Contact

Blog


Als IT-professional herkennen we het allemaal wel, het applicatielandschap verplaatst zich steeds meer naar Software as a Service (SaaS) gebaseerde oplossingen. Dit brengt nieuwe uitdagingen met zich mee, zoals hoe je deze SaaS-applicaties gaat beheren en hoe geef je de gebruikers eenvoudig, maar veilig, toegang? Een andere uitdaging zijn de applicaties welke niet als SaaS-applicatie worden aangeboden.

Veelal faciliteert men voor deze niet SaaS-applicaties een meer traditionele Citrix Virtual Apps en Desktops (voormalig XenApp/XenDesktop) of Remote Desktop Services (RDS) omgeving. Het gevolg? Een medewerker moet meerdere keren inloggen met verschillende inloggegevens om zijn/haar werk te kunnen doen. Hierdoor is de gebruikerservaring niet optimaal. In dit blog leg ik je uit wat de mogelijkheden zijn om deze gebruikerservaring te optimaliseren.

Beveiliging

De beveiliging van een IT-omgeving begint altijd met een gebruikersnaam en wachtwoord en dus het vaststellen van de identiteit van een medewerker. In traditionele omgevingen is deze beveiligingslaag vaak uitgebreid met een tweede authenticatie laag (two factor authentication (2FA)) zoals SafeWord of SMS Passcode.

Met de intrede van cloud oplossingen zijn nieuwe authenticatie systemen beschikbaar gekomen. Denk daarbij bijvoorbeeld aan Azure Active Directory (AAD), waardoor nieuwe mogelijkheden om te authentiseren zich voordoen. Deze cloud gebaseerde authenticatie systemen bieden een centrale web-based gebruikersadministratie en zijn te gebruiken in combinatie met bestaande SaaS-applicaties. Ook is het hiermee mogelijk een extra authenticatie laag toe te voegen aan de SaaS-applicaties, namelijk Azure Multi-Factor Authentication (MFA).

Een bekend voorbeeld van deze Single Sign-On constructie voor SaaS-applicaties is jouw DigiD. Je gebruikt dan een gebruikersnaam en wachtwoord of de bijbehorende authenticatie App om in te kunnen loggen op de website van de belastingdienst, zorgverzekeraar, Mijn overheid etc. Doordat het inloggen op de verschillende SaaS-applicaties gebeurt op basis van één inlogaccount uit het AAD is het inlogproces voor de medewerker versimpelt.

Versimpeling

In veel omgevingen waar SaaS-applicaties gecombineerd zijn met Citrix Virtual Apps en Desktops of een RDS-omgeving zijn vaak meerdere inloghandelingen nodig om alle applicaties en desktop(s) te starten. Op iedere SaaS-applicatie, maar ook op de Citrix omgeving en op de lokale werkplek, is inloggen vereist. Hierdoor lopen de te onthouden inlognamen en wachtwoorden al snel op.

Een logisch gevolg is dat medewerkers wachtwoorden gaan opschrijven of versimpelen om het voor hen zelf zo eenvoudig mogelijk te houden. Dit laatste komt de veiligheid van de bedrijfsgegevens vanzelfsprekend niet ten goede en is zeker niet wenselijk. Om het voor medewerkers zo makkelijk en veilig mogelijk te houden, kun je kijken naar alternatieve oplossingen voor de standaard authenticatie via gebruikersnaam en wachtwoord.

    

Door gebruik te maken van het AAD is het mogelijk om op SaaS-applicaties in te loggen doormiddel van dezelfde authenticatiegegevens als bijvoorbeeld bij het inloggen op Office 365. Daardoor is het voor de medewerker aanzienlijk eenvoudiger om in te loggen op zijn of haar applicaties.

Door de SaaS-applicaties te combineren met AAD is het bovendien mogelijk de meeste SaaS-applicaties te voorzien van Single Sign-On. Dit biedt zeker een meerwaarde wanneer de SaaS-applicaties aangeboden worden via een web-based oplossing zoals Werkplek 365. Om de toegang tot Werkplek365 of de SaaS-applicaties verder te beveiligen kun je aanvullende beveiligingsmethodes toepassen. Denk daarbij aan Azure MFA en Conditional Access.

Aanvullende beveiligingsmethoden

Door Azure Multi Factor Authentication (MFA) en Enterprise Mobile Security (EM+S) toe te voegen aan de oplossing kun je extra beveiliging toepassen op de SaaS-applicaties, werkplekken en bedrijfsdata.

Azure MFA biedt een two-factor authenticatie op basis van iets wat je weet (je inlognaam en wachtwoord) in combinatie met iets dat je hebt; zoals je smartphone (met de Authenticator App). Deze two factor authenticatie (2FA) is op meerdere manieren te gebruiken, zoals bij het extra beveiligen van een werkplek of een Citrix published desktop, maar ook bij het extra beveiligen van een SaaS-applicatie.

Door EM+S te gebruiken kun je doormiddel van Conditional Access bepaalde voorwaardes stellen aan wanneer een SaaS-applicatie wel of geen MFA moet afdwingen en of het gebruikte device, dat toegang wil tot de data, wel voldoet aan de vooraf gestelde eisen.

Combineer met Werkplek365

Werkplek365 is een complete, interactieve en cloud gebaseerde werkplek waarop alle applicaties en informatie van jouw bedrijf weer te geven zijn. Je kunt niet alleen SaaS-applicaties ontsluiten, maar ook Citrix Virtual Apps and Desktops en RDS-desktops en applicaties.

Hoe werkt het?

De medewerker logt in op Werkplek365, welke gekoppeld is met het AAD-account van de medewerker. Doormiddel van tiles worden de SaaS-applicaties, de Citrix Virtual Apps and Desktops en RDS-desktops aangeboden aan de medewerker. Wanneer voor de SaaS-applicatie Single Sign-On is geconfigureerd zal de aangeboden SaaS-applicatie inloggen met hetzelfde AAD-account als waarmee ingelogd is op Werkplek365.

Voor RDS gebaseerde desktops en applicaties maakt Werkplek365 gebruik van Clientless RDP, waarmee Single Sign-On mogelijk is zonder installatie van extra software. Het is ook mogelijk om Citrix Virtual Apps and Desktops doormiddel van Single Sign-On te starten. Om dit te realiseren wordt gebruikgemaakt van Citrix Federated Authentication Service (FAS).

Door FAS toe te voegen aan de oplossing kan een medewerker vanaf de webpagina van Werkplek365 een Citrix published desktop of applicatie starten zonder dat de medewerker zijn/haar inloggegevens moet invoeren.

Combineer met Citrix Federated Authentication Service

Wanneer nog gebruikgemaakt wordt van een Citrix Virtual Apps and Desktops omgeving, kan dit uitgebreid worden met Citrix Federated Authentication Service (FAS). Dit zorgt voor een veilige authenticatie door in te loggen met een Smartcard gebaseerd certificaat op een (Azure) Active Directory omgeving. Hiermee kan een published desktop of published application met Single Sign-On worden aangeboden wanneer deze ontsloten wordt via bijvoorbeeld Werkplek 365.

Om dit mogelijk te maken maakt FAS gebruik van de Microsoft Certification Authority (CA). Wanneer een medewerker inlogt via bijvoorbeeld een Windows 10 client, welke Azure domain joined is, dan wordt op de CA een op een smartcard gebaseerd gebruikerscertificaat aangemaakt en verstrekt aan de medewerker die inlogt.

Hetzelfde gebeurt wanneer een medewerker een published desktop of published application start vanuit Werkplek365. Dit certificaat wordt vervolgens gebruikt om in te loggen op de Citrix Virtual Delivery Agent (VDA), zonder het invoeren van gebruikersnaam en wachtwoord door de medewerker. In onderstaand schema wordt uitgegaan van het AAD als Identity Provider.

Naast het AAD als Identity Provider kan er ook gekozen worden om Active Directory Federation Services (ADFS) te gebruiken als Identity Provider. Ook is dit mogelijk met een 3rd party Identity provider als Google.

Interesse?

Wil je weten wat de mogelijkheden zijn om de werkplekken van jouw bedrijf gereed te maken voor de toekomst? Laat dan je gegevens achter doormiddel van onderstaand formulier en wij nemen zo snel mogelijk contact met je op.