O que é?

O Single Sign-On (SSO) é o módulo responsável por realizar a autenticação dos usuários da rede interna. No SSO o usuário autentica uma única vez para ter autorização em diferentes serviços, como Firewall e Webfilter.

O Firewall permite a configuração de múltiplas instâncias de SSO. As instâncias são sempre vinculadas a Grupos de Usuários. Os Grupos de Usuários suportam múltiplas fontes de autenticação.

Funcionalidades

  1. Autenticação usuários
  2. Permitir autenticação dos usuários por MAC
  3. Revogar sessão de usuário
  4. Cadastrar exceções

Casos de uso

Autenticação de usuários

A funcionalidade básica do SSO está no cadastro e ativação de uma instância, que possui as seguintes configurações:

  • Habilitar / desabilitar
    • Informa se a configuração está ativa ou não
  • Nome
  • Descrição
  • Permitir autenticação dos usuários por MAC
    • Mais detalhes no caso de uso 2
  • Expiração da sessão
    • Define quanto tempo (em segundos) o usuário permanece autenticado até nova verificação de identidade
    • Tempo em que o IP do usuário permanece listado no IPSET de usuários autenticados
  • Interfaces de rede em que a instância SSO será ativada
  • Grupos de usuários autorizados pela instância
  • Termos de serviço
    • Permite ativar termos de serviço
    • Permite ativar termo padrão sugerido no produto
    • Permite criar termo personalizado
  • Configuração SSL
    • Permite customizar o certificado SSL
      • Requer definir o hostname (FQDN) personalidado (common name do certificado), endereço onde o SSO será exibido para autenticação
      • Requer o IP estático que será resolvido pelos clientes ao requisitar o hostname informado
      • Requer upload do par de chaves SSL para a página web
    • Por padrão (desativado), é redirecionado para https://sso.itflex.app com certificado válido da iTFLEX

Funcionamento:

  • Quando a instância é ativada em uma interface de rede, todo tráfego de navegação (TCP 80, 443 e portas do Webfilter) requer autenticação no SSO
  • As requisições são redirecionadas via iptables tabela NAT para as portas do SSO 7080 e 7443 (com e sem SSL)
  • Na primeira autenticação, o usuário deve inserir login e senha, que será validado com a fonte de autenticação
  • O Firewall também guarda a sessão autenticada pelo navegador para renovação de sessão sem pedir senha
  • Caso autenticado, o IP da máquina é associado a uma nova sessão para o usuário, para uso nos demais serviços do Firewall *
  • O IP é inserido no IPSET de usuários autenticados da instância
  • Usuários já autenticados não são mais direcionados para tela de login (exceção no redirecionamento NAT com IPSET)
  • Ao expirar o tempo de sessão do IPSET, o usuário volta a ser redirecionado para a tela de login
  • Na reautenticação, o Firewall valida que a sessão permanece válida no navegador e renova o IPSET sem solicitar usuário e senha
  • Nova autenticação de usuário e senha será requisitada nos seguintes casos:
    • Caso usuário tenha sido desativado ou a senha tenha mudado, a sessão do navegador é invalidada
    • Caso usuário limpe as sessões do navegador
    • Caso o IP do usuário mude (DHCP)
    • Caso o administrador da rede tenha revogado a sessão do usuário
      • Mais detalhes no caso de uso 4

* Toda sessão de usuário é associado a um IP. Se o usuário autenticar múltiplos dispositivos, serão várias sessões ativas (IPs) para o mesmo usuário. Todos os serviços que definem regras para usuários, estão definindo regras para IPs da rede

Permitir autenticação dos usuários por MAC

Caso a instância tenha ativado a opção de Permitir autenticação dos usuários por MAC, o recurso permite:

  • Autorizar dispositivos na rede com base no MAC Address de origem
  • O MAC deve ser atrelado a um usuário dentro de uma fonte de autenticação local
  • Limitado somente a redes diretamente conectadas ao Firewall *

* Redes não conectadas diretamente, como VLANs roteadas atrás de um switch core, por exemplo, não suportam esta configuração, pois o MAC de origem que chega ao Firewall é o endereço do roteador e não do dispositivo final.

Ao ativar a instância, o fluxo é redirecionado para o SSO, que processa:

  • Valida se o MAC está cadastro em algum usuário local
  • Adiciona o IP como autenticado no IPSET de usuários autenticados
  • Cria a sessão para o usuário, exibindo IP e MAC
  • Autoriza o usuário sem solicitar login e senha

Revogar sessão de usuário

Após autenticação com login e senha, a sessão do navegador do usuário fica salva no Firewall para renovação sem solicitar login.

É possível listar as sessões ativas e revogá-las através do menu: SSO > Usuários Autenticados >

A listagem exibe usuário, IP, MAC, Instância, data de login e data de expiração da sessão (IPSET). O menu de ações permite revogar a sessão, o que irá obrigar nova autenticação com login e senha.

Cadastrar exceções

Caso seja necessário realizar bypass no SSO para algum IP da rede, é possível ativar a Execeção de Segurança no Firewall. Funcionalidade descrita no módulo de Firewall.

A exceção faz com que o IP não seja redirecionado para a tela de login do SSO (exceção do redirecionamento na tabela NAT do iptables).

Copyright © iTFLEX Tecnologia Ltda 2019