Ważna informacja: |
Uwierzytelnianie wieloskładnikowe (MFA) pomaga poprawić bezpieczeństwo poprzez dodanie dodatkowego etapu weryfikacji podczas logowania użytkownika. W systemie uOS (Unified Operating System) uwierzytelnianie wieloskładnikowe może być stosowane w przypadku zewnętrznych baz danych użytkowników, gdzie uwierzytelnianie jest obsługiwane przez zewnętrzne lub oparte na chmurze systemy tożsamości.
W tym artykule przedstawiono jasny przegląd:
obsługiwanych zewnętrznych baz danych użytkowników w uOS,
aplikacje i metody dostępu (VPN, SSL VPN, Captive Portal),
dostępnych metod MFA,
opcje rejestracji użytkowników,
aktualnej dostępności funkcji i ograniczeń.
Informacje te są przydatne dla administratorów, którzy chcą zaplanować lub skonfigurować MFA na urządzeniach Zyxel z systemem uOS.
Architektura MFA w systemie uOS (uwierzytelnianie wychodzące)
W scenariuszach uwierzytelniania wychodzącego zapora sieciowa Zyxel wysyła żądania uwierzytelnienia użytkownika do zewnętrznej usługi lub dostawcy tożsamości. System uOS nie zawsze zarządza bezpośrednio drugim czynnikiem. W wielu przypadkach uwierzytelnianie wieloskładnikowe jest obsługiwane przez system zewnętrzny.
Obsługiwane zewnętrzne bazy danych użytkowników obejmują:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Zewnętrzny Active Directory
Użytkownicy lokalni na urządzeniu
W zależności od scenariusza uwierzytelnianie wieloskładnikowe (MFA) może być zapewnione przez:
wbudowanych metod (na przykład Google Authenticator lub e-mail OTP),
usługi MFA innych firm (na przykład Microsoft Entra MFA lub Duo Security).
Obsługiwane scenariusze MFA w uOS
Poniższa tabela przedstawia metody MFA obsługiwane w uOS w oparciu o bazę danych użytkowników i typ aplikacji.
Opcje MFA w uOS z zewnętrznymi bazami danych użytkowników
| Katalog / IdP | Aplikacja / protokół | Klient uwierzytelniający | Metoda MFA | Rejestracja | Dostępność w uOS | Uwagi |
|---|---|---|---|---|---|---|
| CloudAuth | IPSec VPN | SecuExtender | Google Authenticator | Użytkownik za pośrednictwem CloudAuth | Planowane (lipiec 2026 r.) | Obsługa FLEX / ATP |
| CloudAuth | IPSec VPN | SecuExtender | Passkey | Użytkownik poprzez CloudAuth | Planowane (lipiec 2026 r.) | – |
| CloudAuth | SSL VPN | Przeglądarka | Google Authenticator | Użytkownik za pośrednictwem CloudAuth | Planowane (lipiec 2026 r.) | Tylko uOS |
| CloudAuth | Portal przechwytujący | Przeglądarka | Klucz dostępu | Użytkownik poprzez CloudAuth | Planowane (lipiec 2026 r.) | – |
| Entra ID / Google | SSL VPN | Klient OpenVPN | MFA przez IdP | Przez IdP | Tak (uOS 1.37) | Wymagane OIDC |
| Entra ID / Google | Portal przechwytujący | Przeglądarka | MFA przez IdP | Przez IdP | Tak (uOS 1.37) | Wymagane OIDC |
| Entra ID / Google | IPSec VPN | SecuExtender | MFA przez IdP | Za pośrednictwem IdP | Nieplanowane | – |
| Zewnętrzny AD | IPSec VPN | SecuExtender | E-mail / SMS OTP | Po stronie serwera | Tak | Tylko FLEX / ATP |
| Zewnętrzny AD | IPSec VPN | SecuExtender | Duo MFA | Za pośrednictwem Duo | Tak | – |
| Zewnętrzny AD | SSL VPN | Przeglądarka / PAP | Duo MFA | Za pośrednictwem Duo | Tak | – |
| Nebula Entra ID | SSL VPN | Klient OpenVPN | Entra ID MFA | Za pośrednictwem Entra ID | Nieplanowane | – |
| Lokalny (urządzenie) | IPSec VPN | SecuExtender | Google Authenticator | Rejestracja administratora | Tak | uOS i ZLD |
| Lokalny (urządzenie) | SSL VPN | SecuExtender | Google Authenticator | Rejestracja administratora | Tak | Tylko uOS |
Uwagi i ograniczenia
MFA przez IdP oznacza, że MFA jest w pełni obsługiwane przez zewnętrznego dostawcę tożsamości.
Niektóre opcje MFA są dostępne tylko w uOS i nie są obsługiwane na starszych platformach.
Obsługa CloudAuth MFA i Passkey dla uOS jest planowaną funkcją i nie jest jeszcze dostępna.
Integracja Duo Security wymaga dodatkowej konfiguracji. Dostępne są oddzielne przewodniki.
Obsługa MFA zależy od typu aplikacji i używanego klienta (przeglądarka, SecuExtender, OpenVPN).
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.