2Element - Multi-factor Authentication (MFA)

2Element - Multi-factor authentication (MFA)

Univerzální řešení pro organizace a firmy
Doplňuje problematická hesla dalšími faktory
MFA se používá především pro:
- Privilegované účty (různá administrátorská oprávnění) – pro všechny typy přístupů
  - VPN, přihlašování na servery, správce hesel, aplikace SOFiE, …
- Uživatelské účty – především pro přístupy z Internetu do organizace (nebo do cloudu)
  - VPN, vzdálené plochy (RDP), …
Podpora českého a anglického jazyka (další jazyky možné doplnit)
Flexibilní řešení pro autentizaci – zaměstnanců, partnerů, zákazníků
Možnost instalace on-premise (celé pouze u zákazníka, bez cloudu)

Příklad přihlášení VPN Klienta (typické pro práci z domova)

Obecně k faktorům pro autentizaci

Faktory ověřování jsou kategorizovány do tří skupin:
- Něco, co znáte (například heslo nebo PIN).
- Něco, co máte (například mobilní telefon nebo hw token).
- Něco, kým jste (například otisk prstu, scan obličeje nebo jiná biometrická data).
MFA vyžaduje, aby se uživatel autentizoval pomocí dvou nebo více autentizačních faktorů z různých kategorií (např. „Něco, co znáte“ v kombinaci s „něčím, co máte“).
Moderní metoda Push notifikací pro chytré telefony s biometrickým ověřením spojuje všechny tyto tři kategorie. Přihlášení jménem a heslem (něco, co znáte) je doplněno push notifikací na mobil (něco, co máte), kterou je třeba potvrdit po biometrickém ověření (něco, kým jste).

Podporované faktory ověření

PUSH autentizace
- z mobilní aplikace (2Element Mobile pro iOS a Android)
TOTP autentizace
- z mobilní aplikace (2Element Mobile pro iOS a Android)
- z SMS zprávy
Hardware tokeny
- YubiKey pro OS Windows, MacOS a Linux

Produktový list 2Element

Integrace 2Element a Sofie

Více o produktu

Odpovídá doporučení

2Element obsahuje bezpečnostní technologie a procesy, které odpovídají doporučením autorit NÚKIB, CISA.

Bezpečnost

Podrobné logování (audit log) všech procesů v celém řešení.

Registrace a autorizace mobilních aplikací je zajištěna asymetrickou kryptografií.

Soukromý klíč je v mobilních telefonech uložený v dedikovaném bezpečnostním úložišti a je chráněn biometricky.

Administrátor má právo definovat požadované security politiky pro uživatele.

Přenosy dat jsou standardně šifrovány pomocí SSL / TLS.

Export logů pomocí Syslogu pro externí zpracování (podpora SIEMu).

Integrace přihlášení (SSO) s poskytovateli SAML nebo ADFS.

Aplikace je testována penetračními testy dle metodiky OWASP.

Možnost poskytnutí zdrojového kódu k auditu.

Napojení na AD nebo ADFS

Napojení na Active Directory, včetně nastavení, které stromy či skupiny uživatelů synchronizovat a jak.
Současná podpora jak lokálních skupin a uživatelů, tak těch předávaných z AD.
Možnost provozu i zcela bez napojení na AD. Lokální uživatele je možno založit přímo v MFA serveru. Vhodné pro instalace, které nemají AD, nebo uživatele, kteří nejsou v AD.
Možná je i podpora dalších LDAP kompatibilních adresářů.
Integrace do ADFS přihlášení – takto se o MFA snadno rozšíří celý ekosystém podporující ADFS přihlášení a řetězově také SAML.

Možnosti integrace MFA

Otevřené API pro integraci do aplikací třetích stran
Napojení na ADFS a SAML (např. cloudové služby zákazníka)
Podpora RADIUS (např. pro VPN)
SMS brány
Správce hesel – můžeme dodat na klíč
Aplikace SOFiE pro bezpečnou výměnu souborů libovolné velikosti a typu

Typické služby a aplikace pro MFA

VPN přístupy (Fortinet, Cisco, CheckPoint, …)

Administrátorské RDP přístupy na MS servery

Vzdálené plochy (RDP) pro uživatele, včetně Terminal Server přístupů

Lokální přihlášení uživatelů do počítače

ADFS (Active Directory Federation Services) integrace

Cloudové služby (O365, …)

Vlastní aplikace zákazníka (Helpdesk, Intranet, …) pomocí API

Portály a řešení pro partnery a zákazníky

Další integrace protokoly Radius či LDAP

SOFiE bezpečná výměna souborů

Instalace MFA serverů u zákazníka

Instalace na dedikované servery (Linux CentOS, Red Hat)
- Doporučujeme instalaci do virtualizace - VMware, Hyper-V, KVM
Dostupné webové rozhraní pro administrátory
Optimálně rozděleno na dvě části:
- V DMZ - MFA WEB server - komunikuje do Internetu (push notifikace aj.), poskytuje API
- VLAN - MFA Autentizační PROXY server - Auth proxy, zprostředkovává komunikaci s AD a RADIUS
Škálovatelné řešení pro velké instalace, splňující požadované SLA.
MFA servery lze instalovat do cloudového prostředí

Konzultace a on-line prezentace

Odborné konzultace pro zákazníky a partnery
Vysvětlení pojmů jako např. FIDO2, WebAuthn, U2F, TOTP,..
Předvedení MFA řešení pomocí Teams nebo jiné konference
Během konference poskytujeme analýzu nasazení MFA u zákazníka

Trial verze a PoC instalace

TRIAL licence pro interní testy a PoC (Proof of Concept) instalace
Instalace serveru MFA může být v našem hostingu.
Instalace do infrastruktury zákazníka
Odborné konzultace pro další integrace v rámci PoC

Zákaznické řešení

Pro větší implementace nabízíme řešení, které je dnes populární například v bankách pod názvy - KB klíč, RB klíč, …
Dodáme zákazníkovi upravenou mobilní aplikaci, která bude plně kompatibilní pro všechny MFA přístupy.
Vhodná konsolidace všech aplikací, které mají používat MFA ověření.
“White label” customizace
- pro server (vlastní název a design)
- pro mobilní aplikace (vlastní název, design a pevné propojení se serverem zákazníka)

Univerzální řešení pro vícefaktorové ověřování
Multi-factor Authentication (MFA)