує двофакторну автентифікацію (2FA) на пристроях із підтримкою стандартів автентифікації FIDO2 (і FIDO U2F). Додаткову інформацію про FIDO див. за цим посиланням.
Вимоги
•Веб-браузер із підтримкою API веб-автентифікації
oMozilla Firefox
oGoogle Chrome
oMicrosoft Edge
Щоб дізнатися актуальну інформацію про підтримувані браузери, відкрийте веб-сайт https://platform-status.mozilla.org/ і виконайте пошук за фразою "Web Authentication API".
•Безпечне підключення (HTTPS) (можна також використовувати сертифікати з власним підписом)
•.NET Framework 4.7.2 інстальовано на машині з ESA Authentication Server
Підтримуване середовище
•Середовище входу через Інтернет, захищене ESA:
oIIS
|
ПРИМІТКА Реалізацію FIDO в ESET Secure Authentication On-Prem ще не сертифіковано FIDO Alliance. |
Налаштування в ESA Web Console
Налаштування в розділі "Settings" > "FIDO" призначене для досвідчених адміністраторів FIDO. Тому немає необхідно вносити будь-які зміни в цьому розділі.
•Перевірка користувача
oRequired: автентифікатор, сумісний із FIDO, має підтримувати перевірку користувачів (наприклад, з використанням біометричних даних або PIN-коду). Якщо автентифікатор, сумісний із FIDO, не підтримує перевірку користувачів, його не можна використовувати як другий фактор автентифікації.
oPreferred: бажано, щоб автентифікатор, сумісний із FIDO, підтримував перевірку користувача, хоча ця умова не є обов’язковою.
oDiscouraged: неважливо, чи підтримує автентифікатор, сумісний із FIDO, перевірку користувача.
•Тип автентифікації
oPlatform (On bound): автентифікатор FIDO є вбудованим рішенням (програмним або апаратним) на пристрої, де він використовується як другий фактор автентифікації.
oCross-platform (Roaming): автентифікатор FIDO є змінним і може використовуватися з кількома пристроями.
oNot specified: неважливо, чи є автентифікатор FIDO змінним.
Реєстрація джерела FIDO
Якщо Ви використовуєте FIDO як другий фактор автентифікації для доступу до ESA Web Console за адресою https://my-web-console.com:8001, https://my-web-console.com:8001 потрібно зареєструвати як джерело.
1.В ESA Web Console відкрийте Components > Web Console.
2.Увімкнути FIDO
3.Уведіть URL-адресу ESA Web Console у вікні FIDO Origin. У нашому прикладі це https://my-web-console.com:8001.
4.Натисніть Apply > Save.
|
Джерело FIDO Кожен компонент ESA, де FIDO використовуватиметься як другий фактор автентифікації, має бути зареєстровано як джерело. Щоб використовувати FIDO для інших компонентів ESA, крім ESA Web Console, потрібно ввімкнути для FIDO самореєстрацію. Тоді джерело FIDO реєструватиметься автоматично. |
Активація FIDO для адміністратора Web Console
У нашому прикладі ми активували FIDO як другий фактор для адміністратора ESA Web Console, якому потрібно використовувати USB-ключ FIDO як апаратний автентифікатор.
1.Виберіть Settings > Web Console Administrators і натисніть ім’я адміністратора.
2.У профілі користувача увімкніть параметр FIDO.
3.Вставте USB-ключ FIDO в комп’ютер, де ви отримуєте доступ до ESA Web Console.
4.Натисніть Actions > Register FIDO credentials, а потім Apply.
5.Коли USB-ключ миготітиме, торкніться датчика дотику на USB-ключі FIDO.
6.ESA Web Console підтвердить успішну реєстрацію облікових даних FIDO.
Відтепер під час спроби доступу до ESA Web Console адміністратору буде потрібно підтвердити автентифікацію, натиснувши USB-ключ FIDO після вводу правильних облікових даних для входу.
Активація FIDO для користувача
1.Відкрийте Settings > Enrollment.
2.Увімкніть FIDO та натисніть Save.
3.Перейдіть до розділу Users і виберіть потрібного користувача.
4.Увімкніть FIDO та натисніть Save.
5.Користувачу потрібно буде завершити налаштування під час самореєстрації.