FortiAuthenticator

FortiAuthenticator
TM
Gestione delle identità degli utenti e Single
Sign-On
L’appliance FortiAuthenticator per la gestione delle identità degli utenti potenzia la
sicurezza enterprise semplificando e centralizzando la gestione e la memorizzazione
delle informazioni delle identità degli utenti.
Criteri di identificazione delle reti aziendali
L’accesso alla rete e a Internet rappresenta il fattore chiave per quasi tutti i ruoli
aziendali; tuttavia, questo requisito deve essere valutato insieme ai rischi che esso
comporta. L’obiettivo fondamentale di ogni impresa consiste nel fornire un accesso alla
rete sicuro ma controllato, consentendo alla persona appropriata il corretto accesso nel
momento opportuno, senza compromettere la sicurezza.
Il Single Sign-On di Fortinet è il metodo che fornisce un accesso sicuro sulla
base di identità e ruolo alla rete Fortinet connessa. Tramite l’integrazione con i
sistemi di autenticazione Active Directory o LDAP, consente di basare la sicurezza
sull’identificazione degli utenti aziendali senza ostacoli per gli utenti stessi o lavoro
supplementare per gli amministratori delle reti. FortiAuthenticator si basa su Fortinet
Single Sign-On, accrescendo il numero dei metodi di identificazione degli utenti e
consentendo una maggiore scalabilità. FortiAuthenticator controlla le autorizzazioni nelle
reti aziendali protette da Fortinet identificando gli utenti, richiedendo le autorizzazioni
di accesso ai sistemi di terze parti e comunicando queste informazioni ai dispositivi
FortiGate che le utilizzano nei criteri di identificazione.
FortiAuthenticator offre un’identificazione trasparente tramite svariati metodi:
• Polling di Active Directory Domain Controller;
• Integrazione con FortiAuthenticator Single Sign-On Mobility Agent che rileva
accesso, cambi di indirizzi IP e chiusura della sessione;
• Autenticazione basata sul Portale FSSO con widget di rilevamento per ridurre la
necessità di ripetere l’autenticazione;
• Monitoraggio dei record di Start di Accounting RADIUS.
Caratteristiche FSSO di
FortiAuthenticator
• Consente l’utilizzo di criteri di sicurezza
basati su identità e ruolo nelle reti
aziendali protette da Fortinet senza
dover rieffettuare l’autenticazione
tramite l’integrazione con i servizi Active
Directory
• Potenzia la sicurezza aziendale
semplificando e centralizzando la
gestione delle informazioni delle identità
degli utenti
Ulteriori caratteristiche di
FortiAuthenticator
• Autenticazione a due fattori / OTP sicura
con supporto completo per FortiToken
• Autenticazione RADIUS e LDAP
• Gestione certificata per l’impiego di VPN
aziendali
• Supporto IEEE802.1X per la sicurezza di
reti cablate e wireless
Principali caratteristiche e vantaggi
Identificazione trasparente FSSO degli utenti
Nessun impatto per gli utenti aziendali.
Integrazione con LDAP e AD per i membri dei
gruppi
Utilizza i sistemi esistenti per le informazioni di autorizzazione sulla rete, riducendo i tempi di impiego e
velocizzando i processi di gestione. Integrazione con le esistenti procedure di gestione degli utenti.
Vari metodi di identificazione degli utenti
Metodi flessibili di identificazione degli utenti per l’integrazione con la maggior parte dei diversi
ambienti aziendali.
Utilizzo della sicurezza basata su identità e
ruolo
Consente all’amministratore della sicurezza di fornire agli utenti l’accesso alle relative risorse di rete
e di applicazione previste dal loro ruolo, continuando a mantenerne il controllo e riducendo al minimo
i rischi.
FortiCare
FortiGuard
Worldwide 24x7 Support
Threat Research & Response
support.fortinet.com
www.fortiguard.com
www.fortinet.com
HIGHLIGHTS
Metodi di identificazione
degli utenti FortiAuthenticator
Single Sign-On
FortiAuthenticator può identificare
gli utenti tramite svariati metodi e
integrarsi con sistemi LDAP o Active
Directory di terze parti, per richiedere
agli utenti i dati del gruppo o del ruolo
e per comunicare con i dispositivi
FortiGate che le utilizzano nei criteri
di identificazione. FortiAuthenticator
è assolutamente flessibile e può
utilizzare tali metodi in una qualsiasi
combinazione. In una grande impresa,
ad esempio, si può scegliere il polling
AD o il FortiAuthenticator SSO Mobility
Agent come metodo primario per
l’autenticazione trasparente e utilizzare il
portale per sistemi non di dominio o per
utenti ospiti.
Record di
Accounting
RADIUS
Polling
di Active
Directory
Portale di
accesso e
widget
Dati del gruppo
da LDAP/AD
esterni
Database di gestione delle identità degli utenti
Polling di Active Directory
L’autenticazione degli utenti nell’Active Directory viene rilevata tramite
l’interrogazione ciclica (polling) dei controller di dominio. Quando si rileva
l’accesso di un utente, i dati relativi a nome utente, IP e gruppo vengono inseriti
nel Database di gestione delle identità degli utenti di FortiAuthenticator e, in base
ai criteri locali, possono essere condivisi con più dispositivi FortiGate.
Agente di mobilità FortiAuthenticator SSO
Per le architetture di dominio distribuite complesse in cui il polling dei controller di
dominio non è realizzabile o desiderato, un’alternativa è rappresentata dal client
FortiAuthenticator SSO. Distribuito come parte di FortiClient o come installazione
stand-alone per PC Windows, il client comunica gli eventi di accesso, cambi
di stack IP (da cablato a wireless, roaming delle reti wireless) e chiusura della
sessione a FortiAuthenticator, eliminando la necessità dei metodi di polling.
Portale FortiAuthenticator e widget
Per i sistemi che non supportano il polling AD o in cui un client non è realizzabile,
FortiAuthenticator fornisce un portale di autenticazione esplicita. In questo
modo gli utenti possono eseguire in modo manuale l’autenticazione su
FortiAuthenticator e, successivamente, nella rete. Per minimizzare l’impatto degli
accessi ripetuti necessari per l’autenticazione manuale, è disponibile una serie
di widget, da integrare nella rete intranet dell’organizzazione, che registrano
automaticamente gli utenti in seguito all’uso dei cookie del browser ad ogni
accesso alla pagina iniziale dell’intranet.
2
HIGHLIGHTS
Accesso con Accounting RADIUS
In una rete che utilizza l’autenticazione RADIUS (ad es., autenticazione wireless o
VPN), è possibile utilizzare l’Accounting RADIUS come metodo di identificazione
degli utenti. Queste informazioni sono utilizzate per attivare la registrazione
dell’utente e per fornire i dati su IP e gruppo, eliminando la necessità di un
secondo livello di autenticazione.
Funzionalità aggiuntive
Efficiente identificazione degli utenti con l’autenticazione
a due fattori
FortiAuthenticator estende la capacità di autenticazione a due
fattori a più dispositivi FortiGate e a soluzioni di terze parti che
supportano l’autenticazione RADIUS o LDAP. Le informazioni
sull’identità dell’utente di FortiAuthenticator combinate con le
informazioni di autenticazione di FortiToken garantiscono che
l’accesso alle informazioni sensibili dell’organizzazione venga
concessa solo alle persone autorizzate. Questo ulteriore livello
di sicurezza riduce fortemente la possibilità di perdita dei dati e
aiuta le aziende a soddisfare i requisiti di controllo previste dalle
norme governative e aziendali sulla privacy. FortiAuthenticator
supporta la più vasta gamma di token che possono adattarsi
ai requisiti degli utenti. Con FortiToken-200, FortiToken Mobile
(per iOS e Android) basati sul tempo effettivo e token e-mail
ed SMS, FortiAuthenticator dispone di opzioni token per tutti
gli utenti e scenari. È possibile utilizzare l’autenticazione a due
fattori per controllare l’accesso ad applicazioni come gestione
FortiGate, VPN SSL e IPSEC, accesso a Wireless Captive
Portal e dispositivi di rete conformi RADIUS di terze parti.
VPN aziendali basate su certificati
Spesso le VPN site-to-site offrono l’accesso diretto al
cuore della rete aziendale da molte postazioni remote. La
sicurezza di tali VPN è spesso affidata a una chiave segreta
condivisa che, se compromessa, potrebbe fornire l’accesso
all’intera rete. FortiOS supporta le VPN basate su certificati;
tuttavia, l’uso di VPN protette da certificati è stato limitato,
principalmente a causa del sovraccarico e della complessità
introdotti dalla gestione dei certificati. FortiAuthenticator
elimina tale sovraccarico ottimizzando l’impiego massiccio
dei certificati per l’uso della VPN in un ambiente FortiGate
cooperando con FortiManager per la configurazione e
automatizzando la consegna sicura dei certificati tramite il
protocollo SCEP.
Per le VPN certificate basate su client, i certificati possono
essere creati e memorizzati sul token USB per i certificati
FortiToken300. Tale memoria di certificati sicura e protetta con
un PIN è compatibile con FortiClient e può essere utilizzata
insieme a FortiAuthenticator per aumentare la sicurezza delle
connessioni delle VPN client.
Per velocizzare la gestione locale degli utenti, FortiAuthenticator
prevede le funzioni di auto-registrazione e di recupero della
password da parte dell’utente.
Ulteriori caratteristiche e vantaggi
Autenticazione degli utenti RADIUS e LDAP
Il database di autenticazione locale con interfacce RADIUS e LDAP centralizza la gestione degli utenti.
Vari efficienti metodi di identificazione
L’efficiente autenticazione fornita da FortiAuthenticator tramite token hardware, e-mail, SMS, certificati
e-mail e digitali accresce la sicurezza delle password e attenua i rischi che esse vengano scoperte,
riprodotte o forzate.
Auto-registrazione e recupero della
password da parte dell’utente
Riduce la necessità di interventi dell’amministratore consentendo agli utenti di eseguire da sé la
registrazione e di risolvere i problemi relativi alla propria password, cosa che accresce anche la
soddisfazione degli utenti.
Integrazione con Active Directory e LDAP
L’integrazione con la directory esistente semplifica l’impiego, accelera i tempi di installazione e
consente di riutilizzare lo sviluppo esistente.
Gestione dei certificati
L’efficiente gestione dei certificati permette l’impiego rapido, economico ed efficace dei metodi di
autenticazione basati sui certificati, come le VPN.
Autenticazione 802.1X
Fornisce il controllo sull’accesso alle porte aziendali per validare le connessioni degli utenti alla LAN e
alla LAN wireless per impedire accessi non autorizzati alla rete.
3
SPECIFICHE
FORTIAUTHENTICATOR-200D
FORTIAUTHENTICATOR-400C
FORTIAUTHENTICATOR-1000D
FORTIAUTHENTICATOR-3000D
10/100/1000 Interfaces (Copper, RJ-45)
4
4
4
4
SFP Interfaces
0
0
2
2
Local Storage
1x 1 TB Hard Disk Drive
1x 1 TB Hard Disk Drive
2x 2 TB Hard Disk Drive
2x 2 TB Hard Disk Drive
Power Supply
Single 480W Auto Ranging
(100V–240V)
Single 480W Auto Ranging
(100V–240V)
Dual 480W Auto Ranging
(100V–240V)
Dual 480W Auto Ranging
(100V–240V)
Total Users (Local + Remote)
500
2,000
10,000
40,000
FortiTokens
500
2,000
10,000
40,000
RADIUS Clients (NAS Devices)
50
200
1,000
4,000
User Groups
25
50
2,000
4,000
CA Certificates
10
10
50
50
User Certificates
2,500
10,000
50,000
200,000
Hardware
System Performance
Dimensions
Height x Width x Length (in)
1.8 x 17.1 x 13.9 in
1.7 x 17.1 x 14.3 in
3.5 x 17.2 x 14.5 in
3.5 x 17.5 x 27.5 in
Height x Width x Length (mm)
45 x 433 x 352 mm
44 x 435 x 364 mm
90 x 438 x 368 mm
89 x 445 x 698 mm
Weight
23 lbs (10.43 kg)
23 lbs (10.43 kg)
30.6 lbs (13.9 kg)
55.3 lbs (25.1 kg)
Form Factor
Rack Mountable (1RU)
Rack Mountable (1RU)
Rack Mountable (2 RU)
Rack Mountable (2 RU)
Power Source
100–240V AC, 50–60 Hz
100–240V AC, 50–60 Hz
100–240V AC, 50–60 Hz
100–240V AC, 50–60 Hz
Current (Max)
2.00A /110V, 1A /220V
4A /110V, 2A /220V
5A /110V, 3A /220V
10A /110V, 5A /220V
Power Consumption (AVG)
60 W
100 W
133 W
317 W
Heat Dissipation
205 BTU/h
411 BTU/h
546 BTU/h
1082 BTU/h
Operating Temperature
32–104°F (0–40°C)
32–104°F (0–40°C)
32–104°F (0–40°C)
50–95°F (10–35°C)
Storage Temperature
-13–158ºF (-25–70ºC)
-13–158ºF (-25–70ºC)
-40–149°F (-40–65°C)
-40–149°F (-40–65°C)
Humidity
10–90% non-condensing
10–90% non-condensing
5–95% non-condensing
20–80% non-condensing
Environment
System
Standards Supported
10/100/1000 Base-TX (GbE), 1000, IP, Telnet, HTTP 1.0/1.1, SSL, RS232, NTP Client (RFC1305), RADIUS (RFC2865), LDAP (RFC4510), x.509 (RFC5280),
Certificate Revocation (RFC3280), PKCS#12 Certificate Import, PKCS#10 CSR Import (RFC2986), Online Certificate Status Protocol (RFC 2560), EAP-TLS (RFC2716),
Simple Certificate Enrollment Protocol (SCEP)
Management
CLI, Direct Console DB9 CLI, HTTPS
Compliance
Safety
VIRTUAL APPLIANCES
FCC Part 15 Class A, C-Tick, VCCI,
CE, UL/cUL, CB
FCC Part 15 Class A, C-Tick, VCCI,
CE, UL/cUL, CB
FCC Part 15 Class A, C-Tick, VCCI,
CE, BSMI, KC, UL/cUL, CB, GOST
FCC Part 15 Class A, C-Tick, VCCI,
CE, BSMI, KC, UL/cUL, CB, GOST
FAC-VM BASE
FAC-VM-100-UG
FAC-VM-1000-UG
FAC-VM-10000-UG
FAC-VM-100000-UG
Local Users
100
+100
+1000
+10000
+100000
Remote Users
100
+100
+1000
+10000
+100000
FortiTokens
200
+200
+2000
+20000
+200000
NAS Devices
10
+10
+100
+1000
+10000
User Groups
10
+10
+100
+1000
+10000
CA Certificates
5
+5
+50
+500
+500
User Certificates
100
+100
+1000
+10000
+100000
Capacity
Virtual Machine
Hypervisors Supported
VMware ESXi / ESX 3.5 / 4.0 / 4.1 / 5.0
Virtual Machine Form Factor
Open Virtualization Format (OVF)
Max Virtual CPUs Supported
Unlimited
Virtual NICs Required (Min/Max)
1/4
Virtual Machine Storage Required
60 GB / 2 TB
Virtual Machine Memory Required (Min/Max)
512 MB / 4,096 MB
High Availability Support
Yes
FortiAuthenticator-200D
FortiAuthenticator-400C
FortiAuthenticator-1000D
FortiAuthenticator-3000D
4
Dispositivo virtuale FortiAuthenticator
INFORMAZIONI PER GLI ORDINI
SKU
Descrizione
FAC-200D
FortiAuthenticator-200D, 4 porte 10/100/1000, 1 HDD da 1 TB
FAC-400C
FortiAuthenticator-400D, 4 porte 10/100/1000, 1 HDD da 1 TB
FAC-1000D-E07S
FortiAuthenticator-1000D, 4 porte 10/100/1000, 2 interfacce SFP, 2 HDD da 2 TB
FAC-3000D
FortiAuthenticator-3000D, 4 porte 10/100/1000, 2 interfacce SFP, 2 HDD da 2 TB
FAC-VM-Base
FortiAuthenticator-VM di base con licenza per 100 utenti. vCPU illimitata
FAC-VM-100-UG
FortiAuthenticator-VM con aggiornamento licenza per 100 utenti
FAC-VM-1000-UG
FortiAuthenticator-VM con aggiornamento licenza per 1000 utenti
FAC-VM-10000-UG
FortiAuthenticator-VM con aggiornamento licenza per 10.000 utenti
FAC-VM-100000-UG
FortiAuthenticator-VM con aggiornamento licenza per 100.000 utenti
FC1-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1–500 utenti)
FC2-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1-1100 utenti)
FC3-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1-5100 utenti)
FC4-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1-10100 utenti)
FC5-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1-50100 utenti)
FC6-10-0ACVM-248-02-12
Contratto FortiCare per 1 anno, 24x7 (1-100100 utenti)
GLOBAL HEADQUARTERS
EMEA SALES OFFICE
APAC SALES OFFICE
LATIN AMERICA SALES OFFICE
Fortinet Inc.
1090 Kifer Road
Sunnyvale, CA 94086
United States
Tel: +1.408.235.7700
Fax: +1.408.235.7737
120 rue Albert Caquot
06560, Sophia Antipolis,
France
Tel: +33.4.8987.0510
Fax: +33.4.8987.0501
300 Beach Road #20-01
The Concourse
Singapore 199555
Tel: +65.6513.3730
Fax: +65.6223.6784
Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregón
México D.F.
Tel: 011-52-(55) 5524-8480
Copyright © 2013 Fortinet, Inc. Tutti i diritti riservati. Fortinet®, FortiGate® e FortiGuard® sono marchi registrati di Fortinet, Inc. Altri nomi Fortinet qui citati potrebbero essere anch’essi marchi registrati di Fortinet.
Tutti gli altri nomi di prodotti o società potrebbero essere marchi registrati dei rispettivi proprietari. I dati riportati relativi alle prestazioni sono stai ottenuti con prove di laboratorio in condizioni ideali e, pertanto,
possono essere soggetti a variazioni. Elementi variabili della rete, diversi ambienti di rete e altre condizioni possono influenzare i risultati delle prestazioni. Nulla di quanto qui contenuto rappresenta un impegno
vincolante per Fortinet che esclude tutte le garanzie, esplicite o implicite, eccetto quelle previste da un contratto scritto, firmato da un rappresentante legale di Fortinet, che garantisca esplicitamente all’acquirente
che le prestazioni del prodotto indicato siano conformi ai dati qui riportati. Per chiarezza, qualsiasi garanzia è limitata alle prestazioni ottenute nelle stesse condizioni ideali delle prove di laboratorio di Fortinet.
Fortinet esclude in toto qualsiasi garanzia. Fortinet si riserva il diritto di cambiare, modificare, trasferire o comunque revisionare questa pubblicazione senza alcun preavviso. La versione applicabile della presente
pubblicazione è quella più recente. Alcuni prodotti Fortinet sono concessi in licenza in base al brevetto U.S.A. N. 5,623,600.
FST-PROD-DS-FAUIM
FAC-DAT-R7-201312