User Directory — сценарии использования

Сценарии использования User Directory или для чего нужна эта лицензия

software-blade

Многие компании, выбирающие решение для удаленного доступа их пользователей к корпоративным ресурсам, находят крайне удобным, безопасным и функциональным программный блэйд Mobile Access. И при более детальном рассмотрении данного решения перед ними встает вопрос аутентификации пользователей при удаленном доступе.

Чтобы шлюз Check Point мог получить информацию от LDAP (как правило, 90% компаний используют Microsoft Active Directory), необходима лицензия User Directory, приведем текст из официального описания:

The Check Point User Directory Software Blade leverages LDAP servers to obtain identification and security information about network users, eliminating the risks associated with manually maintaining and synchronizing redundant data stores, and enabling centralized user management throughout the enterprise.

В этой ситуации возникает неоднозначность в понимании использования таких блейдов как Identity Awareness, который по умолчанию имеют все аплаинсы Check Point и обеспечивает встроенную возможность работы с LDAP,  и  предлагаемый для удаленной работы Mobile Access Blade.

Постараемся прояснить этот момент и внести ясность в каких же случаях требуется приобретать лицензию CPSB-UDIR?

 Сводная таблица:

AD User/Pass

ICA Certificates

External Certificates

Web Portal / Mobile Enterprise

Нет необходимости приобретать

Да, требуется UDIR

Нет необходимости приобретать

IPsec Clients

Да, требуется UDIR

Да, требуется UDIR

Нет необходимости приобретать

Под IPsec Clients подразумевается:

  • Endpoint Security VPN
  • CP Mobile VPN (iOS and Android)
  • CP Mobile for Windows

Приведем возможные сценарии:

  • При использовании сертификатов, выданных внешним УЦ: НЕ ТРЕБУЕТСЯ
  • При использовании сертификатов, выданных Internal Certificate Authority: ТРЕБУЕТСЯ
  • При авторизации именем и паролем: ТРЕБУЕТСЯ ТОЛЬКО ДЛЯ IPsec Clients

Главное, что если об удаленном доступе речи не идет, то для идентификации локальных пользователей MS AD вполне достаточно Identity Awareness.