GlobalProtect: Authentification unique en deux facteurs basée sur le mot de passe -- Toujours en cours
Resolution
Exiger OTP- une authentification basée en mode Always-On
GlobalProtectLorsqu’il est configuré en mode Aways-On, GlobalProtect l’agent se
GlobalProtect connecte automatiquement dès que l’utilisateur se connecte au point de terminaison. Dans un mode Always-On, GlobalProtect l’agent
se connecte au portail lorsque l’utilisateur sélectionne manuellement les options Connect ou Rediscover Network ou périodiquement à
un intervalle configuré (par défaut 24 heures). À tous les autres moments, comme le sommeil / réveil ou se connecter / connexion,
GlobalProtect l’agent parle à la passerelle seulement.
Étui d’utilisation 1 : OTP Exigez l’authentification GlobalProtect en mode Always-On à l’aide RADIUS
Exiger OTP GlobalProtect l’authentification en mode Always-on est encore plus douloureux pour un enduser.
Enduser serait invité pour chaque OTP fois tente de se connecter, qui est chaque fois qu’il ya un sommeil / réveil ou changement de réseau ou se connecter / GlobalProtect
connexion. GlobalProtectL’utilisation de la fonction De substitution
d’authentification minimise le nombre de fois que l’utilisateur est OTP invité et offre une meilleure expérience utilisateur.
Configuration recommandée pour ce cas d’utilisation :
Option 1:
- Exiger OTP l’authentification pour le portail et la passerelle
- Dans le portail,
- Définir les informations d'identification de l'utilisateur sur "Yes"
- Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
- Réglez la durée de vie du cookie N à ' heures. ' N ' heures est combien de temps l’utilisateur ne sera pas invité pour les informations d’identification à nouveau. Choisissez ' N ' basé sur l’expérience utilisateur que vous souhaitez fournir. Typiquement 24 heures pourrait être une bonne valeur pour la durée de vie des biscuits.
- Considération:
- Dans le cas RADIUS où OTP le / serveur est configuré pour exiger nom d’utilisateur et mot de passe et tout à la fois sans OTP avoir à attendre un défi, puis dans le portail
- Réglez enregistrer les informations d'identification de l'utilisateur sur «enregistrer le nom
- Sous les composants qui nécessitent des mots de passe dynamiques, activer les composants GlobalProtect de qui nécessitent OTP . Par exemple, activez les casettes de découverte automatique portail et externe si les passerelles portail et découverte automatique sont les seuls composants qui nécessitent OTP .
- Dans le cas RADIUS où OTP le / serveur est configuré pour exiger nom d’utilisateur et mot de passe et tout à la fois sans OTP avoir à attendre un défi, puis dans le portail
Portail – Configuration client de l’agent
- Dans la passerelle,
- Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
- Réglez la durée de vie du cookie N à ' heures. Typiquement 24 heures pourrait être une bonne valeur pour la durée de vie des biscuits.
- Assurez-vous d'utiliser le même certificat pour crypter/décrypter les cookies dans le portail et la passerelle.
- Note: L’utilisation d’un certificat dédié pour le chiffrement et le décryptage du cookie d’authentification donne de la flexibilité s’il est jamais nécessaire de révoquer le certificat utilisé pour l’authentification Override.
Configuration de OTP passerelle
Avec cette GlobalProtect configuration et avec le serveur OTP configuré pour exiger de l’utilisateur de fournir nom d’utilisateur / Mot de passe d’abord, puis exiger seulement après avoir été OTP contestée, l’expérience utilisateur final serait:
Option 2:
- Exiger OTP pour le portail et le manuel que les passerelles
- Nécessite des informations d'identification de certificat et Active Directory pour les passerelles de découverte automatique
- Dans le portail,
- Définir les informations d'identification de l'utilisateur sur "Yes"
- Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
- Réglez la durée de vie du cookie N en ' jours. ' N ' jours est combien de temps l’utilisateur ne sera pas invité pour les informations d’identification à nouveau. Choisissez ' N ' basé sur l’expérience utilisateur que vous souhaitez fournir. Typiquement 14 jours pourrait être une bonne valeur pour la durée de vie de cookie.
- Considération:
- Dans le cas RADIUS où OTP le / serveur est configuré pour exiger nom d’utilisateur et mot de passe et tout à la fois sans OTP avoir à attendre un défi, puis dans le portail
- Réglez enregistrer les informations d'identification de l'utilisateur sur «enregistrer le nom
- Sous les composants qui nécessitent des mots de passe dynamiques, activer les composants GlobalProtect de qui nécessitent OTP . Par exemple, activez les casettes de découverte automatique portail et externe si les passerelles portail et découverte automatique sont les seuls composants qui nécessitent OTP .
- Si le certificat client requis pour l’authentification aux passerelles de découverte automatique n’a pas encore été distribué, envisagez d’utiliser SCEP .
- Ce SCEP certificat délivré peut être utilisé comme certificat client pour les passerelles de découverte automatique.
- Fixez la SCEP période de renouvellement du certificat à 10 jours.
- Dans le cas RADIUS où OTP le / serveur est configuré pour exiger nom d’utilisateur et mot de passe et tout à la fois sans OTP avoir à attendre un défi, puis dans le portail
Portail – Configuration client de l’agent
Période de renouvellement des certificats pour SCEP
- Dans les passerelles de découverte automatique,
- Exiger à la fois certificat et AD / LDAP authentification
- Activez la substitution d'authentification et activez le cookie Generate pour la substitution d'authentification et acceptez le cookie pour la substitution d'authentification.
- Réglez la durée de vie du cookie N à ' heures. Typiquement 24 heures pourrait être une bonne valeur pour la durée de vie des biscuits.
- Assurez-vous d'utiliser le même certificat pour crypter/décrypter les cookies dans le portail et la passerelle.
- Dans le manuel, seules les passerelles,
- Exiger OTP l’authentification
- N'activez pas le cookie de génération pour la substitution d'authentification et n'activez pas le cookie Accept pour la substitution d'authentification.
Avec cette GlobalProtect configuration et avec le serveur OTP configuré pour exiger de l’utilisateur de fournir nom d’utilisateur / Mot de passe d’abord, puis exiger seulement après avoir été OTP contestée, l’expérience utilisateur final serait:
Cas d’utilisation 2 : Exiger OTP l’authentification GlobalProtect en mode à la demande à l’aide SAML
SAMLL’utilisation est une autre façon de parvenir à OTP l’authentification basée pour GlobalProtect . Pour plus de
SAML détails sur la prise en GlobalProtect charge et les configurations recommandées, veuillez vérifier ici : GlobalProtect: Un mot de passe basé sur l’authentification à deux facteurs
Alors RADIUS que ou le soutien vous permet SAML GlobalProtect d’atteindre OTP l’authentification GlobalProtect basée au moment de la connexion à , Authentification multifactur ( MFA ) fournit un moyen d’exiger OTP au moment de l’accès à des ressources spécifiques. Plus à ce sujet dans le prochain article.