Come distribuire ThinMan in Azure per il tuo smart working

2020-05-29T14:42:07+02:0029 Maggio 2020|

In questo periodo, la maggior parte delle aziende supporta i propri collaboratori nel lavoro da remoto e quindi ha la necessità di utilizzare strumenti e soluzioni che permettano di operare in modo efficace e sicuro. Le soluzioni ThinMan Server, ThinOX e Agile di Praim consentono alle aziende di supportare facilmente e senza interruzioni anche la forza lavoro che si avvale di dispositivi gestiti (che siano Thin Client, laptop o personal computer) per accedere alle proprie risorse da remoto.

In pochi minuti la tua azienda può creare un server ThinMan in cloud, installare un certificato di sicurezza e connettere i dispositivi a ThinMan con pochi passaggi. Nella procedura che segue vedremo quanto è facile eseguire il provisioning della tua infrastruttura Praim in cloud e supportare, quindi, la tua forza lavoro remota con la gestione centralizzata degli endpoint.

I recenti aggiornamenti Praim semplificano il processo

Praim ha semplificato i passaggi necessari e con ThinMan Server 8.0 e le versioni successive, è stata introdotta una nuova architettura di connettività denominata Web Socket Secure.

Con la nuova architettura sicura, il numero di porte di rete necessarie per la comunicazione con ThinMan Server è ridotta fino a richiedere solo la porta TCP 443. Ciò consente di semplificare notevolmente la configurazione della gestione delle connessioni di rete necessarie per il controllo remoto.

Nella gestione dei collaboratori che lavorano da remoto, gli amministratori IT devono supportare utenti che si trovano su una vasta gamma possibile di reti domestiche. Gli utenti finali potrebbero non disporre delle competenze tecniche necessarie per risolvere i problemi di connettività di rete o fornire i requisiti di rete che servono a riconnettersi all’infrastruttura Thin Client.

Ridurre i requisiti di connettività alla sola porta TCP 443, come nelle soluzioni Praim, aiuta a garantire che sia facile stabilire la connettività tra ambienti di lavoro remoti e l’infrastruttura aziendale, anche in virtù del fatto che la porta TCP 443 in uscita è predefinita sulla maggior parte delle reti.

Questa semplificazione facilità l’azienda, garantendo la flessibilità necessaria per rendere disponibile un server ThinMan ovunque, incluso in cloud, consentendo il collegamento tra il server e gli ambienti degli utenti finali, anche nelle loro reti domestiche, senza alcuna deroga alla sicurezza.

Istanziare ThinMan in Azure

In questo esempio vediamo come istanziare un server ThinMan in Azure. Ciò consiste semplicemente nel creare una macchina server Windows in Azure su cui poi installare ThinMan. Innanzitutto, implementiamo un server Windows nel nostro ambiente Azure.

Deploying ThinMan in Azure

Istanziare una macchina virtuale Windows Server in Microsoft Azure come host di ThinMan

Una volta eseguito il provisioning di una macchina virtuale in Azure, sarà un gioco da ragazzi installare il server ThinMan sulla macchina virtuale. Si notino in immagine le porte che sono configurate di default. Per il traffico sicuro SSL utilizziamo la porta 443.

Installing ThinMan in Azure

Installare il server ThinMan su una macchina virtuale di Azure

Con un semplice programma di installazione “Avanti, Avanti, Fine”, ThinMan Server viene installato rapidamente e facilmente.

ThinMan installed

Il server ThinMan è installato correttamente nella macchina virtuale di Azure

Con Microsoft Azure è necessario aggiungere porte nella configurazione del “network security group” per consentire il traffico in ingresso nella macchina virtuale. Questo processo è particolarmente semplice con ThinMan Server, perché dobbiamo solo abilitare la porta 443 in entrata per accettare le connessioni dai client. Questo semplifica anche la gestione della sicurezza per ThinMan.

Come accennato in precedenza, le cose sono estremamente semplici e dirette dal lato della connessione client poiché è sufficiente che una sola porta sia aperta anche per il traffico in uscita. Nell’immagine seguente è mostrato come viene aggiunta la porta TCP 443 richiesta in ingresso al server ThinMan nell’ambiente Azure IaaS da: Networking > Inbound port rules delle proprietà della macchina virtuale di Azure.

Azure communicating with ThinMan

Regola per definire la porta in entrata (sicurezza di rete) per la comunicazione dei client con ThinMan

Collegare i client degli utenti finali al ThinMan Server in Azure

Una volta impostata la regola in entrata per la macchina virtuale Azure ThinMan, i client degli utenti finali possono connettersi normalmente al server ThinMan ospitato in Azure.

Durante l’installazione di Agile sul dispositivo, al fine di attivare il prodotto, verrà richiesto di inserire l’indirizzo ThinMan.

Agile

Indicare l’indirizzo (URL) fornito da Azure a cui è raggiungibile ThinMan

Basta indicare l’indirizzo fornito da Azure e come puoi vedere di seguito, l’esito è positivo.

Agile 2

Il client si connette correttamente al server ThinMan ospitato in Azure

Dopo aver verificato la connessione a ThinMan Server, dalla consolle di ThinMan si vedrà il dispositivo client registrarsi con server come mostrato di seguito.

ThinMan remote desktop connection

Dopo aver testato la connessione al server ThinMan, il client dell’utente finale è registrato sul server ThinMan

Una volta che il client dell’utente finale si è registrato con il suo ThinMan Server è possibile eseguire tutte le normali azioni di management tra ThinMan e l’endpoint, tra le quali:

  • Assistenza remota
  • Aggiornamenti
  • Accensione programmata
  • Funzioni speciali e comandi
  • Aggiunta di attività pianificate
  • Altre (come la Configurazione offline di dispositivi ThinOX)

Una volta che tutti i client degli utenti finali che lavorano da remoto saranno registrati a ThinMan, l’amministrazione disporrà in una unica interfaccia (la console di ThinMan) degli strumenti di gestione e monitoraggio per tutta la forza lavoro, semplificando notevolmente il flusso di lavoro e tutte le operazioni IT.

ThinMan local console

Interazione con il client dell’utente finale mediante la console ThinMan Server

Utilizzo di un certificato SSL personalizzato per proteggere ThinMan Server

Come sai, la protezione delle comunicazioni su porta 443 è di uso comune su Internet e viene effettuata utilizzando i certificati SSL. Per impostazione predefinita, ThinMan Server protegge la comunicazione con i client degli utenti finali utilizzando un certificato SSL autofirmato che protegge le comunicazioni crittografandole.

Tuttavia, predisponendo il proprio ThinMan Server di produzione su Azure, è probabile che si voglia incrementare la sicurezza delle comunicazioni ThinMan utilizzando un proprio certificato appropriato al posto di quello autofirmato. Questa soluzione garantisce grande sicurezza creando un canale crittografato gestito tramite handshake SSL che, sfruttando il certificato sicuro aziendale, collega direttamente ThinMan e qualsiasi altro utente collegato in remoto dalla propria casa, consentendo quindi comunicazioni totalmente sicure anche senza definire VPN.

Un’importante funzionalità inclusa in ThinMan è l’integrazione con i certificati SSL “Let’s Encrypt”: certificati liberamente disponibili e opportunamente firmati che consentono di proteggere le comunicazioni SSL tra un server e tutti i suoi client. ThinMan rende estremamente semplice la configurazione di questi certificati SSL affidabili, attraverso la funzionalità “Sicurezza Comunicazione Endpoint”.

Diamo un’occhiata ai passaggi necessari per predisporre l’uso di un certificato SSL personalizzato tramite l’integrazione di Let’s Encrypt in ThinMan Server. Per avviare la configurazione SSL, accedere a Strumenti > Sicurezza Comunicazione Endpoint.

Endpoint security communication

Avviare la configurazione di Sicurezza Comunicazione Endpoint in ThinMan Server

Esistono due opzioni per impostare il certificato per la comunicazione SSL di ThinMan con l’endpoint:

  • Certificato ThinMan self-signed – utilizza il gestore di Let’s Encrypt integrato in ThinMan Server per il provisioning gratuito di certificati SSL conformi.
  • Importare il certificato della tua azienda – Opzione utile se già si dispone di una certificato attendibile.

Di seguito usiamo l’opzione Certificato ThinMan self-signed.

Let's encrypt certificate manager

ThinMan supporta l’utilizzo del gestore certificati Let’s Encrypt per la generazione di certificati SSL

Inserisci il nome FQDN del server ThinMan per la generazione di un certificato SSL da importare utilizzando Let’s Encrypt.

Let's encrypt certificate manager 2

Immettere il nome FQDN utilizzando il gestore Let’s Encrypt incorporato

Certificate verification

Il certificato viene verificato utilizzando il gestore certificati Let’s Encrypt

Integrare Azure AD per l’autenticazione

Con il Feature Pack ThinMan USER+, oltre ad altre funzionalità, gli utenti finali possono continuare ad autenticarsi con le proprie credenziali aziendali anche da remoto e ottenere un profilo personalizzato.

ThinMan, infatti, consente di integrare tramite LDAPS la propria ActiveDirectory. A seconda della configurazione e della strategia di autenticazione della azienda, si può adottare un approccio “completamente cloud” o misto.

Se l’istanza di Active Directory è distribuita all’interno dell’infrastruttura virtuale, ThinMan abilita il passthrough delle credenziali direttamente al VDI. In caso contrario, ThinMan può anche sfruttare Microsoft Azure AD per gli scopi di autenticazione.

Molte aziende stanno già sfruttando Azure AD come parte della loro migrazione verso l’ambiente SaaS (Software-as-a-Service) di Office 365.

Utilizzando Azure AD, si può centralizzare il modello di autenticazione degli utenti che utilizzano client remoti e comunque completare la centralizzazione in cloud dell’intera gestione di tutti gli utenti finali e dei loro client integrandolo con il ThinMan Server già istanziato in cloud. È possibile unire facilmente il server ThinMan ad un servizio ActiveDirectory ed in particolare al servizio di dominio gestito di Azure AD, avendo così accesso all’archivio di autenticazione già esistente.

Non mostreremo qui in dettaglio questo processo, ma a questo link è possibile dare un’occhiata al tutorial su come unire una VM Windows Server a un dominio gestito.

ThinMan server integration

I servizi di Azure AD consentono di integrare facilmente un server ThinMan cloud per gestire in modo centralizzato identità e autenticazione

Conclusioni

Se anche la tua azienda offre ai propri collaboratori la possibilità di lavorare da remoto, ti trovi sicuramente ad affrontare molte sfide per la gestione centralizzata, l’amministrazione e la sicurezza delle postazioni di lavoro distribuite. Con Praim ThinMan Server ospitato in cloud e sfruttando il nuovo protocollo Web Socket Secure, è possibile collegare facilmente i client degli utenti finali, ovunque siano, al ThinMan Server con una riconfigurazione di rete molto semplice.

Come mostrato, il processo per installare ThinMan su una VM IaaS di Azure, aggiungere la regola di rete in entrata appropriata, aggiungere un computer client per l’utente finale come Agile4PC o ThinOX4PC, gestire i certificati sul server ThinMan e persino integrare l’installazione con Azure AD è molto semplice.

Visita le pagine dei nostri prodotti che facilitano i lavoratori remoti per scoprire come rendono la configurazione delle postazioni di lavoro estremamente facile e veloce, sia in locale che nel cloud.

Scarica la versione di prova di ThinMan Server a questa pagina e se vuoi ulteriori dettagli, contattaci!