Применение Citrix Password Manager для доступа к

Применение Citrix
Password Manager для
доступа к приложениям,
использущих пароли.
Сергей Халяпин
Citrix Systems, Systems Engineer
«IT-Security Forum»
31 мая – 01 июня 2007 г.
Казань
Программа
Технические проблемы и бизнес задачи
Как это работает и новые возможности
Простота внедрения и администрирования
Преимущества использования
Дополнительные обзоры
© 2007 Citrix Systems, Inc. — All rights reserved
2
Технические проблемы и
бизнес-задачи
Проблемы связанные с паролями
Точка зрения пользователя
Точка зрения Бизнеса
• Управлять паролями – сложно,
• Бреши в безопасности и
непродуктивно и требует много
времени.
негативный имидж компании
• Было бы здорово если паролей • Слабые пароли и небезопасные
не существовало,
• Мне нужен быстрый доступ к
моим приложениям,
независимо от того, где я
работаю
• Я забыл пароль, но не хочу
ждать отдел поддержки
списки паролей
• Соответствие требованиям
регулирующих органов и
отчетность
• Необходимо распространять
учетные сведения для каждого
нового приложения
• Стоимость и продуктивность
службы поддержки
• А это решение – простое в
установке и управлении? И
вообще оно работает?
© 2007 Citrix Systems, Inc. — All rights reserved
4
Растет число приложений
защищенных паролем
•Средний пользователь имеет 18
учетных записей (Gartner*)
•Постоянные запросы аутентификации
нарушают работу и запомнить
множество паролей сложно
•Средний звонок в службу поддержки
для сброса пароля занимает 20 минут
(Gartner*)
*Источник: Five Business Drivers of Identity and Access Management. Gartner, 31 October 2003
© 2007 Citrix Systems, Inc. — All rights reserved
5
Множество прикладных систем
аутентификации
• Сколько у Вас прикладных систем
аутентификации?
• Приложения: Windows, Web, Хост-приложения
• Каталоги: Active Directory, LDAP, eDirectory, Tivoli Directory
Server, ит.д.
• Проекты консолидации каталогов часто
заканчиваются неудачей
• Владельцы данных не желают терять контроль
• Не все приложения могут «общаться» с одним каталогом
© 2007 Citrix Systems, Inc. — All rights reserved
6
Высокая стоимость поддержки
“Звонок пользователя в
службу поддержки
стоит организации $25$50.”
Forrester
“Пользователь звонит в
службу поддержки за
сбросом пароля в
среднем 4 раза в год”
Gartner Group
© 2007 Citrix Systems, Inc. — All rights reserved
“ 30 процентов всех
звонков в службу
поддержки связаны со
сбросом пароля”
Gartner Group
“ Бизнес тратит $200 в
год на человека на
управление паролями”
Forrester
7
Как это работает и новые
возможности
Что такое Citrix Password Manager?
Доступ к любому
приложению
Windows
Решение SSO для Windows, Web и
Хост приложений
Различные учетные данные для
каждого прикладного
приложения/ресурса
Интегрированная с более чем 20
производителями средств
сильной аутентификации
© 2007 Citrix Systems, Inc. — All rights reserved
Host
Web
Одна Учетная
Запись…
9
Как это работает?
• Агент взаимодействует от
имени пользователя
• Устанавливается там, где
исполняется клиентская часть
приложения
• Распознает и отвечает на события,
относящиеся к паролям
Опциональные Службы
для Самообслуживания,
Цифровой Подписи /
Без-отзывности
сервера
• Агент, получает учетные
данные и настройки
определяющие их
поведение из
Центрального Хранилища
• Администратор использует
Architecture Module
Консоль для создания
настроек и определения
приложений
© 2007 Citrix Systems, Inc. — All rights reserved
10
Интеграция с инициализацией
пользователей
• Citrix Password Manager обеспечивает
интерфейс для систем инициализации
пользователей на основе стандарта (SPML v2)
• Коннекторы доступны для Courion, HP, IBM
• Ряд других вендоров ПО инициализации пользователей
объявили о поддержке стандарта SPML v2
• Как только инициализируется учетная запись
пользователя, его учетные сведения
автоматически шифруются и сохраняются в
Password Manager
Система
Инициализации
Пользователей
App #1
App #2
App #3
© 2007 Citrix Systems, Inc. — All rights reserved
Пользователь
(SSO)
Active
Directory
(или LDAP)
11
Пакетная Инициализация Учетных
Сведений
• Обеспечивает Администратору возможность
управлять учетными сведениями пользователей
для дополнительных приложений используя
XML-интерфейс в Консоли Администратора
• Поддерживаемые операции
• Добавление новых учетных сведений
• Изменение существующих учетных сведений
• Удаление существующих учетных сведений
• Все события инициализации регистрируются в
Журнале Событий
• Требует Службы Password Manager
© 2007 Citrix Systems, Inc. — All rights reserved
12
Что нового в CPM 4.5
• Администрирование используя группы AD
• Большое количество улучшений для
совместимости с приложениями
• Сертифицированная безопасность (CC EAL2)
• Поддержка Kerberos и Federation Services
• Ассоциация учетных записей
• Версии Advanced и Enterprise
• и “Citrix Password Manager для Presentation Server”
• Самообслуживание пользователя - Web Interface
© 2007 Citrix Systems, Inc. — All rights reserved
13
Администрирование пользователей с
использованием групп AD
• Пользовательская конфигурация больше не
привязана к строго иерархической модели
ОП
• Пригодна к управлению
на основе ролей
• Каждая конфигурация
пользователя основанная
группах имеет уровень
приоритета
на
• Поддерживается
конфигурация
на основе ОП
• ОП имеют приоритет
для сохранения обратной
совместимости
© 2007 Citrix Systems, Inc. — All rights reserved
14
Улучшения в совместимости
приложений
• Улучшенный процесс конфигурации
приложений
• Упрощенная концептуальная модель
Четкое отделение событий ‘Определение’ связанных с приложениями от ‘Действий’
связанных с паролями
Администраторы могут определить последовательность событий когда передают учетные
данные в приложения
• Расширяемость
Способность запуска скрипта/программы (для Удаления и/или Действий)
• Расширена поддержка IE7
• Поддерживается IE 64-бит
• Улучшенная поддержка SAP
• Новое: Скриптование SAPGUI для SAP Logon Pad
© 2007 Citrix Systems, Inc. — All rights reserved
15
Улучшения в Совместимости
Приложений – продолжение
Улучшенная поддержка SAP Logon Pad
• Агент может распознать SAP систему запущенную с SAP Logon Pad
• Уменьшает необходимость использования файлов-ярлыков SAP
© 2007 Citrix Systems, Inc. — All rights reserved
16
Улучшения в Совместимости
Приложений – продолжение
• Совместное использование методов Control IDs и
передача необходимых символов
• Полезно для настройки приложений, которые не распознают все Control ID
© 2007 Citrix Systems, Inc. — All rights reserved
17
Улучшения в Совместимости
Приложений – продолжение
• Улучшена работа мастера смены паролей
• Агент может определять успешно ли завершилась смена пароля
и автоматически отвечать на ошибочные попытки
© 2007 Citrix Systems, Inc. — All rights reserved
18
Улучшения в Совместимости
Приложений – продолжение
• Обработка Дублированных/Динамических
Control ID
• Авто-определение веб-страниц не имеющих
форм
• Определение приложений запущенных до
старта агента
© 2007 Citrix Systems, Inc. — All rights reserved
19
Сертификация на Common Criteria
EAL2
•CPM 4.5 сейчас
сертифицируется
Common Criteria
EAL2
Новое в 4.5!
• Весомая сертификация по
безопасности признаваемая в 23
странах
• Проверьте на
http://www.cesg.gov.uk
•Аудит
безопасности
Foundstone
© 2007 Citrix Systems, Inc. — All rights reserved
20
Поддержка Kerberos и Сервисов Федерации
• Federation Services позволяет использовать SSO
между доверяющими организациями-партнерами
• Citrix Web Interface 4.5 связывается с сервером
Federation Services (ADFS, SAML)
• Citrix Password Manager завершает «последнюю милю»
SSO
Маркер
Federation
Services
DMZ
Компьютер
Партнера
Firewall
Firewall
Отображение
идентификаторов Active
Directory
Citrix
Password
Manager
Сервер Федерации
Internet
. ADFS
. SAML
билет Kerberos
ISAPI Агент
Citrix Web Interface
(Win2k3 R2)
© 2007 Citrix Systems, Inc. — All rights reserved
Пароль
Приложение,
Эмулятор терминала
или Browser
Citrix Presentation
Server
(Win2K3)
21
Интеллектуальная обработка
зацикливания Log On/Off
• Зацикливание Log On/Off часто встречается с web
приложениями и SSO
• Легко настраивается в определении приложений
© 2007 Citrix Systems, Inc. — All rights reserved
22
И конечно, это часть семейства Citrix
• Presentation Server
• Общая Административная Консоль
• Простое SSO – предлагается Новый Citrix Password Manager для
Presentation Server!
• Поддержка Application Streaming
• Агент может обеспечивать SSO для потоковых приложений
• Для различных типов приложений все еще выполняется тестирование
• Работает с EdgeSight для улучшенного Аудита и
Отчетности
• Сбор данных в почти реальном времени
• Общее хранилище на основе реляционной СУБД
• Гибкая отчетность и оповещение
© 2007 Citrix Systems, Inc. — All rights reserved
New in 4.5!
23
Ассоциация учетных записей
• Позволяет разделять учетные данные Windows
среди множества учетных записей
• Пользователь с множеством учетных записей Windows может
использовать Password Manager независимо от того как они вошли
в систему
• Когда учетные данные пользователя изменяются, добавляются или удаляются от
одной учетной записи, учетные данные будут автоматически синхронизованы с
другими ассоциированными учетными записями
• Много пользователей могут разделять одинаковые учетные
данные
• Например ‘ролевые’ учетные данные (сменные работники)
• Каждая учетная запись требует лицензии Password Manager
© 2007 Citrix Systems, Inc. — All rights reserved
24
Ассоциация учетных записей в
действии:
Смена пароля в приложении
Точка синхронизации
Web Service
Агент
Агент
(G098D001\S0980256)
(V000DPSPL\S0980256)
(G098D002\S0980256)
Точка
Синхронизации
Точка
Синхронизации
Точка
Синхронизации
Локальное
Хранилище
Локальное
Хранилище
Локальное
Хранилище
Агент
Приложение
SAP
Приложение
SAP
Приложение
SAP
Имя
USER1
Имя
USER1
Имя
USER1
Пароль
NewPass
Пароль
NewPass
OldPass
Пароль
© 2007 Citrix Systems, Inc. — All rights reserved
NewPass
25
Ассоциация учетных записей –
Администратор
© 2007 Citrix Systems, Inc. — All rights reserved
26
Ассоциация учетных записей –
Пользователь
© 2007 Citrix Systems, Inc. — All rights reserved
27
Множественные методы
аутентификации для одного
пользователя
• Обыкновенные пользователи могут очень
быстро переключаться между методами
аутентификации
• Например:
• Пароль для персонального компьютера, но биометрия для совместно используемых
компьютеров
• Локальный доступ по смарт-карте, но удаленный – с использованием одноразового пароля
• Улучшенное время входа
• Исключает 2-3 секунды (Больше не требуется Восстановление Ключа, за исключением первого
раза использования нового метода аутентификации)
© 2007 Citrix Systems, Inc. — All rights reserved
28
Поддержка Сильной Аутентификации
• Поддерживается любое устройство, которое
может быть использовано для аутентификации
Windows – Смарт-карты, биометрия, токены,
карты Проксимити
• Для смарт-карт, хранящих сертификаты
(например Карты Общего Доступа),
сертификаты используются для расшифровки
учетных свойств пользователя
Партнеры по Сильной
Аутентификации
© 2007 Citrix Systems, Inc. — All rights reserved
29
Самообслуживание пользователей
через WI
Доступно для
Web Interface 4.5
Новая иконка в Web
Interface
обеспечивает
простой доступ к
службы СамоОбслуживания
© 2007 Citrix Systems, Inc. — All rights reserved
30
Самообслуживание пользователей
через WI - продолжение
© 2007 Citrix Systems, Inc. — All rights reserved
31
Самообслуживание пользователей
через WI - продолжение
© 2007 Citrix Systems, Inc. — All rights reserved
32
Самообслуживание пользователей
через WI - продолжение
© 2007 Citrix Systems, Inc. — All rights reserved
33
Самообслуживание пользователей
через WI - продолжение
© 2007 Citrix Systems, Inc. — All rights reserved
34
Разное
• Улучшения Hot Desktop
• Имя пользователя для разделяемой учетной записи очищается
• Автоматический перезапуск после некорректного завершения
• Поддержка решения Citrix для потоковой
доставки приложений
• Поддержка .NET 2.0
• Соответствие секции 508 (агент Password
Manager)
• Если администратор настроил SSO-поддержку в приложениях
© 2007 Citrix Systems, Inc. — All rights reserved
35
Citrix Password Manager
Линейка продуктов
SRP
(включая.
Subscription
Advantage)
Citrix Password Manager для
Presentation Server
Citrix Password Manager
Enterprise Edition
Citrix Password Manager
Advanced Edition
Обновление Advanced to
Enterprise
© 2007 Citrix Systems, Inc. — All rights reserved
Password
Manager
For
Presentation
Server
$149/CCU
Password
Manager
$75/NU
$59/NU
$25/NU
Enterprise
Edition
Password
Manager
Advanced
Edition
$$
Функциональность
36
Различия в редакциях
Password Manager
Password Manager
Advanced Edition
Enterprise Edition
Desktop-only or
Desktop + Presentation Server
Best for deployment on…
Single Sign-On and Password Management
Single Sign-On to Applications
Web, Windows, Host
Web, Windows, Host
Runs on Desktop and Presentation Server


Comprehensive Password Policies


Transparent Password Change


Multi-factor Authentication Support for


biometrics, tokens, proximity badges
User Provisioning Integration (SPML)


Licensing Model
Named User (NU)
Named User (NU)
Active Directory,
LDAP*, NTFS
Central Store Type
Active Directory,
LDAP*, NTFS
User Self-Service, On-Site Mobility, and Advanced
Self-Service Password Reset / Account Unlock
Hot Desktop fast user switching
Account Association
Smart Card support, incl. certificate-based
Common Criteria Certification in process
Optimized for Citrix Presentation Server
EdgeSight centralized reporting integration

Compatible with Citrix application streaming

Self-Service Password Reset / Account Unlock
through Web Interface
Hot Desktop fast user switching integration
with SmoothRoaming
Federated SSO to any application deployed on
Presentation Server
Security





Password Manager for
Presentation Server
Presentation Server only
Web, Windows, Host





Concurrent (CCU)
Active Directory,
LDAP*, NTFS















* LDAP requires a for-fee technical enhancement
© 2007 Citrix Systems, Inc. — All rights reserved
37
Простота использования и
администрирования
Администрирование Password Manager
Это не приведет к тому что Вы или Ваша
команда будете выглядеть так:
© 2007 Citrix Systems, Inc. — All rights reserved
39
Или ощущать себя вот так......
© 2007 Citrix Systems, Inc. — All rights reserved
40
Это не очень просто, но очень похоже
• Управляемая мастерами настройка
• Альтернативная аутентификация (секретные вопросы)
• Конфигурирование пользователей используя группы AD
• Простая настройка приложений / расширяемость
© 2007 Citrix Systems, Inc. — All rights reserved
41
Мощные политики паролей
© 2007 Citrix Systems, Inc. — All rights reserved
42
Истечение срока действия пароля –
даже для унаследованных приложений
© 2007 Citrix Systems, Inc. — All rights reserved
43
Автоматическая смена паролей
Описание
• Агент автоматически определяет события смены
паролей
• Автоматически заполняет старые данные (если
требуется)
• Агент генерирует & заполняет новые пароли
• Новые пароли основываются на политиках паролей
Преимущества
• Проще осуществить смену пароля
• Труднее угадать пароль
• Пользователь не может передать свой пароль
© 2007 Citrix Systems, Inc. — All rights reserved
44
Конфигурирование при помощи
Мастера для пользователя
• SSO Конфигурирование (пользователь)
• Автоматически распознаются запросы на вход в систему
© 2007 Citrix Systems, Inc. — All rights reserved
45
Средство для создания описаний
приложений(ADT)
• Мастер для администратороа для создания описаний
для Windows, Web и Хост приложений
© 2007 Citrix Systems, Inc. — All rights reserved
46
Секретные вопросы
• Настройка секретных вопросов
• Должны быть определены один или группа вопросов
• Можно указать примерные ответы
• Можно включить/выключить зависимость от регистра для ответа
© 2007 Citrix Systems, Inc. — All rights reserved
47
Журналирование событий
Описание
• Журналирование событий на компьютре
пользователя, таких как вход в систему, смена
пароля и аутентификация
• Журналирование ведется в Windows Event log
• Для централизованной отчетности может быть
использован EdgeSight
Преимущества
• Это помогает соответствовать требованиям по
аудиту событий
© 2007 Citrix Systems, Inc. — All rights reserved
48
Расширенное журналирование событий
Event Type Description
Logon attempt Failure (Agent Authentication)
Logged during unsuccessful user authentication to the agent and/or failure to open the credential store.
Logon attempt Success (Agent Authentication)
Logged during successful user authentication to the agent and opening of the credential store.
Logon attempt (Submitting Credentials)
Logged during attempts to submit user credential to external entities.
Operations with Credentials
Logged during add, delete, copy, or edit credentials operations
Operations with Passwords
Logged during operations with passwords (e.g. change, reveal, IVQ answer)
Synchronization Failure (Communications)
Logged during communication failures with Sync Point.
Synchronization Failure (Permissions)
Logged if there is inconsistency between user credentials in the Sync Point and external entities.
SC-DataProtect encrypt/decrypt Failure
Logged when general failure occurs during encrypt/decrypt operations.
SC-DataProtect encrypt/decrypt Failure (b/c missing card)
Logged when corresponding smart card is not present.
SC-DataProtect encrypt/decrypt Failure (b/c invalid card)
Logged when smart card is invalid.(not the one used for Windows authentication)
Agent Startup/Shutdown
Logged during startup/shutdown
Missing/Corrupted DLL files
Logged when a dll could not be loaded successfully
© 2007 Citrix Systems, Inc. — All rights reserved
49
Преимущества использования
Что Вы можете выполнять с
Password Manager?
С точки зрения безопасности Вы можете:
1. Усилить парольную защиту для всех
приложений опубликованных на CPS
2. Добавить двухфакторную аутентификацию,
сильные политики паролей и устаревание
пароля к любому приложению
3. Регистрировать события аутентификации и
облегчать соответствие регулирующим
требованиям
4. Внедрять и инициализировать Password
Manager используя политики CPS
© 2007 Citrix Systems, Inc. — All rights reserved
51
Что Вы можете выполнять с
Password Manager?
С точки зрения пользователя Вы можете:
1. Автоматизировать вход пользователей во все защищенные
паролем приложения
2. Включить службу удаленного сброса паролей и разблокирования
учетных записей через Web Interface
3. Сократить количество звонков, связанных с паролями в службу
поддержки
4. Автоматизировать процедуру цикла смены паролей
5. Обеспечить SSO для любого внутреннего или удаленного
сценария доступа к Presentation Server
6. Обеспечить быстрое переключение пользователя на
разделяемых рабочих станциях, с постоянным переподключениям к перемещаемым сессиям Presentation Server
7. Обеспечить Федерацию к любому приложению развернутому на
Presentation Server
© 2007 Citrix Systems, Inc. — All rights reserved
52
Выгоды от внедрения Password Manager
для Presentation Server
Усиление Безопасности для всех CPS приложений:
• Усиление безопасности приложений – не требует изменений в самих
приложениях
• Улучшение соответствий нормативам и способности к аудиту
• Обеспечение Federation Services не только для Web приложений
Упрощение доступа - SSO из любого сценария:
• Для пользователей, приложения ощущаются как беспарольные –
исчезает ежедневное раздражение из-за паролей
• Повышение производительности за счет автоматического, быстрого
входа в приложения – при любом сценарии доступа
• Сброс собственного пароля Windows локально или удаленно Меньше дорогостоящих, отнимающих время звонков в службу
поддержки пользователей
© 2007 Citrix Systems, Inc. — All rights reserved
53
Сценарии внедрения
Безклиентский ESSO
Приложения на Citrix
Presentation Server
Внедрение для
Presentation
Server
Рабочая
станция
Рабочая
станция
Приложения на Citrix
Presentation Server
+
Локальные приложения
(включая. Web приложения
доступные через локальный браузер)
Смешанное
внедрение
Только локальные приложения
Внедрение только
(Web приложения доступные через локальный браузер на рабочих станциях
или
Хост-приложения доступные через локальные эмуляторы)
Рабочая
станция
= Агент SSO
Может быть использовано с или без
Citrix Presentation Server
© 2007 Citrix Systems, Inc. — All rights reserved
54
Безклиентский ESSO – независимость
от устройства или ОС на клиенте
Доступ и SSO через Web browser
(не требуется никакой загрузки)
Ферма Presentation Server с Windows,
Web и Host приложениями
Active Directory
Удаленные рабочие
станции с поддержкой JVM
(не требуется установка
клиента Citrix)
Firewall
SSL / TLS
Firewall
Advanced
Gateway
Web Interface с JAVA
ICA клиентом
Безклиентский SSO для Windows, Web и
Host приложений
© 2007 Citrix Systems, Inc. — All rights reserved
Центральное Хранилище
Расширение схемы AD
или файловый ресурс
Локальные рабочие
станции с поддержкой
JVM (не требуется
установка клиента Citrix)
= SSO Агент
55
Дополнительные обзоры
Gartner оценивает Citrix Password
Manager как “Strong Positive”
This MarketScope graphic was published by Gartner, Inc. as part of a larger
research note and should be evaluated in the context of the entire report. The
Gartner report is available upon request from Citrix.
© 2007 Citrix Systems, Inc. — All rights reserved
57
Кто использует Password Manager?
Свыше 2,800 Заказчиков и 2M пользователей
по состоянию на Окт. 2006 . . .
• LeasePlan Belgium
• Accord Plc
• LifeLink
• ACS Financial
• Beverly Enterprises
• Lockheed Martin
• Blue Ball Nat’l Bank
• MacLeod-Lorway
• Capri Insurance
• MAN Ferrostaal AG
• CBE Technologies
• Margolis, Phipps &
• Community Resource
Wright
•
SPCA Hong Kong
•
Mercedes Benz USA
•
United Overseas Bank
•
MMI Genomics
•
US Air Force Personnel Ctr.
•
Olympus America
•
Verbandssparkasse
•
Patton State Health
•
Volker Stevin Rail & Traffic
•
Prudential Fox & Roach
•
Waterford Hotels
•
Saint Clares Health
•
Wilbur Curtis Co.
•
Sartomer Company
•
Wisconsin Milk Marketing
•
•
•
•
•
•
•
•
Credit Union
CompuCredit
Concord Comm.
Colligy
Detroit Medical Ctr.
Enterprise Bank
Gen’l Service Admin
Harborside Healthcare
Illinois Valley Hospital
© 2007 Citrix Systems, Inc. — All rights reserved
58
Вопросы и Ответы
Представительство Citrix Systems в России и СНГ
Офис в Москве
Сергей Халяпин
sergey.khalyapin@eu.citrix.com
Тел.: +7 (495) 937-82-49
Web: www.citrix.ru
www.citrixnews.ru
СПАСИБО ЗА ВНИМАНИЕ!
Ждем Вас 11 сентября 2007 года
© 2007 Citrix Systems, Inc. — All rights reserved
59