Duo Single Sign-On (SSO) спрощує безпечний доступ, дозволяючи користувачам входити в кілька додатків з одним набором облікових даних — при цьому забезпечуючи багатофакторну автентифікацію (MFA). Ця хмарна платформа підтримує SAML 2.0 та OpenID Connect (OIDC), легко інтегрується з Active Directory та іншими постачальниками SAML-ідентичностей і зменшує втому від паролів серед працівників.
Незалежно від того, керуєте ви малим бізнесом чи великою корпорацією, Duo SSO покращує контроль доступу, сприяє дотриманню вимог та є ключовим кроком до середовища без паролів. Цей посібник охоплює все — від базового налаштування до розширених конфігурацій, щоб ви могли швидко почати й масштабувати з упевненістю.
У компанії Hideez ми спеціалізуємось на рішеннях автентифікації без паролів, створених для сучасних підприємств. Наша платформа пропонує захищену від фішингу MFA, можливості SSO та безперебійну інтеграцію з інструментами на кшталт Duo, Active Directory та основними IdP. Малі та середні підприємства можуть розпочати з безкоштовного 30-денного пробного періоду для відповідності вимогам безпеки й доступу без паролів.
Розуміння Duo SSO: Функціональні можливості, переваги та принцип роботи
Duo Single Sign-On (SSO) — це хостований у хмарі постачальник ідентифікації, що підтримує протоколи SAML 2.0 та OpenID Connect (OIDC). Він додає сильну двофакторну автентифікацію (2FA) та детальну політику доступу до хмарних і локальних додатків — забезпечуючи безпечний вхід для користувачів на всіх платформах.
Подумайте про Duo SSO як про безпечний шар автентифікації. Користувачі входять один раз за допомогою наявних облікових даних (наприклад, Microsoft Active Directory або Google Workspace), проходять 2FA та отримують доступ до всіх дозволених додатків — без необхідності постійного введення паролів.
За лаштунками Duo виступає як постачальник ідентифікації. Коли користувач намагається відкрити захищений додаток, його перенаправляють до Duo SSO, де він входить та підтверджує свою особу. Duo надає доступ, перевіряючи відповідність у вашому внутрішньому каталозі.
Переваги виходять за межі зручності:
Менше паролів — нижчий ризик фішингу та атак з використанням вкрадених облікових даних.
Спрощене додавання/вилучення користувачів зменшує навантаження на ІТ та підвищує продуктивність.
Стабільний доступ у гібридному середовищі підтримує як хмарні, так і застарілі системи.
Duo SSO також відповідає критичним вимогам щодо відповідності. Платформа підтримує стандарти HIPAA, PCI DSS та FERPA, що робить її ідеальною для регульованих галузей.
У сфері освіти K–12 Duo SSO допомагає зменшити витрати на кібербезпеку, залишаючи доступ простим для персоналу та учнів.
У фінансовій сфері платформа перевіряє особи користувачів і пристрої перед наданням доступу до конфіденційних даних.
У медицині вона захищає платформи EHR та інструменти для електронних рецептів без ускладнень при вході.
Налаштування джерел автентифікації: Active Directory проти інтеграції SAML
Duo Single Sign-On підтримує два основні типи джерел автентифікації: локальні Active Directory та ідентифікаційні постачальники SAML. Правильний вибір залежить від вашої існуючої інфраструктури та цілей організації.
Для компаній, які використовують системи на базі Windows, інтеграція з Active Directory працює безперешкодно. Вона під’єднує розгортання Duo SSO до локального каталогу через Authentication Proxy. Цей проксі виступає як безпечний міст між контролерами домену та хмарною платформою Duo. Для забезпечення високої доступності рекомендується розгортати три сервери Authentication Proxy. Під час входу запити автентифікації розподіляються випадковим чином серед доступних проксі, покращуючи надійність і продуктивність.
З іншого боку, якщо ваша організація використовує хмарних постачальників ідентифікації, інтеграція через SAML є кращим варіантом. У цьому випадку Duo налаштовується як постачальник послуг у вашій існуючій платформі ідентифікації. Поширені варіанти включають Microsoft Entra ID, Google Workspace та інші корпоративні рішення на основі SAML. Такий підхід усуває потребу в локальній інфраструктурі, додаючи функції безпеки Duo до вашої хмарної ідентичності.
Плануючи налаштування, врахуйте, що Duo SSO підтримує до 10 окремих джерел автентифікації Active Directory в одному розгортанні. Це робить його ідеальним для складних середовищ з кількома доменами чи лісами. Проте Duo не дозволяє змішувати джерела Active Directory та SAML у одному розгортанні. Ви повинні обрати один тип, хоча можна налаштувати кілька джерел одного типу.
Покроковий посібник з налаштування Duo Single Sign-On
Почніть налаштування Duo SSO, увійшовши до Панелі адміністратора Duo та перейшовши до Applications → SSO Settings. Якщо ви вперше налаштовуєте SSO, вам потрібно буде переглянути та прийняти політику конфіденційності Duo перед продовженням. Майстер початкового налаштування проведе вас через вибір типу джерела автентифікації та налаштування базових параметрів.
Якщо ви інтегруєте Active Directory, почніть з встановлення Duo Authentication Proxy на окремий сервер, що має з’єднання з домен-контролерами та інтернетом. Переконайтесь, що ви завантажили версію 5.5.1 або новішу. У Windows-системах є опція встановлення утиліти Proxy Manager для спрощення керування конфігурацією. У Linux-системах установка потребує інструментів компіляції.
Після встановлення налаштуйте з'єднання з Active Directory, вказавши IP-адреси або імена хостів ваших контролерів домену. Потрібно вибрати правильний порт LDAP — 389 для стандартного або 636 для захищеного LDAPS — та визначити базовий відмінний DN для пошуку користувачів. Метод автентифікації залежить від середовища: інтегрована автентифікація добре працює для серверів з підключенням до домену, тоді як NTLMv2 або Plain автентифікація вимагає введення облікових даних сервісного облікового запису безпосередньо у файл конфігурації проксі.
Для інтеграції SAML-провайдера, налаштуйте Duo як постачальника послуг у вашій наявній системі IdP. Це включає завантаження метаданих Duo, таких як Entity ID, URL служби споживання тверджень (ACS) та налаштування відображення атрибутів. Необхідно переконатися, що під час автентифікації передаються правильні атрибути: Email, Username, FirstName, LastName та DisplayName. Більшість провайдерів SAML вимагають певних конфігурацій заяв, тому правильне відображення атрибутів є ключем до успішного SSO.
Управління додатками та доступом користувачів за допомогою Duo SSO
Захист додатків за допомогою Duo SSO починається в Панелі адміністратора зі створення захищених додатків з Каталогу додатків. Duo пропонує попередньо налаштовані конектори для популярних платформ, таких як Amazon Web Services, Salesforce та Workday. Для кастомних інтеграцій доступні загальні конектори SAML 2.0 та OpenID Connect. Кожен захищений додаток генерує унікальні метадані, включаючи Entity ID, URL єдиного входу та сертифікати SAML, необхідні для налаштування постачальника послуг.
Контроль доступу керується через систему дозволів на основі груп Duo. Адміністратори можуть призначати доступ на рівні окремих груп або для всієї організації. За замовчуванням нові додатки заблоковані без надання доступу користувачам. Така модель безпеки гарантує, що додатки залишаються приватними, доки доступ не буде явно налаштований, знижуючи ризик несанкціонованого доступу.
Кінцеві користувачі отримують доступ до своїх додатків через Duo Central — веб-панель, яка виконує роль централізованого запуску додатків. З цього інтерфейсу користувачі можуть запускати дозволені додатки в один клік, керувати автентифікаційними пристроями та оновлювати особисті профілі. Duo Central також підтримує брендування організацій, що дозволяє додавати власні логотипи, колірні схеми та повідомлення для забезпечення цілісного користувацького досвіду.
Для розширеного контролю Duo дозволяє налаштовувати політики для конкретних додатків. Ці політики виходять за межі глобальних налаштувань і надають детальне керування доступом залежно від контексту. Наприклад, можна вимагати двофакторну автентифікацію при кожному вході до фінансового додатку, водночас дозволяючи довший сеанс входу для внутрішніх інструментів продуктивності. Такі рішення враховують, хто є користувачем, який пристрій використовується та в якому мережевому середовищі — забезпечуючи адаптивне, орієнтоване на ризики керування доступом.
Розширене налаштування: правила маршрутизації, користувацькі домени та bridge-атрибути
Правила маршрутизації в Duo SSO дозволяють організаціям розумно спрямовувати запити на автентифікацію, коли налаштовано кілька джерел ідентичності. Незалежно від того, чи використовуєте ви кілька доменів Active Directory або різні постачальники SAML-ідентифікацій, ці правила оцінюють такі змінні, як домен електронної пошти, тип додатку та мережеве розташування, щоб визначити джерело автентифікації. Ця функція особливо цінна під час злиттів, поглинань або в складних корпоративних середовищах, де різні групи користувачів потребують різних сценаріїв автентифікації.
Щоб створити більш цілісний досвід, Duo також підтримує налаштування користувацького піддомену. Замість перенаправлення користувачів на загальну сторінку входу Duo, ви можете налаштувати брендований URL, як-от "company.login.duosecurity.com". Це підсилює корпоративну ідентичність та викликає довіру під час входу. Варто зазначити, що користувацькі піддомени доступні лише в платних планах — тестові акаунти не мають доступу до цієї функції.
Bridge-атрибути додатково розширюють гнучкість, стандартизуючи дані ідентичності користувачів між джерелом автентифікації та захищеними додатками. Duo автоматично зіставляє загальні атрибути, такі як Ім’я користувача, Адреса електронної пошти, Відображуване ім’я, Ім’я та Прізвище з Active Directory та SAML-джерел. Якщо ваше середовище використовує різні нотації між провайдерами, користувацькі bridge-атрибути дозволяють нормалізувати ці розбіжності.
Наприклад, якщо один SAML-провайдер використовує “company”, а інший — “companyName” для одного й того ж значення, користувацький bridge-атрибут може зіставити обидва до одного поля, що використовується вашим додатком. Це гарантує узгоджене передавання атрибутів незалежно від джерела автентифікації, запобігаючи розбіжностям між даними ідентичності та очікуваннями додатку.
Міркування щодо безпеки: інтеграція MFA та вимоги відповідності
Багатофакторна автентифікація (MFA) є центральною частиною системи безпеки Duo SSO. Після введення основних облікових даних користувач повинен завершити другий етап автентифікації перед отриманням доступу до будь-якого захищеного додатку. Duo підтримує широкий спектр методів автентифікації, включаючи push-сповіщення Duo, апаратні ключі безпеки, passkeys, одноразові коди через SMS та апаратні токени. Duo Universal Prompt забезпечує єдиний, інтуїтивно зрозумілий досвід входу для всіх додатків.
Організації в регульованих галузях покладаються на Duo SSO для дотримання вимог. У сфері охорони здоров'я Duo допомагає постачальникам виконувати вимоги HIPAA, захищаючи доступ до конфіденційних даних пацієнтів. Фінансові установи використовують Duo для відповідності стандарту PCI DSS, забезпечуючи системи, що обробляють платіжні картки. В освіті Duo підтримує дотримання FERPA, захищаючи студентські записи та контролюючи доступ до навчальних платформ.
Duo оцінює надійність пристрою при кожній спробі автентифікації. Платформа перевіряє версії операційної системи, стан пристрою, налаштування безпеки браузера та відповідність політикам. Адміністратори можуть створювати адаптивні політики доступу на основі цієї інформації. Такі політики можуть дозволяти або блокувати доступ залежно від стану пристрою, географічного розташування, типу мережі або шаблонів використання. Такий підхід, заснований на оцінці ризиків, підвищує безпеку, зберігаючи зручність для користувача.
Налаштування керування сеансами в Duo визначає, як довго користувачі залишаються автентифікованими в додатках. За замовчуванням тривалість сеансу становить вісім годин. Однак адміністратори можуть налаштувати це вікно в межах від однієї до 24 годин відповідно до ризик-профілю організації. Після зміни цього параметра будь-який сеанс, що перевищує нову тривалість, вимагатиме повторної автентифікації негайно.
Усунення поширених проблем Duo SSO та рішення
Збій автентифікації в Duo SSO найчастіше спричинений проблемами синхронізації часу між вашою інфраструктурою автентифікації та хмарним сервісом Duo. У заявах SAML передбачено строгі перевірки часових позначок, і навіть відхилення годинника більше ніж на п’ять хвилин може спричинити збій входу. Щоб цього уникнути, переконайтесь, що всі сервери, залучені до автентифікації, точно синхронізовані через надійний NTP-сервіс (Network Time Protocol).
Ще однією поширеною причиною помилок є перевірка сертифікатів під час обміну SAML. Якщо сертифікати постачальника послуг закінчилися або налаштовані неправильно, автентифікація провалиться. Починаючи з версії Authentication Proxy 6.4.0, Duo вимагає сертифікати, підписані з використанням SHA256 або вище, та мінімальну довжину відкритого ключа 2048 біт. Моніторинг термінів дії сертифікатів і запровадження графіку оновлення є критично важливими для забезпечення безперервного доступу.
Реєстрація користувачів також може створювати труднощі, особливо під час перевірки доменів електронної пошти. Duo SSO вимагає перевірку DNS TXT записів для кожного домену, що використовується в процесі автентифікації. Якщо домен електронної пошти користувача не позначено як «Підтверджено» у Панелі адміністратора Duo, спроби автентифікації будуть заблоковані. Цей етап перевірки гарантує, що облікові дані не будуть випадково надіслані до сторонніх інстанцій Duo, які не належать вашій організації.
Нарешті, проблеми з мережевим підключенням можуть перервати комунікацію між Duo Authentication Proxy та хмарною платформою Duo, а також вашими локальними контролерами домену. Проксі-сервери повинні мати вихід до Duo через HTTPS на порт 443, а також доступ до LDAP або LDAPS на порти 389 чи 636 для з’єднання з контролерами домену. Обмеження на ці порти у файрволі або проксі призведуть до збоїв автентифікації, тому важливо перевірити всі мережеві налаштування під час розгортання.
Найкращі практики розгортання та керування Duo SSO
Для високої доступності розгортання Duo SSO повинні включати резервні проксі-сервери автентифікації. Мінімум рекомендується встановити три проксі на різних мережевих сегментах або в різних географічних місцях. Під час автентифікації Duo автоматично обирає серед доступних проксі, забезпечуючи відмовостійкість без ручного втручання чи складного балансування навантаження. Така надмірність забезпечує безперервну роботу під час технічного обслуговування або несподіваних збоїв обладнання.
Під час розробки політик безпеки дотримуйтесь принципу найменших привілеїв. Почніть з обмежувальних глобальних політик, які створюють безпечну основу, а потім додавайте винятки для окремих додатків відповідно до потреб бізнесу та рівня ризику. Періодичний перегляд політик необхідний для узгодження з сучасними стандартами безпеки та вимогами відповідності.
Процес онбордингу користувачів спрощується завдяки функціям самообслуговування у Duo Central та порталі керування пристроями. Користувачі можуть самостійно реєструвати автентифікаційні пристрої, оновлювати профільну інформацію та отримувати доступ до ресурсів підтримки. Такий підхід зменшує навантаження на ІТ-підтримку та дозволяє користувачам самостійно управляти власною безпекою.
Інструменти моніторингу та звітності Duo надають адміністраторам глибоке уявлення про автентифікаційні дії, дотримання політик та стан системи. Регулярний перегляд логів допомагає виявити потенційні загрози безпеці, труднощі користувачів та області для покращення політик. Інтеграція зі звітністю Cisco розширює ці можливості, дозволяючи ефективно відстежувати тенденції у всій інфраструктурі ідентифікації та доступу.
Готові оновити свою стратегію автентифікації? Duo Single Sign-On спрощує безпечний доступ, усуваючи потребу в численних паролях та забезпечуючи надійний захист корпоративного рівня через безшовну багатофакторну автентифікацію. Розпочніть безкоштовну пробну версію вже сьогодні та приєднайтесь до тисяч організацій — від стартапів до компаній зі списку Fortune 500 — які довіряють Duo захист своїх цифрових середовищ у сферах охорони здоров’я, освіти, фінансів та технологій.
