Univerzální řešení pro vícefaktorové ověřování
Multi-factor Authentication (MFA)


Android  iOS
Trial verze

2Element - Multi-factor authentication (MFA)

  • Univerzální řešení pro organizace a firmy
  • Doplňuje problematická hesla dalšími faktory
  • MFA se používá především pro:
    • Privilegované účty (různá administrátorská oprávnění) – pro všechny typy přístupů
      • VPN, přihlašování na servery, správce hesel, …
    • Uživatelské účty – především pro přístupy z Internetu do organizace (nebo do cloudu)
      • VPN, vzdálené plochy (RDP), …
  • Podpora českého a anglického jazyka (další jazyky možné doplnit)
  • Flexibilní řešení pro autentizaci – zaměstnanců, partnerů, zákazníků
  • Možnost instalace on-premise (celé pouze u zákazníka, bez cloudu)

Příklad přihlášení VPN Klienta (typické pro práci z domova)

Obecně k faktorům pro autentizaci

  • Faktory ověřování jsou kategorizovány do tří skupin:
    • Něco, co znáte (například heslo nebo PIN).
    • Něco, co máte (například mobilní telefon nebo hw token).
    • Něco, kým jste (například otisk prstu, scan obličeje nebo jiná biometrická data).
  • MFA vyžaduje, aby se uživatel autentizoval pomocí dvou nebo více autentizačních faktorů z různých kategorií (např. „Něco, co znáte“ v kombinaci s „něčím, co máte“).
  • Moderní metoda Push notifikací pro chytré telefony s biometrickým ověřením spojuje všechny tyto tři kategorie. Přihlášení jménem a heslem (něco, co znáte) je doplněno push notifikací na mobil (něco, co máte), kterou je třeba potvrdit po biometrickém ověření (něco, kým jste).

Podporované faktory ověření

  • PUSH autentizace
    • z mobilní aplikace (2Element Mobile pro iOS a Android)
  • TOTP autentizace
    • z mobilní aplikace (2Element Mobile pro iOS a Android)
    • z SMS zprávy
  • Hardware tokeny
    • YubiKey pro OS Windows, MacOS a Linux

Prezentace ke stažení

Odpovídá doporučení

2Element obsahuje bezpečnostní technologie a procesy, které odpovídají doporučením autorit NÚKIB, CISA.

Bezpečnost

Podrobné logování (audit log) všech procesů v celém řešení.
Registrace a autorizace mobilních aplikací je zajištěna asymetrickou kryptografií.
Soukromý klíč je v mobilních telefonech uložený v dedikovaném bezpečnostním úložišti a je chráněn biometricky.
Administrátor má právo definovat požadované security politiky pro uživatele.
Přenosy dat jsou standardně šifrovány pomocí SSL / TLS.
Export logů pomocí Syslogu pro externí zpracování (podpora SIEMu).
Integrace přihlášení (SSO) s poskytovateli SAML nebo ADFS.
Aplikace je testována penetračními testy dle metodiky OWASP.
Možnost poskytnutí zdrojového kódu k auditu.

Vlastnosti

Napojení na AD nebo ADFS

  • Napojení na Active Directory, včetně nastavení, které stromy či skupiny uživatelů synchronizovat a jak.
  • Současná podpora jak lokálních skupin a uživatelů, tak těch předávaných z AD.
  • Možnost provozu i zcela bez napojení na AD. Lokální uživatele je možno založit přímo v MFA serveru. Vhodné pro instalace, které nemají AD, nebo uživatele, kteří nejsou v AD.
  • Možná je i podpora dalších LDAP kompatibilních adresářů.
  • Integrace do ADFS přihlášení – takto se o MFA snadno rozšíří celý ekosystém podporující ADFS přihlášení a řetězově také SAML.

Možnosti integrace MFA

  • Otevřené API pro integraci do aplikací třetích stran
  • Napojení na ADFS a SAML (např. cloudové služby zákazníka)
  • Podpora RADIUS (např. pro VPN)
  • SMS brány
  • Správce hesel – můžeme dodat na klíč

Typické služby a aplikace pro MFA

VPN přístupy (Fortinet, Cisco, CheckPoint, …)
Administrátorské RDP přístupy na MS servery
Vzdálené plochy (RDP) pro uživatele, včetně Terminal Server přístupů
Lokální přihlášení uživatelů do počítače
ADFS (Active Directory Federation Services) integrace
Cloudové služby (O365, …)
Vlastní aplikace zákazníka (Helpdesk, Intranet, …) pomocí API, SAML
Portály a řešení pro partnery a zákazníky
Další integrace protokoly Radius či LDAP

Ukázky z aplikace

Služby

Instalace MFA serverů u zákazníka

  • Instalace na dedikované servery (Linux CentOS)
    • Doporučujeme instalaci do virtualizace - VMware, Hyper-V, KVM
  • Dostupné webové rozhraní pro administrátory
  • Optimálně rozděleno na dvě části:
    • V DMZ - MFA WEB server - komunikuje do Internetu (push notifikace aj.), poskytuje API
    • VLAN - MFA Autentizační PROXY server - Auth proxy, zprostředkovává komunikaci s AD a RADIUS
  • Škálovatelné řešení pro velké instalace, splňující požadované SLA.
  • MFA servery lze instalovat do cloudového prostředí

Konzultace a on-line prezentace

  • Odborné konzultace pro zákazníky a partnery
  • Vysvětlení pojmů jako např. FIDO2, WebAuthn, U2F, TOTP,..
  • Předvedení MFA řešení pomocí Teams nebo jiné konference
  • Během konference poskytujeme analýzu nasazení MFA u zákazníka

Trial verze a PoC instalace

  • TRIAL licence pro interní testy a PoC (Proof of Concept) instalace
  • Instalace serveru MFA může být v našem hostingu.
  • Instalace do infrastruktury zákazníka
  • Odborné konzultace pro další integrace v rámci PoC

Zákaznické řešení

  • Pro větší implementace nabízíme řešení, které je dnes populární například v bankách pod názvy - KB klíč, RB klíč, …
  • Dodáme zákazníkovi upravenou mobilní aplikaci, která bude plně kompatibilní pro všechny MFA přístupy.
  • Vhodná konsolidace všech aplikací, které mají používat MFA ověření.
  • “White label” customizace
    • pro server (vlastní název a design)
    • pro mobilní aplikace (vlastní název, design a pevné propojení se serverem zákazníka)

Podporované platformy

VPN pomocí RADIUS
Fortinet Cisco Checkpoint
Hardware tokeny
Yubico

Kontakt a žádost o cenovou nabídku / TRIAL verzi

Sonpo, a.s. Sonpo, a.s.

SONPO, a.s.

Klapkova 546
182 00 Praha 8
Česká republika


Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Více o používání cookies.ok