ניהול גישה ו- SSO

NetIQ Access Manager & SSO

** חברת NetIQ נרכשה ע"י Micro Focus.

כדי להישאר תחרותיות, חברות חייבות להיות זמינות לעובדים, ללקוחות ולשותפים שלהן, ללא תלות במיקומם או בשעת הגישה. מערכת Access Manager של NetIQ מתגברת על האתגר הזה ומסייעת לנהל את גישת המשתמשים ללא מגבלות אבטחה או שליטה.

המערכת כוללת פתרונות אבטחה של NetIQ המפחיתים סיכונים ומאפשרים לנהל מערכת מהירה ויעילה של יחסים עם לקוחות ושותפים.

גישה בטוחה – מבוססת תפקידים והרשאות

מערכת Access Manager של NetIQ מספקת לאנשי ה-IT כלים לניהול גישה בטוחה ופשוטה למערכות המחשוב בארגון. הגישה ניתנת בהתבסס על תפקיד המשתמש בחברה או מחוצה לה.

מערכת single sign-on

ריבוי סיסמאות יכול להוות מטרד ובעיית אבטחה אפשרית. מערכת Access Manager של NetIQ מספקת מערכת גישת single sign-on רשתית כך שכלל המשתמשים צריכים לזכור סיסמא אחת בלבד על מנת לגשת לכל אפליקציות הארגון מבוססות הרשת.

איחוד זהויות- Federation

מערכת Access Manager של NetIQ מאפשרת ליצור איחוד זהויות מבלי לשנות תכנים או להתקין תוכנה נוספת על שרת הרשת. כך יכולים המשתמשים לאחד את זהויותיהם מיידית דרך ה-firewall.

באמצעות יכולות ה Federatrion ניתן (למשל) לאפשר גישה אל חלק ממשאבי הארגון למשתמשים השייכים לארגון חיצוני, ובמידה והוגדרו יחסי אבטחה מתאימים (קרא עוד על Federation במאמר הבא)

ניהול מרכזי

קל לנהל את מערכת Access Manager של NetIQ. ניתן להשתמש במרכז השליטה המרכזי על מנת לנהל גישה לכל המשאבים הדיגיטליים בארגון, ללא צורך בהתקנת כלי תוכנה שונים במקומות שונים. זהו פתרון גישה יחיד המתאים לכל האפליקציות ונכסי המידע. מערכת הניהול מאפשרת טיפול בו-זמני בהתקני מערכת הפרוסים באתרים שונים של הארגון. בנוסף, ניתן לממש ביזור סמכויות ניהול למנהלנים שונים בארגון.

תאימות רגולטורית

מערכת Access Manager של NetIQ יכולה לייצר דוחות שיציגו את פרטי כל אירועי המערכת, למשל – מי מורשה לגשת למקור מסוים ומתי ניגשו אליו – כך שקל לעקוב אחר תאימות האירועים. בין אם מדובר בשימוש חיצוני או פנימי, המערכת מספקת דוחות שתואמים סטנדרטי רגולציה רבים.

רכיבי המערכת

  • Identity Server – אימות זהויות, תפקידים והרשאות
  • Access Gateway – בקרת ואבטחת גישה ליישומי HTTP
  • SSLVPN – בקרת ואבטחת גישה ליישומים שאינם מבוססי HTTP
  • Java Agents – בקרת ואבטחת גישה ליישומים מבוססי EJB ו Servlets
  • מנוע חוקים מתקדם
  • איחוד זהויות (Identity Federation) באמצעות תמיכה בתקני SAML ו- Liberty Alliance (ללא צורך בביצוע שנויים לשרתי ה Web הקיימים !)

רכיב ACCESS GATEWAY : בקרת ואבטחת גישה ליישומי HTTP

זהו למעשה שמו החדש של שרת ה Proxy המוכר בשם iChain. רכיב זה מבודד את שרתי היישומים (מבוססי HTTP) מן המשתמש. שרת Access Gateway פועל כ- Reverse Proxy בין המשתמש לבין יישומים מבוססי HTTP.

השרת תומך בזהוי המשתמש באמצעות סיסמא, Certificate או התקן Token – סיסמא חד פעמית (או שילוב השיטות). שרת זה גם אחראי למימוש Single Sign On כלפי שרתי ה Web הפנימיים. שרת Access Gateway יכול לדאוג להצפנת כל התעבורה כלפי משתמש הקצה (SSL).

על מנת לזהות את המשתמשים ולבדוק את זכאותם לגישה אל המשאבים המבוקשים, עובד שרת Access Gateway מול רכיב נוסף במערכת, ה- Identity Server.

רכיב SSL-VPN : בקרת ואבטחת גישה ליישומים שאינם מבוססי HTTP

על מנת לאפשר בקרת גישה אל יישומים כלשהם בתוך הרשת הארגונית, נוסף בגרסה החדשה רכיב SSL-VPN. רכיב זה מאפשר פתיחת תווך מוצפן בין מחשב המשתמש לבין הרשת הארגונית, ולפיכך מאפשר הפעלת יישומים במגוון פרוטוקולים (לא מוגבל ליישומי HTTP ).

יתר על כן, על מנת לאפשר פתיחת ערוץ SSL-VPN, על המשתמש לעבור תחילה הזדהות מול רכיב Access Gateway . לאחר זהוי המשתמש, נבדק מחשב המשתמש לעמידה בכללים שנקבעו בארגון, ובמידה והבדיקה עוברת בהצלחה מותרת למשתמש גישה ליישומים מוגדרים מראש (כפוף לקביעת חוקים ומדיניות).

שרת הזהויות – IDENTITY SERVER

"שרת הזהויות" מספק שירותי אימות זהות משתמשים עבור כל יתר רכיבי המערכת. שרת זה הוא גם הרכיב המספק את שירותי Liberty Alliance ו- SAML (תומך גם בגרסה 1.1 וגם בגרסה 2.0 של התקן).

משתמשים הניגשים לשירותים הפנימיים בארגון, מזוהים תחילה על ידי ה Identity Server, אשר יכול גם לוודא את תפקידי המשתמשים (Roles) ומוודא כי הגישה למשאבים המבוקשים על ידי המשתמש תהיה כפופה להרשאה מתאימה. שרת הזהויות מוגדר לעבודה מול מאגר זהויות ארגוני, שיכול להיות מבוסס NetIQ eDirectory או Microsoft Active Directory .

טכנולוגיה נוספת המיושמת על ידי רכיב זה היא Federated Provisioning, אשר מאפשרת יצירת חשבונות משתמשים באופן אוטומטי במידה והופנו לאתרי החברה מגורם חיצוני מוכר (המוגדר במסגרת שירותי Federation ). ללא תכונה זו יהיה צורך בפעולת רישום המשתמש טרם מתן גישה ליישום (נגזר מהגדרות תקן Liberty Alliance ).

JAVA AGENTS

על מנת לאפשר תמיכה טובה יותר בבקרת הרשאות ליישומי Java ארגוניים, נוספו בגרסה החדשה רכיבי "סוכן" (Agents) המיועדים לשילוב במספר שרתי Applications מובילים:

  • BEA WebLogics
  • IBM WebSphere
  • Jboss

רכיבים אלה מרחיבים ומעמיקים את יכולת השליטה בגישה אל יישומים מבוססי EJB או Servlet. 

קישורים רלוונטיים:

סרטון המחשה של Access Manager

קישור לאתר היצרן