Решение на базе SAS поддерживает аутентификацию не только по одноразовым паролям и пуш-уведомлениям, но и по паролю LDAP. В этом случае сервер аутентификации (или агент RADIUS) отправляет введенные пользователем учетные данные на сервер LDAP. Аутентификацию по паролю LDAP можно использовать, если токен для одноразовых паролей утерян или приостановлен, а также в правилах так называемой предварительной аутентификации, то есть условиях, при соблюдении которых будет разрешена аутентификация по одноразовым паролям или пуш-уведомлениям.

Предварительную аутентификацию можно использовать для реализации двухфакторной или двухэтапной аутентификации, где одним из факторов будет пароль LDAP. Другой сценарий использования этой функции – реализация адаптивной аутентификации пользователей, при которой цепочка (последовательность шагов) аутентификации будет зависеть от выполнения условий. Например:

♦ для подключения к корпоративной сети через VPN пользователи должны вводить пароль LDAP и одноразовый пароль SAS, но если модуль активации токенов расположен внутри периметра, то пользователь не сможет подключиться к сети, пока не активирует свой первый токен изнутри периметра, поэтому можно создать правило, которое бы позволило пользователям без токенов подключаться через VPN только по паролю LDAP;

♦ для доступа к порталу самообслуживания из-за пределов корпоративного периметра пользователи должны вводить пароль LDAP и одноразовый пароль SAS, а при доступе изнутри достаточно пароля LDAP, поэтому можно создать правило, которое бы позволило пользователям портала самообслуживания подключаться изнутри периметра только по паролю LDAP;

♦ для доступа к консоли администрирования снаружи администраторы должны при входе вводить пароль LDAP и одноразовый пароль SAS, а при доступе изнутри достаточно проверить пароль LDAP, поэтому можно создать правило, которое бы позволило администраторам решения подключаться из корпоративной сети только по паролю LDAP.

Вернуться к Оглавлению.