נדידת אישור מאפשרת לארגונים לאחסן אישורים ומפתחות פרטיים ב- Active Directory Domain Services ‏(AD DS) בנפרד ממצב יישום או מידע תצורה.

אופן הפעולה של נדידת אישור

נדידת אישור משתמשת במנגנונים קיימים של כניסה למערכת והרשמה אוטומטית כדי להוריד אישורים ומפתחות למחשב מקומי באופן בטוח בכל פעם שמשתמש נכנס למערכת ובמידת הצורך, להסיר אותם עם יציאת המשתמש מהמערכת. בנוסף, התקינות של אישורים אלה נשמרת בכל המצבים, כגון בעת עדכון של אישורים ובעת כניסה של משתמשים ליותר ממחשב אחד בכל פעם.

השלבים הבאים מתארים את אופן הפעולה של נדידת אישור דיגיטלית.

  1. משתמש נכנס למחשב לקוח המחובר לתחום של Active Directory.

  2. כחלק מתהליך הכניסה למערכת, מדיניות קבוצתית של נדידת אישור מוחלת על המחשב של המשתמש.

  3. אם זו הפעם הראשונה שנעשה שימוש בנדידת אישור, האישורים במאגר של המשתמש במחשב הלקוח מועתקים ל- AD DS.

  4. אם למשתמש יש כבר אישורים ב- AD DS, המערכת משווה בין האישורים במאגר האישורים של המשתמש במחשב הלקוח לבין האישורים המאוחסנים עבור המשתמש ב- AD DS.

  5. אם האישורים במאגר האישורים של המשתמש עדכניים, לא תתבצע פעולה נוספת. עם זאת, אם אישורים עדכניים יותר עבור המשתמש מאוחסנים ב- AD DS, אישורים אלה מועתקים למחשב הלקוח. אם אישורים עדכניים יותר עבור המשתמש מאוחסנים במחשב הלקוח, אישורים אלה מועתקים ל- AD DS.

  6. אם נדרשים אישורים נוספים במחשב הלקוח, המערכת מעבדת בקשות הרשמה אוטומטית לאישורים הנמצאות בטיפול.

    הערה

    אישורים שהונפקו לאחרונה מאוחסנים במאגר האישורים במחשב הלקוח ומשוכפלים ל- AD DS.

  7. כאשר המשתמש נכנס למחשב לקוח אחר המחובר לתחום, אותה הגדרה של מדיניות קבוצתית מוחלת והאישורים משוכפלים שוב מתוך AD DS. נדידת אישור מסנכרנת ופותרת התנגשויות בין אישורים לבין מפתחות פרטיים מכל מחשב לקוח שאליו נכנס המשתמש, וכן ב- AD DS.

    חשוב

    בסביבות מרובות תחומים ובתחומים עם בקרי תחומים מרובים, ייתכן שהאישורים לא יהיו זמינים באופן מיידי בעת כניסת המשתמש לרשת באמצעות בקר תחום אחד מיד לאחר הנפקת אישור במחשב המאמת את זהות המשתמש מול בקר תחום אחר. האישורים יהיו זמינים רק לאחר השלמת השכפול בין שני התחומים או בקרי התחומים.

  8. כאשר פג תוקף האישור של המשתמש, האישור הישן מאוחסן באופן אוטומטי בארכיון בפרופיל המשתמש במחשב וב- AD DS.

נדידת אישור מופעלת בכל פעם שמפתח פרטי או אישור במאגר האישורים המקומי של המשתמש משתנה, בכל פעם שהמשתמש נועל את המחשב או מבטל את נעילתו ובכל פעם שהמערכת מרעננת את המדיניות הקבוצתית.

כל התקשורת הקשורה לאישורים בין רכיבים במחשב המקומי ובין המחשב המקומי לבין AD DS חתומה ומוצפנת.


תוכן העניינים