Product: SWG
Version: 7.5.x
С помощью веб-портала вы можете предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Эта технология не требует установки специального клиента VPN, достаточно обычного веб-браузера.
ПримечаниеЕсли на целевых HTTP-ресурсах настроена аутентификация Kerberos или NTLM, UserGate SWG может производить аутентификацию по технологии SSO (необходим настроенный LDAP-коннектор с загруженным keytab-файлом). При этом, аутентификация на самом UserGate SWG также должна быть настроена через Kerberos/NTLM. Так как UserGate SWG передает данные прозрачно, форма аутентификации при ответе сайта с ошибкой 401 (Unauthorized) не передается клиенту веб-портала.
ПримечаниеДля создания защищенного соединения с веб-серверами UserGate SWG использует алгоритмы шифрования GCM с повышенной устойчивостью к уязвимостям и атакам. В связи с этим, перед тем, как настроить передачу трафика по защищенному соединению, необходимо убедиться, что веб-сервер поддерживает алгоритмы шифрования GCM и согласует их в сообщениях server hello при установлении соединения.
Для настройки веб-портала выполните следующие шаги:
1. Включите и настройте веб-портал.
2. Разрешить доступ к сервису веб-портала на необходимых зонах.В разделе Настройки ➜ Сеть ➜ Зоны разрешите сервис веб-портала для выбранных зон (обычно зона Untrusted). Разрешение откроет доступ к порту сервиса, который был указан в настройках веб-портала.
3. Добавьте публикуемые ресурсы на веб-портал.
Настройка общих параметров веб-портала
Для включения и настройки общих параметров веб-портала перейдите в раздел Настройки ➜ UserGate ➜ Настройки, перейдите в блок Веб-портал и настройте необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение веб-портала
|
|
Имя хоста
|
Указание имени узла, которое пользователи должны использовать, чтобы подключаться к сервису веб-портала. Это имя должно определяться службами DNS в IP-адрес интерфейса UserGate SWG, входящего в зону, на которой разрешен сервис веб-портала
|
|
Порт
|
Указание порта TCP, который будет использоваться сервисом веб-портала. Порт вместе с именем узла образуют URL для подключения пользователей в виде https://имя_хоста:порт
|
|
Профиль аутентификации
|
Выбор профиля аутентификации пользователей для подключения к веб-порталу. Профиль аутентификации указывает метод аутентификации, например AD-коннектор или локальный пользователь. Также в профиле аутентификации вы можете указать требование использовать многофакторную аутентификацию для доступа к веб-порталу.
Подробнее о профилях аутентификации — в разделе «Профили аутентификации»
|
|
Шаблон страницы аутентификации
|
Выбор шаблона страницы аутентификации, который будет использоваться для отображения формы для ввода логина и пароля. Вы также можете создать свою страницу аутентификации. Подробнее — в разделе «Шаблоны страниц»
|
|
Шаблон портала
|
Выбор шаблона веб-портала, который будет использоваться для отображения ресурсов, доступных через веб-портал. Вы также можете создать свой шаблон веб-портала. Подробнее — в разделе «Шаблоны страниц»
|
|
Предлагать выбор домена AD/LDAP на странице аутентификации
|
Разрешить выбор домена на странице аутентификации веб-портала
|
|
Показывать CAPTCHA
|
При включении этой опции пользователю будет предложено ввести код, который ему будет показан на странице аутентификации веб-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей
|
|
Профиль SSL
|
Выбор профиля SSL для построения защищенного канала для отображения веб-портала. Подробнее о профилях SSL — в разделе «Профили SSL»
|
|
Сертификат
|
Сертификат, который будет использоваться для создания HTTPS-соединения. Если выбран режим Автоматически, используется сертификат, выпущенный сертификатом SSL дешифрования для роли SSL Captive-портала. Подробнее о ролях сертификатов — в разделе «Управление сертификатами»
|
|
Аутентификация пользователя по сертификату
|
Если опция выбрана (PKI), система будет запрашивать у браузера пользовательский сертификат. Пользовательский сертификат должен быть добавлен в список сертификатов узла, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь. Подробнее о пользовательских сертификатах — в разделе «Управление сертификатами»
|
Добавление публикуемых ресурсов на веб-портал
Чтобы добавить на веб-портал URL внутренних ресурсов, к которым необходим доступ внешних пользователей, перейдите в раздел Настройки ➜ Глобальный портал ➜ Веб-портал, нажмите Добавить и укажите необходимые параметры публикуемого ресурса.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение публикации
|
|
Название
|
Название публикации
|
|
Описание
|
Описание публикации
|
|
URL
|
URL ресурса, который необходимо опубликовать через веб-портал. Указывайте полный URL, начиная с http://, https://, ftp://, ssh:// или rdp://
Важно! Для публикации терминальных серверов отключите опцию, требующую Network Level Authentication в свойствах RDP-доступа на серверах терминального доступа. Аутентификацию пользователей для доступа к серверам в этом случае будет выполнять веб-портал в соответствии со своими настройками
|
|
Домен прямого доступа
|
При указанном значении домена прямого доступа пользователь может получить доступ к публикуемому ресурсу, минуя веб-портал, подключаясь непосредственно к указанному домену. Домены прямого доступа должны быть локальными и их разрешение должно происходить через DNS-сервер, установленный внутри локальной сети. При указании домена прямого доступа нужно выбрать профиль SSL. Выбор сертификата в этом случае не является обязательным. Если сертификат не выбран, он будет сгенерирован UserGate SWG
|
|
Проверять авторизацию для RDP-сессий
|
Разрывать сессию RDP по завершению аутентификации на веб-портале на стороне сервера
|
|
Включить прозрачную аутентификацию
|
Прозрачная аутентификация позволяет аутентифицировать пользователя на опубликованном для него приложении. Для аутентификации будут использованы те же данные, что пользователь ввел при входе на веб-портал. Для успешной работы этой опции необходимо, чтобы опубликованное приложение поддерживало прозрачную аутентификацию
|
|
Профиль SSL
|
Выбор профиля SSL для построения защищенного канала для отображения веб-портала. Подробнее о профилях SSL — в разделе «Профили SSL»
|
|
Сертификат
|
Сертификат, который будет использоваться для для создания HTTPS-соединения между UserGate SWG и сервером. Если выбран режим Выбрать сертификат, используется сертификат, выпущенный сертификатом SSL дешифрования для роли SSL Captive-портала. Подробнее о ролях сертификатов — в разделе «Управление сертификатами»
|
|
Иконка
|
Выбор значка для отображения публикуемого ресурса на веб-портале. Вы можете указать один из предоставленных значков, указать внешний URL, по которому доступен значок или загрузить свой значок
|
|
Вспомогательные URL
|
Указание вспомогательных URL, необходимые для работы основного URL, но которые нет необходимости публиковать для пользователей. Например, основной URL http://www.example.com получает часть медиаконтента со вспомогательного URL http://cdn.example.com
|
|
Пользователи
|
Указание списка пользователей или группы пользователей, которым разрешено отображение закладки на веб-портале и которым разрешен доступ к основному и вспомогательным URL
|
Очередность публикаций на веб-портале определяет порядок отображения их пользователю. Вы можете менять очередность публикаций с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» внизу страницы
