Wichtiger Hinweis: |
Die Multi-Faktor-Authentifizierung (MFA) trägt zur Verbesserung der Sicherheit bei, indem sie einen zusätzlichen Verifizierungsschritt während der Benutzeranmeldung hinzufügt. In uOS (Unified Operating System) kann MFA mit ausgehenden Benutzerdatenbanken verwendet werden, bei denen die Authentifizierung durch externe oder cloudbasierte Identitätssysteme erfolgt.
Dieser Artikel gibt einen klaren Überblick über:
unterstützte ausgehende Benutzerdatenbanken in uOS,
Anwendungen und Zugriffsmethoden (VPN, SSL VPN, Captive Portal),
verfügbare MFA-Methoden,
Optionen für die Benutzerregistrierung,
aktuelle Verfügbarkeit und Einschränkungen der Funktionen.
Diese Informationen sind nützlich für Administratoren, die MFA auf Zyxel-Geräten mit uOS planen oder konfigurieren möchten.
MFA-Architektur in uOS (Outbound-Authentifizierung)
In Szenarien mit ausgehender Authentifizierung sendet die Zyxel-Firewall Benutzerauthentifizierungsanfragen an einen externen Dienst oder Identitätsanbieter. uOS verwaltet den zweiten Faktor nicht immer direkt. In vielen Fällen wird MFA vom externen System verarbeitet.
Zu den unterstützten Outbound-Benutzerdatenbanken gehören:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Externes Active Directory
Lokale Benutzer auf dem Gerät
Je nach Szenario kann MFA bereitgestellt werden durch:
integrierten Methoden (z. B. Google Authenticator oder E-Mail-OTP),
MFA-Dienste von Drittanbietern (z. B. Microsoft Entra MFA oder Duo Security).
Unterstützte MFA-Szenarien in uOS
Die folgende Tabelle zeigt, welche MFA-Methoden in uOS basierend auf der Benutzerdatenbank und dem Anwendungstyp unterstützt werden.
MFA-Optionen in uOS mit ausgehenden Benutzerdatenbanken
| Verzeichnis / IdP | Anwendung/Protokoll | Authentifizierungsclient | MFA-Methode | Registrierung | Verfügbarkeit in uOS | Anmerkungen |
|---|---|---|---|---|---|---|
| CloudAuth | IPSec VPN | SecuExtender | Google Authenticator | Benutzer über CloudAuth | Geplant (Juli 2026) | FLEX / ATP unterstützt |
| CloudAuth | IPSec VPN | SecuExtender | Passkey | Benutzer über CloudAuth | Geplant (Juli 2026) | – |
| CloudAuth | SSL-VPN | Browser | Google Authenticator | Benutzer über CloudAuth | Geplant (Juli 2026) | Nur uOS |
| CloudAuth | Captive Portal | Browser | Passkey | Benutzer über CloudAuth | Geplant (Juli 2026) | – |
| Entra ID / Google | SSL-VPN | OpenVPN-Client | MFA durch IdP | Über IdP | Ja (uOS 1.37) | OIDC erforderlich |
| Entra ID / Google | Captive Portal | Browser | MFA durch IdP | Über IdP | Ja (uOS 1.37) | OIDC erforderlich |
| Entra ID / Google | IPSec-VPN | SecuExtender | MFA durch IdP | Über IdP | Nicht geplant | – |
| Externes AD | IPSec-VPN | SecuExtender | E-Mail/SMS-OTP | Serverseitig | Ja | Nur FLEX / ATP |
| Externes AD | IPSec VPN | SecuExtender | Duo MFA | Über Duo | Ja | – |
| Externe AD | SSL-VPN | Browser / PAP | Duo MFA | Über Duo | Ja | – |
| Nebula Entra-ID | SSL-VPN | OpenVPN-Client | Entra ID MFA | Über Entra ID | Nicht geplant | – |
| Lokal (Gerät) | IPSec VPN | SecuExtender | Google Authenticator | Admin-Registrierung | Ja | uOS & ZLD |
| Lokal (Gerät) | SSL-VPN | SecuExtender | Google Authenticator | Admin-Registrierung | Ja | Nur uOS |
Hinweise und Einschränkungen
MFA durch IdP bedeutet, dass MFA vollständig vom externen Identitätsanbieter verwaltet wird.
Einige MFA-Optionen sind nur in uOS verfügbar und werden auf älteren Plattformen nicht unterstützt.
Die Unterstützung von CloudAuth MFA und Passkey für uOS ist geplant, aber noch nicht verfügbar.
Die Integration von Duo Security erfordert zusätzliche Konfigurationen. Separate Anleitungen sind verfügbar.
Die MFA-Unterstützung hängt vom Anwendungstyp und dem verwendeten Client (Browser, SecuExtender, OpenVPN) ab.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.