Cisco Duo Security: Protecție avansată pentru datele companiei în era muncii hibride

Dacă răspunsul este da, atunci poți folosi funcționalitatea de Active Directory Sync (numită și directory synchronization), cu rol de a ține identitățile în sync:

• Copiază utilizatori, grupuri și atribute din AD-ul tău local către Duo Cloud.
• Se asigură corespunderea conturile de utilizator din Duo cu cele din AD → nu este nevoie să creezi manual conturi în Duo.
• Modificările din AD (de ex. angajări noi, schimbări de rol, încetări de contract) sunt reflectate automat în Duo.

Cu sincronizarea AD, Cisco Duo știe ce conturi există și poate aplica MFA (multi-factor authentication) pentru acei utilizatori.

Pentru că face legătura între cloud-ul Duo și sistemele traditionale care nu suportă nativ SAML / OIDC (ex. RADIUS, LDAP, Active Directory, VPN-uri). Nu există motive de îngrijorare privind confidențialitatea, deoarece comunicarea dintre cele două sisteme este criptată.

1. În panoul de administrare Duo Admin, în stânga meniului, click pe Applications > Application Catalog . Click +Add sub titlul aplicației Cisco Firepower Threat Defense VPN (SSO).

2. Localizați secțiunea Service Provider. În câmpul Cisco Firepower Base URL, introduceți vpn.dcloud.local (URL-ul pentru capătul existent al Firewall Threat Defense VPN). În câmpul Connection Profile Name, introduceți TG-RAVPN (grupul de tunel existent pentru VPN pe Firewall Threat Defense).

3. Autentificați-vă în Secure Firewall Management Center (FMC) folosind contul de administrator. În Firewall Management Center, faceți click pe Devices > Certificates.

4. Creați o relație de încredere între Service Provider (Secure Firepower Management Center) și IdP Duo Cloud prin adăugarea Certificate Enrollment ca IdP CA.

5. Din secțiunea Objects -> Single Sign-on Server -> Add Single Sign-on Server.

Adaugă parametrii oferiți de DUO cloud pentru a te putea conecta cu succes prin intermediul cheilor API.

6. Din secțiunea Devices -> Remote Access -> Advanced selectează Default-External-Browser Package.

7. Editează profilul de conexiune TG-RAVPN  pentru a schimba cu noua metodă de autentificare SAML, dar și serverul de autentificare Duo_SSO.

În peisajul digital de astăzi, organizațiile caută în mod constant modalități de a îmbunătăți securitatea, simplificând în același timp experiența utilizatorilor. O decizie cheie în această direcție este modul în care utilizatorii se înscriu în serviciile de autentificare — fie prin solicitarea unei parole, fie prin adoptarea unei abordări fără parolă.

Înscrierea cu parolă rămâne o metodă tradițională, oferind un nivel familiar de securitate. Totuși, metoda fără parolă câștigă din ce în ce mai mult teren, deoarece reduce fricțiunile și îmbunătățește confortul utilizatorilor, eliminând nevoia de a gestiona parole.

O experiență completă fără parolă utilizează metode robuste de autentificare pentru a asigura accesul securizat fără parola tradițională. Această abordare nu doar că întărește securitatea prin reducerea suprafeței de atac a organizației, dar și simplifică experiența utilizatorului, eliminând barierele de acces.

Opțiunile flexibile de înscriere oferite de Duo, atât pentru autentificarea primară, cât și pentru cea secundară, permit organizațiilor să își adapteze strategiile de management al identității, echilibrând cerințele de securitate cu o autentificare prietenoasă pentru utilizatori.

1. Din meniul Policies -> User Enrollment and Account Management ->  selectează Add Policy.

2. Aplică politica de grup a utilizatorului.

3. Politica personalizată este aplicată grupului Contractori.

1. Creează un utilizator manual.

2. Urmărește link-ul de înrolare și generează un cod.

3. Folosește o cheie fizică de securitate pentru verificarea identității

4. Generează un passkey stocat pe cheia fizică de securitate.

5. Adaugă un PIN și ai terminat!

6. Verifică înrolarea pentru user-ul de tip contractor la distanță.

7. Deschide aplicația Cisco Secure Client și urmează procesul normal de logare vpn:

8. Vei întâmpina o redirecționare către pagina de logare al Duo IdP:

9. Autentifică utilizatorul folosind cheia fizică de securitate.

10. Utilizatorul este autentificat cu succes.

1. Urmează link-ul de înrolare și genereză codul pentru utilizatorul deja sincronizat în AD și anume bob.

2. Adaugă codul de înrolare pentru contractorul din câmpul de e-mail:

3. Adaugă parola ca prim factor în procesul de autentificare.

4. Adaugă al doilea factor cu Duo Mobile printr-un cod de verificare.

5. Scanează codul QR pentru înrolarea prin intermediul aplicației Duo Mobile.

6.  Setup-ul este gata!

7. Verifică autentificarea pentru utilizatorul contractor on-site „bob”. Conectează-te la VPN prin Cisco Secure Client. Duo IdP o sa îți solicite introducerea numelui de utilizator pentru a putea începe procesul de autentificare.

8. Primul factor de autentificare oferit.

9. Introdu codul în Duo Mobile.

10. Logare cu success!