Защитите учетные записи корпоративных социальных сетей с помощью системы единого входа Active Directory.

Опубликовано: 4 Марта, 2023
Защитите учетные записи корпоративных социальных сетей с помощью системы единого входа Active Directory.

Практически невозможно найти компанию, у которой нет хотя бы одной социальной сети. Facebook, Twitter, Instagram и особенно LinkedIn являются ключевыми для большинства компаний, и они представляют собой то, как многие компании представляют себя публике. Но безопасность на этих сайтах социальных сетей должна быть высокой для любой компании. Более крупные организации, в которых более одного человека имеют право публиковать информацию в социальных сетях, должны очень внимательно следить за тем, что публикуется и кто может публиковать. В этой статье мы покажем вам, как защитить корпоративные социальные сети с помощью системы единого входа Azure Active Directory. Это может помочь вам предоставить своим сотрудникам доступ к вашим сайтам в социальных сетях, не сообщая фактический пароль, и мы собираемся привязать их к учетным записям Active Directory.

Воспользовавшись преимуществами Azure Active Directory, вы можете защитить свои корпоративные учетные записи в социальных сетях и сразу же получить следующие преимущества:

  • Возможность включения многофакторной аутентификации.
  • Обеспечить условный доступ (если позволяет лицензия).
  • Никогда не сообщайте сотрудникам настоящий пароль от ваших социальных сетей.
  • Сотрудники приходят и уходят, и мы можем справиться с этим с помощью учетных записей Active Directory.
  • Новый сотрудник может быть связан с вашими аккаунтами в социальных сетях и сразу приступать к работе.
  • Мониторинг и отслеживание доступа к социальным сетям.
  • Мы можем включить социальные сети для всего отдела без обмена паролями.

Наш сценарий

Наша компания строит свою базу социальных сетей в Интернете, и у нас есть локальная служба Active Directory, синхронизируемая с Azure Active Directory. У нас есть отдел маркетинга с несколькими пользователями, которые отвечают за управление всем медиа-контентом нашей организации.

Во-первых, мы собираемся создать почтовый ящик с надежным паролем. Мы свяжем адрес электронной почты [email protected] с этим почтовым ящиком. Мы будем использовать этот адрес электронной почты для создания безопасного пароля на всех сайтах социальных сетей (мы собираемся использовать самые сложные пароли, доступные для каждого сайта социальных сетей), и эта учетная запись должна быть доступна (при необходимости) только нескольким пользователям, которым необходимо доступ к электронной почте на этом почтовом ящике.

Во-вторых, мы создадим группу под названием MyApps-Social и добавим участников, которым требуется доступ к социальным сетям, которые будут членами этой группы.

После завершения этой статьи мы сохраним все эти сложные пароли и их сайты на листе бумаги и поместим его в запечатанный конверт, который следует оставить в корпоративном хранилище или передать владельцу бизнеса. Цель состоит в том, чтобы забыть об этих паролях и полагаться только на Azure Active Directory для доступа к социальному контенту.

Одна вещь, о которой мы должны знать, это то, что социальные сети позволяют сбрасывать пароли, поэтому мы должны добавить номера телефонов и другие способы проверки учетных записей социальных сетей. В случае более крупной компании мы можем использовать данные директора или исполнительного директора уровня вице-президента, чтобы гарантировать, что обычный пользователь не сбросит пароль и не будет использовать эти учетные данные для публикации информации.

Управление Facebook, Twitter, Instagram и LinkedIn

Все эти приложения требуют одинакового уровня настройки, поэтому мы собираемся настроить Facebook. Нам нужно применить те же шаги для других сайтов социальных сетей.

Защитите корпоративные учетные записи в социальных сетях: приступим

Войдите на портал Azure, щелкните Azure Active Directory, а в новой колонке щелкните Enterprise Applications. В колонке справа нажмите Новое приложение.

В новом наборе лезвий с правой стороны мы можем выбирать по категориям, однако мы собираемся ввести и выбрать из списка ниже. Появится новая колонка с основной информацией о приложении. Нам нужно обратить внимание на режим единого входа. Это определение диктует, что мы можем настроить для данного приложения. Нажмите Добавить.

После добавления у нас будет лезвие только для настройки , и мы будем перенаправлены к элементу «Быстрый старт», который содержит последовательность шагов, которые мы должны выполнить, чтобы запустить приложение.

Первый шаг — нажать «Единый вход», затем выбрать «Вход на основе пароля» и нажать «Сохранить ».

Возможно, вы заметили, что мы еще не ввели учетные данные, поэтому на данный момент у этого приложения нет возможности понять, что ему необходимо подключиться к социальным учетным данным нашей компании. Давайте щелкнем элемент «Пользователи и группы» в левой колонке, а затем нажмите «Добавить пользователя».

В новом блейде администратор должен определить две опции: сначала Users и Groups, и здесь мы выберем группу Active Directory, созданную в начале этой статьи, которая называется .

Как только мы выберем группу из списка, слева появится Assign Credentials. Нажмите на него, нажмите «Да», и это сделает эти учетные данные доступными для всех членов группы (не пароль, а только учетные данные — пользователь не будет знать пароль для доступа к Facebook или любому данному приложению).

Здесь у нас есть хорошая функция безопасности: мы можем заставить Azure AD управлять паролем в приложении, и мы можем определить количество недель для обновления пароля в данном приложении. В этом примере мы настраиваем каждую неделю. Нажмите «ОК», а затем «Назначить».

Примечание. Для этого конкретного приложения пароль, сохраненный на конверте, не будет использоваться, поскольку он будет изменен Azure AD.

Опыт конечного пользователя

На данный момент у нас есть один пользователь как часть группы , и когда этот пользователь входит в систему, у нас будет значок для каждого из приложений, которые мы только что опубликовали.

Возьмем, к примеру, Instagram. После нажатия на значок процесс аутентификации будет происходить за кулисами, и для конечного пользователя будет прямой доступ к учетной записи Instagram, и такой же опыт действителен для всех других приложений.

Такой же опыт будет и при использовании MyAppsapp на мобильном устройстве, и оттуда пользователь сможет открывать приложения и публиковать контент в социальных сетях.

Управление пользователями на порталах социальных сетей

Если у нас есть новый человек в отделе, которому нужен доступ к социальным сетям, то нашей единственной задачей будет добавить нового пользователя в группу AD.

Если нам нужно отозвать доступ к социальным сетям для любого пользователя, просто удалите пользователя из той же группы. После этого он или она не сможет подключиться ни к одному сайту. То же самое применимо, если пользователь отключен от Active Directory; доступ к социальным приложениям также будет отключен.

Управление аудитом, входами в систему и использованием приложений

При использовании администратор может хорошо видеть использование приложения. В элементе «Обзор» мы можем увидеть общее количество пользователей/групп, использующих приложение, график использования приложения за последний месяц и количество входов в систему за этот период.

Администратор может проверить все процессы входа в систему, щелкнув элемент «Входы» с левой стороны, и проверить любые изменения в приложении. Информация о данных может быть запрошена несколькими способами, чтобы сузить результаты. Результаты могут быть загружены и переданы вашей команде по аудиту, если у вас есть такое требование.

Применяя эти простые шаги, ваша компания может воспользоваться преимуществами корпоративных приложений Azure AD и централизованно защитить корпоративные учетные записи социальных сетей. И в то же время улучшайте безопасность и измеряйте использование этих приложений.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023