博客

通过安全混合访问增强用户和管理体验

Jay Kelley 缩略图
杰伊·凱利
2020 年 9 月 16 日发布

正如 F5 安全总经理兼副总裁 John Morgan 在其最近的博客中所说,如今正在使用的数亿个应用分布在多个数据中心和公共云中,这仍然是一个应用程序驱动的世界

应用无处不在。 它们可以从任何地方访问,有助于提高生产力、用户体验、业务速度和数字化转型。 但是,应用的数量不断增长,加上它们无处不在、可以从任何地方访问,给您的组织带来了极大的复杂性。 应用程序的普及和便利极大地增加了您组织的风险并无限扩大了您的威胁面。

无论应用位于何处 - 无论是在公共云中作为原生云应用程序还是软件即服务 (SaaS) 产品,在本地还是在异地数据中心 - 您的用户都需要访问应用来完成工作并提高工作效率。 这种需求有助于推动您的组织为访问应用程序的用户创造更好、更简单、更安全、更快捷的用户体验,同时尽量降低应用程序访问成本。

但是,大多数较旧的应用(例如经典应用,例如 Oracle 和 SAP 等供应商提供的许多仍然流行的应用程序)或定制应用,不支持或无法支持现代身份验证和授权方法,或标准和协议,例如安全断言标记语言 (SAML) 或开放身份验证 (OAuth) 和 OpenID Connect (OIDC)。 许多此类应用程序都是任务关键型的,背后包含敏感数据,可能位于本地、异地数据中心或私有云中。 大多数此类应用程序不适合或无法进行云迁移。 此外,许多此类应用不支持增强的安全性,例如多因素身份验证 (MFA),这使得它们及其背后的数据面临风险。 许多也无法支持身份联合或单点登录 (SSO)。

即使许多应用诞生于云中或迁移到云中,您的组织仍将需要一种混合应用策略来解决未来许多年跨本地、异地数据中心和多个公共云的应用安全访问问题。 您将需要部署一个经济高效的混合架构,以通过集中的身份和身份验证策略来确保安全的应用访问。 您的用户的应用体验需要增强,使他们能够轻松找到应用程序,享受一致的体验,并实现简化、集中的访问。

您的组织和用户已经可以享受这些好处。 通过部署 Microsoft Azure Active Directory (Azure AD)(Microsoft 的全面云身份平台)以及 F5 的可信应用访问解决方案BIG-IP 访问策略管理器 (APM) ,您可以联合用户身份、身份验证和授权,并弥合支持现代身份验证的基于云的应用程序和 SaaS应用与不支持现代身份验证的内部部署或私有云经典和自定义应用之间的身份差距。

F5 BIG-IP APM 和 Azure Active Directory 共同简化了应用访问和用户体验,使他们只需登录一次即可从单一位置访问他们被允许和授权访问的所有应用。 该集成解决方案还允许所有应用(无论位于何处)受到 MFA 保护,从而提高应用的安全性。

然而,改善用户的应用访问体验只是故事的一部分。 您还需要简化设置和部署、减少管理开销,并且总体上增强您的管理体验。

“对于用户来说,无论他们访问的是本地应用程序还是云应用程序,体验都是相同的。他们使用 SSO 登录一次,即可访问云应用程序和旧版应用程序。 它是完全无缝的。”

– Nitin Aggarwal,江森自控全球身份安全工程师

F5 BIG-IP APM 与 Azure Active Directory 的集成也满足了这些需求。

BIG-IP APM 包含访问引导配置 (AGC) 功能,可简化应用访问的部署和管理。 AGC 将引导您的管理员逐步完成设置和部署 BIG-IP APM 的过程,从而节省您和您的管理员的额外管理和部署时间和成本。

F5 与 Microsoft 的集成还减轻了管理员的压力,因为它为应用访问创建了一个集中的策略授权,包括不支持现代身份验证的内部部署旧版应用程序和云中的应用。 管理员现在可以简单地从单个位置拆除用户访问权限,而不必进入每个应用程序来取消用户访问权限,从而大大减少了人为错误的可能性。”

– John Morgan,F5 安全总经理兼副总裁

然而,最新版本的 BIG-IP APM 甚至更进一步。 BIG-IP APM 的 AGC 现在允许您的管理员快速、简单地将经典的关键任务应用(例如 SAP ERP 和 Oracle PeopleSoft)加入到 Azure Active Directory 并在其中进行操作管理。

这种简化的引导式访问消除了以前需要弥合支持现代身份验证的应用与支持经典身份验证方法(例如基于标头的身份验证或 Kerberos 身份验证)的应用程序之间的访问差距的大量步骤。 现在,访问 SAP ERP 和 Oracle PeopleSoft 的策略管理的端到端操作直接集成到 BIG-IP APM AGC 控制台中。 您的管理员只需单击 BIG-IP APM AGC 中的相应图标,然后系统将逐步指导他们如何使用 Azure AD 和 BIG-IP APM 设置 SAP ERP 或 Oracle PeopleSoft。 完成后,他们只需单击“部署”按钮,应用即可供您的用户使用,联合这些应用程序和他们的云和 SaaS 应用程序的身份,启用 SSO 并使用 MFA 提高这些应用的安全性。 这极大地减少了您在更新这些应用时所涉及的管理开销。

F5 BIG-IP 访问策略管理器 (APM) 及其访问引导配置 (AGC) 演示了与 Azure Active Directory 的集成
F5 BIG-IP APM 简化了对经典/自定义applications到 Azure Active Directory 的引导访问

BIG-IP APM 与 Azure AD 的融合意味着除了基于云和 SaaS 的应用程序之外,还支持身份联合、集中用户访问(通过 SSO)和增强的应用安全性(通过 MFA),适用于关键任务应用程序(如 SAP ERP 和 Oracle PeopleSoft)。 不过,对 SAP ERP 和 Oracle PeopleSoft 的支持才刚刚开始;F5 和 Microsoft 将在未来的产品版本中增加对更多经典 SAP、Oracle 和其他供应商应用的支持。

“在当今的现实中,组织无法再选择可以远程访问的应用程序。 为了确保业务连续性,员工必须在家中连接到关键任务的内部部署应用。 微软和 F5 致力于帮助我们共同的客户实现他们的目标,为他们提供简单、安全的体验。 这就是为什么我们通过推出新的简化 UI 在预集成体验方面迈出了一步。借助此版本,我们的客户可以加速将其旧式本地应用加入 F5 BIG-IP APM 和 Azure AD。”

– Sue Bohn,微软身份识别部门合伙人总监

通过BIG-IP APM 与 Azure Active Directory的集成,您的用户、管理员和组织将从中受益。 随着安全混合访问的实现,您的管理开销和成本将降低,用户和管理员的体验将得到增强,并且经典和自定义应用程序的安全性将得到更好的保护。

单击此处了解有关 F5 BIG-IP APM 与 Azure Active Directory 集成的更多信息。