Blog Agility

Configurando políticas de acesso por grupo do Active Directory

Access Policy Management (APM), é um dos módulos que podem ser ativados em um appliance F5, tanto físico quanto virtual. Este módulo é responsável por centralizar o acesso de usuários em um portal web, tornando o acesso às aplicações simplificado e seguro. Sabemos que existem diversos tipos de perfis diferentes que acessam aplicações distintas onde os administradores precisam definir muito bem antes de disponibilizar os acessos aos usuários.

Este techtip irá demonstrar como criar uma política de acesso dentro do APM, no qual dependendo do perfil do usuário, será entregue apenas alguma aplicação específica.

Dentro das empresas o uso de ferramentas para realização das atividades operacionais e de gestão no dia a dia, vem se tornando cada vez mais comum, desde pequenas empresas até multinacionais.

Nessa nova realidade da internet e mobilidade, na qual a informação é o bem mais valioso dentro das corporações, onde temos usuários cada vez mais distribuídos com atividades e acessos distintos, a preocupação com vazamento de informações, bem como a facilidade de acesso e auditoria se tornam um grande desafio para os dos administradores de TI.
Uma solução para tornar o acesso seguro e ter uma ambiente controlado, é a utilização de portais de acesso onde os usuários precisam se autenticar e acessar todas as informações necessárias dentro deste ambiente controlado.

Criação de perfis distintos precisam ser bem mapeados para que não haja um acesso indevido que possa comprometer com vazamento de informações indesejados entre os usuários. Neste techtip iremos mostrar como criar acessos distintos no mesmo portal dependo do grupo pertencente do usuário no domínio no BIG-IP Access Policy Manager.

Neste exemplo temos um portal com diversas aplicações:

Imagem 1: Exemplo de aplicações publicadas em um portal para usuário.

Vamos imaginar que um usuário especifico do grupo G1 pudesse apenas acessar a aplicação Internet Explorer. Para criar um portal com acesso diferenciado por grupo do AD, precisaremos modificar os seguintes parâmetros dentro do VPE (Visual Policy Editor):

Ad Query;
Criar um novo Resource Assign específico;

Imagem 2: Política padrão para simplesmente autenticar usuário no AD.
Este é o VPE padrão para autenticar um usuário em uma base no Active Directory e disponibilizar algumas aplicações no portal. Para criar esse filtro de acesso devemos incluir um objeto do tipo AD Query.

Imagem 3: Criando objeto de autenticação AD Query.

Imagem 4: Alterando propriedades do objeto AD Query.

Inclua o endereço do servidor AD, previamente cadastrado em AAA Servers;
Vamos criar o filtro por grupo de usuário em Branch Rules
Add Branch Rule
Agent Sel: Selecione AD Query
Condition: User is a Member Of
Dentro da caixa de query inclua as OU e CN de acordo com os criados no AD do ambiente desejado.

Imagem 5: Incluindo um filtro de consulta no AD.

Inclua todas as condições de grupo desejadas. Feito isso associe um objeto Advanced Resource Assign especificando quais recursos o usuário terá direito.

Imagem 6: Criando o acesso às aplicações específicas do grupo.

Selecione os acessos desejados para o grupo especificado.

Faça isso para todos os grupos necessários que terão acesso as aplicações do portal.

Ao final teremos após criar mais de um filtro e acessos distintos com acesso às aplicações definidas ao grupo associado.

Imagem 7: VPE alterado para com perfis distintos por grupo do AD.

2. Conclusão

Unificar acesso de todas as aplicações em um portal único traz mais segurança, rastreabilidade e torna a gestão de acessos para os administradores mais simplificada.

Será necessário publicar apenas um endereço, para que todo o acesso seja realizado, tornando mais simples para o usuário e mais seguro para os administradores.