Palo Alto VPN的MFA

使用ADSelfService Plus安全VPN登录

开始免费试用

Palo Alto VPN MFA

VPN对于实现远程工作至关重要,允许员工从组织网络之外安全地访问公司资源。Palo Alto Networks是网络安全解决方案的领先提供商,包括实现安全远程访问的高级VPN服务。帕洛阿尔托的GlobalProtect VPN被组织广泛用于保护其内部网络。然而,仅仅依赖用户名和密码身份验证会带来重大的安全风险。密码很容易通过网络钓鱼攻击、暴力攻击或仅仅因为薄弱或在多个平台上重复使用而受到损害。为了减轻这些风险,实施MFA已成为保护VPN登录的最佳做法。

MFA通过要求多种形式的验证,大大降低了未经授权访问的可能性。即使攻击者设法获得用户的密码,他们仍然需要额外的因素才能成功登录。ADSelfService Plus提供高级MFA功能,可与VPN基础架构无缝集成。它通过提供强大的MFA措施和灵活的身份验证选项,确保符合NIST SP 800-63B、GDPR、HIPAA和PCI DSS等行业标准,使组织能够选择最适合其需求的方法。

Palo Alto VPN的高级身份验证器

ADSelfService Plus支持多种身份验证方法来保护Palo Alto VPN MFA,包括:

  1. 推送通知认证
  2. 生物识别认证
  3. ADSelfService Plus TOTP认证
  4. 谷歌身份验证器
  1. 微软身份验证器
  2. Yubico OTP(硬件密钥认证)
  3. 短信和电子邮件验证
  4. Zoho OneAuth TOTP

 

使用ADSelfService Plus为Palo Alto VPN启用MFA

ADSelfService Plus与Palo Alto VPN集成,提供强大的MFA功能。管理员可以根据特定条件下的用户角色、部门、域、组织单位和组为Palo Alto VPN用户配置特定的MFA策略。管理员可以灵活地选择用户必须用于 MFA 的身份验证器。这种集成不仅增强了安全性,还确保遵守监管要求。

以下是为Palo Alto VPN登录启用MFA的方法:

先决条件:

  • 确保您拥有启用Endpoint MFA的ADSelfService Plus专业版许可证。
  • 在 ADSelfService Plus 中启用 HTTPS,前往“管理”>“产品设置”>“连接”。
    注意:如果您在ADSelfService Plus for HTTPS中使用不受信任的证书,请在“配置”>“管理工具”>“GINA/Mac/Linux(Ctrl+Alt+Del)”>“GINA/Mac/Linux自定义”>“高级”下存在无效SSL证书时禁用“限制用户访问”选项。
  • 在 ADSelfService Plus 中,NPS 扩展将使用“管理”>“产品设置”>“连接”>“配置访问 URL”下配置的访问 URL,用于与 ADSelfService Plus 服务器通信。在安装 NPS 扩展之前,请确保访问 URL 已更新。
  • 在AD中,设置用户的网络访问权限通过NPS网络策略控制拨号属性中的访问
  • 配置您的帕洛阿尔托VPN网关以使用RADIUS身份验证。
  • RADIUS 服务器必须是启用 NPS 角色的 Windows Server(Windows Server 2008 R2 或更高版本)。
  • 在 Windows NPS 服务器上,将连接请求策略身份验证设置设置为在此服务器上验证请求

配置适用于 MFA 的 ADSelfService Plus:

第1步:启用所需的身份验证器

  1. 以管理员身份登录ADSelfService Plus。
  2. 前往“配置”>“自助服务”>“多因素身份验证”>“身份验证器设置”。
  3. 启用帕洛阿尔托VPN登录所需的身份验证器。
  4. 点按“保存”。

第2步:在ADSelfService Plus中为VPN登录启用MFA

  1. 前往“端点的 MFA”标签。
  2. 从“选择策略”下拉菜单中,选择一个策略,该策略将决定将启用MFA for VPN登录的用户。单击此处了解有关创建OU或基于组的策略的更多信息。
  3. 在“VPN登录的MFA”部分,勾选框,并从下拉菜单中指定VPN登录的身份验证系数数量。从下拉菜单中选择VPN登录MFA的身份验证器
  4. 点按“保存设置”。

第3步:安装NPS扩展

安装 NPS 扩展并重新启动 NPS 窗口服务。

设置已完成。当用户登录Palo Alto VPN使用所选身份验证方法验证其身份时,系统将提示他们进行MFA。

使用ADSelfService Plus的VPN MFA的好处

  • 灵活的身份验证方法:从ADSelfService Plus支持的多种身份验证方法中进行选择,包括一次性密码、生物识别或硬件令牌,根据他们的安全需求和偏好量身定制。
  • 支持有条件访问策略:实施有条件访问策略,允许更细致和适应性更强的安全方法。这些条件包括IP地址、地理位置、设备类型和访问时间。通过分析用户行为、位置和使用的设备等因素,根据访问尝试的风险来定制MFA的级别。
  • 综合报表:通过强大的报表和审计功能,深入了解MFA活动。管理员可以生成报表来跟踪MFA尝试的时间、使用的设备类型、IP地址和使用的特定身份验证器。这使组织能够快速识别并应对潜在的安全事件。
  • 增强的用户体验:将ADSelfService Plus的MFA与Palo Alto VPN集成,提供了流畅、用户友好的身份验证过程,确保从任何位置安全、轻松地访问网络资源。

支持的VPN提供商和非VPN RADIUS端点:

ADSelfService Plus的VPN MFA功能建立在标准RADIUS协议上,确保与各种基于RADIUS的VPN提供商兼容。除了VPN之外,ADSelfService Plus将其MFA功能扩展到非VPN RADIUS端点。以下是ADSelfService Plus支持的VPN提供商和非VPN RADIUS端点:

  • Juniper VPN
  • Fortinet VPN
  • Palo alto VPN
  • Cisco ASA AnyConnect VPN
  • SonicWall VPN
  • Checkpoint VPN
  • Citirx Gateway
  • Microsoft Remote Desktop Gateway
  • VMware Horizon View

通过自适应MFA提升VPN安全性

立即开始免费试用  

ADSelfService Plus还支持

  •  

    适应性MFA

    启用基于上下文的MFA,具有19种不同的身份验证因素,用于端点和应用程序登录。

    了解更多  
  •  

    企业单点登录

    允许用户通过单一的安全身份验证流程访问所有企业应用程序。

    了解更多  
  •  

    远程工作支持

    通过缓存的凭据更新、安全登录和移动密码管理来增强远程工作。

    了解更多  
  •  

    强大的集成

    通过与SIEM、ITSM和IAM工具集成,建立一个高效且安全的IT环境。

    了解更多  
  •  

    企业自助服务

    将个人资料更新和群组订阅委托给最终用户,并通过审批工作流程监控这些自助服务操作。

    了解更多  
  •  

    零信任

    使用先进的身份验证技术创建一个零信任环境,使您的网络不受威胁。

    了解更多  

我们的客户