امروزه مدیریت هویت کاربران و کنترل دسترسی به منابع سازمانی، به یکی از مهم‌ترین چالش‌های امنیت شبکه تبدیل شده است. استفاده از سرویس‌های ابری، گسترش دورکاری و افزایش تهدیدات سایبری باعث شده تنها اتکا به نام کاربری و رمز عبور دیگر پاسخگوی نیاز بسیاری از سازمان‌ها نباشد. در چنین شرایطی، راهکارهای مدیریت هویت کاربران نقش مهمی در افزایش امنیت، کاهش ریسک دسترسی‌های غیرمجاز و ساده‌تر شدن مدیریت دسترسی‌ها ایفا می‌کنند. FortiAuthenticator یکی از محصولات Fortinet است که با ارائه قابلیت‌هایی مانند احراز هویت چندعاملی (MFA)، ورود یکپارچه (SSO) و یکپارچه‌سازی با سرویس‌هایی مانند Active Directory، به سازمان‌ها کمک می‌کند امنیت فرآیند احراز هویت کاربران را به سطح بالاتری ارتقا دهند.

 

فورتی آتنتیکیتور (FortiAuthenticator) چیست؟

فورتی آتنتیکیتور سرور مدیریت هویت (Identity Management) و اعتبارسنجی کاربران (Authentication) شرکت فورتینت است که امکان مدیریت متمرکز کاربران، سرویس‌های احراز هویت و کنترل دسترسی را در شبکه فراهم می‌کند.

این محصول نقش واسط میان کاربران، تجهیزات شبکه و سرویس‌های احراز هویت را بر عهده دارد و با استفاده از پروتکل‌هایی مانند RADIUS، LDAP، SAML، TACACS+ و OAuth، فرآیند ورود کاربران به سرویس‌های مختلف را مدیریت می‌کند.

فورتی آتنتیکیتور علاوه بر احراز هویت کاربران، قابلیت‌هایی مانند احراز هویت چندعاملی (MFA)، ورود یکپارچه (Single Sign-On یا SSO)، مدیریت گواهی‌های دیجیتال (Certificate Management) و یکپارچه‌سازی با Active Directory را نیز در اختیار سازمان‌ها قرار می‌دهد.

به همین دلیل، FortiAuthenticator را نمی‌توان تنها یک سرور RADIUS یا LDAP دانست؛ بلکه این محصول یکی از اجزای اصلی مدیریت هویت در اکوسیستم Fortinet محسوب می‌شود و نقش مهمی در افزایش امنیت دسترسی کاربران به منابع سازمانی ایفا می‌کند.

 

چرا فورتی آتنتیکیتور توسعه داده شد؟

در بسیاری از شبکه‌های سازمانی، کاربران برای دسترسی به سرویس‌های مختلف مانند VPN، شبکه بی‌سیم، سامانه‌های داخلی، برنامه‌های تحت وب و سرویس‌های ابری از یک نام کاربری و رمز عبور استفاده می‌کنند. اگر هر یک از این سرویس‌ها به‌صورت مستقل کاربران را مدیریت کنند، ایجاد، حذف یا تغییر سطح دسترسی کاربران به فرآیندی زمان‌بر و مستعد خطا تبدیل می‌شود.

از طرف دیگر، اتکا به نام کاربری و رمز عبور به‌تنهایی دیگر امنیت کافی را فراهم نمی‌کند. حملاتی مانند Brute Force، Credential Stuffing و Phishing می‌توانند اطلاعات ورود کاربران را در اختیار مهاجمان قرار دهند.

فورتی نت برای حل این چالش‌ها، FortiAuthenticator را توسعه داد تا سازمان‌ها بتوانند مدیریت هویت کاربران، احراز هویت و کنترل دسترسی را از یک نقطه متمرکز انجام دهند.

با استفاده از این محصول می‌توان:

  • مدیریت متمرکز هویت کاربران
  • پیاده‌سازی احراز هویت چندمرحله‌ای (MFA)
  • همگام‌سازی با Active Directory و LDAP
  • افزایش امنیت دسترسی به VPN و شبکه بی‌سیم
  • اعمال سیاست‌های دسترسی در کل زیرساخت

در نتیجه، علاوه بر افزایش امنیت، مدیریت کاربران نیز ساده‌تر و سریع‌تر انجام می‌شود.

 

فورتی آتنتیکیتور چگونه کار می‌کند؟

FortiAuthenticator به‌عنوان هسته مدیریت هویت کاربران قرار می‌گیرد و درخواست‌های ورود (Authentication Requests) را از تجهیزات یا سرویس‌های مختلف دریافت می‌کند. سپس این درخواست‌ها را بر اساس سیاست‌های تعریف‌شده بررسی کرده و نتیجه احراز هویت را به سرویس درخواست‌کننده اعلام می‌کند.

در واقع، هر زمان کاربری بخواهد به یکی از منابع سازمان مانند SSL VPN، شبکه بی‌سیم، سوئیچ، فایروال یا یک برنامه تحت وب متصل شود، ورود و اعتبارسنجی کاربران ابتدا به FortiAuthenticator ارسال می‌شود.

این محصول اطلاعات کاربر را از منابع مختلف مانند Active Directory، LDAP یا پایگاه داده داخلی بررسی می‌کند و در صورت فعال بودن احراز هویت چندعاملی، مرحله دوم تأیید هویت را نیز اجرا می‌کند. پس از تأیید موفق، مجوز دسترسی صادر می‌شود و کاربر می‌تواند به سرویس موردنظر متصل شود.

در نتیجه، تمام درخواست‌های ورود از یک نقطه مرکزی مدیریت می‌شوند و سیاست‌های امنیتی به‌صورت یکنواخت برای تمامی کاربران اعمال خواهد شد.

 

معماری فورتی آتنتیکیتور

در یک پیاده‌سازی معمول، FortiAuthenticator میان کاربران و سرویس‌های سازمان قرار می‌گیرد و با منابع هویتی و تجهیزات شبکه در ارتباط است.

به‌عنوان مثال:

  • کاربران از طریق VPN یا شبکه داخلی درخواست ورود ارسال می‌کنند.
  • FortiGate یا FortiClient درخواست احراز هویت را به FortiAuthenticator منتقل می‌کند.
  • FortiAuthenticator اطلاعات کاربر را از Active Directory یا LDAP بررسی می‌کند.
  • در صورت نیاز، کد تأیید FortiToken برای کاربر ارسال می‌شود.
  • پس از تأیید هویت، نتیجه برای FortiGate ارسال شده و دسترسی کاربر صادر یا رد می‌شود.

در این معماری، FortiAuthenticator به‌عنوان نقطه مرکزی مدیریت هویت کاربران عمل می‌کند و ارتباط میان کاربران، منابع هویتی و تجهیزات امنیتی را مدیریت می‌کند. بنابراین، سیاست‌های دسترسی به‌صورت متمرکز اجرا شده و امنیت فرآیند ورود کاربران در سراسر شبکه افزایش پیدا می‌کند.

 

قابلیت‌های فورتی آتنتیکیتور

 

  • احراز هویت چندعاملی (Multi-Factor Authentication)

یکی از مهم‌ترین قابلیت‌های FortiAuthenticator، پشتیبانی از احراز هویت چندعاملی (MFA) است. در این روش، کاربران علاوه بر نام کاربری و رمز عبور، باید یک عامل امنیتی دیگر را نیز برای ورود ارائه دهند. این عامل می‌تواند کد یک‌بارمصرف (OTP)، اعلان تأیید (Push Notification)، توکن سخت‌افزاری یا گواهی دیجیتال باشد.

حتی اگر رمز عبور یک کاربر در اختیار مهاجم قرار گیرد، بدون عامل دوم احراز هویت امکان ورود به سیستم وجود نخواهد داشت. به همین دلیل، MFA یکی از مؤثرترین راهکارها برای کاهش خطر حملاتی مانند Credential Theft و Phishing محسوب می‌شود.

 

  • مدیریت متمرکز هویت کاربران

FortiAuthenticator امکان مدیریت کاربران از منابع مختلف را در یک نقطه فراهم می‌کند. این محصول می‌تواند اطلاعات کاربران را از سرویس‌هایی مانند Microsoft Active Directory، LDAP یا پایگاه داده داخلی دریافت کرده و بدون ایجاد حساب‌های کاربری مجزا، فرآیند اعتبارسنجی و کنترل دسترسی کاربران را مدیریت کند.

این قابلیت باعث می‌شود مدیران شبکه تنها یک منبع اصلی برای مدیریت کاربران داشته باشند و تغییراتی مانند ایجاد حساب جدید، غیرفعال کردن کاربران یا تغییر سطح دسترسی با سرعت و دقت بیشتری انجام شود.

 

  • ورود یکپارچه (Single Sign-On)

یکی دیگر از قابلیت‌های مهم FortiAuthenticator، پشتیبانی از Single Sign-On (SSO) است.

در محیط‌های سازمانی، کاربران معمولاً برای دسترسی به سرویس‌های مختلف باید چندین بار نام کاربری و رمز عبور خود را وارد کنند. قابلیت SSO این مشکل را برطرف می‌کند و پس از یک‌بار ورود موفق، امکان دسترسی به سرویس‌های مجاز را بدون ورود مجدد فراهم می‌سازد.

این ویژگی علاوه بر بهبود تجربه کاربری، احتمال استفاده از رمزهای عبور ضعیف یا تکراری را نیز کاهش می‌دهد.

 

  • صدور و مدیریت گواهی‌های دیجیتال

فورتی آتنتیکیتور از زیرساخت کلید عمومی (PKI) نیز پشتیبانی می‌کند و می‌تواند به‌عنوان Certificate Authority (CA) داخلی سازمان عمل کند.

با استفاده از این قابلیت، مدیران شبکه می‌توانند گواهی‌های دیجیتال موردنیاز کاربران، تجهیزات یا سرویس‌ها را صادر، تمدید و مدیریت کنند. این گواهی‌ها در سناریوهایی مانند احراز هویت مبتنی بر گواهی (Certificate-Based Authentication)، شبکه‌های بی‌سیم امن (802.1X) و VPN کاربرد گسترده‌ای دارند.

 

  • پشتیبانی از پروتکل‌های استاندارد احراز هویت

یکی از نقاط قوت فورتی آتنتیکیتور، سازگاری با استانداردهای رایج صنعت است. این محصول از پروتکل‌های مختلفی پشتیبانی می‌کند و به همین دلیل می‌تواند با طیف گسترده‌ای از تجهیزات و سرویس‌ها یکپارچه شود.

از مهم‌ترین پروتکل‌های پشتیبانی‌شده می‌توان به موارد زیر اشاره کرد:

  • RADIUS برای احراز هویت کاربران VPN، شبکه‌های بی‌سیم و تجهیزات شبکه
  • LDAP برای ارتباط با سرویس‌های دایرکتوری
  • SAML 2.0 برای ورود یکپارچه به سرویس‌های ابری
  • TACACS+ برای مدیریت دسترسی مدیران تجهیزات شبکه
  • OAuth و OpenID Connect برای یکپارچه‌سازی با برخی برنامه‌ها و سرویس‌های مدرن

پشتیبانی از این پروتکل‌ها سبب می‌شود FortiAuthenticator تنها به محصولات Fortinet محدود نباشد و بتواند با بسیاری از تجهیزات و سرویس‌های شخص ثالث نیز همکاری کند.

 

  • گزارش‌گیری و ثبت رویدادها

تمام رویدادهای مرتبط با ورود کاربران، تلاش‌های ناموفق، استفاده از MFA و سایر فعالیت‌های امنیتی ثبت می‌شوند. این اطلاعات برای بررسی رخدادهای امنیتی، ممیزی (Audit) و رعایت الزامات امنیتی بسیار ارزشمند هستند.

 

FortiToken چه نقشی در FortiAuthenticator دارد؟

احراز هویت چندعاملی در FortiAuthenticator معمولاً با استفاده از FortiToken انجام می‌شود. فورتی توکن راهکار تولید رمز یک‌بارمصرف (OTP) شرکت Fortinet است که در دو نسخه سخت‌افزاری و نرم‌افزاری ارائه می‌شود.

پس از فعال‌سازی FortiToken برای یک کاربر، هنگام ورود علاوه بر نام کاربری و رمز عبور، باید کد تولیدشده توسط FortiToken نیز وارد شود. این کد در بازه‌های زمانی کوتاه تغییر می‌کند و تنها برای همان کاربر معتبر است.

ترکیب FortiAuthenticator و FortiToken یکی از رایج‌ترین روش‌های پیاده‌سازی MFA در سازمان‌هایی است که از محصولات Fortinet استفاده می‌کنند و امنیت دسترسی به سرویس‌هایی مانند SSL VPN ،FortiGate و سایر منابع سازمانی را به شکل محسوسی افزایش می‌دهد.

 

ارتباط فورتی آتنتیکیتور با سایر محصولات  فورتینت

یکی از مهم‌ترین مزیت‌های فورتی آتنتیکیتور (FortiAuthenticator)، یکپارچه‌سازی با سایر محصولات اکوسیستم Fortinet است.

 

  • FortiAuthenticator و FortiGate

رایج‌ترین سناریوی استفاده از FortiAuthenticator، یکپارچه‌سازی آن با FortiGate است.

در این حالت، فایروال فورتی گیت درخواست‌های ورود کاربران را به FortiAuthenticator ارسال می‌کند و پس از تأیید هویت، دسترسی کاربران به سرویس‌هایی مانند SSL VPN، IPsec VPN، پنل مدیریتی فایروال یا سایر منابع شبکه بر اساس سیاست‌های تعریف‌شده انجام می‌شود.

این روش علاوه بر افزایش امنیت، امکان پیاده‌سازی احراز هویت چندعاملی (MFA) را نیز بدون نیاز به ایجاد حساب‌های کاربری جداگانه فراهم می‌کند.

 

  • FortiClient

FortiAuthenticator می‌تواند با فورتی کلاینت نیز یکپارچه شود تا فرآیند ورود کاربران هنگام اتصال به شبکه یا VPN ایمن‌تر انجام شود.

در این سناریو، FortiClient اطلاعات ورود کاربر را برای FortiAuthenticator ارسال می‌کند و در صورت فعال بودن MFA، کاربر باید مرحله دوم احراز هویت را نیز تکمیل کند. پس از تأیید هویت، دسترسی به شبکه یا سرویس موردنظر برقرار خواهد شد.

این قابلیت به‌ویژه برای سازمان‌هایی که کاربران دورکار دارند، اهمیت زیادی دارد.

 

  • FortiToken

FortiToken یکی از مکمل‌های اصلی FortiAuthenticator در پیاده‌سازی احراز هویت چندعاملی است.

FortiAuthenticator وظیفه مدیریت کاربران، سیاست‌های دسترسی و فرآیند ورود را بر عهده دارد، در حالی که FortiToken عامل دوم احراز هویت را در اختیار کاربر قرار می‌دهد.

به همین دلیل، این دو محصول معمولاً در کنار یکدیگر برای افزایش امنیت دسترسی به سرویس‌های سازمانی مورد استفاده قرار می‌گیرند.

 

  • Active Directory

بسیاری از سازمان‌ها اطلاعات کاربران خود را در Microsoft Active Directory نگهداری می‌کنند. فورتی آتنتیکیتور می‌تواند به این سرویس متصل شود و بدون نیاز به ایجاد مجدد کاربران، اطلاعات هویتی را به‌صورت مستقیم دریافت کند.

این یکپارچه‌سازی باعث می‌شود ایجاد حساب‌های جدید، غیرفعال‌سازی کاربران یا تغییر عضویت آن‌ها در گروه‌ها به‌صورت خودکار در FortiAuthenticator اعمال شود. در نتیجه، مدیریت کاربران ساده‌تر شده و احتمال خطاهای مدیریتی کاهش می‌یابد.

 

  • Security Fabric

FortiAuthenticator یکی از اجزای قابل‌یکپارچه‌سازی با Security Fabric محسوب می‌شود.

در این معماری، اطلاعات مربوط به هویت کاربران می‌تواند در اختیار سایر محصولات Fortinet قرار گیرد تا تصمیمات امنیتی تنها بر اساس آدرس IP یا نوع دستگاه اتخاذ نشود، بلکه هویت واقعی کاربر نیز در اعمال سیاست‌های امنیتی نقش داشته باشد.

برای مثال، می‌توان دسترسی یک کاربر را بر اساس هویت، گروه سازمانی یا وضعیت احراز هویت او کنترل کرد.

 

  • ZTNA

با گسترش معماری Zero Trust Network Access (ZTNA)، احراز هویت کاربران به یکی از مهم‌ترین مؤلفه‌های امنیت شبکه تبدیل شده است.

فورتی آتنتیکیتور در این معماری نقش تأیید هویت کاربران را بر عهده دارد و اطلاعات لازم را برای اعمال سیاست‌های دسترسی مبتنی بر هویت در اختیار سایر محصولات Fortinet قرار می‌دهد.

در نتیجه، دسترسی کاربران تنها پس از تأیید هویت، بررسی وضعیت دستگاه و انطباق با سیاست‌های امنیتی سازمان امکان‌پذیر خواهد بود.

 

فورتی آتنتیکیتور برای چه سازمان‌هایی مناسب است؟

FortiAuthenticator برای هر سازمانی که تعداد زیادی کاربر، تجهیزات شبکه یا سرویس‌های سازمانی دارد، می‌تواند نقش مهمی در افزایش امنیت و مدیریت دسترسی‌ها ایفا کند. هرچه زیرساخت شبکه گسترده‌تر باشد، مزایای استفاده از این محصول نیز بیشتر خواهد بود.

استفاده از فورتی آتنتیکیتور به‌ویژه برای سازمان‌های زیر توصیه می‌شود:

  • سازمان‌هایی که از SSL VPN یا IPsec VPN استفاده می‌کنند و به دنبال افزایش امنیت دسترسی کاربران راه دور هستند.
  • شرکت‌های دارای چندین شعبه که نیاز به مدیریت متمرکز کاربران و سیاست‌های دسترسی دارند.
  • بانک‌ها، مؤسسات مالی و شرکت‌های بیمه که حفاظت از اطلاعات کاربران و کنترل دسترسی برای آن‌ها اهمیت بالایی دارد.
  • مراکز داده (Data Center) و ارائه‌دهندگان خدمات ابری (Cloud Service Providers).
  • سازمان‌های دولتی و زیرساخت‌های حیاتی که ملزم به استفاده از روش‌های امن برای مدیریت هویت کاربران هستند.
  • بیمارستان‌ها، دانشگاه‌ها و مراکز آموزشی که تعداد زیادی کاربر، تجهیزات و سرویس‌های مختلف را مدیریت می‌کنند.
  • سازمان‌هایی که از اکوسیستم Fortinet استفاده می‌کنند و محصولاتی مانند FortiGate ،FortiClient ،FortiToken یا FortiManager را در زیرساخت خود به کار گرفته‌اند.
  • شرکت‌هایی که به دنبال پیاده‌سازی (ZTNA) و استفاده از احراز هویت چندعاملی (MFA) یا ورود یکپارچه (SSO)هستند.

 

سناریوی پیاده‌سازی FortiAuthenticator در یک سازمان

فرض کنید یک شرکت دارای دفتر مرکزی، چند شعبه و تعدادی کارمند دورکار است. کاربران برای دسترسی به SSL VPN، شبکه بی‌سیم و سامانه‌های داخلی از حساب‌های Active Directory استفاده می‌کنند.

در این سناریو، FortiAuthenticator به Active Directory متصل می‌شود و اطلاعات کاربران را دریافت می‌کند. هنگام اتصال کاربر به VPN، فورتی گیت درخواست احراز هویت را به فورتی آتنتیکیتور ارسال می‌کند. پس از بررسی نام کاربری و رمز عبور، در صورت فعال بودن MFA، یک کد یک‌بارمصرف از طریق FortiToken برای کاربر ارسال می‌شود. تنها در صورت وارد کردن صحیح این کد، دسترسی به منابع سازمانی برقرار خواهد شد.

اگر کاربر عضو گروه خاصی در Active Directory باشد، فورتی گیت می‌تواند بر اساس همان گروه، سطح دسترسی متفاوتی برای او تعریف کند. به این ترتیب، مدیریت هویت، احراز هویت و کنترل دسترسی به‌صورت یکپارچه و متمرکز انجام می‌شود.