GoTrust 免密碼零信任系統，超完整安裝及使用教學，一次就上手！

文章目錄

Part 1：角色說明及環境設定

◆角色說明、伺服器基本部屬環境介紹&設定

組成元件及角色說明

基本部屬包含GoTrust ID Server(含Database Server)與Access Gateway二大部分。GoTrust ID Server為決策引擎，包含決策控制器與身分鑑別模組，主要負責決策控制及FIDO身分鑑別。Access Gateway為存取閘道，主要負責保護內網的應用系統(RP)伺服器，使用者無法直連應用系統(RP)，必須透過Access Gateway進行，並通過FIDO驗證後，導向已被藏址的RP。

◆國家資通安全研究院認證核定

GoTrust免密碼零信任系統認證核定證書

部署元件

基本部屬包含GoTrust ID Server(含Database Server)與Access Gateway二大部分，可安裝於1台實體機。VM下載連結由動信提供。

系統需求

最基本的系統需求。

HTTPS SSL憑證

GoTrust ID Server需要一個外部URL及相對應的IP。
請準備上述網址之Https憑證(.pfx格式)，匯入至安裝完成之GoTrust ID Server Tomcat。
GoTrust ID Server使用https 443或8443，需要配合設定公司防火牆。

GoTrust ID Server使用到的端口

GoTrust ID Server與使用者Mobile Phone都必須校時正確

務必確認GoTrust ID Server時間正確，錯誤的時間設定會導致手機註冊或驗證失敗。
使用者端會使用手機鑑別器(GoTrust ID Mobile App)做身分鑑別，手機也必須校時，若時間不準，會導致手機註冊或驗證失敗。

GoTrust ID Server授權

動信提供企業採購數量的授權檔，匯入至安裝完成之GoTrust ID Server Tomcat。

Part 2：AdminPortal Quick Start快速上手

◆AdminPortal圖形視覺化界面，簡化的操作流程，讓IT管理人員輕鬆駕馭

啟用AdminPortal

第一次登入之帳號及密碼由動信提供。
Default設定僅透過localhost存取AdminPortal，別台電腦存取方式可與動信確認。

設定GoTrust ID Server URL

AdminPortal > 設定 > 伺服器URL > 儲存變更。

使用者建立方式

手動創建或CSV匯入(若選擇使用下述同步方式則不開放使用)。
GoTrust SSO IdP同步。
AD同步- 企業AD中的使用者透過AdminPortal中LDAP的設定同步至AdminPortal中。

◆稽核與安全

日誌紀錄，凡走過必留下痕跡

GoTrust ID Server中具備豐富的日誌功能，從系統層或AP層檢視各式登入行為，任何帳號(Admin或Normal User)的試圖登入，不論成功或失敗，都一目瞭然。

管理者對使用者進行管理

管理者於AdminPortal中對使用者帳號、設備及驗證裝置身分鑑別器(手機或安全金鑰)進行停用、復用或刪除的管理。

Part 3：Array vAPV快速理解

◆Array vAPV基礎功能說明

不僅可做到藏址保護後端應用系統，更是一台強大的Load Balancer

Array vAPV是新一代應用程式控制系統，內建ArrayNetworks專屬的64位元SpeedCore安全強化多核心作業系統(ArrayOS)，以經濟且高效的方式提供綜合的ADC服務，具備最佳化雲服務和企業應用程式的可用性、性能和安全性的能力。
整合 Layer 4~Layer 7 伺服器負載平衡、廣域網路負載平衡、全球伺服器負載平衡(GSLB)、連線複用機制 (multiplexing) 、SSL加速、SSL 攔截 (intercept)、超高速快取緩衝 (caching)、壓縮、頻寬使用、DDoS 攻擊防護、IPv6 和網頁應用安全性 (WebWall)。
系統內建 WebWall是網頁應用安全保障功能。應用遞送控制器 (ADC) 可以自動防止 DDoS 和格式不正確的網頁地址 (malformed URL) 攻擊，而且允許大範圍 Layer-2 ∼ Layer-7 的保護政策層疊，以增強安全性。

Part 4：GoTrust SSO Quick Start快速上手

◆GoTrust SSO基礎說明教學

使用者自助管理頁面，換手機或加入安全金鑰(Idem Key)，都可自助完成，不須求助IT管理員

連線至 https://your_domain.com:{port}/service/sso

首次登入使用AD或OpenLDAP帳號及密碼。(註:可使用SSO IdP或AD IdP)

使用者註冊手機身分鑑別器(GoTrust ID Mobile App)或安全金鑰(Idem Key)做日後登入之身分鑑別，取代密碼驗證。完善的圖形介面流程讓註冊身分鑑別器流暢簡易。

身分鑑別器(Authenticator)

動信手機身分鑑別器(GoTrust ID Mobile App)及安全金鑰(Idem Key)皆經過國家資通安全研究院及FIDO2認證通過，可做為身分鑑別器。
手機身分鑑別器(GoTrust ID Mobile App)支援iOS 10(含)以上及Android 6(含)以上版本。
實體安全金鑰(Idem Key)通過FIDO U2F及FIDO2 Level 2國際認證、微軟認證，採用通過FIPS140-2 Level 3認證的高規格安全晶片，符合台灣金融安控基準及零信任AAL3身分鑑別等級，加上IP68防水防塵認證，兼具內外防護安規認證的身分鑑別器。可支援PKI憑證功能，在Windows、macOS、iOS及Android跨平台裝置皆可使用。

當完成身分鑑別器註冊後，使用者可看到所授權之應用(Applications)頁籤，點擊應用icon後即可登入該應用。

使用者於AD或OpenLDAP中依各別權限以群組分類，AdminPortal>OIDC>應用配置設定中，將使用者群組與所屬權限的應用系統(RP)進行設定，達到使用者登入專屬其權限之應用系統(RP)的原則。

◆應用系統整合

企業應用系統(RP)

動信提供C#、Java 及各式SDK供應用系統(RP)整合，使應用系統(RP)得以解密驗證決策引擎GoTrust ID Server發放之簽章加密之存取令牌(Access Token)，達到安全登入。

ERP

與AD串接的ERP系統，可直接透過動信LDAP Proxy設定完成介接。
未與AD串接的ERP系統，啟動GoTrust ID Server中的Radius或SAML2或OIDC Server，輕鬆完成支援。

VPN

啟動GoTrust ID Server中的Radius或SAML2或OIDC Server，透過圖形視覺化界面完成VPN介接設定。
支援Array AG、Pulse Secure、Fortinet、Check Point等眾多VPN。

M365

GoTrust ID Server中的SAML2 Server，已預設支援M365。

OWA

GoTrust ID Server中的IIS Adapter模組，已預設支援OWA。

Salesforce等各式雲端應用

啟動GoTrust ID Server中的SAML2 或OIDC Server，透過圖形視覺化界面完成各式雲端應用介接設定。

RD Web Access等各式IIS應用

啟動GoTrust ID Server中的IIS Adapter模組，輕鬆完成支援。

Part 5：端點防護，讓我們從電腦登入就免密碼吧

◆AD防禦從電腦登入端點開始

免密碼登入

業界唯一真正免密碼，登入電腦不用key密碼、也看不到密碼登入口。

連線或離線都放心

即使電腦或手機離線，手機可透過藍牙、安全碼等方式或使用安全金鑰Idem Key也行，讓使用者登入無虞。

身分鑑別器(Authenticator)

動信手機身分鑑別器(GoTrust ID Mobile App)及安全金鑰(Idem Key)皆經過國家資通安全研究院及FIDO2認證通過，可做為身分鑑別器。
手機身分鑑別器(GoTrust ID Mobile App)支援iOS 10(含)以上及Android 6(含)以上版本。
手機支援PUSH或掃QR code登入電腦。
不能使用手機的場域，讓實體安全金鑰(Idem Key)上場吧。通過FIDO U2F及FIDO2 Level 2國際認證、微軟認證，採用通過FIPS140-2 Level 3認證的高規格安全晶片，符合台灣金融安控基準及零信任AAL3身分鑑別等級，加上IP68防水防塵認證，兼具內外防護安規認證的身分鑑別器。可支援PKI憑證功能，在Windows、macOS、iOS及Android跨平台裝置皆可使用。

電腦可選擇限定單一登入者或共用登入模式