Avviso importante: |
L'autenticazione a più fattori (MFA) contribuisce a migliorare la sicurezza aggiungendo un ulteriore passaggio di verifica durante il login dell'utente. In uOS (Unified Operating System), l'MFA può essere utilizzata con database utente in uscita, dove l'autenticazione è gestita da sistemi di identità esterni o basati su cloud.
Questo articolo fornisce una chiara panoramica di:
database utenti in uscita supportati in uOS,
applicazioni e metodi di accesso (VPN, SSL VPN, Captive Portal),
metodi MFA disponibili,
opzioni di registrazione degli utenti,
disponibilità e limitazioni delle funzionalità attuali.
Queste informazioni sono utili per gli amministratori che desiderano pianificare o configurare l'autenticazione multifattoriale (MFA) sui dispositivi Zyxel che eseguono uOS.
Architettura MFA in uOS (autenticazione in uscita)
Negli scenari di autenticazione in uscita, il firewall Zyxel invia le richieste di autenticazione utente a un servizio esterno o a un provider di identità. uOS non gestisce sempre direttamente il secondo fattore. In molti casi, l'autenticazione multifattoriale (MFA) viene gestita dal sistema esterno.
I database utente in uscita supportati includono:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Active Directory esterno
Utenti locali sul dispositivo
A seconda dello scenario, l'autenticazione a più fattori (MFA) può essere fornita tramite:
metodi integrati (ad esempio, Google Authenticator o OTP via e-mail),
servizi MFA di terze parti (ad esempio, Microsoft Entra MFA o Duo Security).
Scenari MFA supportati in uOS
La tabella seguente mostra quali metodi MFA sono supportati in uOS, in base al database degli utenti e al tipo di applicazione.
Opzioni MFA in uOS con database utenti in uscita
| Directory / IdP | Applicazione / Protocollo | Client di autenticazione | Metodo MFA | Registrazione | Disponibilità in uOS | Note |
|---|---|---|---|---|---|---|
| CloudAuth | VPN IPSec | SecuExtender | Google Authenticator | Utente tramite CloudAuth | Previsto (luglio 2026) | FLEX / ATP supportato |
| CloudAuth | VPN IPSec | SecuExtender | Passkey | Utente tramite CloudAuth | Previsto (luglio 2026) | – |
| CloudAuth | SSL VPN | Browser | Google Authenticator | Utente tramite CloudAuth | Previsto (luglio 2026) | Solo uOS |
| CloudAuth | Portale captive | Browser | Passkey | Utente tramite CloudAuth | Previsto (luglio 2026) | – |
| Entra ID / Google | SSL VPN | Client OpenVPN | MFA da IdP | Tramite IdP | Sì (uOS 1.37) | OIDC richiesto |
| Entra ID / Google | Portale captive | Browser | MFA da IdP | Tramite IdP | Sì (uOS 1.37) | OIDC richiesto |
| Entra ID / Google | VPN IPSec | SecuExtender | MFA tramite IdP | Tramite IdP | Non previsto | – |
| AD esterno | VPN IPSec | SecuExtender | Email / SMS OTP | Lato server | Sì | Solo FLEX / ATP |
| AD esterno | VPN IPSec | SecuExtender | Duo MFA | Tramite Duo | Sì | – |
| AD esterno | SSL VPN | Browser / PAP | Duo MFA | Tramite Duo | Sì | – |
| Nebula Entra ID | SSL VPN | Client OpenVPN | Entra ID MFA | Tramite Entra ID | Non previsto | – |
| Locale (dispositivo) | VPN IPSec | SecuExtender | Google Authenticator | Registrazione amministratore | Sì | uOS e ZLD |
| Locale (dispositivo) | SSL VPN | SecuExtender | Google Authenticator | Registrazione amministratore | Sì | Solo uOS |
Note e limitazioni
MFA da IdP significa che l'autenticazione a più fattori (MFA) è gestita interamente dal provider di identità esterno.
Alcune opzioni MFA sono disponibili solo in uOS e non sono supportate su piattaforme precedenti.
Il supporto CloudAuth MFA e Passkey per uOS sono funzionalità in programma e non ancora disponibili.
L'integrazione di Duo Security richiede una configurazione aggiuntiva. Sono disponibili guide separate.
Il supporto MFA dipende dal tipo di applicazione e dal client utilizzato (browser, SecuExtender, OpenVPN).
Commenti
0 commentiAccedi per aggiungere un commento.