Tato část se zabývá použitím omezení záhlaví SaaS ve službě Cloud Web Security k omezení přístupu klientů ke specifikovaným aplikacím SaaS, jako je například Office 365 a G Suite, a také obsahuje přehled a pracovní postup pro konfiguraci pravidla omezení záhlaví SaaS. Na konci jsou další zdroje k tomuto tématu.

Obecné

Když společnosti chtějí spravovat přístup, tradičně omezují názvy domén nebo IP adresy. Tento přístup selhává ve světě, kdy jsou aplikace SaaS hostovány ve veřejném cloudu a běží na sdílených názvech domén. Pokud společnost používá například služby Office 365, bude pracovat s názvy domén, jako je např. outlook.office.comlogin.microsoftonline.com. V případě Microsoftu by blokování těchto adres uživatelům zcela zabránilo přístupu k Outlooku na webu namísto omezení pouze na schválené identity a zdroje.

Řešením tohoto problému je omezení přístupu klienta. Služba Cloud Web Security toho dosahuje pomocí funkce Omezení záhlaví SaaS (SaaS Header Restriction). Tato funkce umožňuje správcům vynucovat zásady omezení klienta v rámci služeb SaaS, jako jsou Office 365 a G Suite. Například můžete povolit všem zaměstnancům přístup k podnikovému účtu služeb Office 365, ale zakázat jim přístup k osobním účtům. Tato omezení jsou povolena prostřednictvím vkládání záhlaví HTTP, která určují povolené klienty.

Konfigurace omezení záhlaví SaaS

Uživatel může nakonfigurovat pravidlo omezení záhlaví SaaS provedením těchto kroků:
  1. Přejděte na možnost Cloud Web Security > Konfigurovat (Configure) > Omezení záhlaví SaaS (SaaS Header Restrictions).
  2. Na obrazovce Omezení záhlaví SaaS (Saa Header Restrictions) klikněte na možnost + PŘIDAT PRAVIDLO (+ ADD RULE) a nakonfigurujte pravidlo omezení záhlaví SaaS.

    Otevře se obrazovka Záhlaví SaaS (SaaS Header) > Zdroj (Source).

  3. Na obrazovce Zdroj (Source) vyberte možnost Všichni uživatelé a skupiny (All Users and Groups), aby se pravidlo záhlaví SaaS použilo na všechny uživatele v podniku. Tato možnost je vybrána automaticky. Zaškrtnutí této možnosti zrušte a zvolte pole Určete uživatele (Specify User(s))Určete skupiny (Specify Group(s)) a určete jednoho nebo více uživatelů a/nebo skupin, na které by pravidlo mělo platit.

    Klikněte na možnost Další (Next). Otevře se obrazovka Cíl (Destination).

  4. Na obrazovce Cílová aplikace (Destination Application) má uživatel k dispozici dvě cesty: předdefinovanou nebo vlastní.
    1. Předdefinovaná cílová aplikace (Predefined Destination Application): Zvolte jednu ze šesti předdefinovaných aplikací: Office 365 pro podniky, Office 365 pro spotřebitele, G Suite, Slack, YouTube a Dropbox. Každá předkonfigurovaná aplikace zahrnuje zakázané domény a záhlaví těchto aplikací. Uživatel může v závislosti na aplikaci ručně nakonfigurovat dodatečné informace, jak je popsáno níže:
      1. Office 365 pro podniky představuje další dva parametry, které je nutné nakonfigurovat, aby bylo možné dokončit pravidlo:
        1. Záhlaví 1: Restrict-Access-To-Tenants Zadejte seznam povolených klientů. Vše, co na seznamu není uvedené jako povoleno, bude službou Cloud Web Security blokováno.
        2. Záhlaví 2: Restrict-Access-Context Zadejte ID klienta pro službu používanou podnikem. Uživatel musí nakonfigurovat ID klienta pro své předplatné jako Office 365. Každé ID klienta, které na seznamu není, bude službou Cloud Web Security blokováno.
      2. Office 365 pro spotřebitele: Liší se od verze pro podniky tím, že nevyžaduje žádnou dodatečnou konfiguraci, protože hodnota restrict-msa je předána do záhlaví sec-Restrict-Tenant-Access-Policy.

      3. G Suite: Zadejte doménu, kterou jste zaregistrovali ve službě Google Workspace, a všechny přidané sekundární domény.

      4. Slack nabízí dvě další pole, která se musí při vytváření pravidla nakonfigurovat:
        1. Záhlaví 1: X-Slack-Allowed-Workspaces-Requester Zadejte hodnotu ID pracovního prostoru nebo organizace, jež představuje účet Business nebo Enterprise Grid. Vše, co na seznamu není uvedené jako povoleno, bude službou Cloud Web Security blokováno.
        2. Záhlaví 2: X-Slack-Allowed-Workspaces Zadejte seznam povolených ID pracovních prostorů a/nebo organizace. Každé ID, které na seznamu není, bude službou Cloud Web Security blokováno.
      5. YouTube: K dokončení nastavování pravidla je třeba uvést, zda chcete pro službu YouTube použít Režim omezení (Restrict Mode) Striktní (Strict) nebo Střední (Moderate). Podle dokumentace ke službě YouTube o správě nastavení YouTube organizace jsou režimy omezení definovány takto:
        • Striktní omezený přístup ke službě YouTube (Strict Restricted YouTube access) – toto nastavení má nejpřísnější omezení, neblokuje však všechna videa. Striktní omezený režim filtruje mnoho videí na základě automatizovaného systému a některá videa ponechá ke sledování.
        • Střední omezený přístup ke službě YouTube (Moderate Restricted YouTube access) – toto nastavení je podobné striktnímu omezenému režimu, nabízí však mnohem více videí.

      6. Dropbox: Zadejte hodnotu ID týmu firemního účtu, protože to bude jediné ID, které služba Cloud Web Security povolí.

      Poznámka: Pokud je pro jakoukoli předdefinovanou aplikaci vyžadována další konfigurace a nejste si jisti, jaké hodnoty mají být použity, kontaktujte zástupce zákazníka pro danou aplikaci.
    2. Možnost Vlastní cílová aplikace (Custom Destination Application) vyžaduje zadání domén aplikace SaaS a všech hodnot v záhlaví spojených s danou aplikací. Jedná se o vlastní aplikaci, proto bude potřeba použít webovou stránku aplikace a/nebo kontaktovat zástupce zákazníka a ověřit si, že je omezení klienta prostřednictvím záhlaví podporováno. Poté vyhledejte hodnoty domén a záhlaví, abyste se ujistili, že je toto pravidlo správně nakonfigurováno.
      Poznámka: Ne všechny aplikace SaaS omezení klienta prostřednictvím záhlaví podporují. Při konfiguraci vlastní aplikace je proto důležité se ujistit, že je tato funkce u aplikace, kterou chcete omezit, podporována. Jako kompatibilní s omezením záhlaví SaaS jsou potvrzené pouze dříve uvedené definované aplikace.

    Kliknutím na možnost Další (Next) se otevře obrazovka Název, důvody a značky (Name, Reasons, and Tags).

  5. Na obrazovce Název, důvod a značky (Name, Reason, and Tags) nakonfigurujte jedinečný název pravidla (povinný), značky (pokud se používají), důvod (pokud je to nutné) a pozici pro pravidlo na seznamu pravidel filtrování adres URL (možnosti jsou buď „Nahoře v seznamu“, nebo „Dole v seznamu“).

  6. Klikněte na možnost Dokončit (Finish). Nově vytvořené pravidlo se zobrazí na seznamu Omezení záhlaví SaaS (SaaS Header Restriction) a použije se.

Další zdroje pro předdefinované aplikace

Níže jsou uvedeny odkazy na dokumentaci pro předdefinované cíle aplikací, které vám umožní důkladněji poznat, jak omezení klienta prostřednictvím záhlaví pro každou aplikaci funguje.