Intelligent Autenticering i ISA2006
En av de saker som kommer att få stor betydelse i ISA2006 är nyheterna kring autenticering.
Jag tänkte illustrera genom att berätta hur det ser ut i min driftsmiljö där jag nu kör RC av ISA2006.
I publiceringen av min OWA har jag en listener som kör HTML Form Authentication.
Förutom att utseendet är lite annorlunda så är en nyhet att den automatiskt känner av om din browser klarar detta. Jag kan alltså med samma listener idag köra även RPC/HTTPS som ju bara klarar Basic Authentication. I mitt fall är detta väldigt praktiskt eftersom miljön sitter bakom en Telia ADSL med bara en (1) IP-adress.
Denna mappning görs via script eller liknande mot Array.RuleElements.UserAgentMappings (läs mer i ISA:ns SDK).
Default så finns dessa 10 mappningar gjorda:
User agent= *Blazer* associated with xHTML
User agent= *DoCoMo* associated with cHTML
User agent= *Windows CE* associated with xHTML
User agent= *Symbain OS* associated with xHTML
User agent= *SonyEricsson* associated with xHTML
User agent= *Frontpage* associated with Basic
User agent= *Mozilla* associated with HTML
User agent= *Opera* associated with HTML
User agent= *MSRPC* associated with Basic
User agent= * associated with Basic
Förutom denna del av autenticeringen kan man numer i sin publiceringsregel bestämma hur ISA skall delegera min autenticering gentemot den publicerade webservern (t.ex. Exchange). (se bif bild)
Jag kör idag NTLM-delegering och kan alltså ha Integrated Authentication påslagen på min publicerade OWA.
Vill man köra Kerberos-delegation måste man komma ihåg att ISA-servern måste vara "trusted for delegation" i AD samt att det finns ett SPN (Service Principal Name) registrerat för ISA-servern mot http/*publicerad url*. Jag ska försöka återkomma om detaljer kring detta i en senare postning.