F5 BIG IP APM

BIG-IP APM با یکپارچه نمودن مدیریت دسترسیِ وسیع (Enterprise-Wide) و مقرون به صرفه‌ی برنامه‌ها با استفاده از راهکار ارائه‌ی برنامه به صورت متمرکز بر رویBIG-IP Local Traffic Manager  یا به اختصار LTM، اجرای مدیریت دسترسی و شناسه (IAM) و همچنین احراز هویت، حق دسترسی و پیگیری حساب‌کاربری سرویس‌ها (AAA) را تسهیل می‌نماید.

قابلیت یک‏بار ورود (SSO)

BIG-IP APM از قابلیت یک‏بار ورود  SSO روی چندین دامین و Kerberos Ticketing پشتیبانی نموده و در نتیجه امکان انجام احراز هویت‌های بیشتری را فراهم می‌کند، مثلا می‌توان از (U.S. Federal Government Common Access Cards (CACs و استفاده از احراز هویت‌ Active Directory برای تمام برنامه‌ها نام برد. کاربران به طور خودکار وارد برنامه‌ها و سرویس‌های Back-End که بخشی از حوزه‌ی Kerberos هستند، می‌شوند و در نتیجه، پس از اینکه کاربر از طریق یک طرح احراز هویتِ پشتیبانی شده مورد تایید قرار گرفت، یک جریان احراز هویت یکپارچه ایجاد می‌گردد. همچنین BIG-IP APM دارای قابلیت پشتیبانی از کارت هوشمند (Smart Card) با ارائه‌کننده‌های اطلاعات اعتباری (Credential Providers) است و برای کاربرانی که دستگاه‌هایشان دارای ویندوز ۷ یا بالاتر است از SSO پشتیبانی کرده و در نتیجه به آن‌ها این توانایی را می‌دهد که قبل از Sign In نمودن، دستگاه‌هایشان را به شبکه متصل کنند.

SAML 2.0 با پشتیبانی از اتصال‌هایی که توسط IdPها (identity Providers) و همچنین SPها (Service Providers) برقرار می‌شوند، قابلیت‌های BIG-IP APM را بیش از پیش گسترش داده است. این عملکرد قابلیت‌های SSO را به برنامه‌های مبتنی بر Cloud خارج از دیتاسنتر سازمان گسترش می‌دهد و همچنین توانایی Identity Federation را در پلترفرم‌های F5 BIG-IP ایجاد می‌کند و در نتیجه BIG-IP APM زمانی را که کاربر صرف وارد شدن به چندین برنامه می‌کند به حداقل رسانده و یک پورتال کاربر یکپارچه برای Cloud، وب، تکنولوژی زیرساخت دسکتاپ مجازی یا به اختصار VDI، و برنامه‌های Client/Server فراهم می‌کند. BIG-IP APM همچنین به مدیران شبکه‌ها این قدرت را می‌دهد که به طور مرکزی دسترسی یک کاربر را به تمام برنامه‌های هویت فعال (Identity-Enabled) بدون توجه به محل استقرار کاربر، مسدود نماید و در نتیجه‌ این امر موجب صرفه‌جویی در زمان و بهره‏وری مدیران شبکه‌ها افزایش می‌یابد. BIG-IP APM با پشتیبانی از اتصال مصنوعی (SAML (SAML Artifact Binding انتقال پیام‌های SAML را ایمن می‌سازد و این امر جریان پیام‌های SAML از طریق مرورگرها را کاهش داده و با این کار برخی محدودیت‌های مرورگرها را برطرف کرده است و در همین حال پشتیبانی SSO را به فرم‌هایی که به طور خودکار ارسال شده‌اند و از JavaScript پشتیبانی نمی‌کنند را گسترش می‌دهد. در نتیجه کاربران در زمان خود صرفه‌جویی می‌کنند و از تجربه‌ی کاربری بهتری بهره‌مند خواهند داشت. BIG-IP APM همچنین SSO را از طریق SAML به برنامه‌های Client-Based و دیگر محیط‌های بدون مرورگر (از جمله برنامه‌های دسکتاپ و کد سرور در برنامه‌های وب) گسترش می‌دهد و با پشتیبانی از پروفایل‌های SAML Enhanced Client یا Proxy (ECP) گردش کار (Workflow) کاربر را ساده و روان می‌کند. BIG-IP APM با پشتیبانی از پروفایل‌های SAML ECP دسترسی به برنامه‌های Client-Based از جمله Microsoft Office 365 را تسهیل می‌نماید و این امر تجربه‌ی کاربر را بهبود می‌بخشد و قابلیت استفاده از برنامه و بهره‏وری را افزایش می‌دهد.

BIG-IP APM برای برنامه‌هایی با ویژگی‌های Multi-Valued (برنامه‌هایی که بیش از یک منبع دیتابیس دارند)، نظیر Cisco WebEx از Identity Federation پشتیبانی کرده و استفاده از آن را تسهیل می‌کند.

BIG-IP APM با استفاده از Microsoft Exchange روی دستگاه‌های متحرکی همچون Apple iPhone که از پروتکل Microsoft ActiveSync استفاده می‌کنند، از همسان‌سازی (Synchronization) ایمیل، تقویم و مخاطبین پشتیبانی می‌نماید. این ماژول با برطرف کردن نیاز به لایه‌های اضافی برای Gatewayهای احراز هویت، برای پذیرفتنMicrosoft Outlook Web Access (OWA)، ActiveSync و اتصالات Outlook Anywhere، به تجمیع زیرساخت‌ها و حفظ بهره‏وری کاربر کمک می‌کند. BIG-IP APM در هنگام انتقال به Exchange 2010 با Active Directory کار می‌کند تا انتقال Mailbox به صورت یکپارچه را در طول زمان تسهیل کند و هنگامی که فرایند انتقال تکمیل شد، BIG-IP APM با دسترسی URL واحد، صرف نظر از کاربر، دستگاه یا شبکه، دسترسی مدیریت شده به Exchange را فراهم می‌آورد.

زیرساخت AAA یکپارچه

سایر راه‌حل‌های احراز هویت از شیوه‌هایی نظیر روش‌های کدگذاری برنامه‌ها، Agentهای جداگانه‌ی سرور وب یا پروکسی‌های اختصاصی استفاده می‌کنند و در نتیجه ممکن است درگیر مسائل مربوط به مدیریت، هزینه و مقیاس پذیری شوند. لذا از آنجایی که در BIG-IP APM کنترل AAA مستقیما روی سیستم BIG-IP است، کاربر می‌تواند Policyهای دسترسی شخصی‌سازی شده‌ای را روی بسیاری از برنامه‌ها اعمال نموده و دید متمرکزی از محیط حق دسترسیِ خود به دست آورد. کاربر می‌تواند زیرساخت AAA خود را یکپارچه کند، لایه‌های اضافی را از بین ببرد و مدیریت را تسهیل کند تا هزینه‌های مالی و عملیاتی را کاهش دهد.

دسترسی تسهیل شده برای محیط‌های مجازی برنامه‌ها

BIG-IP APM برای محیط‌های مجازی برنامه‌ها نقش یک Gateway را ایفا می‌کند و از زیرساخت‌های مجازی‌سازی برنامه و دسکتاپِ Citrix، VMware و مایکروسافت پشتیبانی می‌نماید. مدیران شبکه‌ با استفاده از BIG-IP APM به کنترلی پویا بر روی نحوه‌ی ارائه و امنیت اجزای راهکارهای مجازی‌سازی پیشرفته دست یافته و از مزیت‌های مدیریت دسترسی، امنیت و سیاست یکپارچه بهره‌مند خواهند شد.. برای مثال در اجرای یک XenApp یا XenDesktop عادیِ Citrix، یک مدیر شبکه می‌تواند به جای مدیریت احراز هویت Citrix،Secure Ticket Authority  یا به اختصارSTA ، NetScaler و سایت‌های سرویس‌های XenApp (که برای پیاده‌سازی پروژه‌های که مبدا‌شان Citrix است لازم است)، از BIG-IP APM استفاده نماید.

BIG-IP APM از آخرین نسخه‌های VMware Horizon پشتیبانی می‌کند و بالاترین سطح عملکرد، دسترس‌پذیری و مقیاس‌پذیریِ پیاده‌سازی‌های VMware End User Computing (EUC) را میسر می‌سازد. BIG-IP APM همچنین به طور همزمان از Citrix XenApp و XenDesktop Citrix و همچنین Citrix StoreFront پشتیبانی کرده و در نتیجه پشتیبانی از زیرساخت‌های مجازی‌سازی برنامه و دسکتاپ Citrix را بیش از پیش تجمیع می‌نماید. BIG-IP APM به علاوه یک راهکار مقیاس‏پذیر برای کنترل دسترسی ارائه می‌دهد که شامل سیاست‌های دسترسی و کنترل در بخش‌های Remote و LAN می‌شود و نیازی به تغییر پیکربندی برای سرورهای Back-End نمی‌باشد. همچنین می‌توان با اعمال این راهکار به دیگر برنامه‌ها، به زیرساخت سازمانیِ تسهیل شده، کم‌هزینه و با مقیاس‌پذیری بالا رسید.

اکنون شرکت‌ها می‌توانند از قابلیت یک‏بار ورودِ (SSO) کارت‌های هوشمندی که از BIG-IP APM و VMware View Connection Server استفاده می‌کنند، بهرمند گردند که این امر توانایی تجمیع Gatewayها را برای پیاده‌سازی‌های VMware EUC میسر می‌سازد. BIG-IP APM با استفاده از RSA SecureID و RADIUS و از طریق Native Client برای توزیع‌های VMware EUC از احراز هویت دومرحله‌ای پشتیبانی می‌کند و همچنین اعتبارسنجی بر حسب تقاضا برای دستگاه‌های موبایلی (مانند IOS و Android) و Zero Clientها قابل استفاده است.

BIG-IP APM همچنین با کنترلِ جهت USB و همچنین Map نمودن Client-Drive برای دسکتاپ‌های VMware Horizon مانعِ از دست رفتن داده‌ها خواهد شد. Policyهای مبتنی بر ساختار در BIG-IP APM می‌توانند استفاده از دستگاه‌های USB توسط کاربران و دستگاه‌ها را کنترل نموده و در نتیجه میزان از دست رفتن داده‌ها از طریق پورت‌های USB را برای حساب‌های تحت مدیریت و روی دستگاه‌های تحت مدیریت کاهش دهند.

گزارش‏گیری پیشرفته با BIG-IP APM

بررسی عمیق Logها و رخدادها موجب فراهم نمودن جزئیات Sessionهای سیاست‌های دسترسی می‌گردد. BIG-IP APM با دریافت گزارشاتی از Splunk که یکی از شرکای Technology Alliance می‌باشد و یک راهکار Index کردن و جستجو در مقیاس و سرعت بالا ارائه می‌دهد، کاربران را قادر می‌سازد تا نسبت به دسترسی به برنامه‌ها و روندهای ترافیک دید پیدا کرده، داده‌ها را برای جرم‏شناسی (Forensic) بلند مدت تجمیع نموده، واکنش به حوادث (Incident Responseها) را تسریع و مشکلات غیرمنتظره را قبل از وقوع شناسایی می‌نماید.

BIG-IP APM دارای قابلیت فراهم نمودن گزارشات شخصی‌سازی‌شده با استفاده از داده‌ها و آمار با جزئیات زیاد به منظور گزارش‌گیری و تحلیل هوشمندانه می‌باشد. مثال‌ها شامل گزارشات مفصل Sessionها توسط موارد زیر می‌شود:

  • عدم موفقیت در دسترسی
  • کاربران
  • منابع در دسترس
  • استفاده گروهی
  • تعیین موقعیت فیزیکی IP

گزارشات شخصی‌سازی شده، داده‌ها و آمار با جزییات بالا و دقیقی را برای تحلیل هوشمندانه فراهم می‌نمایند.

داده‌ی صحتِ دسترسی به صورت Real-Time

داشبورد Policy دسترسی بر روی سیستم BIG-IP به کاربر گزارشی جامع و سریع از صحت دسترسی ارائه می‌دهد و کاربر قادر خواهد بود  Template پیش‌فرض Sessionهای فعال، توان عملیاتی دسترسی به شبکه، Sessionهای جدید و اتصالات دسترسی شبکه را مشاهده نماید یا اینکه با استفاده از انتخاب‌گر (Chooser) داشبورد ویندوزی، نماهای شخصی‌سازی ‌شده‌ بسازد. ضمن اینکه کاربر با Drag و Drop نمودنِ آمار مورد نظر در پنجره، به صورت Real-Time از صحت داده آگاه می‌گردد.