Vue d'ensemble du portail des applications - Sécurisation de l'accès au cloud Origine de la connexion Applications

Cet article explique comment l'accès par navigateur fonctionne dans le Cato Cloud, pour fournir un accès sécurisé aux applications et protocoles sans utiliser le Client Cato.

Qu'est-ce que l'Accès Navigateur

L'Accès Navigateur est la capacité d'accéder aux applications et aux hôtes distants via le navigateur web (HTTP/S) tout en empêchant la communication directe entre les utilisateurs et les ressources auxquelles ils accèdent.

Vous pouvez fournir l'accès à des services hébergés tels que votre système de gestion du temps ou de rapport de dépenses, ainsi que configurer un accès RDP ou SSH à des hôtes virtuels ou physiques.

Définissez les applications spécifiques et les protocoles qui apparaîtront dans le portail d'entreprise. Vos utilisateurs utilisent un navigateur web standard pour accéder au portail, et le trafic est routé de manière sécurisée à travers le Cato Cloud vers cette ressource.

Remarque

Note : L'accès par navigateur est pris en charge sur les navigateurs courants, y compris Chrome, Edge et Safari sur les appareils Windows et macOS, ainsi que sur les appareils iOS et Android.

En empêchant l'accès direct à la ressource via Internet, vous ajoutez une couche supplémentaire de sécurité tout en permettant aux utilisateurs d'accéder aux ressources dont ils ont besoin.

Cas d'utilisation - RDP

L'entreprise ABC a plusieurs hôtes situés dans un centre de données à Atlanta, Géorgie. Leurs administrateurs doivent accéder périodiquement à ces hôtes pour des travaux de maintenance. Ils configurent l'accès RDP à chacun de ces hôtes et définissent exactement quelles opérations les admins peuvent effectuer à distance.

Les administrateurs se connectent au Portail d'Applications via HTTP/S et cliquent sur l'icône de l'hôte distant. La demande est transmise au Moteur de Traduction, qui se trouve sur le PoP, et leur demande de connexion est alors envoyée à l'aide de RDP à l'hôte distant.

Cas d'utilisation - Rapport de dépenses

L'entreprise XYZ exige que tous ses contractuels remplissent un rapport de dépenses via un système de rapport interne. Au lieu de donner aux contractuels un accès direct au système, ils l'exposent via le portail d'accès afin que les contractuels puissent y accéder de l'extérieur.

Les contractuels se connectent au Portail d'applications via HTTP/s et cliquent sur l'icône de l'Application concernée (i.e. Concur). La demande est transmise au serveur d'application situé à une adresse IP interne à laquelle les contractuels n'ont pas accès direct.

Cas d'utilisation - SSH pour dispositifs IoT

L'entreprise ABC travaille avec différents appareils IoT pour fabriquer ses produits. Lorsqu'un de ces appareils nécessite une maintenance, ABC est capable de fournir au technicien un accès SSH à l'appareil afin qu'il puisse réparer ou mettre à jour ce qui doit être maintenu.

Les techniciens se connectent au Portail d'Applications via HTTP/S et cliquent sur l'icône de l'hôte IoT distant. La demande est transmise au Moteur de Traduction, qui se trouve sur le PoP, et leur demande de connexion est alors envoyée en utilisant SSH à l'hôte distant.

Limitations

Les adresses IPv6 ne sont pas prises en charge
Accès par navigateur n'est pas pris en charge en Chine.

Vue d'ensemble de la configuration du portail d'accès au navigateur et des applications

Cette section est une vue d'ensemble de haut niveau du processus de configuration du Portail d'Accès Navigateur et des applications pour votre compte. Voici les options pour que les utilisateurs s'authentifient au portail :

Jetons d'authentification SSO de l'IdP défini pour le compte
Identifiants utilisateur Cato définis dans le CMA

Note

Note: L'accès distant basé sur le navigateur ne prend pas en charge les IPs superposées entre une plage d'IP SNAT et une plage d'IP pour le site.

(Optionnel) Configurez (ou vérifiez) les paramètres de l'authentification unique (SSO) pour le compte (voir Configurer l'authentification unique et le sous-domaine pour le compte).
Configurez les paramètres du portail d'accès par navigateur (voir Configurer le portail d'accès par navigateur) :
1. Configurez les paramètres de base pour le portail, l'URL et le logo.
2. Définissez les domaines autorisés à se connecter au portail.
  
  Les domaines de messagerie des utilisateurs sans client sont validés par rapport aux domaines autorisés pour le portail d'accès au navigateur.
3. Configurez le fournisseur SSO pour votre compte Cato et définissez les cookies d'authentification.
4. Si nécessaire, définissez la plage d'IP NAT pour les applications d'accès au navigateur.
Créez les applications d'accès par navigateur (voir Gestion des applications pour le portail d'accès par navigateur ou Définition de l'accès par navigateur aux hôtes distants ) :
1. Configurez le nom de l'application et le préfixe d'URL.
2. Définissez l'adresse IP du serveur hôte, le numéro de port et le protocole web.
3. Déterminez quelles actions l'utilisateur peut effectuer
Définissez les règles de la politique d'accès par navigateur pour contrôler quels utilisateurs sont autorisés à accéder aux applications (voir Définition de la politique d'accès par navigateur) :
1. Définissez les utilisateurs et groupes autorisés à accéder aux applications pour la règle.
2. Ajoutez les applications pour la règle.