Questa sezione illustra l'utilizzo delle limitazioni dell'intestazione SaaS in Cloud Web Security per limitare l'accesso del tenant ad applicazioni Software-as-a Service (SaaS) specificate, come Office 365 e G Suite, e include una panoramica, un workflow per la configurazione di una regola di limitazione dell'intestazione SaaS, nonché ulteriori risorse relative a questo argomento.

Panoramica

In genere, le aziende limitano i nomi di dominio o gli indirizzi IP quando desiderano gestire gli accessi. Questo approccio non riesce in un ambiente in cui le applicazioni SaaS (Software as a Service) sono ospitate in un cloud pubblico e vengono eseguite con nomi di dominio condivisi. Ad esempio, se un'azienda utilizza Office 365, usa nomi di dominio come outlook.office.com e login.microsoftonline.com. Nell'esempio di Microsoft, il blocco di questi indirizzi impedirebbe completamente agli utenti di accedere ad Outlook sul Web, anziché consentire loro di utilizzare solo identità e risorse approvate.

La soluzione per questo problema consiste nel limitare l'accesso del tenant. A tale scopo, Cloud Web Security utilizza la funzionalità Limitazione intestazione SaaS (SaaS Header Restriction). Questa funzionalità consente agli amministratori di imporre criteri di restrizione del tenant in un servizio SaaS come Office 365 e G Suite. Ad esempio, è possibile che si desideri consentire l'accesso all'account aziendale di Office 365 a tutti i dipendenti ma impedire loro di accedere agli account personali. Queste limitazioni vengono applicate tramite l'inserimento di intestazioni HTTP che specificano i tenant consentiti.

Configurazione di una limitazione dell'intestazione SaaS

Un utente può configurare una regola di limitazione dell'intestazione SaaS eseguendo i passaggi seguenti:
  1. Passare a Cloud Web Security > Configura (Configure) > Limitazioni intestazione SaaS (SaaS Header Restrictions).
  2. Nella schermata Limitazioni intestazione SaaS (SaaS Header Restrictions) fare clic su + AGGIUNGI REGOLA (ADD RULE) per configurare una regola di limitazione dell'intestazione SaaS.

    Viene visualizzata la schermata Intestazione SaaS (SaaS Header) > Origine (Source).

  3. Nella schermata Origine (Source) scegliere Tutti gli utenti e i gruppi (All Users and Groups) per fare in modo che la regola dell'intestazione SaaS venga applicata a tutti gli utenti dell'azienda. Questa opzione è selezionata per impostazione predefinita. Deselezionare questa opzione e scegliere Specificare gli utenti (Specify User(s)) e Specificare i gruppi (Specify Group(s)) per specificare uno o più utenti e/o gruppi a cui applicare la regola.

    Fare clic su Avanti (Next). Viene visualizzata la schermata Destinazione (Destination).

  4. Nella schermata Applicazione di destinazione (Destination Application) l'utente ha due percorsi, ovvero Predefinito (Predefined) e Personalizzato (Custom).
    1. Applicazione di destinazione predefinita (Predefined Destination Application): selezionare una delle sei applicazioni predefinite: Office 365 - Enterprise, Office 365 - Consumer, G Suite, Slack, YouTube e Dropbox. Ogni applicazione preconfigurata include i domini e le intestazioni con limitazioni per tali applicazioni. In base all'applicazione, l'utente potrebbe dover configurare manualmente informazioni aggiuntive come descritto di seguito:
      1. Office 365 - Enterprise include due parametri aggiuntivi che devono essere configurati per completare la regola:
        1. Header 1: Restrict-Access-To-Tenants: immettere un elenco di tenant consentiti. Qualsiasi elemento non elencato come consentito verrà bloccato da Cloud Web Security.
        2. Header 2: Restrict-Access-Context: immettere l'ID tenant per il servizio utilizzato dall'azienda. L'utente deve configurare l'ID tenant per la propria sottoscrizione a Office 365. Qualsiasi ID tenant non elencato verrà bloccato da Cloud Web Security.
      2. Office 365 - Consumer: a differenza della versione Enterprise, non richiede alcuna configurazione aggiuntiva perché il valore restrict-msa viene passato all'intestazione sec-Restrict-Tenant-Access-Policy.

      3. G Suite: immettere il dominio registrato in Google Workspace e tutti i domini secondari aggiunti.

      4. Slack include due campi aggiuntivi che è necessario configurare per completare la regola:
        1. Header 1: X-Slack-Allowed-Workspaces-Requester: immettere il valore dell'ID area di lavoro o organizzazione che rappresenta l'account aziendale o Enterprise Grid. Qualsiasi elemento non elencato come consentito verrà bloccato da Cloud Web Security.
        2. Header 2: X-Slack-Allowed-Workspaces: immettere un elenco di ID aree di lavoro e/o organizzazione consentiti. Qualsiasi ID non elencato verrà bloccato da Cloud Web Security.
      5. YouTube: per completare la regola, è necessario specificare se si desidera che la Modalità limitazione (Restrict Mode) di YouTube sia Rigido (Strict) o Media (Moderate). In base alla documentazione di YouTube Gestire le impostazioni di YouTube dell'organizzazione, le modalità limitate sono definite come segue:
        • Accesso a YouTube con limitazioni rigide: questa impostazione è la più restrittiva, ma non blocca tutti i video. La modalità con limitazioni rigide filtra molti video in base a un sistema automatico, lasciando alcuni video disponibili per la visualizzazione.
        • Accesso a YouTube con limitazioni moderate: questa impostazione è simile alla modalità con limitazioni rigide, ma rende disponibile una raccolta molto più ampia di video.

      6. Dropbox: immettere il valore dell'ID del team dell'account aziendale perché sarà l'unico ID consentito da Cloud Web Security.

      Nota: Per qualsiasi applicazione predefinita, se è necessaria una configurazione aggiuntiva e non si è certi dei valori richiesti, contattare il rappresentante del cliente per tale applicazione.
    2. Applicazione di destinazione personalizzata richiede l'immissione dei domini dell'applicazione SaaS insieme a tutti i valori di intestazione associati all'applicazione. Poiché si tratta di un'applicazione personalizzata, sarà necessario consultare il sito Web di tale applicazione e/o il rappresentante del cliente per verificare innanzitutto che sia supportata la limitazione del tenant tramite l'utilizzo delle intestazioni e quindi individuare i domini e i valori dell'intestazione per assicurarsi che la regola sia configurata correttamente.
      Nota: Non tutte le applicazioni SaaS supportano la limitazione del tenant tramite l'utilizzo delle intestazioni. Quando si configura un'applicazione personalizzata, è importante verificare che questa funzionalità sia supportata per l'applicazione che si desidera limitare. Solo le applicazioni predefinite elencate in precedenza sono compatibili con la Limitazione intestazione SaaS.

    Fare clic su Avanti (Next), viene visualizzata la schermata Nome, motivi e tag (Name, Reasons, and Tags).

  5. Nella schermata Nome, motivo e tag (Name, Reason, and Tags), configurare un Nome regola (Rule Name) univoco (obbligatorio), un Motivo (Reason) (se necessario) Tag (Tags) (se utilizzati) e una posizione per la regola nell'elenco delle regole del filtro URL (le opzioni sono "Inizio elenco (Top of List)" o "In fondo all'elenco (Bottom of List)").

  6. Fare clic su Fine (Finish) la regola appena creata viene visualizzata nell'elenco Limitazione intestazione SaaS (SaaS Header Restriction) e viene applicata.

Risorse aggiuntive per applicazioni predefinite

Di seguito sono disponibili collegamenti alla documentazione relativa alle destinazioni delle applicazioni predefinite che include informazioni sul funzionamento della limitazione del tenant tramite le intestazioni per ogni applicazione.