Workshop - Microsoft Forefront Unified Access Gateway 2010 in der Praxis

Dedizierte Rechtezuordnung für den Benutzer

Um die korrekten Konfigurationen und die entsprechenden Zugriffe zu überprüfen, wird ein Client mit Browser benötigt. Über den veröffentlichen Trunk-Namen kann der Benutzer von außen darauf zugreifen. Beim ersten Aufruf wird ein ActiveX-Control oder Java-Applet zum Client gesandt. Dieses übernimmt die Kommunikation des Benutzergerätes mit dem Gateway. Anschließend erfolgt die Untersuchung des Clients auf dessen Sicherheitseinstellungen. Und schließlich erscheint die Login-Maske, die den Benutzer auffordert, seine Berechtigungen einzugeben.

Die Credentials werden vom UAG durch den eingestellten Authentifizierungsdienst geprüft. Erst nach Prüfung der Benutzerdaten erscheint das Trunk-Portal. Die dem Anwender in seinem Portal präsentierten Applikationen werden aus den Einträgen der Autorisierung und den Policies des Benutzergerätes abgeleitet. Was er mit der Anwendung anstellen darf, wird durch weitere Parameter, etwa durch Angaben zu den Download- oder Upload-Möglichkeiten, bestimmt.

Somit kann zum Beispiel festgelegt werden, dass ein prinzipiell berechtigter Benutzer auf fremden Geräten, wie etwa auf öffentlichen PCs im Internetcafé, keinen Download ausführen darf. Das ist eine Sicherheitseinrichtung, denn die Daten könnten dann, wenn sie nicht durch den Benutzer explizit gelöscht werden, auf dem Gerät verbleiben, was sie sicher nicht sollen. Weitere Berechtigungseinstellungen betreffen die Zeitdauer, nach der ein Verbindung zu unterbrechen ist beziehungsweise eine neue Autorisierung notwendig wird.