Важное уведомление: |
Многофакторная аутентификация (MFA) помогает повысить безопасность за счет добавления дополнительного этапа проверки при входе пользователя в систему. В uOS (Unified Operating System) MFA может использоваться с исходящими базами данных пользователей, где аутентификация обрабатывается внешними или облачными системами идентификации.
В этой статье дается четкий обзор:
поддерживаемых исходящих баз данных пользователей в uOS,
приложения и методы доступа (VPN, SSL VPN, Captive Portal),
доступные методы MFA,
варианты регистрации пользователей,
текущей доступности функций и ограничениях.
Эта информация полезна для администраторов, которые хотят спланировать или настроить MFA на устройствах Zyxel под управлением uOS.
Архитектура MFA в uOS (исходящая аутентификация)
В сценариях исходящей аутентификации брандмауэр Zyxel отправляет запросы на аутентификацию пользователей во внешний сервис или поставщику идентификационных данных. uOS не всегда управляет вторым фактором напрямую. Во многих случаях MFA обрабатывается внешней системой.
Поддерживаемые исходящие базы данных пользователей включают:
Zyxel CloudAuth
Microsoft Entra ID / Google Identity
Nebula Entra ID
Внешний Active Directory
Локальные пользователи на устройстве
В зависимости от сценария MFA может быть обеспечена с помощью:
встроенными методами (например, Google Authenticator или OTP по электронной почте),
сторонними службами MFA (например, Microsoft Entra MFA или Duo Security).
Поддерживаемые сценарии MFA в uOS
В таблице ниже показано, какие методы MFA поддерживаются в uOS в зависимости от базы данных пользователей и типа приложения.
Варианты MFA в uOS с исходящими базами данных пользователей
| Справочник / IdP | Приложение / Протокол | Клиент аутентификации | Метод MFA | Регистрация | Доступность в uOS | Примечания |
|---|---|---|---|---|---|---|
| CloudAuth | IPSec VPN | SecuExtender | Google Authenticator | Пользователь через CloudAuth | Планируется (июль 2026 г.) | Поддержка FLEX / ATP |
| CloudAuth | IPSec VPN | SecuExtender | Passkey | Пользователь через CloudAuth | Планируется (июль 2026 г.) | – |
| CloudAuth | SSL VPN | Браузер | Google Authenticator | Пользователь через CloudAuth | Планируется (июль 2026 г.) | Только uOS |
| CloudAuth | Каптивный портал | Браузер | Passkey | Пользователь через CloudAuth | Планируется (июль 2026 г.) | – |
| Entra ID / Google | SSL VPN | Клиент OpenVPN | MFA от IdP | Через IdP | Да (uOS 1.37) | Требуется OIDC |
| Entra ID / Google | Каптивный портал | Браузер | MFA от IdP | Через IdP | Да (uOS 1.37) | Требуется OIDC |
| Entra ID / Google | IPSec VPN | SecuExtender | MFA от IdP | Через IdP | Не планируется | – |
| Внешний AD | IPSec VPN | SecuExtender | Электронная почта / SMS OTP | На стороне сервера | Да | Только FLEX / ATP |
| Внешний AD | IPSec VPN | SecuExtender | Duo MFA | Через Duo | Да | – |
| Внешний AD | SSL VPN | Браузер / PAP | Duo MFA | Через Duo | Да | – |
| Nebula Entra ID | SSL VPN | Клиент OpenVPN | Entra ID MFA | Через Entra ID | Не планируется | – |
| Локальный (устройство) | IPSec VPN | SecuExtender | Google Authenticator | Регистрация администратора | Да | uOS и ZLD |
| Локальный (устройство) | SSL VPN | SecuExtender | Google Authenticator | Регистрация администратора | Да | Только uOS |
Примечания и ограничения
MFA от IdP означает, что MFA полностью обрабатывается внешним поставщиком идентификации.
Некоторые опции MFA доступны только в uOS и не поддерживаются на более старых платформах.
Поддержка CloudAuth MFA и Passkey для uOS планируется к реализации и пока недоступна.
Интеграция Duo Security требует дополнительной настройки. Доступны отдельные руководства.
Поддержка MFA зависит от типа приложения и используемого клиента (браузер, SecuExtender, OpenVPN).
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.