В этой статье мы хотим рассказать о нашем продукте TOTPRadius. Это RADIUS сервер, спроектированный для применения в системах двухфакторной аутентификации. Помимо стандартного для этого протокола фунционала, TOTPRadius предоставляет несколько дополнительных функций, одной из которых является возможность организации самостоятельной регистрации второго фактора для рядовых пользователей
RADIUS — это стандартный протокол принятия и обработки запросов проверки подлинности. Помимо обычной (однофакторной) аутентификации, многие системы используют протокол RADIUS для двухфакторной аутентификации, чаще всего для проверки подлинности второго фактора. Принцип довольно простой: если взять в качестве примера алгоритм TOTP, в котором для генерации одноразового пароля (one-time password- OTP) используется текущее время и секретный ключ, то OTP, введенный пользователем, передается RADIUS серверу, который, в свою очередь, и проверяет его подлинность. Конечно, и секретный ключ и текущее время должны совпадать с генератором OTP. RADIUS для двухфакторной аутентификации используется, например, в VMWare View/Horizon, Citrix NetScaler, Fortinet VPN и др.
Очень часто возникает необходимость предоставить пользователям возможность активировать второй фактор самостоятельно. Стандартные реализации такой возможности не дают, и это понятно: в обычной имплементации двухфакторной аутентификации она или есть, или ее нет, третьего не дано. Это может привести к сложностям — например, при миграции большого количества пользователей регистрация второго фактора должна быть централизована. В случае, если используется софт-токен (например, приложения типа Google Authenticator или Token2 Mobile OTP) на персональных мобильных устройствах, логистику миграции даже сложно себе представить.
В этом случае может помочь самостоятельная регистрация. Идея такая: пользователям без активного второго фактора (иными словами, без записи в базе данных сервера RADIUS) пускать в систему один раз (ну или два, если допускать возможность что в первый раз что-то может пойти не так) – и далее предоставить им возможность самостоятельно запустить процесс регистрации второго фактора (создания профиля TOTP в приложении). Token2 TOTPRadius представляет возможность организовать такую регистрацию через простой RESTful API. В упрощенном виде, это запрос в формате
Связка Citrix Netscaler + Storefront применяется для осуществления доступа к продуктам Citrix XenApp и XenDesktop. NetScaler из коробки поддерживает использование RADIUS сервера в качестве источника аутентификации второго фактора. Дополнительной интеграцией в данном случае будет только реализация самостоятельной активации TOTP профиля софт-токена в интерфейсе Storefront посредством RESTful API. Процесс подключения довольно прост и описан в этом документе. Как это выглядит глазами конечного пользователя показано на видео:
Помимо готовых скриптов интеграции со Storefront, TOTPRadius также легко интегрируется с Wordpress и Drupal (с использованием плагинов Token2). Мы будем также рады помочь с интеграцией с любыми другими системами.
Спасибо за внимание!
RADIUS для двухфакторной аутентификации
RADIUS — это стандартный протокол принятия и обработки запросов проверки подлинности. Помимо обычной (однофакторной) аутентификации, многие системы используют протокол RADIUS для двухфакторной аутентификации, чаще всего для проверки подлинности второго фактора. Принцип довольно простой: если взять в качестве примера алгоритм TOTP, в котором для генерации одноразового пароля (one-time password- OTP) используется текущее время и секретный ключ, то OTP, введенный пользователем, передается RADIUS серверу, который, в свою очередь, и проверяет его подлинность. Конечно, и секретный ключ и текущее время должны совпадать с генератором OTP. RADIUS для двухфакторной аутентификации используется, например, в VMWare View/Horizon, Citrix NetScaler, Fortinet VPN и др.
Самостоятельная регистрация и зачем она нужна
Очень часто возникает необходимость предоставить пользователям возможность активировать второй фактор самостоятельно. Стандартные реализации такой возможности не дают, и это понятно: в обычной имплементации двухфакторной аутентификации она или есть, или ее нет, третьего не дано. Это может привести к сложностям — например, при миграции большого количества пользователей регистрация второго фактора должна быть централизована. В случае, если используется софт-токен (например, приложения типа Google Authenticator или Token2 Mobile OTP) на персональных мобильных устройствах, логистику миграции даже сложно себе представить.
В этом случае может помочь самостоятельная регистрация. Идея такая: пользователям без активного второго фактора (иными словами, без записи в базе данных сервера RADIUS) пускать в систему один раз (ну или два, если допускать возможность что в первый раз что-то может пойти не так) – и далее предоставить им возможность самостоятельно запустить процесс регистрации второго фактора (создания профиля TOTP в приложении). Token2 TOTPRadius представляет возможность организовать такую регистрацию через простой RESTful API. В упрощенном виде, это запрос в формате
https://Адрес-Сервера/api?username=[имя_пользователя]&api-key=[ключ-для-подключения]где ответом от сервера при успешном выполнении запроса будет сгенерированный для данного пользователя секретный ключ в текстовом и QR-code формата.
Пример интеграции: TOTPRadius с Citrix NetScaler + Storefront
Связка Citrix Netscaler + Storefront применяется для осуществления доступа к продуктам Citrix XenApp и XenDesktop. NetScaler из коробки поддерживает использование RADIUS сервера в качестве источника аутентификации второго фактора. Дополнительной интеграцией в данном случае будет только реализация самостоятельной активации TOTP профиля софт-токена в интерфейсе Storefront посредством RESTful API. Процесс подключения довольно прост и описан в этом документе. Как это выглядит глазами конечного пользователя показано на видео:
Дополнительные возможности
Помимо готовых скриптов интеграции со Storefront, TOTPRadius также легко интегрируется с Wordpress и Drupal (с использованием плагинов Token2). Мы будем также рады помочь с интеграцией с любыми другими системами.
TOTPRadius можно использовать и без функции cамостоятельной регистрации, если она вам не нужна (или невозможна)
Преимущества TOTPRadius будут и в этом случае, а именно:
— поддержка как аппаратных, так и софт-токенов TOTP
— возможность автоопределения и корректирования дрифта (смещения времени) аппаратных токенов
— импорт и экспорт списков пользователей в формате CSV
— подробные журналы попыток аутентификации
— поддержка как аппаратных, так и софт-токенов TOTP
— возможность автоопределения и корректирования дрифта (смещения времени) аппаратных токенов
— импорт и экспорт списков пользователей в формате CSV
— подробные журналы попыток аутентификации
Спасибо за внимание!