Mideye Credential Provider

MFA för Windows fjärrskrivbord och inloggning

Lägg till Mideye tvåfaktorsautentisering (MFA) direkt på Windows inloggningsskärm, en inbyggd credential provider-DLL som skyddar varje fjärrskrivbord (RDP) och varje konsol-inloggning. Installeras vid sidan av din befintliga Mideye-installation utan ändringar i backenden.

Drop-in per maskin. Moln eller air-gapped on-prem. Distribueras via MSI eller Group Policy.

10-minuters Snabbstart Kontakta säljteamet

När Mideye Credential Provider är installerad efterfrågar Windows inloggningsskärm en andra faktor innan någon användare släpps in. Användaren skriver sitt Windows-lösenord som vanligt; Mideye begär sedan en Touch-push i Mideye+-appen, en hårdvaru-token-OTP, eller en kod från valfri standard-autentiserare. Windows slutför inloggningen endast när MFA lyckas. Det finns ingen annan kakel-knapp, ingen reservutgång, ingen genväg.

Mideye-inloggningskakel på en Windows-inloggningsskärm, det vita ramverket med Mideye-"e"-märket och texten "Mideye MFA", rubriken "Mideye Login" samt fälten Username och Password.

Varför MFA vid själva inloggningen?

Din Mideye Authentication Service hanterar redan multifaktorautentisering för VPN, RADIUS-skyddade applikationer, ADFS och RDS. Mideye Credential Provider utökar det skyddet till den plats dessa integrationer inte når, själva Windows inloggningsskärmen, på varje värd där användare loggar in via fjärrskrivbord (RDP) eller sitter vid konsolen.

Stänger RDP-attackytan

Stulna inloggningsuppgifter är den ledande vägen för ransomware på Windows-flottor. Credential providern fångar varje RDP- och konsol-inloggning, oavsett vilken applikation användaren är på väg till.

Samma Mideye, inga backend-ändringar

Pratar med samma Mideye Authentication API eller on-prem Mideye Server som du redan använder för RADIUS, ADFS och RDS-integrationer. En signerad MSI lägger ner två COM-DLL:er och ett konfigurationsverktyg, ingen ny backend, ingen ny identitetslagring, inga AD-schemaändringar.

Air-gapped-alternativ

On-prem-läget pratar med en lokal Mideye Server via en statisk Bearer-token. Hårdvaru-token-OTP, ingen internetåtkomst krävs.

Så autentiserar användarna

Tre metodgrupper levereras idag. Credential providern väljer baserat på vad som är konfigurerat per användare, ingen metodvalsmeny för användaren att fumla med.

Moln eller on-prem, välj per maskin

Ett enda registervärde (`Mode`) väljer backenden. Samma MSI, samma konfigurationsverktyg, samma dokumentation.

Molnläge
  • OAuth2 client credentials → Mideye Authentication API
  • Touch-push, SMS-magic-link, hårdvaru-token-OTP, Assisted Login
  • Server-Sent Events för omedelbar inloggningsåterkoppling
  • Endast utgående HTTPS, port 443
On-prem-läge
  • Statisk Bearer-token → lokal Mideye Server
  • Endast hårdvaru-token-OTP
  • Ingen internetåtkomst krävs

I on-prem-läge är Touch och Assisted Login tvingat avstängda vid uppstart, den lokala Mideye Server har inga motsvarande slutpunkter.

Säkra standardvärden, inga överraskningar

Credential providern är byggd för att fail-closed utan att låsa ut dig, och för att hålla hemligheter och PII borta från klartext-registervärden.

Utlåsningsresistent

En felkonfigurerad installation är tyst inaktiv, inte utlåsande. Aktivering vägrar utan minst en konfigurerad Break-Glass-principal.

Krypterad i vila

OAuth-klienthemligheter lagras som DPAPI-krypterade REG_BINARY-blobbar bundna till maskinnyckeln. De lämnar aldrig värden i klartext.

PII maskerad i loggar

Telefonnummer och token-serienummer maskeras i varje loggrad, även i felsökningsläge. Break-Glass-inloggningar revisionsspåras individuellt via Windows Event Log.

Distribution

En signerad MSI, tre distributionsvägar:

Interaktiv MSI

Pilotinstallation på en enskild värd, guide, licens, installera, konfigurera.

Tyst MSI (`msiexec /qn`)

SCCM, skriptade utrullningar, anpassad orkestrering. JSON-konfiguration per värd appliceras separat.

Group Policy

Software Installation-policy + ett startup-skript som applicerar JSON-konfigurationen per OU. AD-anslutna flottor.

Vart läser man härnäst

Funktionsöversikt

Vad varje del gör: installation, registerkonfiguration, moln / air-gapped, inloggningsschema, Break-Glass, per-användar-overrides, godkännare, anpassning.

Snabbstart

Från noll till MFA på RDP på ~10 minuter, installera, klistra in Client ID och Secret, lägg till Break-Glass, aktivera, framtvinga på RDP.

Arkitektur

Hur credential provider-DLL:n kopplar in i Windows LogonUI; MFA-beslutsstegen; flödesdiagram för moln + on-prem.

Vanliga frågor

Hur lägger jag till MFA på Windows fjärrskrivbord (RDP)?

Installera den signerade Mideye Credential Provider-MSI:n på varje Windows-värd där RDP terminerar, klistra in Client ID och Secret från din Mideye Authentication Service, konfigurera minst en Break-Glass-principal och aktivera sedan. Mideye-kakelknappen ersätter Windows standardlösenordsruta och kräver en andra faktor vid varje RDP- och konsol-inloggning. Installationen tar cirka 10 minuter per värd.

Fungerar Mideye Credential Provider utan internet?

Ja. I on-prem-läge pratar den med en lokal Mideye Server via en statisk Bearer-token och stöder endast hårdvaru-token-OTP, ingen internetåtkomst krävs. Molnläget använder utgående HTTPS till Mideye Authentication API och lägger till Touch-push och Assisted Login. Ett enda registervärde väljer läget per maskin.

Vilka Windows-versioner stöds?

Windows Server 2019, 2022 och 2025. Både Active Directory-anslutna värdar och workgroup / fristående värdar stöds. Entra-ID-only-anslutna maskiner är inte testade eller stödda i nuläget.

Redo att utvärdera Mideye Credential Provider?

Kör 10-minuters-snabbstarten på en test-VM, eller prata med oss om ett pilotprojekt i din miljö.