How can we safely allow mobile BYOD for our users?

Da Hitachi ID Identity Manager eine sensible Sicherheitsanwendung ist, mit privilegiertem Zugriff auf viele andere Systeme in einer Organisation und mit Zugriff auf sensible persönliche Daten, sind die meisten Organisationen nicht bereit, Identity Manager direkt dem öffentlichen Internet auszusetzen. Dies schafft ein Problem für den Zugriff auf Selbstbedienungsfunktionen von mobilen Geräten, wie in Abbildung 1 dargestellt. Hitachi ID Systems hat eine Lösung für dieses Problem entwickelt, indem eine App nativ auf iOS- und Android-Geräten installiert und ein Proxy-Server in der Cloud gehostet wird. Diese Anordnung ist in Abbildung 2 dargestellt. Mit dieser Architektur: 1. Eine App wird auf Benutzergeräten installiert. 2. Benutzer melden sich mit ihrem PC beim Identity Manager an und bitten darum, ihr Gerät zu aktivieren. 3. Die webbasierte Benutzeroberfläche auf dem PC zeigt einen Aktivierungs-QR-Code an. 4. Der Benutzer führt die App auf seinem Gerät aus, die diesen QR-Code scannt. 5. Der QR-Code enthält Verschlüsselungsschlüsselmaterial und eine URL für einen Proxy-Dienst in der Cloud (d. h. im öffentlichen Internet). 6. Benutzer nutzen die App, um (indirekt) auf das lokale Identity Manager-Webportal zuzugreifen. 7. Die App verbindet sich mit dem Cloud-Proxy und fordert Inhalte vom lokalen Portal an. 8. Der Proxy überprüft das von der App bereitgestellte Schlüsselmaterial und kann Verbindungsversuche verwerfen. Auf diese Weise werden Verbindungen von regulären Browsern oder Geräten, die nicht korrekt für eine bestimmte Identity Manager-Instanz aktiviert wurden, leicht verworfen. 9. Gleichzeitig verbindet sich ein Dienst auf dem Identity Manager-Server mit dem Proxy-Server und fragt nach Seitenanforderungen, die erfüllt werden sollen. 10. Der Proxy leitet Anfragen von mobilen Geräten an Verbindungen vom Identity Manager-Server weiter. 11. Alle Verbindungen, die in dieser Architektur die Unternehmensperimeter-Firewall überqueren, sind ausgehend – vom Identity Manager-Server zum Cloud-Proxy. 12. Alle Verbindungen sind verschlüsselt.