LastPass Enterprise підтримує RSA SecurID як 2 ого фактора аутентифікації для доступу користувачів до свого облікового запису LastPass Enterprise. Другий фактор аутентифікації може захистити ваше сховище LastPass від replay-атак, атак MITM (людина-в-середині), і безлічі інших варіантів атак.
Після включення, користувачеві буде запропоновано спочатку ввести своє ім'я користувача та майстер-пароль для LastPass, а потім свій пароль від RSA SecurID. Як і для всіх наших варіантів багатофакторної аутентифікації, у користувачів є можливість 'довіряти' деяких пристроїв. Це необхідно, щоб усунути 2 ого пароля - що дає ідеальний баланс між безпекою та зручністю. Якщо Ви віддаєте перевагу відключити цю можливість, це можна зробити за допомогою налаштувань безпеки LastPass.
Налаштування хоста агента
Для полегшення взаємодії між LastPass Enterprise і менеджера аутентифікації RSA / RSA SecurID Appliance, до бази даних менеджера аутентифікації RSA необхідно додати запис про агента. У записі про агента визначається LastPass Enterprise. Крім того, в даному записі міститься інформація про порядок взаємодії і обраному протоколі шифрування. При додаванні агента аутентифікації, встановіть Agent Type в "Standard Agent".
Так як LastPass буде спілкуватися з менеджером аутентифікації RSA за допомогою протоколу RADIUS, в менеджері аутентифікації RSA необхідно створити клієнта RADIUS, відповідного вашої записи про агента, Клієнти RADIUS управляються за допомогою консолі безпеки RSA.
Наступна інформація необхідна для створення клієнта RADIUS:
LastPass Enterprise використовує розподілену архітектуру, яка охоплює безліч однаково налаштованих серверів. В результаті подібної архітектури, адміністратори менеджера аутентифікації RSA повинні будуть налаштувати записи про агентів і / або клієнтів RADIUS для кожного сервера LastPass Enterprise. Є кілька різних методів для досягнення даної мети, для кожного з яких потрібно якусь кількість адміністративних зусиль. Ці методи представлені нижче:
- Налаштувати запис для агента і відповідного клієнта RADIUS для кожного сервера LastPass Enterprise.
- Налаштування запис для для кожного сервера LastPass Enterprise і використовувати загальний клієнт RADIUS.
- Налаштувати загальний клієнт RADIUS, який не використовує записи агентів. (Global change)
Note: Refer to RSA Authentication Manager Administrators Guide for information on configuring shared RADIUS clients.
Налаштування RSA SecurID в консолі адміністратора LastPass
В даному розділі наведено відомості про налаштування LastPass Enterprise разом з аутентифікацією RSA SecurID. Даний документ не пропонує вам оптимальні варіанти установки або настройки.
Передбачається, що читач має досвід роботи з усіма згаданими тут продуктами, і здатний виконувати завдання, викладені в цьому розділі. Адміністратори повинні мати доступ до документації на всі продукти, щоб встановити необхідні компоненти.
Всі компоненти LastPass Enterprise повинні бути встановлені і повинні бути в робочому стані до даної інтеграції. Перед продовженням, проведіть необхідні тести, щоб підтвердити, що це дійсно так.
Налаштування LastPass Enterprise для RSA SecureID аутентифікації
Налаштування кінцевого користувача
Новий ПІН-код, який визначається користувачем:
Новий Пін-код, що генерується системою:
Наступний код токен:
Вимога обов'язкового використання вашими співробітниками RSA за допомогою політик LastPass
За допомогою LastPass Enterprise Ви можете залишити рішення по використанню 2 ого фактора аутентифікації за кінцевими користувачами, або ви можете зробити її використання обов'язкової за допомогою настроюваних політик безпеки. Для доступу до цих умов, натисніть на плагін LastPass, виберіть "Консоль адміністратора" -> Встановити -> Вимоги. Ось деякі політики, можливість реалізації яких слід розглянути для RSA SecurID:
Require use of RSA SecurID (Вимагати використання RSA SecurID)
Вимагати використання RSA SecurID в якості другої стадії процесу аутентифікації при вході в LastPass. Відзначте прапорець 'включено'. щоб включити цю умову. RSA SecurID повинен бути налаштований користувачем.
Require use of any multifactor option (вимагати використання будь-якого варіанту багатофакторної аутентифікації)
Вимагати використання будь-якого варіанту багатофакторної аутентифікації в якості якості другого фактора аутентифікації при вході в LastPass. Відзначте прапорець 'включено'. щоб включити цю умову. YubiKey, LastPass Sesame, Google Authenticator, Toopher, Duo Security, Transakt, Salesforce #, і RSA SecurID є на даний момент можливими варіантами.
Restrict Multifactor Trust (Обмежити довіру до багатофакторної аутентифікації)
Версії продуктів, які перевірялися на спільну роботу
Обов'язкова функціональність RSA SecurID
