با توجه به اینکه در مقالات پیشین به بررسی مزایای استفاده از BIG-IP APM پرداخته شده است، در این مقاله به بررسی ویژگی زیرساخت تجمیع شده و سهولت روند مدیریت در F5 Big-IP می پردازیم.
BIG-IP APM با یکپارچه نمودن مدیریت دسترسیِ وسیع (Enterprise-Wide) و مقرون به صرفهی برنامهها با استفاده از راهکار ارائهی برنامه به صورت متمرکز بر رویBIG-IP Local Traffic Manager یا به اختصار LTM، اجرای مدیریت دسترسی و شناسه (IAM) و همچنین احراز هویت، حق دسترسی و پیگیری حسابکاربری سرویسها (AAA) را تسهیل مینماید.
قابلیت یکبار ورود (SSO)
BIG-IP APM از قابلیت یکبار ورود SSO روی چندین دامین و Kerberos Ticketing پشتیبانی نموده و در نتیجه امکان انجام احراز هویتهای بیشتری را فراهم میکند، مثلا میتوان از (U.S. Federal Government Common Access Cards (CACs و استفاده از احراز هویت Active Directory برای تمام برنامهها نام برد. کاربران به طور خودکار وارد برنامهها و سرویسهای Back-End که بخشی از حوزهی Kerberos هستند، میشوند و در نتیجه، پس از اینکه کاربر از طریق یک طرح احراز هویتِ پشتیبانی شده مورد تایید قرار گرفت، یک جریان احراز هویت یکپارچه ایجاد میگردد. همچنین BIG-IP APM دارای قابلیت پشتیبانی از کارت هوشمند (Smart Card) با ارائهکنندههای اطلاعات اعتباری (Credential Providers) است و برای کاربرانی که دستگاههایشان دارای ویندوز 7 یا بالاتر است از SSO پشتیبانی کرده و در نتیجه به آنها این توانایی را میدهد که قبل از Sign In نمودن، دستگاههایشان را به شبکه متصل کنند.
SAML 2.0 با پشتیبانی از اتصالهایی که توسط IdPها (identity Providers) و همچنین SPها (Service Providers) برقرار میشوند، قابلیتهای BIG-IP APM را بیش از پیش گسترش داده است. این عملکرد قابلیتهای SSO را به برنامههای مبتنی بر Cloud خارج از دیتاسنتر سازمان گسترش میدهد و همچنین توانایی Identity Federation را در پلترفرمهای F5 BIG-IP ایجاد میکند و در نتیجه BIG-IP APM زمانی را که کاربر صرف وارد شدن به چندین برنامه میکند به حداقل رسانده و یک پورتال کاربر یکپارچه برای Cloud، وب، تکنولوژی زیرساخت دسکتاپ مجازی یا به اختصار VDI، و برنامههای Client/Server فراهم میکند. BIG-IP APM همچنین به مدیران شبکهها این قدرت را میدهد که به طور مرکزی دسترسی یک کاربر را به تمام برنامههای هویت فعال (Identity-Enabled) بدون توجه به محل استقرار کاربر، مسدود نماید و در نتیجه این امر موجب صرفهجویی در زمان و بهرهوری مدیران شبکهها افزایش مییابد. BIG-IP APM با پشتیبانی از اتصال مصنوعی (SAML (SAML Artifact Binding انتقال پیامهای SAML را ایمن میسازد و این امر جریان پیامهای SAML از طریق مرورگرها را کاهش داده و با این کار برخی محدودیتهای مرورگرها را برطرف کرده است و در همین حال پشتیبانی SSO را به فرمهایی که به طور خودکار ارسال شدهاند و از JavaScript پشتیبانی نمیکنند را گسترش میدهد. در نتیجه کاربران در زمان خود صرفهجویی میکنند و از تجربهی کاربری بهتری بهرهمند خواهند داشت. BIG-IP APM همچنین SSO را از طریق SAML به برنامههای Client-Based و دیگر محیطهای بدون مرورگر (از جمله برنامههای دسکتاپ و کد سرور در برنامههای وب) گسترش میدهد و با پشتیبانی از پروفایلهای SAML Enhanced Client یا Proxy (ECP) گردش کار (Workflow) کاربر را ساده و روان میکند. BIG-IP APM با پشتیبانی از پروفایلهای SAML ECP دسترسی به برنامههای Client-Based از جمله Microsoft Office 365 را تسهیل مینماید و این امر تجربهی کاربر را بهبود میبخشد و قابلیت استفاده از برنامه و بهرهوری را افزایش میدهد.
BIG-IP APM برای برنامههایی با ویژگیهای Multi-Valued (برنامههایی که بیش از یک منبع دیتابیس دارند)، نظیر Cisco WebEx از Identity Federation پشتیبانی کرده و استفاده از آن را تسهیل میکند.
BIG-IP APM با استفاده از Microsoft Exchange روی دستگاههای متحرکی همچون Apple iPhone که از پروتکل Microsoft ActiveSync استفاده میکنند، از همسانسازی (Synchronization) ایمیل، تقویم و مخاطبین پشتیبانی مینماید. این ماژول با برطرف کردن نیاز به لایههای اضافی برای Gatewayهای احراز هویت، برای پذیرفتنMicrosoft Outlook Web Access (OWA)، ActiveSync و اتصالات Outlook Anywhere، به تجمیع زیرساختها و حفظ بهرهوری کاربر کمک میکند. BIG-IP APM در هنگام انتقال به Exchange 2010 با Active Directory کار میکند تا انتقال Mailbox به صورت یکپارچه را در طول زمان تسهیل کند و هنگامی که فرایند انتقال تکمیل شد، BIG-IP APM با دسترسی URL واحد، صرف نظر از کاربر، دستگاه یا شبکه، دسترسی مدیریت شده به Exchange را فراهم میآورد.
زیرساخت AAA یکپارچه
سایر راهحلهای احراز هویت از شیوههایی نظیر روشهای کدگذاری برنامهها، Agentهای جداگانهی سرور وب یا پروکسیهای اختصاصی استفاده میکنند و در نتیجه ممکن است درگیر مسائل مربوط به مدیریت، هزینه و مقیاس پذیری شوند. لذا از آنجایی که در BIG-IP APM کنترل AAA مستقیما روی سیستم BIG-IP است، کاربر میتواند Policyهای دسترسی شخصیسازی شدهای را روی بسیاری از برنامهها اعمال نموده و دید متمرکزی از محیط حق دسترسیِ خود به دست آورد. کاربر میتواند زیرساخت AAA خود را یکپارچه کند، لایههای اضافی را از بین ببرد و مدیریت را تسهیل کند تا هزینههای مالی و عملیاتی را کاهش دهد.
دسترسی تسهیل شده برای محیطهای مجازی برنامهها
BIG-IP APM برای محیطهای مجازی برنامهها نقش یک Gateway را ایفا میکند و از زیرساختهای مجازیسازی برنامه و دسکتاپِ Citrix، VMware و مایکروسافت پشتیبانی مینماید. مدیران شبکه با استفاده از BIG-IP APM به کنترلی پویا بر روی نحوهی ارائه و امنیت اجزای راهکارهای مجازیسازی پیشرفته دست یافته و از مزیتهای مدیریت دسترسی، امنیت و سیاست یکپارچه بهرهمند خواهند شد.. برای مثال در اجرای یک XenApp یا XenDesktop عادیِ Citrix، یک مدیر شبکه میتواند به جای مدیریت احراز هویت Citrix،Secure Ticket Authority یا به اختصارSTA ، NetScaler و سایتهای سرویسهای XenApp (که برای پیادهسازی پروژههای که مبداشان Citrix است لازم است)، از BIG-IP APM استفاده نماید.
BIG-IP APM از آخرین نسخههای VMware Horizon پشتیبانی میکند و بالاترین سطح عملکرد، دسترسپذیری و مقیاسپذیریِ پیادهسازیهای VMware End User Computing (EUC) را میسر میسازد. BIG-IP APM همچنین به طور همزمان از Citrix XenApp و XenDesktop Citrix و همچنین Citrix StoreFront پشتیبانی کرده و در نتیجه پشتیبانی از زیرساختهای مجازیسازی برنامه و دسکتاپ Citrix را بیش از پیش تجمیع مینماید. BIG-IP APM به علاوه یک راهکار مقیاسپذیر برای کنترل دسترسی ارائه میدهد که شامل سیاستهای دسترسی و کنترل در بخشهای Remote و LAN میشود و نیازی به تغییر پیکربندی برای سرورهای Back-End نمیباشد. همچنین میتوان با اعمال این راهکار به دیگر برنامهها، به زیرساخت سازمانیِ تسهیل شده، کمهزینه و با مقیاسپذیری بالا رسید.
اکنون شرکتها میتوانند از قابلیت یکبار ورودِ (SSO) کارتهای هوشمندی که از BIG-IP APM و VMware View Connection Server استفاده میکنند، بهرمند گردند که این امر توانایی تجمیع Gatewayها را برای پیادهسازیهای VMware EUC میسر میسازد. BIG-IP APM با استفاده از RSA SecureID و RADIUS و از طریق Native Client برای توزیعهای VMware EUC از احراز هویت دومرحلهای پشتیبانی میکند و همچنین اعتبارسنجی بر حسب تقاضا برای دستگاههای موبایلی (مانند IOS و Android) و Zero Clientها قابل استفاده است.
BIG-IP APM همچنین با کنترلِ جهت USB و همچنین Map نمودن Client-Drive برای دسکتاپهای VMware Horizon مانعِ از دست رفتن دادهها خواهد شد. Policyهای مبتنی بر ساختار در BIG-IP APM میتوانند استفاده از دستگاههای USB توسط کاربران و دستگاهها را کنترل نموده و در نتیجه میزان از دست رفتن دادهها از طریق پورتهای USB را برای حسابهای تحت مدیریت و روی دستگاههای تحت مدیریت کاهش دهند.
گزارشگیری پیشرفته با BIG-IP APM
بررسی عمیق Logها و رخدادها موجب فراهم نمودن جزئیات Sessionهای سیاستهای دسترسی میگردد. BIG-IP APM با دریافت گزارشاتی از Splunk که یکی از شرکای Technology Alliance میباشد و یک راهکار Index کردن و جستجو در مقیاس و سرعت بالا ارائه میدهد، کاربران را قادر میسازد تا نسبت به دسترسی به برنامهها و روندهای ترافیک دید پیدا کرده، دادهها را برای جرمشناسی (Forensic) بلند مدت تجمیع نموده، واکنش به حوادث (Incident Responseها) را تسریع و مشکلات غیرمنتظره را قبل از وقوع شناسایی مینماید.
BIG-IP APM دارای قابلیت فراهم نمودن گزارشات شخصیسازیشده با استفاده از دادهها و آمار با جزئیات زیاد به منظور گزارشگیری و تحلیل هوشمندانه میباشد. مثالها شامل گزارشات مفصل Sessionها توسط موارد زیر میشود:
- عدم موفقیت در دسترسی
- کاربران
- منابع در دسترس
- استفاده گروهی
- تعیین موقعیت فیزیکی IP
گزارشات شخصیسازی شده، دادهها و آمار با جزییات بالا و دقیقی را برای تحلیل هوشمندانه فراهم مینمایند.
دادهی صحتِ دسترسی به صورت Real-Time
داشبورد Policy دسترسی بر روی سیستم BIG-IP به کاربر گزارشی جامع و سریع از صحت دسترسی ارائه میدهد و کاربر قادر خواهد بود Template پیشفرض Sessionهای فعال، توان عملیاتی دسترسی به شبکه، Sessionهای جدید و اتصالات دسترسی شبکه را مشاهده نماید یا اینکه با استفاده از انتخابگر (Chooser) داشبورد ویندوزی، نماهای شخصیسازی شده بسازد. ضمن اینکه کاربر با Drag و Drop نمودنِ آمار مورد نظر در پنجره، به صورت Real-Time از صحت داده آگاه میگردد.
