IT-консалтинг Jamf Pro Блог Контакты

Что такое Conditional Access

Константин Печененко 28.05.2020

Облачные службы и сервисы — это реалии сегодняшнего дня и все больше компаний, больших и малых, обращаются к таким решениям. Средние и большие предприятия постепенно выносят свою ИТ-инфраструктуру из офиса, снижая таким образом расходы на поддержку, реновацию серверной инфраструктуры, лицензирование и прочие прелести Enterprise. Стартапы и малый бизнес могут позволить себе инструменты уровня enterprise по низкой входной стоимости.

Такие службы как Office 365 и G Suite помогут начать работу сразу, хорошо интегрируются с существующими сервисами каталогов, предоставляют инструменты миграции почтовой службы.


Проблема

Новые решения создают новые трудности.

В случае с офисной инфраструктурой системный администратор полностью контролирует доступы к корпоративным ресурсам, будь то почтовая служба или портал CRM.

Облачные решения, с другой стороны, подразумевают доступность в одинаковой мере как и внутри офиса, так и снаружи. Например все, что отделяет пользователя от доступа к электронной почте – это знание имени пользователя и пароля. В лучшем случае будет настроено 2FA по СМС.

Конечно, часть продуктов позволяет задавать ограничение на доступ по географическому признаку или даже запрещать для доступа целые подсети. Но что делать, если ваши коллеги постоянно находятся в движении и работают из мобильных сетей или через публичный Wi-Fi? Или вам требуется ограничить доступ к веб-почте G Suite только для определенных устройств?

Ситуация с пандемией и дистанционной работой делает проблему еще более актуальной.


Решение

Проблемы доступа к новой инфраструктуре требуют новых подходов: conditional access и device trust. Мы поясним, что это за понятия и продемонстрируем их работу на примере сервисов Okta и Jamf Pro.

Conditional access

Это механизм многоступенчатой аутентификации пользователя, который добавляет к существующей проверке пароля такие опции, как: 2FA, проверка типа устройства, Device Trust.

Device trust

Это отдельная проверка на уровень доверия к устройству. Например все устройства Apple которые не находятся под управлением нашего сервера MDM (Jamf Pro) будут считаться недоверенными.

Okta

Это облачное решение Identity Management.

Дабы описать, что это за сервис, проще взглянуть в прошлое.
В ИТ привыкли к тому, что для организации каталога пользователей для малого и среднего бизнеса по умолчанию все вспоминают Microsoft Active Directory Domain Services или OpenLDAP.
Сервис Okta можно смело назвать продолжателем идеи каталога пользователей, но для эры облачных решений. Помимо так называемого Universal Directory, этот сервис включает в себя возможности управления доступом на уровне приложений и возможность использования современных протоколов для аутентификации: SAML, OAuth2, WS-Federation.

JAMF Pro

JAMF Pro это одно из лидирующих решений для управления устройствами Apple — https://www.shortcut.ru/jamf-pro/


На практике

Рассмотрим простой, но распространённый пример, когда нам потребуется ограничить возможность доступа электронной почте с компьютеров, принадлежащих предприятию. Почтовая служба расположена в облаке и доступна через браузер.

Задача состоит в том, что даже если сотруднику известны логин и пароль к электронной почте, зайти в почту он сможет исключительно используя технику, предоставленную своей компанией.

Приборы и материалы

  • Почтовый сервис = G Suite
  • Директория пользователей = Okta
  • Решение для conditional access = Okta
  • Решения для device trust = Jamf Pro для Apple

Общая идея

В настройках G Suite требуется указать, что для пользователей почты будет применяться аутентификация SAML. При этом вы можете указать для использования SAML только определенную группу Google.

Между G Suite и Okta настраивается взаимодействие через REST API.

Между Okta и сервером Jamf Pro настраивается интеграция также через REST API.

После всех настроек мы получим следующее: при попытке зайти в почту Gmail пользователь автоматически будет перенаправлен на сайт Okta для дальнейшей аутетнтификаиции.

Далее в Okta настраиваем для приложения G Suite политику проверки device trust, которая будет отвечать за доступ только с доверенных устройств.

Общий процесс SAML

Данный ролик демонстрирует общий процесс входа посредством SAML если все настроено корректно. После ввода имени пользователя автоматически происходит перенаправление на сайт Okta для дальнейшей аутетнтификации.

В данном видео еще не настроен conditional access, поэтому после аутентификации и авторизации в Okta пользователь успешно заходит в почту Gmail.

Untrusted Device

Теперь мы отключим conditional access в настройках Okta для приложения G Suite.

На видео ниже мы увидим, как будет выглядеть процесс входа в Gmail с любого компьютера, который не находится под управлением Jamf Pro и соответственно не попадает под критерий device trust.

Для начала попробуем зайти на сайт напрямую:

Также приложения доступны через страницу пользователя в Okta. В этом случае выполнять повторный вход не потребуется.

Однако несмотря на то, что мы успешно авторизовались в Okta, Gmail все-же не доступен.

Trusted Device

Повторим аналогичный сценарий, но уже на устройстве, которое подключено (enrolled) к серверу JAMF Pro. Также добавим еще одно требование conditional access — 2FA через приложение Okta Verify, функционал которого схож с Google Authenticator.

Для начала попробуем зайти на сайт Gmail напрямую.

И через Okta.


В итоге

Мы показали простейший пример настройки Conditional Access для платформы Apple, когда доступ к веб-ресурсам ограничен политиками.

Сценарий в реальной жизни может быть следующим:

  • администратор заводит учетную запись в каталоге ADDS / OpenLDAP
  • выполняется синхронизация записи каталога с директорией Okta
  • выполняется provisioning, то есть автоматическое создание учетной записи в G Suite или Office 365
  • применяются соответствующие групповые политики
  • пользователь получает инструкции для первого входа