Transcript Что такое Citrix Password Manager?
Slide 1
Доступ к приложениям
Windows, Web, Host,
Java с помощью Citrix
Password Manager
Игорь Крошкин
Citrix Systems, Системный инженер
CCIA, CCEA, CCSP, MCSE, MCDBA
[email protected] +7 495 937-82-49
Казань, 29.09.2006
Slide 2
Существующие проблемы
заказчика
• Проблема управления данными аутентификации
– средний пользователь использует 18 разных учетных
записей ( информация Гартнер)
– использование каталогов на основе Active Directory,
LDAP, Novell eDirectory, Tivoli Directory Server и т.д.
– приложения Windows, Web, Java, Host
• Соответствие нормативным стандартам
– Sarbanes-Oxley, GLBA, HIPAA, EUDPD, Basel II
• Повышение безопасности
– увеличение сложности пароля
– периодическая смена пароля
22
– аудит
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 3
Что такое Citrix Password
Manager?
• Программное решение для выполнения
сквозной аутентификации
• Обеспечивает однократный вход для
приложений Windows-, Web-, Host
• Агент сохраняет аутентификационные
данные пользователя в центральном
хранилище, производя синхронизацию
…прост при использовании и внедрении
33
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 4
Сквозная аутентификация
Web
Единый вход
в систему
Windows
Доступ к любому
приложению
Host
Биометрия Смарт-карта
Токен
44
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 5
Архитектура Citrix Password
Manager 4.1
Консоль
Push
Агент
Центральное
хранилище
Sync
Central
Store
55
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 6
Архитектура – консоль
администратора
Утилита администратора
для централизованного
определения всех
настроек
Определение приложений
и настроек пользователя
Записывает настройки в
центральное хранилище
Интегрирована с
консолью Access Suite
Агент
Консоль
Push
Центральное
хранилище
Sync
Central
Store
66
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 7
Архитектура – центральное
хранилище
Хранение настроек, заданных
администратором
Хранит аутентификационные
данные пользователя в
зашифрованном виде (3DES)
Active Directory, общая сетевая
папка Windows или Novell,
LDAP*
Консоль
Push
Агент
Центральное
хранилище
Sync
Central
Store
77
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 8
Архитектура - агент
Устанавливается на
стороне приложений
Определяет и реагирует на
события аутентификации и
смены пароля
Синхронизирует настройки
и аутентификационные
Console
данные
с центральным
хранилищем
Агент
Использует проецируемый
в память файл для
автономной работы
Push
Центральное
хранилище
Sync
Central
Store
88
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 9
Автоматическое распознавание
событий, связанных с паролями
данные для
аутентификации
• Политики для задания
сложности пароля
• Автоматическая смена
пароля без
вмешательства
пользователя
• Поддерживает
приложения Windows,
Web, Host
99
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 10
Демо
10
10
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 11
Citrix Password Manager 4.1 новые возможности
• Улучшена процедура регистрации пользователя
– Автоматическое задание нового пароля
– Hot Desktop для быстрого переключения между учетными записями
пользователя
• Увеличена безопасность на соответствие международным
стандартам
–
–
–
–
Гарантируется целостность данных
Защита данных с помощью смарт-карт
Улучшен аудит событий
Улучшен механизм управления ключами и проверки подлинности
• Гибкость при управлении и развертывании
11
11
– Интеграция с консолью Access Suite
– Утилита определения приложений
– Клиент Access Suite и новый интерфейс для агента
– Улучшена поддержка общих папок NTFS
– Поддержка LDAP
– Механизм лицензирования Access Suite
© 2003 Citrix Systems, Inc.—All rights reserved.
Citrix Company Confidential
Slide 12
Поддержка мобильных пользователей
• Автономный режим работы
– агент хранит данные аутентификации в зашифрованном
виде в проецируемом в память файле (локальное
хранилище данных)
• Независимость от устройства доступа
– агенты получают данные аутентификации из
центрального хранилища данных
• Преимущества
– пользователи получают доступ в случае недоступности
сетевого соединения
– прозрачный доступ с различных устройств
12
12
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 13
Account Self-Service
• Позволяет пользователю сбросить основной пароль в случае,
если он забыт или разблокировать учетную запись
– Упрощает обслуживание учетной записи пользователя
– Снижает количество обращений в службу технической поддержки
• Как это работает:
– Пользователи используют стандартный MSGINA-диалог
– Пользователи отвечают на персональные вопросы для проверки
аутентичности
– В случае успеха, основной пароль может быть изменен или
учетная запись разблокирована
• Используется лицензия Citrix Password Manager 4
• Требования:
– Наличие службы Password Manager Service
13
13
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 14
Демо
14
14
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 15
Предварительная инициализация
данных аутентификации
• Используя XML интерфейс, администратор может выполнить
предварительную инициализацию данных аутентификации
• Поддерживаемые операции
–
–
–
–
–
Определение нового приложения
Изменение данных аутентификации существующего приложения
Удаление существующего приложения
Удаление пользователя
Сброс данных аутентификации пользователя
• Все события подвергаются аудиту
• Требует наличия службы Password Manager Service
Преимущества
• Обеспечивает быстрый ввод новых пользователей
• Безопасность, так как пользователи не знают данных
аутентификации
15
15
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 16
Поддержка 64-бит
• Citrix Password Manager 4.1 поддерживает Windows
Server 2003 x64
• Поддерживаются
– Агент Password Manager и Application Definition Tool
– Доступ к 32-бит Windows, Web, Host приложениям
– Доступ к 64-бит Windows Explorer Network Logon
• Преимущества
– Возможность использования Windows Server 2003 x64
16
16
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 17
Гарантируется целостность данных
• Описание:
– Выполняется цифровая подпись настроек, вносимых
администратором с помощью консоли в центральное
хранилище
– Использует PKI и алгоритм RSA
– Рекомендуется в случае высоких требований
безопасности
– Дополнительный компонент: Password Manager Service
• Компоненты:
– Password Manager Service, модуль целостности данных
– Утилита цифровой подписи данных
17
17
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 18
Поддержка двухфакторной
аутентификации
Описание
• Поддержка смарт-карт, биометрии, токенов одноразовых
паролей, карт проксимити для первоначальной
аутентификации пользователя
• Сертификаты, хранящиеся на смарт-картах, могут
использоваться в качестве ключа при шифровании
пользовательских данных аутентификации
Возможности смарт-карт
– Profile/DPAPI – есть в CPM 2.5
• Data Protection API (DPAPI) используется для извлечения ключа
шифрования
• Требует блуждающих профилей и
Windows XP/2000+
– Password/PIN – есть в CPM 2.5
• PIN используется для извлечения ключа шифрования
– Smart Card Data Protect – новое в CPM 4.1
18
18
2003 Citrix Systems, Inc.—All rights reserved.
• Сертификаты используются для ивлечения ключа© шифрования
Citrix Company Confidential
Slide 19
Улучшен аудит событий
• Описание:
– Аудит в Citrix Password Manager 2.5
• События записываются в MMF файл и затем в журнал
событий каждые 15 минут
• В описании события отсутсвует имя пользователя
• Неудачные попытки входа не фиксируются
– Аудит в Citrix Password Manager 4.1
• События записываются непосредственно в журнал
событий
• События классифицируются как Уведомление,
Сообщение, Ошибка
• Описание события содержит информацию о
пользователе и сессии
• Аудит на уровне пользователя
• Отключен по умолчанию (за исключением Hot Desktop)
19
19
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 20
Утилита определения
приложений (ADT)
• Используется для создания определения
приложений Windows, Web, Host
• ADT может использоваться изолированно или в
составе консоли Access Suite
• ADT должна иметь подключение к центральному
хранилищу
– Записывает определения приложений & Шаблоны
непосредственно в корень центрального хранилища
20
20
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 21
Hot Desktop
• Мобильные пользователи часто используют
разделяемые рабочие станции или киоски
• Разделяемые рабочие станции используют
общую учетную запись
• Требования безопасности
– Только авторизованные пользователи могут
иметь доступ к чувствительной информации
– Аудит и отчетность действий пользователя
• Стандартный процесс входа Windows
М–Е–Д–Л–Е–Н–Н–Ы–Й
• Время = Продуктивность = Прибыль
21
21
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 22
Hot Desktop – Решение!
• Быстрое переключение между учетными записями для
киосков, использующих общую учетную запись
• Citrix Password Manager выполняет сквозную
аутентификацию для всех пользовательских приложений
• Приложения могут работать в контексте общей учетной
записи или под учетной записью пользователя
• Вход, выход, изменения пароля подвергаются аудиту
• Таймаут неактивности увеличивает безопасность и т.о.
любой пользователь может разблокировать киоск
22
22
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 23
Hot Desktop производительность
25.0
21.7
20.0
Время, сек
15.0
13.4
Локальный профиль
Блуждающий профиль
Hot Desktop
11.4
10.0
7.0
4.3
5.0
2.0
0.0
Регистрация пользователя
23
23
Citrix Company Confidential
Переключение между учетными
записями
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 24
Сценарии развертывания
Приложения Citrix
Presentation Server
Приложения Citrix Presentation
Server
+
Локальные
Только локальные приложения
= SSO Agent
24
24
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 25
Вопросы
25
25
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Доступ к приложениям
Windows, Web, Host,
Java с помощью Citrix
Password Manager
Игорь Крошкин
Citrix Systems, Системный инженер
CCIA, CCEA, CCSP, MCSE, MCDBA
[email protected] +7 495 937-82-49
Казань, 29.09.2006
Slide 2
Существующие проблемы
заказчика
• Проблема управления данными аутентификации
– средний пользователь использует 18 разных учетных
записей ( информация Гартнер)
– использование каталогов на основе Active Directory,
LDAP, Novell eDirectory, Tivoli Directory Server и т.д.
– приложения Windows, Web, Java, Host
• Соответствие нормативным стандартам
– Sarbanes-Oxley, GLBA, HIPAA, EUDPD, Basel II
• Повышение безопасности
– увеличение сложности пароля
– периодическая смена пароля
22
– аудит
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 3
Что такое Citrix Password
Manager?
• Программное решение для выполнения
сквозной аутентификации
• Обеспечивает однократный вход для
приложений Windows-, Web-, Host
• Агент сохраняет аутентификационные
данные пользователя в центральном
хранилище, производя синхронизацию
…прост при использовании и внедрении
33
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 4
Сквозная аутентификация
Web
Единый вход
в систему
Windows
Доступ к любому
приложению
Host
Биометрия Смарт-карта
Токен
44
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 5
Архитектура Citrix Password
Manager 4.1
Консоль
Push
Агент
Центральное
хранилище
Sync
Central
Store
55
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 6
Архитектура – консоль
администратора
Утилита администратора
для централизованного
определения всех
настроек
Определение приложений
и настроек пользователя
Записывает настройки в
центральное хранилище
Интегрирована с
консолью Access Suite
Агент
Консоль
Push
Центральное
хранилище
Sync
Central
Store
66
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 7
Архитектура – центральное
хранилище
Хранение настроек, заданных
администратором
Хранит аутентификационные
данные пользователя в
зашифрованном виде (3DES)
Active Directory, общая сетевая
папка Windows или Novell,
LDAP*
Консоль
Push
Агент
Центральное
хранилище
Sync
Central
Store
77
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 8
Архитектура - агент
Устанавливается на
стороне приложений
Определяет и реагирует на
события аутентификации и
смены пароля
Синхронизирует настройки
и аутентификационные
Console
данные
с центральным
хранилищем
Агент
Использует проецируемый
в память файл для
автономной работы
Push
Центральное
хранилище
Sync
Central
Store
88
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 9
Автоматическое распознавание
событий, связанных с паролями
данные для
аутентификации
• Политики для задания
сложности пароля
• Автоматическая смена
пароля без
вмешательства
пользователя
• Поддерживает
приложения Windows,
Web, Host
99
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 10
Демо
10
10
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 11
Citrix Password Manager 4.1 новые возможности
• Улучшена процедура регистрации пользователя
– Автоматическое задание нового пароля
– Hot Desktop для быстрого переключения между учетными записями
пользователя
• Увеличена безопасность на соответствие международным
стандартам
–
–
–
–
Гарантируется целостность данных
Защита данных с помощью смарт-карт
Улучшен аудит событий
Улучшен механизм управления ключами и проверки подлинности
• Гибкость при управлении и развертывании
11
11
– Интеграция с консолью Access Suite
– Утилита определения приложений
– Клиент Access Suite и новый интерфейс для агента
– Улучшена поддержка общих папок NTFS
– Поддержка LDAP
– Механизм лицензирования Access Suite
© 2003 Citrix Systems, Inc.—All rights reserved.
Citrix Company Confidential
Slide 12
Поддержка мобильных пользователей
• Автономный режим работы
– агент хранит данные аутентификации в зашифрованном
виде в проецируемом в память файле (локальное
хранилище данных)
• Независимость от устройства доступа
– агенты получают данные аутентификации из
центрального хранилища данных
• Преимущества
– пользователи получают доступ в случае недоступности
сетевого соединения
– прозрачный доступ с различных устройств
12
12
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 13
Account Self-Service
• Позволяет пользователю сбросить основной пароль в случае,
если он забыт или разблокировать учетную запись
– Упрощает обслуживание учетной записи пользователя
– Снижает количество обращений в службу технической поддержки
• Как это работает:
– Пользователи используют стандартный MSGINA-диалог
– Пользователи отвечают на персональные вопросы для проверки
аутентичности
– В случае успеха, основной пароль может быть изменен или
учетная запись разблокирована
• Используется лицензия Citrix Password Manager 4
• Требования:
– Наличие службы Password Manager Service
13
13
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 14
Демо
14
14
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 15
Предварительная инициализация
данных аутентификации
• Используя XML интерфейс, администратор может выполнить
предварительную инициализацию данных аутентификации
• Поддерживаемые операции
–
–
–
–
–
Определение нового приложения
Изменение данных аутентификации существующего приложения
Удаление существующего приложения
Удаление пользователя
Сброс данных аутентификации пользователя
• Все события подвергаются аудиту
• Требует наличия службы Password Manager Service
Преимущества
• Обеспечивает быстрый ввод новых пользователей
• Безопасность, так как пользователи не знают данных
аутентификации
15
15
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 16
Поддержка 64-бит
• Citrix Password Manager 4.1 поддерживает Windows
Server 2003 x64
• Поддерживаются
– Агент Password Manager и Application Definition Tool
– Доступ к 32-бит Windows, Web, Host приложениям
– Доступ к 64-бит Windows Explorer Network Logon
• Преимущества
– Возможность использования Windows Server 2003 x64
16
16
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 17
Гарантируется целостность данных
• Описание:
– Выполняется цифровая подпись настроек, вносимых
администратором с помощью консоли в центральное
хранилище
– Использует PKI и алгоритм RSA
– Рекомендуется в случае высоких требований
безопасности
– Дополнительный компонент: Password Manager Service
• Компоненты:
– Password Manager Service, модуль целостности данных
– Утилита цифровой подписи данных
17
17
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 18
Поддержка двухфакторной
аутентификации
Описание
• Поддержка смарт-карт, биометрии, токенов одноразовых
паролей, карт проксимити для первоначальной
аутентификации пользователя
• Сертификаты, хранящиеся на смарт-картах, могут
использоваться в качестве ключа при шифровании
пользовательских данных аутентификации
Возможности смарт-карт
– Profile/DPAPI – есть в CPM 2.5
• Data Protection API (DPAPI) используется для извлечения ключа
шифрования
• Требует блуждающих профилей и
Windows XP/2000+
– Password/PIN – есть в CPM 2.5
• PIN используется для извлечения ключа шифрования
– Smart Card Data Protect – новое в CPM 4.1
18
18
2003 Citrix Systems, Inc.—All rights reserved.
• Сертификаты используются для ивлечения ключа© шифрования
Citrix Company Confidential
Slide 19
Улучшен аудит событий
• Описание:
– Аудит в Citrix Password Manager 2.5
• События записываются в MMF файл и затем в журнал
событий каждые 15 минут
• В описании события отсутсвует имя пользователя
• Неудачные попытки входа не фиксируются
– Аудит в Citrix Password Manager 4.1
• События записываются непосредственно в журнал
событий
• События классифицируются как Уведомление,
Сообщение, Ошибка
• Описание события содержит информацию о
пользователе и сессии
• Аудит на уровне пользователя
• Отключен по умолчанию (за исключением Hot Desktop)
19
19
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 20
Утилита определения
приложений (ADT)
• Используется для создания определения
приложений Windows, Web, Host
• ADT может использоваться изолированно или в
составе консоли Access Suite
• ADT должна иметь подключение к центральному
хранилищу
– Записывает определения приложений & Шаблоны
непосредственно в корень центрального хранилища
20
20
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 21
Hot Desktop
• Мобильные пользователи часто используют
разделяемые рабочие станции или киоски
• Разделяемые рабочие станции используют
общую учетную запись
• Требования безопасности
– Только авторизованные пользователи могут
иметь доступ к чувствительной информации
– Аудит и отчетность действий пользователя
• Стандартный процесс входа Windows
М–Е–Д–Л–Е–Н–Н–Ы–Й
• Время = Продуктивность = Прибыль
21
21
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 22
Hot Desktop – Решение!
• Быстрое переключение между учетными записями для
киосков, использующих общую учетную запись
• Citrix Password Manager выполняет сквозную
аутентификацию для всех пользовательских приложений
• Приложения могут работать в контексте общей учетной
записи или под учетной записью пользователя
• Вход, выход, изменения пароля подвергаются аудиту
• Таймаут неактивности увеличивает безопасность и т.о.
любой пользователь может разблокировать киоск
22
22
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 23
Hot Desktop производительность
25.0
21.7
20.0
Время, сек
15.0
13.4
Локальный профиль
Блуждающий профиль
Hot Desktop
11.4
10.0
7.0
4.3
5.0
2.0
0.0
Регистрация пользователя
23
23
Citrix Company Confidential
Переключение между учетными
записями
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 24
Сценарии развертывания
Приложения Citrix
Presentation Server
Приложения Citrix Presentation
Server
+
Локальные
Только локальные приложения
= SSO Agent
24
24
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.
Slide 25
Вопросы
25
25
Citrix Company Confidential
© 2003 Citrix Systems, Inc.—All rights reserved.