AMAGE Shell - Konfiguracja połączenia Azure AD

Wstęp

Dokument opisuje sposób komunikacji aplikacji AMAGE Shell podczas autoryzacji zewnętrznymi serwerami autoryzacji Microsoft Azure AD (Active Directory) w przypadku, gdy profil użytkownika posiada ustanowione dodatkowe zabezpieczenia dotyczące profilu firmowego oraz weryfikacji urządzenia poprzez aplikację Microsoft Intune.

Mechanizm działania

W przypadku, gdy administratorzy przedsiębiorstwa ustalą dodatkowe mechanizmy zabezpieczeń dostępu do zasobów firmowych z urządzeń mobilnych mogą się pojawić dodatkowe wymagania co do komunikacji. Jednym z takich przypadków jest posiadanie na telefonie profilu firmowego, zainstalowanej aplikacji Microsoft Intune oraz wdrożenie przez administratorów przedsiębiorstwa tzw. dodatkowych polityk bezpieczeństwa. Jedna z nich dotyczy tego, że serwery przyjmą połączenia tylko od urządzeń mobilnych, które są oznaczone jako zweryfikowane przez dział IT oraz bezpieczne - czyli posiadają np. ustawione hasło/pin blokowania i nie mają zainstalowanego złośliwego oprogramowania.

Aby to zapewnić, instalowana jest na urządzeniach w profilu służbowym aplikacja Microsoft Intune. W przypadku połączeń z serwerami firmowymi aplikacje mobilne muszą przedstawić serwerom swoją tożsamość tzn. że są zarejestrowanymi urządzeniami firmowymi.

Aby to zrobić, w aplikacji AMAGE Shell dodano obsługę tego typu autoryzacji i komunikacji.

Konfiguracja

Aplikacja AMAGE Shell została tak rozbudowana, aby w maksymalnie transparentny sposób obsługiwać taki rozszerzony mechanizm autoryzacji. Na niektórych urządzeniach może się okazać, że logowanie przebiega bezproblemowo bez dodatkowej konfiguracji. Niemniej na niektórych może się okazać, że dodatkowe komunikaty będą się pojawiały i należy zastosować się do ich treści j/n.

W trakcie połączeń do serwerów, które wymagają rozszerzonej identyfikacji może się pojawić następujący komunikat.

common amageshell authentication ad c336f

Rysunek 1. komunikat dot. rozszerzonej identyfikacji.

Aplikacja wykrywa, że serwer wymaga tej dodatkowej autoryzacji i informuje o tym użytkownika. Po zatwierdzeniu tego komunikatu system zapisuje w konfiguracji opcję dodatkowej autoryzacji i wyświetlania komunikatu o wyborze certyfikatu autoryzującego.

Ręcznie możemy to zrobić w ustawieniach aplikacji. Przechodzimy tam z szuflady wybierając Ustawienia

common amageshell authentication ad 593b5

Rysunek 2. Widok konfiguracji

następnie wybieramy sekcję Ogólne

common amageshell authentication ad 92667

Rysunek 3. Wybór sekcji konfiguracji

W tej sekcji należy WŁĄCZYĆ opcję Używaj certyfikatów klienta

common amageshell authentication ad 45e9a

Rysunek 4. Opcja Używaj certyfikatów klienta

Po wyjściu z ustawień należy włączyć ponownie aplikację i od tego momentu aplikacja będzie włączała dodatkowy certyfikat do autoryzacji użytkownika.

Wykorzystanie

Po włączeniu tych opcji w trakcie rozpoczęcia komunikacji z serwerem autoryzacji Microsoft będzie wykorzystywany identyfikator urządzenia (certyfikat). Wybierany jest on podczas startu aplikacji (lub rozpoczęcia żądania). Pojawia się wtedy okno wyboru certyfikatu j/n. Należy wybrać odpowiedni certyfikat (zwykle microsoft workaccount lub podobny) aby kontynuować dalej autoryzację.

common amageshell authentication ad 26808

Rysunek 5. Wybór certyfikatu

Aplikacja stara się aby te operacje były wykonywane w tle, jednak w zależności od urządzenia obsługa może być inna. Stąd też dodanie opcji konfiguracyjnych dodających taką możliwość.

Howto powstało na bazie wersji systemu 1.19.0.1 (12.2022) oraz przedstawia funkcje, które mogą nie być dostępne w Twoim systemie. Zapytaj AMAGE o udostępnienie tej funkcjonalności.

Ze względu na ciągły rozwój systemu niektóre ekrany lub pliki konfiguracji mogą wyglądać nieznacznie inaczej, ale zachowają nadal pełną funkcjonalność tutaj opisaną. Nie wpływa to na zasadnicze funkcje opisywane w tym dokumencie.