Docs
MFA Setup

Configurazione Oplon Multi Factor Authentication

Oplon MFA Come Funziona e Features

Diamo una panoramica del funzionamento di Oplon MFA (Multi Factor Authentication) per comprendere meglio i passaggi che descriveranno la sua implementazione su risorse esposte dalla nostra Virtual Appliance

Il Multi Fattore di autenticazione è oggi il miglior modo di proteggere i servizi che devono essere esposti al pubblico Internet.

Oplon MFA è integrato nelle ultime versioni della piattaforma Oplon ADC e permette di mettere in sicurezza tutti i servizi WEB che necessitano di una autenticazione forte senza toccare o integrare nulla nel servizio.

Qualsiasi servizio o parte di esso, che attraversa lo strato Oplon ADC, può essere sottoposto a autenticazione a doppio fattore semplicemente applicando una regola. Questo in totale trasparenza rispetto all’applicazione che potrà essere raggiunta dall’operatore solo dopo aver accertato la sua identità.

I servizi di autenticazione MFA sono immediatamente disponibili perché attestati in Super Oplon Cloud, servizio erogato direttamente da Oplon Networks e quindi applicabile immediatamente a tutti i servizi che attraversano Oplon ADC (verificare la versione Oplon ADC per l’attivazione).

Benefici

  1. Qualsiasi servizio WEB o parte di esso che attraversa Oplon ADC a Layer 7 può essere sottoposto a Doppia Autenticazione
  2. La Doppia Autenticazione è direttamente disponibile per i servizi WEB senza installare alcun altro componente, oltre all’ADC in quanto è sufficiente applicare una regola sulla risorsa da proteggere e attivare il servizio presso oplon Networks
  3. Gli utenti che devono accedere alle risorse si possono auto registrare sul servizio senza preventiva intestazione. Sarà sufficiente da parte del manager accettare la richiesta, declinarla o inserire una data di termine oltre la quale l’operatore sarà disattivato per quel servizio.
  4. MFA è utilizzabile e registrabile sia attraverso email, sia attraverso Mobile APP disponibile per iOS e Android
  5. La Mobile APP non necessita del numero di telefono per essere attivata. Il fatto di non avere necessità di attivare la Mobile APP con il numero di un cellulare ha i seguenti benefici:
    • Gli utenti che utilizzano Smartphone privati non hanno necessità di indicare il proprio numero telefonico
    • A livello di configurazione server il cliente non deve stipulare contratti con gestori telefonici risparmiando cifre considerevoli al crescere con il numero di utenti
    • La configurazione non necessita di alcuna integrazione con gestori di telefonia con notevoli vantaggi sia economici sia di tempi ridotti di adozione
    • In caso di utenti esteri non ci sono limitazioni dettate da contratti telefonici per l’erogazione di servizi SMS
  6. La gestione delle autorizzazioni agli accessi è gestita attraverso Tenants e Manager. Questo significa che è possibile delegare ai Manager dei servizi la facoltà di autorizzare l’accesso a un utente
  7. Qualsiasi operazione MFA, dalla richiesta di autorizzazione dell’utente alla conferma o diniego dell’autorizzazione da parte del Manager sono tracciate in maniera non modificabile dagli utilizzatori
  8. Il tracciamento delle operazioni sui servizi è attribuibile all’utente univoco che ha eseguito l’autenticazione MFA aumentando la sicurezza complessiva del sistema
  9. Un unico utente può richiedere accesso a diversi servizi
  10. Con Oplon MFA è semplicissimo integrare l’SSO negli applicativi esistenti perché il login utente e le sue caratteristiche sono aggiunte all’Header http che arriva ai servizi finali. Questo sistema, semplificato rispetto ad altre piattaforme, permette:
    • Con pochissimo sforzo implementativo è possibile da parte applicativa (il gestore del servizio) leggere le informazioni dall’header e approntare un login automatico
    • Con Oplon MFA è possibile indicare sia ruoli (gruppi), sia impersonificazioni per singolo servizio. Questo permette ad un utente MFA di indicare all’applicazione finale con quale utente, ruolo (gruppo) si deve annunciare su quella specifica applicazione e facilitare le implementazioni SSO da parte del gestore applicativo
    • Per le ragioni sopra descritte (a) (b), con Oplon MFA i servizi possono essere non connessi a Internet, così come le recenti best practice prevedono, aumentando la sicurezza in maniera esponenziale non permettendo a virus latenti di attivarsi e a eventuali plugin malevoli di esfiltrare dati sensibili

Prerequisiti e Step

  1. Aver scaricato, installato e configurato la Virtual Appliance di Oplon Secure Access come indicato in questa guida.
  2. Assicurarsi che l'appliance abbia la porta 2443 in uscita aperta, questa servirà comunicare con super.oplon.cloud per il corretto funzionamento di MFA.

Import Certificato .P12 super.oplon.cloud

Una volta acquistato il servizio di Multi Factor Authentication da Oplon, vi verrà consegnato un certificato .P12, che sarà il certificato con cui la appliance si interfaccerà con super.oplon.cloud per la verifica della attendibilità della connessione per permettere le autorizzazioni degli Utenti di Multifactor Autentication.

A questo punto possiamo importare il Keystore nella Nostra Virtual Appliance

Figura 2: Import Certificato

Selezioniamo il file dal percorso locale dove lo abbiamo posizionato e decidiamo si Inserirlo sulla Nostra Piattaforma

Figura 3: Import Certificato

Un video dell'operazione d'inserimento del Keystore nella nostra Platform A10_LBLGoPlatform

Figura 4: VIDEO Inserimento Keystore.

Copia e Configurazione delle Regole di Rewrite MFA/2FA

  1. Rewrite Headere Rule Ricerca Flagghiamo la visualizzazione dei Templates e cerchiamo in search la stringa 2fa
Figura 5: Ricerca rewrite headers
  1. Rewrite Header Rules Copia Copiamo i Templates nella nostra Platform A10_LBLGoPlatform
Figura 6: Copia rewrite headers

Un video dell'operazione di copia dei Templates di Rewrite Header Rules secure nella nostra Platform A10_LBLGoPlatform

Figura 7: VIDEO Ricerca e Copia rewrite headers.

Adesso possiamo procedere alla configurazione delle Regole di Rewrite che andranno a proteggere le risorse di Oplon Secure Access.

Configurazione Rewrite Header 2faActivation e ACTIVATION_CODE

Andiamo nel menù Rewrite Management>Rewrite Header Rules e cerchiamo la Rewrite Header Rule 2faActivation

Una Volta Entrati in Scrittura dei Parametri Cerchiamo la Variables di nome ACTIVATION_CODE e in Value diamo un "CODICEdiATTIVAZIONE" a piacimento.

Figura 8: Inserimento ACTIVATION_CODE

Un video dell'operazione di inserimento del ACTIVATION_CODE nella Rewrite header Rule 2faActivation

Figura 9: Video inserimento ACTIVATION_CODE

Configurazione Rewrite Header 2faGeneric

Andiamo nel menù Rewrite Management>Rewrite Header Rules e cerchiamo la Rewrite header Rule 2faGeneric

Una Volta Entrati in Scrittura dei Parametri Cerchiamo la Sezione Variables e inseriamo i Valori Appropriati alle voci CLIENT_KEYSTORE_NAME --> (nel nostro esempio "ILCertificato.p12") e CLIENT_KEYSTORE_PASSWORD --> (la password ricevuta a sua Corredo)

Figura 10: Inserimento Dati Certificato

Un video dell'operazione d'inserimento dei Parametri nella Rewrite header Rule 2faGeneric

Figura 11: Video inserimento Dati Certificato.

Applicazione delle Regole di Rewrite MFA

A questo punto si tratta di decidere dove applicarle, ricordando che le rewrite possono essere applicate a Livello di

  • ADCs
  • Groupings
  • Domains
  • Endpoints

Per questa dimostrazione, abbiamo deciso di applicarli a livello di Domains, ricordando però che il modo di attivazione rimane pressoché uguale per gli altri tipi di entità.

Es. Come proteggere un Domain

A questo punto siamo in Grado di proteggere una qualsiasi risorsa esposta da OPLON SECURE ACCESS con un sistema di Fattore Multiplo di Autenticazione

A questo punto procediamo alla implementazione su un dominio delle Regole di protezione MFA decidiamo di proteggere il dominio un_dominio.oplon.net

Ricerca del Dominio

ADC Settings / Domains e cerchiamo il dominio un_dominio.oplon.net ed entriamo in edit

Figura 12: Ricerca Dominio

Inserimento Rewrite Header Rules

All'interno della personalizzazione del dominio cerchiamo la Sezione Rewrite header rules e inseriamo le due rewrite che abbiamo fatto poc'anzi 2faGeneric e 2faActivation. Ricordarsi anche d'impostare per 2fa Activation il valore LAST sulla colonna Operation

Figura 13: Ricerca Dominio

Video Inserimento Rewrite Rules MFA su Domain

Un video dell'operazione di ricerca del dominio e sull'inserimento delle rewrite header Rules 2faGeneric e 2faActivation

Figura 14: Video inserimento Rewrite su Risorsa ad esempio "Dominio".

FAQ

In quale punto della configurazione dell' Oplon Adc è possibile fare intervenire un controllo di MFA (Fattore di Autenticazione Multiplo)?

  • Seguendo la logica e la filosofia di applicazione dell'Oplon ADC una Regola di Rewrite può essere applicata a Livello Gerarchico di ADC, di Gruppo, di Dominio o di Contesto, o, come qualsiasi altra regola di rewrite del prodotto, attraverso regexp.

Esattamente qual'è l'effetto che si presenta all'utilizzatore nel caso in cui sia stata elevata una rewrite di MFA in un contesto di un dominio o addirittura in una risorsa sottoposta ad una regexp che la matcha?

  • molto semplicemente la risorsa risulta irraggiungibile da chiunque non sia stato abilitato dal proprio manager. in quel caso (e solo in quello), l'utente si vede rediretto sul portale di autenticazione (nel caso di oplon network superoplon.cloud.net) in una schermata simile a quella sotto riportata, e una volta inserite le credenziali si vede rediretto alla risorsa desiderata
Figura 15: Portale di autenticazione

Ma vuol dire che ogni volta che entro in una risorsa sottoposta a rewrite di MFA sono costretto a rifare l'autenticazione?

  • No! solo se viene chiusa la sessione del Browser corrente. L'autenticazione è stata fatta con l'iniezione di cookies, per cui non verrà "smarrita" fino a quando quei cookies saranno validi per il browser in uso.
Oplon Secure Access UpdateConfigurazione