SAML – NetScaler Identitet og autentisering
Vi leverer for tiden i en hybrid verden. Applikasjoner leveres som SaaS tjenester, produseres på egne datasenter eller i Public Cloud IaaS. I en slik virkelighet blir autentisering, identitetsbrokering og en sømløs og sikker opplevelse for brukeren vesentlig. Vi har erfaring med disse utfordringene, og bruker ofte NetScaler som verktøyet hvor vi syr dette sammen. I denne artikkelen forklarer Kai Thorsrud litt om hvordan vi kan bidra til enklere, sikrere og bedre opplevelser i en slik hybrid tilværelse.
Netscaler Cloud Gateway
Netscaler kan med fordel benyttes som en SAML Service Provider og eller Identity Provider. Den er en fleksibel autentiserings-proxy som fungerer svært godt mot public cloud. Vi bruker den for å tilby brukervennlig pålogging (SSO) til arbeidsflater som kombinerer tradisjonelle og cloud applikasjoner. Man kan eksponere interne web applikasjoner på en sikker måte og skjule interne URLs, samtidig som man samler public cloud og personlige web applikasjoner under en flate. Det er problemfritt å publisere tradisjonelle windows applikasjoner ved å benytte Citrix XenApp / XenDesktop i samme portal.
Investering i Netscaler vil også kunne videreføres i en fully managed cloud solution i Azure. Microsoft har erstattet sin RDP funksjonalitet og tilsvarende gateway funksjoner for å samle dette i form av en fully managed Netscaler, hvor de tilbyr en geo aware tjeneste med 12 Access Points globalt med en rask tilgang til dine applikasjoner.
Fordeler ved å benytte Netscaler for SAML
Netscaler tilbyr en regelbasert autentisering. Andre løsninger er ofte bundet til ett autentiserings-oppsett på frontend og backend, i ett fast prekonfigurert mønster. Ønsker man å tilpasse autentisering ved å gjøre annen back end autentisering eller annen front end autentisering for en applikasjon må man ha en instans per konfigurasjon.
I Netscaler gjøres alt dette dynamisk og under ett grensesnitt og en konfigurasjon. I tillegg kan man også dra nytte av flere avanserte funksjoner som følgende faktorer.
GeoLocation
Netscaler har GeoLocation funksjonalitet og leveres med en Location Database som identifiserer hvilke land du kommer fra eller hvilken region du kommer fra. Databasen er MaxMind sin lite database. Det er mulig å kjøpe Max Mind sin fulle database og importere dette for mer detaljert Geo Location. Den inkluderte databasen gir deg god mulighet til å identifisere hvilket land påloggingen utføres fra.
Eksempler på hvordan Geo Location kan være endel av pålogging
• Kreve ToFaktor fra enkelte Land (Netscaler kommer snart med gratis sms tokens inkludert. Netscaler støtter i dag integrasjon mot de fleste tofaktor løsninger)
• Nekte pålogging fra enkelte Land
IP Reputation
Netscaler har mulighet for å benytte IP Reputation databaser og man kan benytte IP Reputation som en faktor ved pålogging hvor man kan kreve ekstra identifisering eller nekte identifisering hvis pålogging forsøkes fra IP Addresser med dårlig rating. Man kan også aktivere ekstra logging for pålogging fra IP Addresser med dårlig reputation.
End Point Analysis
Netscaler har en End Point Analysis engine som benyttes sammen med tykk VPN Klient. For å kunne gjøre full End Point Analysis kreves det at man benytter VPN Klient for oppkobling. VPN Klient kan automatisk installeres fra tjeneste URL. Det er mulig å benytte End Point Analysis som en faktor ved pålogging, hvor pålogging kun tillates via VPN om man oppfyller kriterier for Anti Virus eller andre End Point kontroller.
Bruk av Netscaler Advanced Expressions under pålogging
Man kan benytte Netscaler Advanced Expressions som endel av påloggings kriterier. Dette gir utallige muligheter ved pålogging som å begrense pålogging på enkelte dager, enkelte tidspunkt. Sende deg til forskjellige IDP basert på domenenavn i epost addresse.
Generelle fordeler ved å benytte Netscaler til pålogging / SSO
Netscaler har en svært fleksibel autentiserings-engine som gjør at man kan lage ett back end autentiserings design for SSO inn mot on premise miljøer og deretter plugge på forskjellige front end autentiserings engines i forkant av applikasjonen. Dette gjør at man f.eks kan velge å la 3rd parties / samarbeidspartnere utnytte konseptet «bring your own identity» og ved attributter gjøre sømløs SSO inn mot on premise miljø.
Eksempler er å tillate login mot on premise miljø med OKTA Identity Provider i forkant hvor kan legger ved «internt» brukernavn som en SAML attributt. Brukeren kan da logge på med Okta SAML identity som ”[email protected]”, hvor brukernavn ”kaithors” sendes som en SAML Attributt og deretter benyttes ved SSO inn i ett tradisjonellt on premise miljø. Videre kan man benytte samme back end autentisering mot en annen leverandørs «client certificate» baserte autentisering i front end hvor da internt brukernavn leveres som en attributt på sertifikatet.
Netscaler er ikke «Nok en ny interrim løsning»
Netscaler som applikasjons leveranse konsept er noe vi ser benyttes mer og mer av forskjellige leverandører for fremtiden
- Microsoft benyttes Netscaler i Azure som en Identity Proxy og har sluttet utvikling av eget produkt til fordel for samarbeid med Citrix.
- Google Elastic Cloud har utviklet hva de kaller «BeyondCorp VPN» som er en klientløs VPN strategi. Ser du hvordan BeyondCorp VPN fungerer er dette som kopiert fra en Netscaler. Google Kaller dette IAP, Identity Autentication Proxy og selges som det nye ”hotte” av aksess teknologier
Netscaler er videre også ranket som nummer 3 av Web Application Firewalls av gartner group i tillegg til å være ranket som nummer to av application delivery controllers av Gartner.
Netscaler har også en meget god arkitekturfordel i forhold til konkurrerende løsninger, ved at Netscaler hele tiden har vært basert på software og ikke ASIC plattform. Dette gjør at Netscaler har ett binary image identisk på tvers av alle plattformer.