הגדרת AD Connector בתשתית OneLogin

by · 08/03/2019

סדרת מאמרים של איך לבצע פעולות מסוימות והגדרות בשירות הענן של OneLogin בסביבה היברידית וכן חיבור אפליקציות ומערכות מקומיות ואפליקציות ענן על גבי מערכת אחת ועל גבי זהות אחת, ושילוב אוטומציה ויכולות אבטחה מתקדמות.

המאמר הראשון התמקד בהכנה וחיבור Active Directory לתשתית OneLogin בצורה בסיסית ועל גבי תשתית Active Directory של Single Domain.

המאמר הנוכחי מתאר את ההגדרות שמומלץ לבצע לאחר התקנת AD Connector ואינטגרציה בין תשתית Active Directory מקומי לבין שירות הענן של OneLogin.

לאחר התקנת AD Connector בתשתית OneLogin ישנם מספר הגדרות שצריך לבצע בכדי לסנכרן אובייקטים שונים אל תשתית OneLogin, ניהול והגדרות מתוך סביבת Active Directory מקומי נעשה אך ורק מתוך פורטל הניהול של שירות OneLogin.

בפורטל Directory (אותו Instance הוגדר) של OneLogin ניתן לבצע הגדרות שונות, בין היתר:

  • בחירת OU ואובייקטים לסנכרון
  • סנכרון משתמשים במצב מסוים בלבד (רק משתמשים במצב Enable)
  • סנכרון לוגין משתמש (ערך מוביל שאיתו משתמש מבצע לוגין)
  • מיפוי אוטומטי של שדות וערכים מסוימים
  • אוטומציה של יצירת משתמשים ושיוך לאפליקציות ספציפיות

כל אותן הגדרות והתאמות נעשות אך ורק מתוך פורטל הניהול של שירות OneLogin בלבד ובמידת הצורך ניתן לבצע סנכרון ידני גם מתוך פורטל הניהול של OneLogin.

ביצוע הגדרות בסיסיות שלאחר התקנה

לאחר ביצוע הגדרות אינטגרציה של Active Directory מקומי מול שירות OneLogin אנו נדרשים לבצע מספר התאמות והגדרות על סמך מאפיינים שונים אשר קיימים אצל המשתמשים.

כמו בכל תשתית היברידית של Active Directory ישנם דרישות סף שעמם אנו צריכים לעבוד, דרישות אלה נועדו בכדי לבצע סנכרון אובייקטים מסוג משתמשים אל שירות הענן של OneLogin.

בחירת מזהה מוביל – כל משתמש אשר מבצע לוגין צריך ערך מסוים שאיתו יוכל לעבוד ביומיום ולבצע הזדהות מול תשתיות שונות של הארגון, ברוב המקרים הערך לוגין המוביל הוא כתובת הדואר הארגונית ובמקרים מסוימים בלבד מזהה אחר כודגמת Alternate Login ID.

מכיוון שאנו יכולים לבחור עם OneLogin את הערך המוביל והקיים שאיתו משתמש יבצע לוגין אנו יכולים להגדיר מהו מתוך פורטל הניהול של OneLogin מתוך Advanced Options (לאחר כניסה אל Active Directory)

screenshot_18

הערות חשובות:

  • ערך email חייב להיות מוגדר אצל כל משתמש (ברוב המקרים קיים ואינו מצריך שינוי)
  • ניתן לבחור ערכים אחרים שמוגדרים בדיפולט (לרוב נעשה במקרי קצה)
  • במקרים רבים בחירת ערך UPN הינה מצריכה שינוי בערך של המשתמש (מצריך הכנה ועלול להשפיע על אפליקציות או מזהים שונים מקומיים המבוססוים על ערך זה)

Directory Attributes – הגדרה חשובה בתהליך סנכרון אובייקטים מתוך Active Directory מקומי אל שירות הענן של OneLogin מכיוון שערך או פרמטר שאינו קיים בהגדרת Directory Attributes לא יסנוכרן אל שירות הענן של OneLogin ולכן אנו יכולים להגדיר סנכרון מוגדר מראש לפי פילטרים שונים, כלומר לא לסנכרן אובייקטים שהם Domain Admins, אוביקייטים שהם Service Account וכן הלאה.

screenshot_22

סנכרון Hash – סנכרון Hash Password הינה אפשרות קיימת באינטגרציה של Active Directory מקומי מול שירות הענן של OneLogin ונעשה באופן מאובטח ושונה. כאשר אפשרות Smart Password מופעלת הרכיב של AD COnnector מבקש טיקט של Hash של Hash של הסיסמה מתוך Active Directory מקומי, מקמפל את אותה דרישה ועוטף את אותו טיקט לטוקן, ורק לאחר הרכיב המקומי מכן שולח אותו של שירות הענן של OneLogin.

במצב כזה אנו מגבירים אבטחת המידע סביב שליחה של Hash Password אל שירות הענן של OneLogin, בנוסף כל שינוי סיסמה מתבצע באופן אוטומטי אל שירות הענן של OneLogin באופן מיידי.

Sync User Status from Active Directory – אפשרות זאת מסנכרנת מצב משתמש קיים (Enable\Disable) מתוך Active Directory מקומי אל שירות OneLogin, כלומר רק משתמשים אקטיביים יסנוכרנו ובנוסף לכך יקבלו גישה לאפליקציות וכן יהיו חלק מתהליך אוטומציה.

במצב כזה אנו מורידים את החשיפה של משתמשים שונים שאינם צריכים להיות בענן ואינם צריכים לקבל גישה לאפליקציות או משאבים שונים.

screenshot_20.png

לאחר שמירה של הגדרות אלה נוכל לבחור את האובייקטים הרצויים על סמך OU's.

בחירת OU's הינה פעולה פשוטה של בחירת OU's ושמירת הגדרות, וכל זאת נעשה על סמך הגדרות שביצעתי קודם לכן באפשרויות מתקדמות וכן מיפוי הערכים הנדרשים.

screenshot_21

לאחר ביצוע סנכרון ראשוני של אובייקטים אל שירות הענן של OneLogin נוכל תמיד לבצע סנכרון ידני (למי שאין סלבנות כמוני), אך אין צורך מכיוון שרכיב AD COnnector מבצע סנכרון אוטומטי ברגע שישנו שינוי כלשהוא בתוך ערך של משתמש בתשתית Active Directory מקומי או שינוי כלשהוא מתוך שירות הענן של OneLogin.

screenshot_23

לאחר מכן נוכל לגשת לניהול המשתמש מתוך All Users ולהתחיל לבצע שינויים, הגדרות וכן הלאה ברמת כל משתמש, מספר משתמשים או לפי אוטומציה.screenshot_24

בנוסף לכך נוכל לראות בפורטל הניהול של OneLogin את יצירת המשתמשים והסנכרון על סמך דוחות וכן לוגים שונים.

screenshot_26screenshot_27

לסיכום

ביצוע הגדרות שלאחר התקנה ראשונית יכולות להיות הגדרות בסיסיות או הגדרות מתקדמות, והכל תלוי בדרישות הארגוניות וכמו שהוסכר נוכל לבצע פילטר מתקדם ברמת כל פרמטר או ערך מאוד ספציפי.

מאמרים נוספים בשירות הענן של OneLogin

Tags:

השאר תגובה

error: Content is protected !!