NetIQ Advanced Authentication Framework

Broszura informacyjna
www.netiq.pl
BEZPIECZEŃSTWO I ZARZĄDZANIE TOŻSAMOŚCIĄ
NetIQ Advanced Authentication
Framework
str. 2
Wprowadzenie
Przedsiębiorstwa, które wprowadzają uwierzytelnianie dwuelementowe i inwestują w takie rozwiązanie czas
i zasoby, często kierują się przy tym tylko obsługą określonego mechanizmu uwierzytelniania. Te same firmy
nierzadko wdrażają potem kolejne rozwiązanie, dostosowane do nowych potrzeb. Co gorsza, bywa i tak, że nie
jest to ostatni raz. Dlatego warto wiedzieć, że istnieje lepszy sposób. NetIQ AAF to rozwiązanie, które
optymalizuje i wzmacnia bezpieczeństwo dla standardowych procesów uwierzytelniania użytkowników,
umożliwiając logowanie za pomocą różnych metod uwierzytelniania.
Popularne metody uwierzytelniania
Za pomocą metody uwierzytelniania weryfikowana jest tożsamość osoby, która chce uzyskać dostęp do danych,
zasobów lub aplikacji. Potwierdzenie tej tożsamości pozwala stworzyć zaufaną relację umożliwiającą dalsze
interakcje. NetIQ AAF umożliwia korzystanie z najszerszego na rynku zakresu technologii i metod
uwierzytelniania z zastosowaniem haseł SMS, tokenów sprzętowych i programowych, smartfonów, kart
procesorowych (Smard Card), haseł jednokrotnych, potwierdzania e-mailem, pamięci Flash USB, urządzeń
biometrycznych i innych.
Tworzenie łańcuchów uwierzytelniania
Łańcuch uwierzytelniania to połączenie metod uwierzytelniania. W celu dokonania udanego uwierzytelniania
użytkownik musi przejść wszystkie metody. Jeśli np. stworzymy łańcuch obejmujący hasło LDAP i wiadomość
SMS, użytkownik będzie musiał najpierw wprowadzić swoje hasło LDAP. Jeśli hasło okaże się poprawne,
system na przykład wyśle na telefon komórkowy użytkownika wiadomość SMS z hasłem. Aby dokonać
uwierzytelniania użytkownik musi wówczas wprowadzić prawidłowe hasło jednorazowe. Można stworzyć
dowolny łańcuch, który w przypadku środowisk wymagających szczególnych zabezpieczeń może obejmować
wiele metod, co pozwala zwiększyć bezpieczeństwo.
Uwierzytelnianie może składać się z 3 różnych elementów. Należą do nich:
 „coś, co wiesz” — hasło, kod PIN, pytania zabezpieczające,
 „coś, co masz” — karta procesorowa, token, telefon,
 „to, kim jesteś” — dane biometryczne, takie jak odcisk palca lub obraz tęczówki.
Z uwierzytelnianiem wieloelementowym lub silnym mamy do czynienia w przypadku zastosowania
2 z 3 wymienionych elementów. Połączenie hasła z tokenem lub karty procesorowej z odciskiem palca uznaje
się za uwierzytelnianie wieloelementowe. Nie jest nim natomiast kombinacja hasła i kodu PIN, ponieważ
elementy te należą do tego samego obszaru. Łańcuchy uwierzytelniania są powiązane z grupami użytkowników
w repozytoriach. W związku z tym określonego łańcucha uwierzytelniania może używać określona grupa.
Zdarzenie uwierzytelniania
Zdarzenie uwierzytelniania jest aktywowane przez zewnętrzne urządzenie lub system albo aplikację, która musi
przeprowadzić uwierzytelnianie. Może je również wywołać klient RADIUS (Citrix Netscaler, Cisco VPN, Juniper
VPN itp.) lub żądanie API. Dla każdego zdarzenia uwierzytelniania można skonfigurować co najmniej jeden
łańcuch uwierzytelniania, który umożliwia użytkownikowi uwierzytelnienie w środowisku.
str. 3
Jedna platforma uwierzytelniania do wszystkiego
Firmy stosujące urządzenia lub metody uwierzytelniania dwu- lub wieloelementowego są zwykle zmuszone do
zarządzania wieloma infrastrukturami i ich utrzymywania. Zarządzanie licznymi infrastrukturami uwierzytelniania
jest nie tylko skomplikowane, lecz także mniej bezpieczne. Dlatego potrzebna jest jedna platforma
uwierzytelniania dwu- lub wieloelementowego, która obejmie wszystkie urządzenia i metody stosowane w firmie.
Jedna platforma NetIQ AAF pozwala obniżyć koszty i może być dostosowana do środowiska każdej wielkości.
Centralny mechanizm reguł
NetIQ AAF to rozwiązanie na tyle solidne, że poradzi sobie z dużymi środowiskami i zróżnicowanymi potrzebami
w dziedzinie uwierzytelniania. Jednocześnie jest też jednak na tyle proste, że nie wymaga czasochłonnej
administracji. Dzięki naszym narzędziom do uwierzytelniania dwu- lub wieloelementowego można tworzyć reguły
uwierzytelniania dostosowane do konkretnych użytkowników, grup, urządzeń lub lokalizacji. Internetowy interfejs
zapewnia przejrzystość konfiguracji niezależnie od jej złożoności. Możliwość przydzielania uprawnień
administracyjnych i śledzenia zmian pozwala utrzymać spójność i bezpieczeństwo reguł. A ponieważ mechanizm
reguł w NetIQ AAF jest elastyczny, obejmuje wszystkie metody uwierzytelniania, ograniczając w ten sposób
zbędne czynności i niespójności.
Uwierzytelnianie wykraczające poza hasła
Większość przedsiębiorstw dysponuje określonymi informacjami prywatnymi (danymi finansowymi, danymi
klientów, informacjami regulowanymi itp.). Wymagają one weryfikacji użytkowników na wyższym poziomie,
którego nie można osiągnąć przy użyciu tradycyjnych danych uwierzytelniających. W zależności od sytuacji dla
pewnych typów informacji konieczny może być kolejny poziom uwierzytelniania. Czy osoba, która chce uzyskać
dostęp do informacji, znajduje się zgodnie z oczekiwaniami w budynku, czy w całkiem innym miejscu w kraju lub
za granicą? Czy użytkownik korzysta ze znanego urządzenia, czy też ze sprzętu nieodnotowanego dotychczas
w systemie? Możliwe są też inne kryteria, na podstawie których firma będzie dobierać metody uwierzytelniania.
Oferujemy kontrolę dostępu opartą na ryzyku, która pozwala dopasować typ uwierzytelniania do potencjalnego
ryzyka uzyskania dostępu do określonych informacji lub usług.
Rejestrowanie zdarzeń
NetIQ AAF pozwala określić, jakiego typu zdarzenia uwierzytelniania mają być zapisywane w dzienniku z myślą
o późniejszym odtworzeniu. Zwykle należą do nich udane i nieudane próby uwierzytelnienia, a także zmiany
w obszarze rejestracji lub konfiguracji.
Wysoka dostępność — nadmiarowość i równoważenie obciążenia
NetIQ AAF stworzono z myślą o zapewnieniu wysokiej dostępności i ciągłego, nieprzerwanego działania.
O dostępność, niezawodność i wydajność aplikacji dbają wewnętrzne funkcje równoważenia obciążenia
serwera. Replikacja między lokalizacją główną i dodatkową (za pośrednictwem sieci LAN lub WAN) zapewnia
integralność danych. Natomiast na potrzeby szybkiego odtwarzania danych po awarii zawsze dostępnych jest
wiele magazynów danych.
Internetowa rejestracja użytkowników
NetIQ AAF udostępnia łatwy w obsłudze, przejrzysty proces rejestracji użytkowników. Uproszczenie rejestracji
urządzeń z systemem iOS, Android i Windows Phone oraz podłączone do stacji roboczych rozwiązania
str. 4
biometryczne, czytniki kart procesorowych i inne narzędzia sprawiają, że użytkownicy szybko zarejestrują swoje
urządzenia, system będzie bezproblemowo dostosowywał się do ich liczby, a stanowisko pomocy nie będzie
tonęło w zgłoszeniach dotyczących kłopotów z rejestracją.
Internetowy portal do administracji i konfiguracji
Do wykonywania czynności administracyjnych i konfiguracyjnych związanych z platformą AAF służą narzędzia
internetowe. Prosty, elegancki interfejs umożliwia konfigurację sieci i integrację z wieloma serwerami danych MS
AD, LDAP, RADIUS, połączenie z bazą danych, konfigurację wszystkich tokenów uwierzytelniania, projekt
i przypisanie łańcucha uwierzytelniania (dwu-/wieloelementowe), przydzielanie ról oraz wykonywanie innych
kluczowych operacji — wszystko to za pomocą jednego narzędzia.
Moduł Help Desk
Moduł Help Desk udostępnia funkcje pozwalające zapewnić właściwą, kompleksową obsługę użytkowników.
Pomaga w realizacji takich działań jak wyrejestrowywanie i ponowna rejestracja, przypisywanie tokenów (w razie
potrzeby) i przydzielanie użytkownikom określonych ról. Gdy użytkownik skontaktuje się ze stanowiskiem
pomocy w związku z problemem w zakresie uwierzytelniania na platformie NetIQ AAF, pracownik będzie
w stanie odpowiednio mu pomóc. Przyczynia się to do budowania silnych relacji i wspomaga starania
podejmowane przez przedsiębiorstwo w obszarze uwierzytelniania wieloelementowego.
Awaryjne hasła jednorazowe
Ta funkcja NetIQ AAF jest przydatna, gdy dany użytkownik nie jest w stanie skorzystać z zarejestrowanej dla
niego wcześniej metody uwierzytelniania. Być może zgubił swój token, przypadkowo wrzucił telefon do wody lub
korzysta ze stacji roboczej, w której nastąpiła awaria czytnika kart. Niezależnie od sytuacji użytkownik musi
jednak uzyskać dostęp do systemu. Proces uzyskiwania dostępu przy użyciu awaryjnego hasła jednorazowego
jest częścią modułu Help Desk i umożliwia wygenerowanie hasła jednorazowego dla użytkownika w tego typu
nagłych przypadkach.
Obsługa wielu platform
Zależy nam na zapewnieniu klientom bezpieczeństwa na wielu platformach. Dlatego dodaliśmy do naszego
rozwiązania NetIQ AAF wtyczkę OSX Authentication. Uzupełnia ona dotychczasowe narzędzie Windows
Credential Provider. Teraz w przypadku ważnych inicjatyw można korzystać z metod opartych na systemach
iOS, Android i Windows Mobile do uwierzytelniania na komputerach z systemami Windows 7+ oraz OS X 10+.
Dodatek ten pozwala przedsiębiorstwom szybciej zwiększyć zasięg systemu uwierzytelniania i obniżyć koszty
wynikające z konieczności stosowania wielu rozwiązań. Ponadto zapewniamy obsługę dodatkowego czynnika
przy uwierzytelnianiu do systemów Linux za pomocą Linux Pluggable Authentication Module.
str. 5
Architektura podstaw owa NetIQ AAF
Na poniższym schemacie przedstawiono architekturę podstawową dla rozwiązania NetIQ AAF w wersji 5.
Serwer z główną bazą danych (NetIQ DB Master) dysponuje wbudowanym serwerem RADIUS, który może
uwierzytelnić każdego klienta RADIUS za pomocą jednego z łańcuchów skonfigurowanych dla tego
zdarzenia. Architektura podstawowa jest zalecana wyłącznie do przeprowadzania testów lub weryfikacji
koncepcji.
Architektura korporacyjna z wysoką dostępnością
Na poniższym schemacie przedstawiono interakcję między serwerem głównym (DB Master) oraz kilkoma
katalogami i zdarzeniami. Serwer główny wchodzi jednocześnie w interakcję z serwerem podrzędnym
(DB Slave), który zawiera kopię bazy danych z serwera głównego. W przypadku awarii serwera głównego
serwer podrzędny przejmuje jego zadania (przełączanie podczas pracy).
str. 6
Architektura korporacyjna z wysoką dostępnością i replikacją między lokalizacjami data center
Na poniższym schemacie przedstawiono interakcje między komponentami architektury korporacyjnej dla
implementacji rozwiązania w trybie wysokiej dostępności (HA) i disaster recovery z replikacją między
lokalizacjami centr danych ( Multi-Site Support Replication).
Architektura korporacyjna z mechanizmem wyrównywania obciążenia
Na poniższym schemacie przedstawiono interakcje między komponentami architektury korporacyjnej i serwerem
z mechanizmem wyrównywania obciążenia. Mechanizm ten może zostać wywołany przez serwer główny lub
serwery członkowskie. Serwer członkowski nie ma własnej bazy danych i dane zapisuje na serwerze głównym.
str. 7
Podsumowanie
Przedsiębiorstwa stosujące urządzenia lub metody uwierzytelniania dwu- lub wieloelementowego są zwykle
zmuszone do zarządzania wieloma infrastrukturami i ich utrzymywania. Zarządzanie licznymi infrastrukturami
uwierzytelniania jest nie tylko skomplikowane, lecz także mniej bezpieczne. Dlatego potrzebna jest jedna
platforma uwierzytelniania dwu- lub wieloelementowego, która obejmie wszystkie urządzenia i metody
stosowane w firmie. Jedna platforma AAF pozwala obniżyć koszty i może być dostosowana do środowiska
każdej wielkości.
Dlaczego warto wybrać oferowane przez NetIQ rozwiązanie AAF?
 „zapewnia prostotę i bezpieczeństwo procesu uwierzytelniania (bez skomplikowanych haseł,
„sekretnych słów” itp.),
 zapobiega nieautoryzowanemu używaniu komputera,
 chroni przed oszustwami, phishingiem i podobnymi nielegalnymi działaniami online,
 pozwala zadbać o bezpieczny dostęp do biura.
Zalety korzystania z urządzenia serwerowego NetIQ Server widać jak na dłoni.
Urządzenie serwerowe NetIQ AAF...
 jest wieloplatformowe,
 zawiera wbudowany serwer RADIUS,
 umożliwia integrację z rozwiązaniem NetIQ Access Manager,
 nie wymaga rozszerzania projektu,
 umożliwia administratorom edytowanie skonfigurowanych ustawień za pośrednictwem internetowego
portalu administracyjnego NetIQ.
Więcej informacji na temat oprogramowania NetIQ AAF można uzyskać kontaktując się z bezpłatną
infolinią firmy NetIQ w Polsce (nr tel. 800 22 66 85) oraz na stronach internetowych
www.netiq.com/products/advanced-authentication
NetIQ w Polsce
ul. Postępu 21
02-676 Warszawa
tel. 22 537 5000
bezpłatna infolinia 800 22 66 85
[email protected]
Copyright © 2016 NetIQ Inc. Wszelkie prawa zastrzeżone. NetIQ i logo NetIQ są zastrzeżonymi znakami towarowymi firm
NetIQ i Novell Inc. w Stanach Zjednoczonych oraz innych krajach. Pozostałe znaki towarowe należą do odpowiednich
właścicieli.
str. 8