Fra våre kunder hører vi ofte at de sliter med å tilpasse sine applikasjoner til en hverdag der brukerne ønsker mer fleksibilitet i forhold til klientplattformer. Mange har i dag interne webapplikasjoner som baserer seg på Windows-autentisering med Single Sign On (SSO). Dette fungerer svært godt for Windows-PCer, men er ikke like brukervennlig på en iPad eller en mobiltelefon.
Samtidig er mange av disse webapplikasjonene ikke tilgjengelig utenfor det interne nettverket. Ofte fordi de inneholder konfidensiell, intern informasjon. Eller fordi det oppleves som komplisert å levere applikasjonen på en sikker måte. Effekten er at slike applikasjoner ofte leveres via VPN-løsninger.
Begge disse utfordringene har samme løsning. Ved å benytte en Netscaler logon-portal kombinert med SSO mot applikasjonen, oppnår vi både tilgjengelighet utenfra og et brukervennlig logon-miljø for brukere av mobile enheter.
Funksjonen i Netscaler som muliggjør dette er AAA serverobjektet. AAA står for «Authentication, Authorization and Accounting». AAA kan henges på som en autentiseringsprofil på alle webpubliseringer. Når en bruker åpner f.eks. https://intranet.mycompany.com/ vil Netscaler omdirigere trafikken til en innloggingsside dersom brukeren ikke alt er autentisert. Siden mottar brukernavn, passord og eventuelt andre faktorer (2FA koder, sertifikat mv.), og når brukerens identitet er etablert leveres applikasjonen til brukeren via Netscaler. Netscaler vil sørge for å logge inn brukeren mot applikasjonsserver.
Den store fordelen med denne oppdelingen, der bruker er autentisert av Netscaler og Netscaler sørger for login mot applikasjon på vegne av brukeren, er at det kan benyttes ulike autentiseringsmetoder på hver side. På innsiden er vi låst til det som tilbys av bakenforliggende servere, i et Windows-miljø som regel NTLM eller Kerberos. Men på utsiden, mot bruker, kan vi tilby et bredt utvalg av metoder. Det mest vanlige er å buke et internt AD via LDAP som identitetskilde for Netscaler, men det kan like godt brukes teknikker som «Log on with Google», «Log on with Facebook» eller andre tjenester der brukerens identitet hentes via federering mot eksterne brukerkataloger. Om man alt benytter en lokal ADFS mot Office 365 kan ADFS også benyttes av Netscaler. Listen er lang og mulighetene mange.
Resultatet av dette er at hver tjeneste får sitt eget lille VPN. Trafikken er kryptert og brukeren er identifisert. Netscaler sørger også for at dersom brukeren aksesserer flere interne applikasjoner med samme autentiseringsprofil, kreves det ikke flere runder med autentisering. Brukerens sesjon mot AAA objektet gjenbrukes for neste applikasjon som startes.
Hva kreves så for å sette opp noe slikt? Det er egentlig ikke så mye. Først og fremst kreves Netscaler med Enterprise eller Platinum lisens for å ha tilgang til AAA server. Men i motsetning til VPN over Netscaler kreves det ikke lisens pr. bruker. Det som skal etableres er en AAA logon server med tilhørende autentiseringstjenester. Så opprettes en autentiseringsprofil som knyttes til helt ordinære publiserte webapplikasjoner i Netscaler.
AAA kan benytte «Advanced authentication policies» i Netscaler. I dette ligger også nFactor autentisering (fra Netscaler versjon 11). nFaktor gjør det mulig å bygge logiske strukturer med et fritt antall autentiseringsmetoder.
Som vi ser kan Netscaler bygge broen mellom lukkede Windows plattformer og mobile enheter eller brukere utenfor lokalnettet på en bedre måte enn nettverksbaserte VPN-løsninger. Med dette flytter vi VPN-funksjonen opp på applikasjonslaget. Dette gir bedre kontroll samtidig som fleksibiliteten blir større.