احراز هویت چند عاملی (MFA) در اکتیو دایرکتوری یک لایه امنیتی اضافی است که کاربران را ملزم می کند تا دو عامل احراز هویت را برای دسترسی به VPN، برنامه یا سرویس ارائه دهند. اولین عامل شامل وارد کردن نام کاربری و رمز عبور اکتیو دایرکتوری توسط کاربر است. MFA یک لایه حفاظتی را به فرآیند ورود اضافه می کند. هنگام دسترسی به حسابها یا برنامهها، کاربران تأیید هویت اضافی را ارائه میکنند، مانند اسکن اثر انگشت یا وارد کردن کد دریافتی از طریق تلفن. MFA به محافظت از دسترسی به داده ها و برنامه ها کمک می کند و با استفاده از شکل دوم احراز هویت، لایه دیگری از امنیت را فراهم می کند. سازمان ها می توانند احراز هویت چندعاملی (MFA) را با دسترسی مشروط فعال کنند تا راه حل را متناسب با نیازهای خاص خود قرار دهند.
احراز هویت دو مرحله ای برای اکتیو دایرکتوری محلی (On-Premise) ویندوز:
User Lock از MFA با استفاده از اعلانهای Push ، برنامههای احراز هویت شامل Google Authenticator، Microsoft Authenticator و Qiper Authenticator یا توکنهای سختافزار قابل برنامهریزی مانند YubiKey و QiperKi پشتیبانی میکند و با تکیه بر الگوریتمهای رمزنگاری برای گذرواژههای یکبار مصرف مبتنی بر زمان و HMAC (TOTP و HOTP) ، همه گزینهها احراز هویت دو عاملی قوی برای محافظت بهتر از دسترسی در کل سازمان ارائه میشوند.
با گزینه های بسیار زیادی که برای ایمن سازی اکتیو دایرکتوری داخلی شما در دسترس است، به راحتی می توانید احساس سردرگمی کنید. بسیاری از سازمان ها تمایل طبیعی به راه حل های ترکیبی(Hybrid-Solution) دارند که امن ترین و کاربرپسندترین تجربه را برای همه فراهم می کند. مانند Azure Active Directory. با این حال، برخی از کسبوکارها راهحلهای داخلی را ترجیح میدهند، زیرا به آنها کنترل بیشتری بر روی دادههایشان میدهند و همچنین اطمینان بیشتری نسبت به عدم افشای اطلاعات کاربران توسط شرکت های ابری ثالث حاصل میکنند.
تا زمانی که نمیخواهید راهحل ابری را پیادهسازی کنید، AD در محل (On-Premise AD) همچنان یکی از بهترین راهها برای محافظت از شبکه و حسابهای کاربریتان است و در عین حال کارها را برای کارمندان ساده نگه میدارد. زیرا بدون توجه به جایی که وارد سیستم می شوند، رمز عبور یکسانی را به کاربران می دهد، به این معنی که اگر از ترکیب نام کاربری و رمز عبور دیگری در خانه یا محل کار استفاده کنند، امنیت آنها به خطر نمی افتد و تنها یک لایه امنیتی اضافی در بالای آن اضافه می شود.
چگونه و کجا می توانید اتصالات MFA را برای Active Directory فعال کنید:
- احراز هویت چند عاملی در ماشینهای ویندوز،لینوکس و مکینتاش:
- احراز هویت چند عاملی برای دسترسی راه دور (RDP) ماشین های ویندوز، لینوکس و مکینتاش
- احراز هویت چند عاملی برای VPN
- احراز هویت چند عاملی برای سرویس های ابری(Cloud)و برنامه های کاربردی داخلی
- احراز هویت چند عاملی برای سوویچ ها و روترها با استفاده از Radius
کدام روش های احراز هویت چند عاملی( MFA) را از طریق Active Directory می توانید برای کاربران خود فعال کنید؟
کیپر (Qiper) از روش های MFA زیر پشتیبانی میکند و مدیر از امتیاز کامل گزینههای احراز هویت دو مرحلهای (2FA) برای کاربران نهایی برخوردار است و کاربران میتوانند هر روش MFA را که مجاز به پیکربندی آن هستند انتخاب کنند:
|
Supported |
Method |
Authentication
Type |
|
P |
Soft Tokens |
Qiper Authenticator |
|
P |
Qiper Push |
|
|
P |
Qiper Authenticator |
Mobile Token |
|
P |
Microsoft Authenticator |
|
|
P |
Google Authenticator |
|
|
P |
OTP over SMS |
SMS |
|
P |
SMS with Link |
|
|
P |
OTP over E-Mail |
E-Mail |
|
P |
E-Mail with Link |
|
|
P |
QiperKi |
Hardware Token |
|
P |
All Fido Key |