В тази статия, аз ще се съсредоточи върху основните принципи и архитектурата на DRS. Подробности за настройки могат да бъдат намерени в четвъртия модул на курса "Корпоративна устройството. Как да се справим хибридни сметки за данни. "
Какъв е основният проблем?
инструменти в областта на политиката на домейн на мрежата такива ситуации лесно избегнати. Започвайки с парола, за да влезете в устройство на домейн, за довършителни работи сертификати за удостоверяване при достъп до заявлението. Как да се справим с устройствата, които не могат да бъдат включени в домейна? Подходи могат да бъдат различни: Можете да зададете на задължителното използване на парола или PIN-код, за да влезе в устройството си, можете да генерирате и инсталиране на сертификат на таблета. Само междуплатформена тези процедури се различават, го направите ръчно и имат определен ИТ персонал, както и всяко устройство генерира съответния верига от действия. И вие искате да се заеме с тази задача може да се справи собственик на устройството, а когато това е наистина необходимо.
Каква е основната идея?
Тъй като услугата име, устройството DRS прилага процедурата по регистрация. По време на регистрацията DRS генерира X.509 сертификат се прехвърля в устройството, и се създава нов обект Active Directory, съдържаща информация за устройството, както и на потребителя, извършване на регистрацията.
Всеки път, когато потребителят се свързва с устройството, за да регистрира заявлението, потребителят се заверява (или той влезе в паролата, или да използвате бисквитка) и проверява удостоверението. И само ако и двете изследвания са преминали успешно, потребителят получава достъп до приложението. В действителност ние се занимаваме с двуфакторна автентикация.
Но е важно да се отбележи, няколко неща:
- Процедурата по регистрация е много проста и не изисква предварително конфигуриране на IT-специалист единица.
- DRS поддържа различни платформи:
- Windows 8.1 и по-горе
- IOS 6+
- Android - Samsung KNOX
- Windows 7 Pro (включен в домейн)
- DRS не изисква разполагането на PKI
Как е?
Процесът на регистриране на устройството е показано на фигурата по-долу.
По този начин, на работника или служителя е извън компанията, а в браузъра на таблета не е включена в домейна, URL набира корпоративен портал SharePoint. Заявка чрез WAP пренасочени ADFS, и ние виждаме следната картина.
Както можете да видите, елементи ADFS страницата за удостоверяване, както и страниците на съобщения за грешки (снимка, лого, текстови съобщения) са конфигурирани. Потребителят определя потребителското име и паролата за профила си в домейн, потребителското име е вписано в Потребителят Основно име (UPN) формат. Тъй като устройството все още не е регистриран, е отказан достъп.
Чрез натискане на бутона на присъединяване. Виждаме запознат прозорец удостоверяване ADFS.
Ако паролата е правилна, устройството се регистрира, а ние да се върнете към предишния екран, където можете да видите, че Workplacejoin операция е завършена.
Какво се случва зад кулисите? На таблетката използване сертификати модула може да открие в появата на нов сертификат.
Това, че той ще бъде използван като втори фактор на удостоверяване, когато се свързвате към заявлението.
В Active Directory, съответният сертификат обекта може да се намери в нов контейнер RegisteredDevices. Наименование на обекта съвпада с КН на сертификата. Атрибутите на обекта може да се види, например, с помощта на ADSI Edit.
Сред атрибутите ще намерите името на устройството, вида и версията на операционната система, потребителите на SID, завърши регистрацията, датата и часа на регистрация и др.
Опитайте отново да се свържете с Порталът отново се кача на ADFS страница, въведете отново пълномощията АД сметка. Но сега, в допълнение към проверката на парола е завършил успешно и проверката на сертификата е и достъпа до получаване на молбата.
Освен това, след първата успешна връзка, потребителят получава SSO за това приложение. Тя може да затворите браузъра, рестартирайте машината, отворите браузъра отново, тип в URL и ... достъп до приложението, без каквито и да било допълнителни въпроси. Всъщност ,, бисквитките са предоставили първото удостоверяване фактор, сертификат - втората. Разбира се, не завинаги, а от време на време, потребителят ще трябва да докаже неговата автентичност, като въведете паролата. Но този период на ИТ контроли.
Допълнителни съображения за сигурност
Да се върнем към ситуацията с загуба / кражба на таблета. Ако устройството вече е регистрирана, прилагането SSO се изпълнява, и устройството попадне в грешните ръце. Първата линия на защита - парола или PIN-код, за да влезе в устройството. За устройства, които не са задължително домейн заключване може да включва, например, чрез Microsoft Intune или друга МДМ-решение. Ако това не е направено? Така че, ние имаме предвид нападател допълнителен коз - това остава само да отворите URL браузъра и да въведете. Очевидно е, че в тази ситуация, собственикът трябва да уведоми своя IT обслужване възможно най-скоро. И така, какво ще направи? Нека да разгледаме няколко варианта.
Ако регистрацията на услугата устройство не се използва изобщо.
И двете решения, както и други опции, които могат да бъдат предложени, то е приложимо, но не са идеални.
Ако е била регистрирана на устройството.
Администратор, който да намери достатъчно в обекта на рекламата, свързана с изгубено устройство и или изтриване на обекта или на неговите свойства за MSDS-IsEnabled атрибут ЛЪЖА.
След това, когато е свързан с валидирането на сертификата устройство заявление не успее, а потребителят получава съобщение за грешка. По този начин, ние блокира достъпа до определено устройство.
Но това е тема за друг разговор.
Подробности за инсталиране и конфигуриране на ADFS и DRS може да се намери, например, тук:
Разполага с настройки за тези устройства за създаване на условни политики за достъп, разполагането на WAP и др.:
Свързани статии