In questo periodo, la maggior parte delle aziende supporta i propri collaboratori nel lavoro da remoto e quindi ha la necessità di utilizzare strumenti e soluzioni che permettano di operare in modo efficace e sicuro. Le soluzioni ThinMan Server, ThinOX e Agile di Praim consentono alle aziende di supportare facilmente e senza interruzioni anche la forza lavoro che si avvale di dispositivi gestiti (che siano Thin Client, laptop o personal computer) per accedere alle proprie risorse da remoto.
In pochi minuti la tua azienda può creare un server ThinMan in cloud, installare un certificato di sicurezza e connettere i dispositivi a ThinMan con pochi passaggi. Nella procedura che segue vedremo quanto è facile eseguire il provisioning della tua infrastruttura Praim in cloud e supportare, quindi, la tua forza lavoro remota con la gestione centralizzata degli endpoint.
I recenti aggiornamenti Praim semplificano il processo
Praim ha semplificato i passaggi necessari e con ThinMan Server 8.0 e le versioni successive, è stata introdotta una nuova architettura di connettività denominata Web Socket Secure.
Con la nuova architettura sicura, il numero di porte di rete necessarie per la comunicazione con ThinMan Server è ridotta fino a richiedere solo la porta TCP 443. Ciò consente di semplificare notevolmente la configurazione della gestione delle connessioni di rete necessarie per il controllo remoto.
Nella gestione dei collaboratori che lavorano da remoto, gli amministratori IT devono supportare utenti che si trovano su una vasta gamma possibile di reti domestiche. Gli utenti finali potrebbero non disporre delle competenze tecniche necessarie per risolvere i problemi di connettività di rete o fornire i requisiti di rete che servono a riconnettersi all’infrastruttura Thin Client.
Ridurre i requisiti di connettività alla sola porta TCP 443, come nelle soluzioni Praim, aiuta a garantire che sia facile stabilire la connettività tra ambienti di lavoro remoti e l’infrastruttura aziendale, anche in virtù del fatto che la porta TCP 443 in uscita è predefinita sulla maggior parte delle reti.
Questa semplificazione facilità l’azienda, garantendo la flessibilità necessaria per rendere disponibile un server ThinMan ovunque, incluso in cloud, consentendo il collegamento tra il server e gli ambienti degli utenti finali, anche nelle loro reti domestiche, senza alcuna deroga alla sicurezza.
Istanziare ThinMan in Azure
In questo esempio vediamo come istanziare un server ThinMan in Azure. Ciò consiste semplicemente nel creare una macchina server Windows in Azure su cui poi installare ThinMan. Innanzitutto, implementiamo un server Windows nel nostro ambiente Azure.
Una volta eseguito il provisioning di una macchina virtuale in Azure, sarà un gioco da ragazzi installare il server ThinMan sulla macchina virtuale. Si notino in immagine le porte che sono configurate di default. Per il traffico sicuro SSL utilizziamo la porta 443.
Con un semplice programma di installazione “Avanti, Avanti, Fine”, ThinMan Server viene installato rapidamente e facilmente.
Con Microsoft Azure è necessario aggiungere porte nella configurazione del “network security group” per consentire il traffico in ingresso nella macchina virtuale. Questo processo è particolarmente semplice con ThinMan Server, perché dobbiamo solo abilitare la porta 443 in entrata per accettare le connessioni dai client. Questo semplifica anche la gestione della sicurezza per ThinMan.
Come accennato in precedenza, le cose sono estremamente semplici e dirette dal lato della connessione client poiché è sufficiente che una sola porta sia aperta anche per il traffico in uscita. Nell’immagine seguente è mostrato come viene aggiunta la porta TCP 443 richiesta in ingresso al server ThinMan nell’ambiente Azure IaaS da: Networking > Inbound port rules delle proprietà della macchina virtuale di Azure.
Collegare i client degli utenti finali al ThinMan Server in Azure
Una volta impostata la regola in entrata per la macchina virtuale Azure ThinMan, i client degli utenti finali possono connettersi normalmente al server ThinMan ospitato in Azure.
Durante l’installazione di Agile sul dispositivo, al fine di attivare il prodotto, verrà richiesto di inserire l’indirizzo ThinMan.
Basta indicare l’indirizzo fornito da Azure e come puoi vedere di seguito, l’esito è positivo.
Dopo aver verificato la connessione a ThinMan Server, dalla consolle di ThinMan si vedrà il dispositivo client registrarsi con server come mostrato di seguito.
Una volta che il client dell’utente finale si è registrato con il suo ThinMan Server è possibile eseguire tutte le normali azioni di management tra ThinMan e l’endpoint, tra le quali:
- Assistenza remota
- Aggiornamenti
- Accensione programmata
- Funzioni speciali e comandi
- Aggiunta di attività pianificate
- Altre (come la Configurazione offline di dispositivi ThinOX)
Una volta che tutti i client degli utenti finali che lavorano da remoto saranno registrati a ThinMan, l’amministrazione disporrà in una unica interfaccia (la console di ThinMan) degli strumenti di gestione e monitoraggio per tutta la forza lavoro, semplificando notevolmente il flusso di lavoro e tutte le operazioni IT.
Utilizzo di un certificato SSL personalizzato per proteggere ThinMan Server
Come sai, la protezione delle comunicazioni su porta 443 è di uso comune su Internet e viene effettuata utilizzando i certificati SSL. Per impostazione predefinita, ThinMan Server protegge la comunicazione con i client degli utenti finali utilizzando un certificato SSL autofirmato che protegge le comunicazioni crittografandole.
Tuttavia, predisponendo il proprio ThinMan Server di produzione su Azure, è probabile che si voglia incrementare la sicurezza delle comunicazioni ThinMan utilizzando un proprio certificato appropriato al posto di quello autofirmato. Questa soluzione garantisce grande sicurezza creando un canale crittografato gestito tramite handshake SSL che, sfruttando il certificato sicuro aziendale, collega direttamente ThinMan e qualsiasi altro utente collegato in remoto dalla propria casa, consentendo quindi comunicazioni totalmente sicure anche senza definire VPN.
Un’importante funzionalità inclusa in ThinMan è l’integrazione con i certificati SSL “Let’s Encrypt”: certificati liberamente disponibili e opportunamente firmati che consentono di proteggere le comunicazioni SSL tra un server e tutti i suoi client. ThinMan rende estremamente semplice la configurazione di questi certificati SSL affidabili, attraverso la funzionalità “Sicurezza Comunicazione Endpoint”.
Diamo un’occhiata ai passaggi necessari per predisporre l’uso di un certificato SSL personalizzato tramite l’integrazione di Let’s Encrypt in ThinMan Server. Per avviare la configurazione SSL, accedere a Strumenti > Sicurezza Comunicazione Endpoint.
Esistono due opzioni per impostare il certificato per la comunicazione SSL di ThinMan con l’endpoint:
- Certificato ThinMan self-signed – utilizza il gestore di Let’s Encrypt integrato in ThinMan Server per il provisioning gratuito di certificati SSL conformi.
- Importare il certificato della tua azienda – Opzione utile se già si dispone di una certificato attendibile.
Di seguito usiamo l’opzione Certificato ThinMan self-signed.
Inserisci il nome FQDN del server ThinMan per la generazione di un certificato SSL da importare utilizzando Let’s Encrypt.
Integrare Azure AD per l’autenticazione
Con il Feature Pack ThinMan USER+, oltre ad altre funzionalità, gli utenti finali possono continuare ad autenticarsi con le proprie credenziali aziendali anche da remoto e ottenere un profilo personalizzato.
ThinMan, infatti, consente di integrare tramite LDAPS la propria ActiveDirectory. A seconda della configurazione e della strategia di autenticazione della azienda, si può adottare un approccio “completamente cloud” o misto.
Se l’istanza di Active Directory è distribuita all’interno dell’infrastruttura virtuale, ThinMan abilita il passthrough delle credenziali direttamente al VDI. In caso contrario, ThinMan può anche sfruttare Microsoft Azure AD per gli scopi di autenticazione.
Molte aziende stanno già sfruttando Azure AD come parte della loro migrazione verso l’ambiente SaaS (Software-as-a-Service) di Office 365.
Utilizzando Azure AD, si può centralizzare il modello di autenticazione degli utenti che utilizzano client remoti e comunque completare la centralizzazione in cloud dell’intera gestione di tutti gli utenti finali e dei loro client integrandolo con il ThinMan Server già istanziato in cloud. È possibile unire facilmente il server ThinMan ad un servizio ActiveDirectory ed in particolare al servizio di dominio gestito di Azure AD, avendo così accesso all’archivio di autenticazione già esistente.
Non mostreremo qui in dettaglio questo processo, ma a questo link è possibile dare un’occhiata al tutorial su come unire una VM Windows Server a un dominio gestito.
Conclusioni
Se anche la tua azienda offre ai propri collaboratori la possibilità di lavorare da remoto, ti trovi sicuramente ad affrontare molte sfide per la gestione centralizzata, l’amministrazione e la sicurezza delle postazioni di lavoro distribuite. Con Praim ThinMan Server ospitato in cloud e sfruttando il nuovo protocollo Web Socket Secure, è possibile collegare facilmente i client degli utenti finali, ovunque siano, al ThinMan Server con una riconfigurazione di rete molto semplice.
Come mostrato, il processo per installare ThinMan su una VM IaaS di Azure, aggiungere la regola di rete in entrata appropriata, aggiungere un computer client per l’utente finale come Agile4PC o ThinOX4PC, gestire i certificati sul server ThinMan e persino integrare l’installazione con Azure AD è molto semplice.
Visita le pagine dei nostri prodotti che facilitano i lavoratori remoti per scoprire come rendono la configurazione delle postazioni di lavoro estremamente facile e veloce, sia in locale che nel cloud.
Scarica la versione di prova di ThinMan Server a questa pagina e se vuoi ulteriori dettagli, contattaci!