Единство на таблет и домейн и борба на противоположностите

В тази статия ще се съсредоточа върху основите и архитектурата на DRS. Подробностите за настройката могат да бъдат намерени в четвъртия модул от курса „Корпоративни устройства. Как да управлявам хибридни идентификационни данни ".

Кой е основният проблем?


Увеличете
(щракнете върху изображението, за да го увеличите)

В мрежата на домейн, използвайки групови правила, такива ситуации могат лесно да бъдат избегнати. Започвайки с парола за вход в устройство с домейн, завършвайки със сертификати за удостоверяване при достъп до приложението. Ами устройствата, които не могат да бъдат включени в домейна? Подходите могат да бъдат различни: можете да конфигурирате задължителното използване на парола или ПИН код за влизане в устройството, можете да генерирате и инсталирате сертификат на таблета. Само за различните платформи тези процедури са различни, това ще трябва да се извършва ръчно и със сигурност от ИТ персонал, като всяко ново устройство генерира съответна верига от действия. И искам собственикът на устройството да може да се справи с такава задача и след това, когато наистина стане необходимо.

Едно от решенията е да се използва DRS от Windows Server 2012 R2.

Каква е основната идея?

Както подсказва името на услугата, DRS прилага процедура за регистрация на устройството. По време на процеса на регистрация DRS генерира сертификат X.509, който се качва на устройството, а също така създава нов обект в Active Directory, съдържащ информация както за устройството, така и за потребителя, извършил регистрацията.

Всеки път, когато потребител се свърже от регистрирано устройство към приложението, потребителят се удостоверява (или той въвежда парола, или се използва бисквитка) и сертификатът се проверява. И само ако и двете проверки са успешни, потребителят получава достъп до приложението. По същество се занимаваме с двуфакторно удостоверяване.


Увеличете
(щракнете върху изображението, за да го увеличите)

Важно е да се отбележат няколко точки:

  1. Процедурата по регистрация е възможно най-опростена и не изисква предварителна конфигурация на устройството от ИТ специалист.
  2. DRS поддържа различни платформи:
  3. Windows 8.1 и по-нова версия
  4. iOS 6 и по-нова версия
  5. Android - Samsung KNOX
  6. Windows 7 Pro (включен домейн)
  7. DRS не изисква внедряване на PKI.

Как изглежда?

На Windows Server 2012 R2 DRS се инсталира с ADFS. ADFS, както се вижда на фигурите по-горе, играе ключова роля в процеса на удостоверяване. За да използвате услугата за регистрация за приложението необходимо конфигуриране на удостоверяване чрез ADFS. Тъй като от съображения за сигурност сървърът с ADFS обикновено се намира вътре в корпоративната мрежа, в зоната на периметъра е необходим прокси компонент, който да приема заявки от Интернет и да ги пренасочва към ADFS. Ролята на прокси може да се играе от прокси за уеб приложения (WAP), нова услуга в Windows Server 2012 R2. ADFS от своя страна извършва удостоверяване на потребителя и, ако записването на устройство е конфигурирано, потвърждаване на сертификата. В случай на успешно удостоверяване, ADFS генерира маркер за достъп за заявеното приложение и връща маркера в браузъра на потребителското устройство. След което потребителят получава достъп до приложението.

домейн

Увеличете
(щракнете върху изображението, за да го увеличите)

Ако говорим за инфраструктурни изисквания, за да използвате DRS, трябва да разширите схемата на AD и да имате поне един сървър с Windows Server 2012 R2 и повишената роля на ADFS.

Процесът на регистрация на устройството е показан на следващата фигура.

борба

Увеличете
(щракнете върху изображението, за да го увеличите)

Нека да видим как изглежда този процес от гледна точка на собственика на таблет с Windows 8.1 и какво се случва зад кулисите. SharePoint 2013 ще действа като корпоративно приложение. В моята инфраструктура ADFS е конфигуриран по такъв начин, че регистрацията на устройството се изисква само ако устройството се намира извън корпоративната мрежа. Ако таблетът е свързан, например, с корпоративен Wi-Fi, тогава удостоверяването с потребителско име и парола е достатъчно. И, разбира се, нищо не се изисква от потребителя, ако той осъществява достъп до приложението от компютър с домейн в корпоративната мрежа. Извършва се пълноправен единен вход. Възможността за конфигуриране на такива условия на достъп (условен достъп), освен това, за конкретно приложение е друго голямо предимство от използването на ADFS за разглеждания сценарий. Как се задават политиките за условен достъп може да се намери в споменатия четвърти модул от курса „Корпоративни устройства. Как да управлявам хибридни идентификационни данни ".