La gestione centralizzata dell’autenticazione è estremamente importante negli ambienti aziendali odierni e generalmente è fornita da directory abilitate per LDAP come Microsoft Active Directory Domain Services (ADDS). Spesso le aziende predispongono infrastrutture LDAP molto complesse, che includono domini e sottodomini diversi, ma conciliare quest’organizzazione per fornire servizi di autenticazione e autorizzazione di accesso a dispositivi Thin Client a più directory LDAP può rappresentare un problema.

A partire dalla versione 7.9.1, la console di gestione centralizzata Praim ThinMan include la funzionalità di integrazione di più domini LDAP per fornire flessibilità di configurazione in fase di autenticazione ad ambienti Thin Client. Diamo quindi un’occhiata a questa integrazione, al perché è necessaria e a come viene implementata in ThinMan.

Perché possono rendersi necessarie più directory LDAP?

Uno degli aspetti più importanti di qualsiasi ambiente IT è la configurazione dell’identità degli utenti. La maggior parte delle politiche di sicurezza si basa su qualche tipo di registro o “autorità” centralizzata di identità. Nella maggior parte degli ambienti aziendali, oggi la gestione dell’identità è gestita attraverso la creazione di directory basate sul protocollo LDAP (Lightweight Directory Access Protocol), come ad esempio i servizi di dominio Active Directory di Microsoft. LDAP offre servizi di autenticazione generici per client che devono accedere alle risorse condivise sull’infrastruttura. Ciò include anche gli ambienti resi dispositivi su Thin Client.

Sono molte le ragioni per cui un’organizzazione potrebbe aver bisogno della flessibilità necessaria ad indirizzare più di una fonte di directory LDAP, per fornire autorizzazioni o servizi di autenticazione. Ad esempio:

  • L’organizzazione è molto ampia, con più unità aziendali in diverse aree geografiche che richiedono l’uso di più ambienti di dominio.
  • Potrebbe essersi verificata una recente fusione o acquisizione che richiede la coesistenza, quantomeno per un periodo di transizione, di più domini con account utente e altre risorse.
  • Un’organizzazione potrebbe essere responsabile della gestione dell’infrastruttura e fungere da “resource forest” per un altro dominio differente o per più domini.
  • Assorbimenti, ristrutturazioni aziendali, trasferimento di rami di azienda, etc.

Le organizzazioni che utilizzano più directory LDAP, per un motivo o per l’altro, spesso necessitano della possibilità di integrare tutte queste directory per smistare e gestire le autorizzazioni nei servizi di autenticazione, a seconda della struttura e delle attività.

Come accennato in precedenza, fornire l’autenticazione a diverse risorse in ambienti Thin Client generalmente dipende dalla capacità di indirizzare i servizi di directory LDAP. Per le realtà che eseguono più directory nel loro contesto organizzativo, avere una soluzione ristretta alla connessione a una sola directory LDAP può risultare molto limitante e creare problemi di diversa natura.

La nuova funzionalità di ThinMan dà la possibilità di integrare più directory LDAP per fornire la flessibilità necessaria anche nelle configurazioni multi-dominio, che sono spesso molto complesse.

Integrazione di più directory LDAP in ThinMan

La nuova funzione è disponibile dalla versione 7.9.1. Inoltre, ThinMan Advanced (versione 8.x) aggiunge questa capacità ai Feature Pack ADMIN+ e USER+, potenziandone ulteriormente le funzionalità incluse.

In quali casi è possibile sfruttare l’integrazione multi-LDAP?

  • User policy: quando viene utilizzata la ThinMan Login è possibile abbinare l’autenticazione dell’utente alla applicazione di specifiche policy di utilizzo del dispositivo a cui sta accedendo, attraverso la definizione di profili utente. Ciò include la possibilità di utilizzare/richiedere le modalità di accesso di Smart Identity (con card o a due fattori di autenticazione). Nel momento in cui si definiscono i criteri da applicare per le diverse tipologie di utenti (risorse a cui devono accedere, impostazioni di ambiente, ecc.) è possibile scegliere a quali utenti o gruppi applicarle anche pescando tra le diverse directory/domini LDAP su cui risiedono gli utenti/gruppi.
  • ThinMan management: è possibile scegliere quali ruoli assegnare a utenti e/o gruppi di utenti nella Access Control List (ACL) per la gestione di ThinMan, potendo collegare utenze registrare con LDAP e scegliere utenti e gruppi da domini diversi.

Configurare l’integrazione multi-LDAP su ThinMan Server

La configurazione di più directory LDAP può essere effettuata in pochi clic. In Opzioni Generali > Server LDAP è possibile definire i server LDAP utilizzati dai servizi Profile Manager, ThinMan Login e Smart Identity.

Come puoi vedere di seguito, hai la possibilità di definire la “lista” di server e directory LDAP che verranno utilizzati per l’autenticazione. I domini possono anche essere aggiunti ma non abilitati. Il flag deve essere impostato quando si aggiunge il dominio per l’utilizzo nell’autenticazione.

Configurazione di server LDAP multipli in ThinMan

Configurazione multi-LDAP in Policy Properties

Per le Applicazioni e Policy Device è presente una nuova sezione inclusa nel tab Impostazioni > Servizio Autenticazione che consente di configurare i servizi di dominio LDAP utilizzati a fini di autenticazione ed è disponibile quando si utilizzano le funzionalità ThinMan Login e/o Smart Identity.

Quando vengono selezionati più domini, l’utente può scegliere il dominio per l’autenticazione da un menu drop-down.

Scelta dei domini nelle impostazioni dei criteri di ThinMan

Filtri utente

È inoltre possibile definire quali utenti sono abilitati a ThinMan Login e Smart Identity a livello di singolo utente o tramite gruppi. Se non sono presenti filtri, i servizi sono abilitati per tutti gli utenti del dominio. Inoltre, come vedi nella schermata qui sotto, puoi filtrare gli utenti in più domini nella stessa finestra di dialogo Filtro utente.

Prestazioni nella configurazione multi-LDAP

Nel momento in cui si esegue una query su LDAP per autorizzazioni di sicurezza in aziende con ambienti LDAP molto vasti (con decine di migliaia di utenti, dispositivi, ecc.), le prestazioni sono molto importanti. La ricerca testuale dell’integrazione multi-LDAP di ThinMan è stata ottimizzata per avere maggiori prestazioni riducendo il numero di oggetti renderizzati.

Se il numero di oggetti restituiti è maggiore di 1000, l’utente viene invitato a utilizzare il campo di ricerca di testo per filtrare ulteriormente la query di ricerca. In questo modo, le prestazioni delle query LDAP sono migliorate pur restituendo gli oggetti in modo efficace.

Conclusioni

Lavorare con più domini può essere un problema complesso e le soluzioni potrebbero spesso consentire l’integrazione di una sola fonte di identità. Praim ThinMan consente di integrare più sorgenti LDAP e autenticare potenzialmente tutti gli utenti da queste sorgenti multiple.

Utilizzando l’integrazione multi-LDAP con ThinMan è possibile gestire efficacemente l’accesso differenziato e l’autenticazione di utenti e gruppi attraverso le funzionalità: ThinMan Login, Smart Identity e User policy. Le varie funzionalità possono essere combinate tra loro e associate flessibilmente a utenti/gruppi che possono essere filtrati per dominio, limitando l’autenticazione o determinate risorse solo a quelli che si desidera autenticare.