Giải pháp IAM – Workforce Identity
Dưới đây là một tổng quan về quy trình tích hợp giải pháp của Okta với Active Directory (AD) của bạn. Okta tích hợp với hệ thống LDAP hoặc AD của bạn trên nền tảng on-premises bằng cách sử dụng một agent nhẹ mặc định là chỉ đọc. Agent này cũng chỉ gửi dữ liệu ra và chỉ sử dụng giao thức HTTPS, do đó không cần thay đổi cấu hình trên tường lửa. Dưới đây là sơ đồ kiến trúc tổng quan của quy trình này.
–
Giải pháp của Okta cho việc Xác thực đa yếu tố (Multi-factor Authentication)
–
–
–
Chúng tôi đề xuất sử dụng Okta Verify Push cho KHÁCH HÀNG. Okta gửi một thông báo đến ứng dụng Okta Verify trên thiết bị di động của người dùng. Người dùng nhấn vào thông báo trên thiết bị di động của họ để xác minh danh tính. Tính năng này có sẵn cho các thiết bị di động chạy hệ điều hành iPhone, Android và Windows.
–
–
Universal Directory
Với Universal Directory (UD), bạn có một nơi để quản lý tất cả người dùng, nhóm, và thiết bị, được quản lý tại Okta hoặc từ bất kỳ nguồn nào khác.
Lợi ích:
- Tích hợp nhanh chóng hơn đến 5 lần so với quá trình tích hợp IT của các doanh nghiệp mới được mua lại.
- Loại bỏ cuộc gọi đến bộ phận hỗ trợ để đặt lại mật khẩu AD.
–
Truy cập vào các ứng dụng nội bộ
Hầu hết các ứng dụng của KHÁCH HÀNG là các ứng dụng nội bộ. Có nhiều lý do khiến các yêu cầu về doanh nghiệp và bảo mật trở nên khó khăn đối với các đội IT và bảo mật. Điều đầu tiên là các ứng dụng truyền thống nội bộ không tương thích mặc định với các giải pháp đám mây vì chúng được tạo ra trước khi các phương pháp xác thực và liên kết hiện đại như SAML, OpenID Connect và OAuth xuất hiện. Để hiểu đầy đủ sự khác biệt giữa các phương pháp bảo mật truy cập vào ứng dụng, việc xem xét các mô hình xác thực kế thừa thông thường được sử dụng để xác thực người dùng cuối là rất hữu ích.
Với Okta, doanh nghiệp có thể kiểm soát quyền truy cập vào Hybrid IT từ một giải pháp duy nhất. Tập trung kiểm soát truy cập cho các ứng dụng trên nền tảng on-premises và đám mây của bạn. Mở rộng tính năng Cloud Single Sign-On (SSO) và Multi-Factor Authentication (MFA) có thể thích ứng đến các ứng dụng truyền thống on-premises của bạn để tạo ra chính sách bảo mật hiệu quả, đồng nhất trên tất cả các hệ thống của bạn – và quản lý tất cả từ một giao diện duy nhất.
Luồng ứng dụng hiện đại (Cloud & Mobile)
- Người dùng truy cập một ứng dụng trên đám mây hoặc di động.
- Ứng dụng kiểm tra phiên làm việc. Nếu không có phiên làm việc, nó sẽ chuyển hướng người dùng để xác thực theo kiểu liên kết trong Okta.
- Okta xác thực người dùng bằng cách sử dụng các chức năng nhận dạng gốc: Đăng nhập Một lần (SSO), kho lưu trữ thư mục người dùng, MFA có thể thích ứng và liên kết.
- Khi được phê duyệt truy cập, người dùng sẽ được chuyển hướng trở lại ứng dụng trên đám mây hoặc di động. Ứng dụng hoàn tất quá trình liên kết, thiết lập phiên làm việc của người dùng và phản hồi cho yêu cầu của người dùng.
Luồng Ứng dụng truyền thống (on-prem)
- Người dùng truy cập một ứng dụng web qua giao thức HTTPS.
- Access Gateway (Web App) chặn yêu cầu của người dùng. Nếu phiên làm việc không hợp lệ, nó chuyển hướng người dùng để xác thực theo kiểu liên kết trên Okta.
- Okta xác thực người dùng. Tất cả các chức năng danh tính (SSO, kho lưu trữ thư mục người dùng, MFA có thể thích ứng và liên kết) được tích hợp một cách tự nhiên vào nền tảng danh tính.
- Khi được phê duyệt truy cập, người dùng được chuyển hướng trở lại Access Gateway, nơi hoàn tất quá trình liên kết. Vì cổng này có khả năng làm việc với nhiều loại ứng dụng khác nhau, nó không yêu cầu tích hợp native.
- Ứng dụng doanh nghiệp thu thập thông tin người dùng, xử lý và phản hồi yêu cầu.
Các thành phần chính của Hybrid access
- Okta: cung cấp SSO, MFA thích ứng, ủy quyền API, thư mục người dùng, cung cấp tài khoản và liên kết trên đám mây cho các ứng dụng hiện đại (thông qua tích hợp tiêu chuẩn gốc) và các ứng dụng doanh nghiệp truyền thống (thông qua Okta Access Gateway).
- Ứng dụng đám mây và di động: Các ứng dụng hiện đại có truy cập trực tiếp vào internet (hay còn gọi là nhà cung cấp dịch vụ).
- Access Gateway (Web App Services): Đây là một thiết bị nhẹ giúp thu hẹp khoảng cách giữa nền tảng nhận dạng cốt lõi của chúng tôi và các ứng dụng doanh nghiệp của bạn. Nó tận dụng xác thực liên kết để SSO và MFA, đồng thời kết nối với ứng dụng trên nền tảng on-premises bằng cách sử dụng nhiều mô hình xác thực và tiêu chuẩn khác nhau, do đó không yêu cầu tích hợp native hoặc bất kỳ thay đổi nào đối với cách làm việc của những ứng dụng đó ngày nay.
- Firewall: Các giải pháp mạng được sử dụng để phân đoạn lưu lượng giữa các thành phần. Phân đoạn mạng là cần thiết để tránh truy cập không được ủy quyền vào các ứng dụng doanh nghiệp và để tránh việc theo dõi hoặc giả mạo lưu lượng.
- Ứng dụng doanh nghiệp truyền thống: Các ứng dụng web trên nền tảng nội bộ được bảo vệ bởi cổng thông tin. Những ứng dụng này nhận lưu lượng thông qua máy chủ HTTP với thông tin người dùng được chứa trong tiêu đề HTTP.
Các giải pháp tích hợp bổ sung
- Tích hợp Nhà cung cấp Dịch vụ Xác thực (IDP) Bên Thứ ba: Thêm nhà cung cấp xác thực danh tính chỉ bằng một cú nhấp chuột từ bảng điều khiển Okta của bạn.
- Secure Directory với Tích hợp: Một nơi để quản lý tất cả người dùng, nhóm và thiết bị, được quản lý trong Okta hoặc từ bất kỳ nguồn nào.
- Directory có thể Tùy chỉnh cho Người dùng, Nhóm và Thiết bị: Hồ sơ người dùng mở rộng, hồ sơ nhóm, hồ sơ thiết bị có thể tùy chỉnh.
- Các Giai đoạn Vòng đời: Dễ dàng xem và thay đổi trạng thái vòng đời của người dùng qua các giai đoạn khác nhau.
- Tích hợp Nhiều Nguồn: OIDC và SAML Inbound JIT; Quản lý người dùng và nhóm từ các thư mục trên nền tảng (AD/LDAP); Quản lý từ ứng dụng (yêu cầu Provisioning)
- Meta-directory: Tích hợp với bất kỳ ứng dụng hoặc thư mục nào, với khả năng nhận biết và mở rộng vòng đời.
- Meta-directory với Ánh xạ và Biến đổi Thuộc tính: Ánh xạ có thể tùy chỉnh với biến đổi thông qua OktaEL; Đồng bộ hóa danh tính và hồ sơ; Quản lý ở cấp độ thuộc tính (yêu cầu Provisioning)
Các khả năng nâng cao của Okta
Okta cung cấp những tính năng bảo mật tinh vi vượt xa các điều khiển ứng dụng cá nhân, VPN, hoặc thậm chí là các giải pháp quản lý truy cập web (WAM). Với những khả năng này, bạn có thể triển khai quản lý danh tính và quyền truy cập mạnh mẽ cho các trường hợp sử dụng mới, cải thiện tình hình bảo mật của mình và tăng cường lợi nhuận đầu tư.
Dưới đây là một số ví dụ về cách Okta có thể mang lại quyền truy cập hiện đại cho nhiều dự án danh tính:
- Cung cấp quyền truy cập và Đăng nhập Một lần (SSO) cho tất cả người dùng—nhân viên, nhà thầu, đối tác và khách hàng—từ một giải pháp danh tính duy nhất.
- Đẩy nhanh quá trình tích hợp Office 365 và tránh phức tạp của PowerShell với Okta SSO, Xác thực Đa yếu tố (MFA) và Quản lý Vòng đời.
- Tự động hóa quá trình nhập và xuất người dùng đối với các ứng dụng và thư mục AD/LDAP thông qua Quản lý Vòng đời và tích hợp với hệ thống Nhân sự của bạn.
- Tổng hợp các miền AD và giảm kích thước của AD với Okta Universal Directory.
- Đáp ứng các yêu cầu tuân thủ và bảo vệ quyền truy cập vào VPNs, máy tính ảo, và ứng dụng mạng thông qua Okta MFA.
- Giảm chi phí đặt lại mật khẩu với tính năng đặt lại mật khẩu tự phục vụ của Okta cho các ứng dụng đám mây, AD, và LDAP.
- Bảo vệ quyền truy cập vào API tùy chỉnh của bạn với Quản lý Truy cập API Okta và các API và SDK OAuth và OpenID Connect của Okta.
- Bảo vệ quyền truy cập vào máy chủ đám mây và on-premises bằng cách triển khai các quy trình Provisioning, SSO và MFA của Okta cho máy chủ Linux và Windows qua SSH và RDP.
Bạn có thể làm gì với Workflows
- Kích hoạt khả năng cho bất kỳ ai trong tổ chức để tự động hóa + đổi mới
Cho phép bất kỳ ai tự động hóa các quy trình dựa trên danh tính và thúc đẩy trải nghiệm người dùng mới sáng tạo thông qua giao diện ít/không code và dịch vụ nền tảng mở rộng.
- Nâng cao và đơn giản hóa khả năng mở rộng
Tự động hóa mọi quy trình lấy danh tính làm trung tâm với tư duy if-this-then-that (nếu điều này xảy ra thì làm việc kia) bằng cách kết nối với bất kỳ API nào và kết hợp các hành động qua nhiều API.
- Cung cấp hoạt động bền vững + bảo mật
Loại bỏ các quy trình thủ công và kịch bản hoặc mã code tùy chỉnh, có thể gây phiền toái, tốn tài nguyên và dễ mắc các lỗi thủ công.
–
–
Một số ví dụ về trường hợp sử dụng Workflows của Okta
- Vòng đời của người dùng là nhân viên, khách hàng hoặc đối tác: Quản lý việc tham gia vào các nhóm phức tạp trong quá trình nhận việc hoặc di chuyển.
- Bảo mật: Thực hiện hành động đối với việc không hoạt động hoặc hoạt động đáng ngờ.
- Quản trị: Tự động hóa các thay đổi trong quyền truy cập người dùng, ví dụ như tạm thời cấp quyền truy cập vào ứng dụng hoặc không gian làm việc chung.
- Bảo mật/Trải nghiệm người dùng: Tạm thời trì hoãn yêu cầu MFA (Xác minh đa yếu tố) trong quá trình nhận việc của người dùng.
- Giao tiếp + Cảnh báo: Gửi thông báo tạm thời hoặc theo lịch thông qua kênh giao tiếp ưu tiên.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin