Come soluzione unificata per il posto di lavoro, Awingu copre molti aspetti. L'autenticazione è uno di questi. In questo post del blog, faremo uno zoom su Awingu come piattaforma che permette l'autenticazione Single-Sign-On ai sistemi legacy invece di Awingu come piattaforma "workspace".
Per cominciare, dobbiamo fare una differenza tra
A. Autenticazione nel posto di lavoro Awingu
B. Autenticazione in servizi back-end (per esempio un Desktop remoto, un'applicazione Windows legacy o un file server)
Due fasi nel processo di autenticazione
A. Autenticazione in Awingu
Awingu supporta molte tecniche di autenticazione. La più usata oggi è ancora una classica login 'nome utente/password' procedura (1). Le credenziali sono basate su Active Directory (o LDAP). Awingu supporta anche molti modi per aggiungere l'autenticazione a più fattori (MFA). Built-in, Awingu supporta sia Time-based password (TOTP) o Counter-based password (HOTP) come 2e (il che significa che è possibile utilizzare applicazioni mobili native come Microsoft Authenticator e Google Authenticator per generare un token sicuro). Accanto al sapore incorporato, Awingu supporta molte altre piattaforme commerciali.
Con l'aumento dei servizi SaaS, è arrivato anche l'aumento degli Identity Provider (IdP) esterni. Vengono in mente servizi come Okta e Microsoft Azure AD. La loro proposta iniziale era incentrata sull'aggregazione dei login per i servizi SaaS per rendere la vita facile agli utenti finali e agli amministratori. Da lì, si sono ulteriormente evoluti ed espansi in altri domini. Awingu può sfruttare questi IDP esterni sia in una modalità di 'pre-autenticazione' (a partire da Awingu 4.2) che in una modalità 'full Single-Sign-On' (a partire da Awingu 4.3). Awingu supporta i protocolli SAML e OpenID Connect (un'evoluzione di OAuth) per stabilire una fiducia con l'IdP scelto. Questi standard sono supportati dalla grande maggioranza dei provider.
(2) Pre-autenticazione significa che l'utente deve prima autenticarsi presso l'IdP e poi completare il processo di login in Awingu. L'IdP è centrale e ha una visione completa di tutta l'attività dell'utente. I servizi aggiuntivi dell'IdP (per esempio MFA, geo-fencing, accesso limitato nel tempo, ...) possono anche essere sfruttati.
(3) SSO completo significa che l'utente deve solo autenticarsi all'IdP. Non c'è un ulteriore processo di login richiesto. Anche in questo scenario, i servizi IdP possono essere sfruttati.
In alcuni casi, vengono utilizzate piattaforme basate su smartcard. Queste non sono rare, per esempio, nel settore sanitario e finanziario. Awingu può supportare anche alcuni di questi scenari. Alcuni venditori di piattaforme supportano SAML o OpenID Connect, altri - come Imprivata per esempio - offrono anche il 'vaulting' delle credenziali.
B. Autenticazione in applicazioni e file server
Ok, quindi ti sei autenticato nello spazio di lavoro Awingu. Ora vorrai accedere a quelle applicazioni, desktop e file server che sei autorizzato ad usare.
Per i servizi, Awingu supporta quanto segue:
- Applicazioni e desktop Windows basati su RDP. Qui, Awingu sosterrà
- autenticazione classica basata su username e password
- un modello di autenticazione proprietario basato su certificati PKI (a partire da Awingu 4.3). Questo è necessario quando si usa il 'full SSO' ad un IdP esterno. In questo scenario, Awingu non ha le credenziali del nome utente e della password con cui lavorare. Awingu si 'fiderà' dell'IdP quando autenticherà un utente specifico per essere effettivamente quell'utente (nota: non c'è impersonificazione dell'utente).
- Servizi SaaS: Ci sono 2 modi per dare agli utenti finali un'esperienza SSO ai servizi SaaS all'interno di Awingu:
- Utilizzare Awingu come IdP. Awingu ha un set predefinito di connettori con servizi SaaS popolari come Office 365, Google Apps e Salesforce. Quando si utilizzano questi connettori, Awingu viene utilizzato come IdP esterno.
- Utilizzare un IdP esterno, in combinazione con le opzioni di autenticazione Awingu (2) e (3). In questo caso, i servizi SaaS sono collegati all'IdP esterno scelto, e i link ai servizi SaaS sono pubblicati in Awingu senza altro. Una volta che l'utente finale accede allo spazio di lavoro Awingu, è autenticato all'IdP e quindi ai suoi servizi SaaS. Questo scenario permette di aggiungere molti più servizi SaaS rispetto ad Awingu come IdP.
- Intranet o applicazioni web interne: Awingu supporta la 'Basic Authentication' qui. Attenzione, richiede un'autenticazione basata su nome utente/password, quindi non funzionerà insieme a (3)
- File Server: Awingu supporta CIFS e WebDAV (autenticazione di base) per connettersi ai file server ("unità SMB"). Quest'ultimo non è supportato insieme a (3)
Panoramica riassuntiva: opzione di autenticazione primaria con Awingu
Nella panoramica di cui sopra, abbiamo fatto un'astrazione dell'autenticazione basata sulla rete. In alcuni scenari questo potrebbe essere un requisito aggiuntivo. A questo livello, Awingu può anche supportare l'autenticazione basata su Kerberos e NTLM.
Quindi cosa...?
La panoramica qui sopra mostra che Awingu può supportare una vasta gamma di opzioni di autenticazione. Se la tua azienda ha già scelto di adottare un IdP esterno come Okta, Google Cloud Identity o Microsoft Azure AD per i servizi SaaS, ora è possibile arricchire facilmente questa esperienza con applicazioni e desktop legacy.
Gli utenti finali possono usare il workspace Awingu come punto di aggregazione, ma possono anche usare il workspace dell'IdP e semplicemente cliccare il link di un'applicazione o di un desktop legacy pubblicato (da Awingu 4.2 sono supportati i 'link diretti'). Awingu farà girare le applicazioni/desktop scelte in un browser, in pieno SSO. Senza problemi.
Illustrazione: utilizzare lo spazio di lavoro di Okta per accedere alle applicazioni Awingu e/o legacy pubblicate
Quando si sfrutta già un IdP esterno, si potrebbe anche utilizzare i loro servizi per MFA, geofencing, accesso limitato nel tempo, ecc. Questi servizi possono essere applicati anche ad Awingu.
Buono a sapersi: Awingu è multi-tenant. Ogni inquilino può essere impostato per l'autenticazione in modo diverso.