Ciao!
Ho bisogno di aiuto? Siamo proprio qui!
Ho bisogno di aiuto? Siamo proprio qui!
Risultati di Ricerca:
×Questa guida fornisce un'introduzione ad alcune delle soluzioni chiave fornite dal server miniOrange Single Sign On per proteggere l'infrastruttura Windows, alcune delle quali sono in grado di autenticare le applicazioni connesse dopo aver effettuato l'accesso al dominio Windows, aggiungendo un secondo livello di autenticazione quando si accede a risorse protette tramite una VPN o un server desktop remoto, ecc.
In tutti i casi sopra menzionati, LDAP è un aspetto significativo poiché ha il vantaggio di consolidare le informazioni di un'intera organizzazione in un repository centrale. miniOrange fornisce un'ampia gamma di soluzioni per LDAP, come LDAP Proxy/Gateway, supporto per più Active Directory come archivi utente, sincronizzazione di Active Directory con il server miniOrange, ecc.
miniOrange fornisce l'autenticazione degli utenti da varie fonti esterne, che possono essere Directory (come ADFS, Microsoft Active Directory, OpenLDAP, AWS ecc.), Provider di identità (come Microsoft Entra ID, Okta, AWS) e molti di più. Puoi configurare la tua directory/archivio utente esistente o aggiungere utenti in miniOrange.
Hai effettuato l'accesso al tuo sistema Windows e vuoi effettuare l'accesso a un'applicazione, ad esempio un'app on-premise come SharePoint o un'app cloud come GSuite. Non ti stanchi di effettuare l'accesso a ogni applicazione con le stesse credenziali ogni singola volta? Fidati di noi, possiamo semplificarti le cose.
miniOrange fornisce una soluzione che, una volta effettuato l'accesso a Windows, consente di effettuare Single Sign On nelle applicazioni connesse ospitate sia nel cloud che on-premise, a condizione che le applicazioni siano configurate all'interno del dominio per SSO. È possibile configurare portali intranet o applicazioni come Google Apps, Office 365, ecc. che effettueranno l'accesso automaticamente quando si tenta di accedervi.
Sfida/risposta di Windows (NTLM) è il protocollo di autenticazione utilizzato nelle reti che includono sistemi che eseguono il sistema operativo Windows e nei sistemi autonomi.
Il protocollo Kerberos definisce come i client interagiscono con un servizio di autenticazione di rete. I client ottengono i ticket dal Kerberos Key Distribution Center (KDC) e li presentano ai server quando vengono stabilite le connessioni. I ticket Kerberos rappresentano le credenziali di rete del client.
L'autenticazione Windows utilizza l'autenticazione Kerberos o l'autenticazione NTLM, a seconda delle configurazioni client e server. Questo documento segue l'esempio di un caso d'uso in cui NTLM è la scelta migliore: le applicazioni vengono distribuite su server Windows uniti al dominio Active Directory. ovvero) Esiste un'intera configurazione Microsoft Active Directory.
Il server miniOrange SSO consente di accedere alle applicazioni senza dover reinserire le credenziali dopo l'autenticazione nel dominio Windows.
miniOrange ottiene questo risultato installando un componente sul server Windows che, sostanzialmente, funge da Identity Provider. Quando l'utente tenta di accedere a un'applicazione cloud come Salesforce, la richiesta viene inviata al server miniOrange SSO che a sua volta chiede al modulo SAML miniOrange installato nella macchina Windows se l'utente può effettuare l'accesso ed esegue l'SSO in base alla risposta del modulo.
Ciò comporta fondamentalmente 3 passaggi:
1. Aprire il prompt dei comandi in modalità amministrativa.
2. Eseguire su di esso il seguente comando:
setspn -a HTTP/## FQDN del server## ##Account del servizio di dominio##
3. Aprire Utenti e computer di Active Directory.
4. Cerca l'account di servizio che è stato utilizzato per creare il Nome principale del servizio (SPN).
5. Passare alla finestra Delegazione scheda.
6. Selezionare Fidati di questo utente per la delega a qualsiasi servizio (solo Kerberos).
7. Clic APPLICA.
8. Apri Gestione IIS.
9. Seleziona il sito a cui vuoi applicare Autenticazione di Windows a.
10. Seleziona il pool di applicazioni per quel sito web. Fai clic destro su di esso e seleziona Impostazioni avanzate.
11. Utilizzare Conto personalizzato e imposta l'account come account di servizio per cui è stata abilitata la delega. Dovresti anche inserire la password dell'account di servizio.
12. Passare alla finestra Autenticazione sezione del sito web.
13. Abilitare Autenticazione di Windows e disabilitare Autenticazione anonima.
14. Nell'Editor di configurazione, cercare sistema.webServer/security/autenticazione/windowsAuthentication.
15. Impostato usaKernelMode as Falso and utilizzareAppPoolCredentials as I veri
16. Clic APPLICA.
17. Apri Internet Explorer e aperto Opzioni Internet.
18. Aggiungere il nome di dominio completo del server IIS all'elenco dei siti nell'Intranet locale.
19. Selezionare Livello personalizzato per l' Zona di sicurezzaNell'elenco delle opzioni, seleziona Accesso automatico solo nella zona Intranet.
Installerai un modulo SAML sul server IIS unito al dominio Windows. E questo modulo sarà responsabile dell'identificazione se l'utente che ha effettuato l'accesso a Windows può effettuare l'accesso anche alle applicazioni connesse, all'interno del dominio.
Quando l'utente tenta di accedere a un'applicazione cloud, ad esempio Salesforce, la richiesta viene ricevuta da miniOrange, che la inoltra a questo modulo SAML installato in locale, il quale determina se l'utente può effettuare l'accesso automatico e invia la risposta di conseguenza.
1. Inserisci gli URL nel samlsso.php nel modulo SAML.
| Parametro | Valore |
|---|---|
| URL ACS | Del formato: https://auth.miniorange.com/moas/endusersamlresponse |
| Emittente | Il nome host del server |
| Pubblico | https://auth.miniorange.com/moas |
2. Salvare il file.
1. Accedi alla dashboard di amministrazione.
2. Navigare verso Provider di identità nella barra di navigazione di sinistra.
3. Fare clic su Aggiungi origine identità.
4. Aggiungere una sorgente di identità SAML in miniOrange con i dettagli del modulo SAML on-premise.
| Parametro | Valore |
|---|---|
| ID entità IdP/emittente | Come impostato nel passaggio precedente |
| URL di accesso SAML SSO | Del formato http://< hostname_of_server >/saml/samlsso.php |
| Certificato X.509 | Il certificato SP nel modulo SAML |
5. Salvare l'origine dell'identità e impostarla come origine dell'identità predefinita facendo clic su Rendere predefinito.
miniOrange gateway è un piccolo software che può risiedere su una macchina condivisa. Non avrà bisogno di una macchina propria e i nostri clienti in genere lo installano su qualsiasi server che si trovi già nella DMZ.
Clicca qui per di più.
Questo serve per impostare un file di proprietà esterne che Tomcat usa per leggere e scrivere la configurazione LDAP. Per impostare il file di proprietà esterne, segui i passaggi sottostanti:
1. Aprire catalina.bat (catalina.sh nei server Linux) se si installa Tomcat.
2. Aggiungere la seguente riga qui sotto # ----- Esegui il comando richiesto -------------------------------------
Linux
JAVA_OPTS="$JAVA_OPTS-Dexternal.properties.file=/home/utente/applicazione.properties
Windows
imposta JAVA_OPTS=%JAVA_OPTS%-Dexternal.properties.file=C:\Utenti\utente\Documenti\application.properties
3. Salvare il file.
4. Riavviare Tomcat.
Questo passaggio è necessario per configurare la connessione LDAP sul Gateway. Seguire i passaggi sottostanti:
1. Accedere al miniOrange LDAP Gateway.
2. Passare alla finestra Configura le chiavi .
3. Impostare il identificativo del cliente E Chiave token dell'account miniOrange e clicca su Salva.
4. Passare alla finestra Configurazioni LDAP sezione. Clicca su Modifica per la configurazione LDAP predefinita.
5. Aggiungere i seguenti dettagli di configurazione. Fare clic su Salvare.
Seguire i passaggi sottostanti per configurare la sincronizzazione pianificata
1. Passare alla finestra Pianificatore .
2. Impostare il Intervallo di sincronizzazione in ore. Ciò determina il numero di ore dopo le quali verrà eseguita la sincronizzazione pianificata. Nelle configurazioni tipiche, è 24 ore.
3. Impostare il Tempo di sincronizzazione in HH: mm formato. Questo determina l'ora del giorno in cui verrà eseguita la prima sincronizzazione programmata. Fai clic su Salvare.
La sincronizzazione pianificata verrà ora eseguita all'ora impostata.
Per configurare il gateway LDAP nella console di amministrazione miniOrange, seguire i passaggi sottostanti:
1. Vai alla miniOrange Admin Console. Accedi con le tue credenziali miniOrange.
2. Passare alla finestra Negozi utente .
3. Fare clic su Aggiungi utente Conservare.
4. Selezionare il tipo come AD/LDAP e impostare Memorizza la configurazione LDAP in locale.
Impostare il URL del gateway miniOrange.
Seleziona Attiva LDAP.
Fare clic su Salvare.
Lo strumento miniOrange LDAP Gateway Sync funge da intermediario tra un server Active Directory/LDAP locale e il servizio miniOrange basato su cloud.
Permette le seguenti funzionalità:
Lo strumento miniOrange LDAP Gateway Sync funge da intermediario tra un server Active Directory/LDAP on-premise e un servizio miniOrange basato su Cloud. Consente le seguenti funzionalità:
Ciò consente di configurare più Active Directory in miniOrange per l'autenticazione e quale Active Directory deve essere utilizzata per l'autenticazione in quale applicazione. Ad esempio, è possibile configurare AD1, AD2,....ADN come origine di autenticazione per le app. In questo modo, gli utenti in tutte queste directory saranno in grado di effettuare l'accesso singolo a tutte le app.
LDAP come proxy agisce da livello intermedio tra il client LDAP, ad esempio qualsiasi CMS (Wordpress ad esempio) e Active Directory, il server di directory LDAP.
LDAP Proxy risiede nella DMZ tra un'applicazione basata su cloud e un LDAP interno ed è responsabile dell'inoltro delle richieste LDAP dall'applicazione al server on-premise. Ciò consente all'applicazione di accedere al proxy per l'integrazione LDAP e la directory interna rimane non esposta all'interno della rete.
Se si utilizza una Virtual Private Network (VPN) per consentire agli utenti di connettersi tramite una rete pubblica, migliorare la sicurezza diventa una preoccupazione poiché gli utenti ottengono l'accesso a risorse digitali sensibili. miniOrange può essere di grande valore in questo caso, fornendo l'autenticazione a 2 fattori in aggiunta all'autenticazione VPN. Ciò protegge l'accesso alle risorse protette anziché basarsi solo sul nome utente/password VPN.
Remote Authentication Dial-In User Service (RADIUS) è un protocollo client/server che fornisce autenticazione e autorizzazione client. Consente ai server di accesso remoto di comunicare con un server per autenticare gli utenti e autorizzare il loro accesso al sistema o al servizio richiesto.
| Testo in chiaro | Hash NT (ntlm_auth) | Hash MD5 | Hash MD5 salato | Hash SHA1 | Hash SHA1 salato | Cripta Unix | |
|---|---|---|---|---|---|---|---|
| PAP | |||||||
| CHAP | |||||||
| digerire | |||||||
| MS-CAP | |||||||
| PISELLA | |||||||
| EAP-MSCHAPv2 | |||||||
| Cisco SALTO | |||||||
| EAP-CGC | |||||||
| PAE-MD5 | |||||||
| EAP-SIM | |||||||
| EAP-TLS |
miniOrange realizza questo compito agendo come server RADIUS, che accetta il nome utente/password dell'utente immessi come richiesta RADIUS, convalida l'utente rispetto all'archivio utenti come Active Directory (AD), gli richiede l'autenticazione a due fattori e concede/revoca l'accesso in base all'input dell'utente.
L'autenticazione a due fattori può essere di due tipi, a seconda dei client VPN.
In questo caso, ci sono due richieste. Quella iniziale è con username/password dell'utente che viene convalidata rispetto alle credenziali archiviate in Active Directory. Dopo che la prima richiesta invia una risposta di successo, viene inviata una richiesta di sfida per convalidare l'autenticazione a 2 fattori dell'utente (ad esempio, nel caso di OTP tramite e-mail, un codice di accesso monouso viene inviato all'e-mail dell'utente). L'utente convalida il secondo fattore dopo il quale gli viene concesso l'accesso all'applicazione.
Metodi di autenticazione che possono essere utilizzati:
Client RADIUS che supportano questo tipo di autenticazione:
Più avanti, ci sono due tipi di autenticazione:
In entrambi i casi sopra indicati, miniOrange accetta la richiesta e convalida prima il nome utente/password e poi il codice a due fattori inserito dall'utente.
Metodi di autenticazione che possono essere utilizzati:
Client RADIUS che supportano questo tipo di autenticazione:
1. Accedi alla dashboard di amministrazione.
2. Navigare verso App >> Gestisci app nella barra di navigazione di sinistra.
3. Fare clic su Configura le app.
4. Vai alla scheda Applicazioni Radius e seleziona Server del raggio app. Clicca su Aggiungi app pulsante.
5. Inserisci il nome del client Radius, l'IP del client e il segreto condiviso che dovrai configurare anche nel client Radius.
6. Fare clic su Salva pulsante.
1. Vai al menu Store utente e clicca su Aggiungi archivio utente pulsante.
2. Configura le impostazioni LDAP.
3. Assicurati di mantenere abilitate le opzioni seguenti.
4. Fare clic su Salva.
5. Dopo aver salvato, fare clic su Configurazione di prova per verificare le impostazioni LDAP
1. Vai alla scheda Criteri e clicca su Criterio di autenticazione dell'app.
2. Vai alla scheda Aggiungi criterio e aggiungi il criterio per l'applicazione aggiunta nel passaggio 1.
Puoi configurare il tuo client RADIUS con i dettagli riportati di seguito:
IP/Host del server Radius: IP o nome di dominio del server su cui hai installato miniOrange.
Porta del server: 1812
Segreto condiviso: configurato nel passaggio 1.
La configurazione sul lato del client RADIUS dipende dal client VPN. OpenVPN è stato dimostrato come esempio qui.
Clicca qui per vedere i passaggi dettagliati.1. Accedi al Pannello di controllo di OpenVPN.
2. Navigare verso Autenticazione >> Generale nella barra di navigazione a sinistra. Seleziona RADIUS e salva le impostazioni.
3. Navigare verso Autenticazione >> RADIUS nella barra di navigazione sinistra. Selezionare PAP come metodo di autenticazione RADIUS.
Nelle impostazioni RADIUS qui sotto, immettere IP/host del server Radius come l'IP o il nome di dominio del server su cui hai installato miniOrange, Porta del server come 1812 e Segreto condiviso configurato nel passaggio precedente.
4. Fare clic su Salva impostazioni.
Ecco come funziona l'accesso VPN effettivo con 2FA.
1. Connettiti a OpenVPN immettendo il nome host del server.
2. Inserisci il tuo nome utente e la tua password AD e clicca su Connettere.
3. Ora ti verrà richiesto il codice di autenticazione a 2 fattori. Inserisci il codice e clicca su Continua.
4. Dopo la convalida avvenuta con successo, la connessione è completata.
Gli utenti inseriscono le proprie credenziali AD per accedere a Palo Alto, il Radius Client, e dopo la convalida di username/password, viene inviato un One Time Passcode al numero di cellulare dell'utente. L'utente inserisce il One Time Passcode ricevuto, che viene convalidato da miniOrange per ottenere/negare l'accesso all'utente.
Gli utenti inseriscono le proprie credenziali AD e il codice 2FA (Software Token) per accedere a OpenVPN, il Radius Client e, dopo la convalida di username/password, viene richiesto di effettuare l'autenticazione a 2 fattori. Dopo la convalida del 2° fattore, gli utenti accedono a OpenVPN.
Gli utenti immettono le proprie credenziali AD per accedere a FortiNet e, dopo la convalida del nome utente/password, viene inviata una notifica push al cellulare dell'utente, che dovrà accettare per accedere ad AWS.
Quando gli utenti si collegano a un servizio Desktop remoto, l'autenticazione a due fattori è essenziale per applicare un'elevata protezione di sicurezza delle risorse aziendali. L'installazione di miniOrange 2-Factor Authentication for Windows Logon aggiunge l'autenticazione a due fattori ai tentativi di accesso a Windows tramite RDP.
L'utente avvia l'accesso al Remote Desktop Service tramite un Remote Desktop Client o tramite la pagina di accesso RD Web dal suo browser, dopodiché la richiesta RADIUS viene inviata dal componente miniOrange RD Web installato sulla macchina di destinazione al server miniOrange RADIUS, che autentica l'utente tramite Local AD e, dopo l'autenticazione riuscita, viene richiamata l'autenticazione a 2 fattori dell'utente. Dopo che l'utente si è convalidato, gli viene concesso l'accesso al Remote Desktop Service.
Un utente può provare a connettersi a RDS (Servizi Desktop remoto) in 2 modi:
1. L'utente accede alla pagina di accesso RD Web dal proprio browser, inserisce nome utente/password e clicca su Invia.
2.
Questo errore è solitamente causato da una mancata corrispondenza dell'ora tra il server miniOrange e il tuo dispositivo mobile (o da una mancata corrispondenza tra l'ora della tua macchina e l'ora del dispositivo mobile nel caso dell'autenticazione offline per Windows/Linux/Mac).
I token di sicurezza generati dalle app Authenticator sono "basati sul tempo" (TOTP). Sono validi solo per un intervallo di tempo specifico di 30-60 secondi. Se l'ora di sistema del telefono che esegue Authenticator o del computer (in caso di autenticazione offline) è in anticipo o in ritardo anche di 2 minuti, il codice verrà considerato scaduto dal server/computer.
