Tärkeä ilmoitus: |
Monivaiheinen todennus (MFA) parantaa turvallisuutta lisäämällä ylimääräisen vahvistusvaiheen käyttäjän kirjautumisen yhteydessä. UOS-käyttöjärjestelmässä (Unified Operating System) MFA:ta voidaan käyttää ulkoisten käyttäjätietokantojen kanssa, joissa todennus hoidetaan ulkoisilla tai pilvipohjaisilla tunnistusjärjestelmillä.
Tämä artikkeli antaa selkeän yleiskuvan seuraavista aiheista:
uOS:ssa tuetut ulkoiset käyttäjätietokannat
sovellukset ja pääsytavat (VPN, SSL VPN, Captive Portal)
käytettävissä olevat MFA-menetelmät
käyttäjien rekisteröintivaihtoehdot
nykyisten ominaisuuksien saatavuus ja rajoitukset.
Nämä tiedot ovat hyödyllisiä järjestelmänvalvojille, jotka haluavat suunnitella tai määrittää MFA:n uOS-käyttöjärjestelmää käyttävissä Zyxel-laitteissa.
MFA-arkkitehtuuri uOS:ssa (ulospäin suuntautuva todennus)
Lähtevän todennuksen tilanteissa Zyxel-palomuuri lähettää käyttäjän todennuspyynnöt ulkoiselle palvelulle tai identiteetin tarjoajalle. uOS ei aina hallitse toista tekijää suoraan. Useissa tapauksissa MFA:ta käsittelee ulkoinen järjestelmä.
Tuetut lähtevät käyttäjätietokannat ovat:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Ulkoinen Active Directory
Laitteen paikalliset käyttäjät
Skenaariosta riippuen MFA voidaan tarjota seuraavilla tavoilla:
sisäänrakennetut menetelmät (esimerkiksi Google Authenticator tai sähköpostitse lähetettävä kertakäyttöinen salasana)
kolmannen osapuolen MFA-palvelut (esimerkiksi Microsoft Entra MFA tai Duo Security).
Tuetut MFA-skenaariot uOS:ssa
Alla olevassa taulukossa on esitetty uOS:ssa tuetut MFA-menetelmät käyttäjätietokannan ja sovellustyypin perusteella.
MFA-vaihtoehdot uOS:ssa ulkoisten käyttäjätietokantojen kanssa
| Hakemisto / IdP | Sovellus / Protokolla | Todennusasiakas | MFA-menetelmä | Rekisteröityminen | Saatavuus uOS:ssa | Huomautukset |
|---|---|---|---|---|---|---|
| CloudAuth | IPSec VPN | SecuExtender | Google Authenticator | Käyttäjä CloudAuthin kautta | Suunniteltu (heinäkuu 2026) | FLEX / ATP tuettu |
| CloudAuth | IPSec VPN | SecuExtender | Passkey | Käyttäjä CloudAuthin kautta | Suunniteltu (heinäkuu 2026) | – |
| CloudAuth | SSL VPN | Selain | Google Authenticator | Käyttäjä CloudAuthin kautta | Suunniteltu (heinäkuu 2026) | Vain uOS |
| CloudAuth | Captive Portal | Selain | Salasana | Käyttäjä CloudAuthin kautta | Suunniteltu (heinäkuu 2026) | – |
| Entra ID / Google | SSL VPN | OpenVPN-asiakas | MFA IdP:n kautta | IdP:n kautta | Kyllä (uOS 1.37) | OIDC vaaditaan |
| Entra ID / Google | Captive Portal | Selain | MFA IdP:n toimesta | IdP:n kautta | Kyllä (uOS 1.37) | OIDC vaaditaan |
| Entra ID / Google | IPSec VPN | SecuExtender | MFA IdP:n kautta | IdP:n kautta | Ei suunniteltu | – |
| Ulkoinen AD | IPSec VPN | SecuExtender | Sähköposti / SMS OTP | Palvelinpuoli | Kyllä | Vain FLEX / ATP |
| Ulkoinen AD | IPSec VPN | SecuExtender | Duo MFA | Duon kautta | Kyllä | – |
| Ulkoinen AD | SSL VPN | Selain / PAP | Duo MFA | Duon kautta | Kyllä | – |
| Nebula Entra ID | SSL VPN | OpenVPN-asiakas | Entra ID MFA | Entra ID:n kautta | Ei suunniteltu | – |
| Paikallinen (laite) | IPSec VPN | SecuExtender | Google Authenticator | Järjestelmänvalvojan rekisteröinti | Kyllä | uOS & ZLD |
| Paikallinen (laite) | SSL VPN | SecuExtender | Google Authenticator | Järjestelmänvalvojan rekisteröinti | Kyllä | Vain uOS |
Huomautukset ja rajoitukset
IdP:n MFA tarkoittaa, että MFA hoidetaan kokonaan ulkoisen identiteetin tarjoajan toimesta.
Jotkin MFA-vaihtoehdot ovat käytettävissä vain uOS:ssa, eikä niitä tueta vanhemmissa alustoissa.
CloudAuth MFA- ja Passkey-tuki uOS:lle on suunniteltu ominaisuus, joka ei ole vielä käytettävissä.
Duo Security -integraatio vaatii lisäkonfigurointia. Erilliset ohjeet ovat saatavilla.
MFA-tuki riippuu sovellustyypistä ja käytetystä asiakkaasta (selain, SecuExtender, OpenVPN).
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.