Protectimus DSPA
Protectimus DSPA (Dynamic Strong Password Authentication) — це перше рішення для захисту баз даних, яке додає двофакторну автентифікацію для облікових записів безпосередньо в Active Directory та інші каталоги користувачів (LDAP, бази даних).
Що таке Protectimus DSPA?
Регулярна зміна паролів
Компонент Protectimus DSPA для двофакторної автентифікації в Active Directory регулярно змінює паролі користувачів у AD. Інтервал зміни паролів задає адміністратор. Пароль складається з двох частин: статичної (заданої користувачем) і динамічної (одноразового пароля, згенерованого за алгоритмом TOTP). У підсумку паролі виглядають так: P@ssw0rd!459812.
Локальна платформа
Легке адміністрування
На відміну від традиційних рішень MFA, Protectimus DSPA звільняє адміністраторів від необхідності встановлювати додаткове програмне забезпечення на клієнтських машинах і періодично його оновлювати. Після інтеграції компонента Protectimus DSPA з Active Directory, паролі для багатофакторної автентифікації будуть автоматично запитуватися при вході в усі системи, підключені до Active Directory MFA (Winlogon, RDP, OWA тощо).
Які проблеми вирішує Protectimus DSPA?

1. Існуючі рішення MFA захищають лише частину інфраструктури
2. Адміністраторам необхідно встановлювати та підтримувати плагіни 2FA на декількох платформах
Як це працює?
Protectimus інтегрується безпосередньо з Microsoft Active Directory (або будь-яким іншим каталогом користувачів), щоб доповнити статичні паролі користувачів шестизначним одноразовим паролем. Ці шість цифр є одноразовим паролем, згенерованим за допомогою алгоритму TOTP, і змінюються щоразу, коли користувач входить до системи. Тепер паролі користувачів і комп’ютерів Active Directory складаються з двох частин: фіксованої (наприклад, P@ssw0rd!) та одноразового пароля (наприклад, 459812).
Адміністратор встановлює інтервал зміни одноразового пароля, який має бути кратним 30 секундами (наприклад, 30 секунд або більше). Частоту зміни одноразового пароля в Active Directory можна налаштувати індивідуально для кожного користувача. Також можна вибрати, які групи користувачів використовуватимуть динамічну автентифікацію Protectimus DSPA. Компонент Protectimus DSPA регулярно змінює паролі користувачів згідно з розкладом, встановленим адміністратором. У цьому процесі змінюються лише останні шість цифр пароля.
Таким чином, автентифікація користувачів Active Directory виглядає наступним чином: користувачі можуть отримати доступ до своїх облікових записів, ввівши свої фіксовані паролі разом із одноразовим кодом. Для генерації OTP користувачі можуть використовувати iOS чи Android застосунок Protectimus Smart, який є генератором одноразових паролів, чат-боти в Telegram, Viber або Facebook, а також спеціальні апаратні токени для Protectimus DSPA.
OTP токени на вибір
Компонент Protectimus DSPA для захисту баз даних дозволяє адміністраторам задавати будь-який інтервал зміни пароля, кратний 30 секундам. Таку ж функціональність мають токени Protectimus Smart OTP і Protectimus Bot, а також деякі апаратні токени
Protectimus Smart OTP
Безкоштовний MFA застосунок Protectimus Smart OTP для двофакторної автентифікації доступний на iOS та Android. При створенні нового TOTP-токена користувачі можуть встановити бажаний інтервал зміни паролів, кратний 30 секундам. Це дає можливість використовувати програмний токен Protectimus Smart для двофакторної автентифікації в Active Directory, LDAP та інших базах даних із застосуванням Protectimus DSPA.
Апаратні токени
Чат-боти у месенджерах
Локальна платформа або приватна хмара
Перед налаштуванням компонента Protectimus Dynamic Strong Password Authentication клієнт повинен встановити платформу двофакторної автентифікації Protectimus в своїй інфраструктурі або в приватній хмарі.
Локальна платформа MFA
Приватна
хмара
Сервер двофакторної автентифікації Protectimus також може бути розгорнутий у приватній хмарі клієнта. Незалежно від того, де встановлена MFA-платформа — у вашому середовищі чи в приватній хмарі — вона підтримує багатодоменні середовища, функції кластеризації, реплікації та резервного копіювання, а також надає клієнту повний контроль над важливими даними та процесами. Перед встановленням платформи автентифікації Protectimus у приватній хмарі переконайтеся, що ваша хмарна інфраструктура відповідає таким технічним вимогам: 2 Core (СPU), 8 GB (MEM); OS на всіх Instance: Linux; Cloud Disk: 100GB; Load Balancer.
Як налаштувати двофакторну автентифікацію в Active Directory
Двофакторна автентифікація в Active Directory за допомогою Protectimus DSPA: інструкція з налаштування. Ваші користувачі повинні будуть автентифікуватися в Сервісі самообслуговування користувачів Protectimus, використовуючи логін (CN) та OTP (надісланий електронною поштою), щоб випустити токени та створити паролі, ідентичні їхнім паролям в AD.
Завантажити інсталятор платформи
Будь ласка, введіть свій email, щоб продовжити:
Встановіть платформу з компонентом DSPA
Встановіть локальну платформу Protectimus за допомогою інсталятора Windows (завантажити з цієї сторінки) або образу Docker. Компонент Protectimus DSPA буде встановлено автоматично.
Створіть ресурс
На вкладці Ресурси (Resources) виберіть Додати ресурс (Add Resource). Ви потрапите на сторінку додавання ресурсу, де вам потрібно буде вказати лише назву ресурсу (Resource Name) і натиснути кнопку Зберегти (Save), решта параметрів є необов’язковими.
Налаштуйте постачальника та синхронізацію користувачів
В системі Protectimus увійдіть у свій обліковий запис, відкрийте вкладку DSPA і виберіть Add task -> Add LDAP user provider. Заповніть дані про ваш каталог користувачів, додайте атрибути синхронізації, імпортуйте користувачів у систему Protectimus і синхронізуйте їх із каталогом користувачів.
Активуйте компонент Protectimus DSPA
Щоб активувати компонент Protectimus DSPA, перейдіть на вкладку DSPA і натисніть на назву DSPA, а потім активуйте параметр Enabled.
Активуйте портал самообслуговування користувачів
Для роботи Protectimus DSPA потрібні: налаштований постачальник користувачів, синхронізований користувач, встановлений у користувача пароль і призначений токен. Щоб користувачі могли самостійно задавати паролі та створювати токени, скористайтесь Порталом самообслуговування користувачів. На сторінці ресурсу відкрийте вкладку Самообслуговування, активуйте опцію та вкажіть адресу порталу.