Aruba ClearPass [Lý thuyết - 5] Tìm hiểu sâu về tính năng Guest

Tìm hiểu sâu về tính năng Guest​

I. Mở đầu​

Trong doanh nghiệp, không chỉ nhân viên nội bộ mới cần truy cập mạng. Khách hàng, đối tác, nhà thầu, ứng viên phỏng vấn hoặc đơn vị triển khai dự án cũng có thể cần dùng Wi-Fi hoặc Internet trong thời gian ngắn. Nếu cấp quyền truy cập cho khách bằng cách dùng chung mật khẩu Wi-Fi, doanh nghiệp sẽ khó kiểm soát ai đang truy cập, truy cập trong bao lâu và có thể truy cập vào đâu.

ClearPass Guest là module trong hệ sinh thái HPE Aruba Networking ClearPass giúp doanh nghiệp quản lý truy cập mạng cho khách một cách an toàn, linh hoạt và dễ kiểm soát hơn. Theo tài liệu HPE Aruba Networking, ClearPass Guest cung cấp giao diện đơn giản để nhân sự vận hành có thể nhanh chóng và an toàn quản lý quyền truy cập mạng cho khách.

II. ClearPass Guest là gì?​

ClearPass Guest là tính năng dùng để quản lý guest network access (truy cập mạng cho khách). Khách ở đây có thể là bất kỳ người dùng nào được cho phép truy cập mạng doanh nghiệp hoặc Internet thông qua thiết bị mạng như access point, controller, switch hoặc gateway.
Điểm quan trọng của ClearPass Guest là quyền truy cập của khách không được cấp một cách tùy tiện. Tài liệu HPE cho biết quyền truy cập được kiểm soát thông qua operator profile (hồ sơ phân quyền người vận hành) và có thể tích hợp với LDAP server (máy chủ LDAP) hoặc Active Directory login (đăng nhập Active Directory).

Nói dễ hiểu, ClearPass Guest giúp doanh nghiệp tạo tài khoản khách, đặt thời gian sử dụng, gửi thông tin đăng nhập cho khách và kiểm soát quyền truy cập theo chính sách.

III. Vì sao doanh nghiệp cần ClearPass Guest?​

Nếu doanh nghiệp chỉ dùng một mật khẩu Wi-Fi chung cho khách, khi mật khẩu bị lộ thì rất khó kiểm soát. Khách cũ vẫn có thể dùng lại mật khẩu, IT phải đổi mật khẩu định kỳ và không biết chính xác từng khách đã truy cập vào thời điểm nào.

ClearPass Guest giải quyết vấn đề này bằng cách tạo guest account (tài khoản khách) riêng cho từng người hoặc từng nhóm khách. Mỗi tài khoản có thể được giới hạn thời gian sử dụng, tự hết hạn và được quản lý bởi người có quyền như lễ tân, nhân sự, bảo vệ hoặc bộ phận IT.

Hệ thống hỗ trợ tạo và quản lý tài khoản khách riêng lẻ hoặc theo nhóm, đồng thời kiểm soát quyền thông qua operator profile.

IV. Các tính năng chính của ClearPass Guest​

1. Guest account management (quản lý tài khoản khách)​

ClearPass Guest cho phép tạo và quản lý tài khoản khách một cách tập trung. Người quản trị hoặc người được phân quyền có thể tạo tài khoản cho khách, chỉnh sửa thông tin, đặt thời gian hiệu lực và kiểm soát trạng thái tài khoản.

Tài khoản khách có thể được tạo riêng lẻ cho từng người hoặc tạo hàng loạt khi có sự kiện, hội thảo, lớp học hoặc nhóm đối tác đến làm việc. Tài liệu HPE nêu rõ ClearPass Guest hỗ trợ tạo và quản lý guest accounts theo cá nhân hoặc theo nhóm.

2. Captive portal (cổng đăng nhập khách)​

Captive portal là trang đăng nhập mà khách nhìn thấy khi kết nối vào Wi-Fi khách. Thay vì được vào mạng ngay lập tức, khách sẽ được chuyển đến trang portal để đăng nhập, tự đăng ký hoặc chấp nhận điều khoản sử dụng.

Doanh nghiệp có thể tùy chỉnh portal theo thương hiệu, thêm logo, nội dung chào mừng, điều khoản sử dụng hoặc các biểu mẫu cần thiết. Trong tài liệu Policy Manager Data Sheet, HPE mô tả ClearPass Guest có các portal thân thiện với thiết bị di động và có khả năng tùy chỉnh cao.

3. Self-registration (khách tự đăng ký)​

ClearPass Guest hỗ trợ self-registration (tự đăng ký), cho phép khách tự nhập thông tin như tên, email, số điện thoại hoặc đơn vị công tác để xin quyền truy cập mạng.

Tùy chính sách doanh nghiệp, tài khoản có thể được cấp ngay hoặc cần người bảo lãnh phê duyệt. Tính năng này phù hợp cho môi trường có nhiều khách ra vào như văn phòng, trường học, bệnh viện, khách sạn, trung tâm hội nghị hoặc khu vực công cộng.

Tài liệu HPE có phần riêng về tạo Self Registration Page (trang tự đăng ký) cho khách và mô tả vai trò của operator/sponsor trong quy trình này.

4. Sponsor approval (phê duyệt bởi người bảo lãnh)​

Sponsor approval là cơ chế cho phép một người trong nội bộ doanh nghiệp phê duyệt yêu cầu truy cập của khách. Ví dụ, khách đến gặp phòng kinh doanh thì nhân viên kinh doanh hoặc lễ tân có thể đóng vai trò sponsor để xác nhận khách đó được phép dùng mạng.

Tính năng này giúp doanh nghiệp tránh tình trạng khách tự đăng ký truy cập mạng một cách tùy tiện mà không có người chịu trách nhiệm xác nhận. Theo tài liệu của HPE, trong ClearPass Guest, các operator có thể đóng vai trò là người bảo lãnh cho quyền truy cập của khách. Quyền hạn của người bảo lãnh này được kiểm soát thông qua operator profile, giúp doanh nghiệp quy định rõ ai được phép tạo, phê duyệt hoặc quản lý tài khoản khách.

5. Credential delivery (gửi thông tin đăng nhập)​

Sau khi tài khoản khách được tạo, ClearPass Guest có thể gửi thông tin đăng nhập cho khách qua nhiều hình thức khác nhau. Tài liệu HPE cho biết credential có thể được gửi qua SMS, email, printed badge (phiếu in/thẻ in) hoặc thông qua các cloud identity providers như Facebook hoặc Twitter.

Ví dụ, lễ tân có thể tạo tài khoản cho khách và in phiếu có username/password. Hoặc hệ thống có thể gửi thông tin đăng nhập qua SMS/email để khách tự đăng nhập trên điện thoại.

6. SMS services (dịch vụ gửi SMS)​

ClearPass Guest hỗ trợ cấu hình SMS services (dịch vụ SMS) để gửi tin nhắn cho khách. Tài liệu HPE cho biết ClearPass Guest có thể được cấu hình để gửi SMS message cho guest, thường dùng để gửi thông tin tài khoản hoặc hướng dẫn truy cập.

Tính năng này hữu ích trong môi trường khách dùng điện thoại di động là chính, vì khách có thể nhận thông tin đăng nhập nhanh mà không cần chờ lễ tân in giấy.

7. Account activation, expiration and usage time (thời gian kích hoạt, hết hạn và sử dụng)​

Một điểm mạnh của ClearPass Guest là khả năng kiểm soát thời gian sử dụng tài khoản khách. Doanh nghiệp có thể cấu hình thời điểm tài khoản bắt đầu có hiệu lực, thời điểm hết hạn và thời lượng sử dụng tối đa.

Theo trang tài liệu ClearPass Guest 6.12, hệ thống hỗ trợ định nghĩa activation, expiration, and maximum usage times (thời gian kích hoạt, hết hạn và thời gian sử dụng tối đa) cho tài khoản khách.

Ví dụ, tài khoản khách có thể chỉ dùng trong 4 giờ, 1 ngày hoặc trong thời gian diễn ra sự kiện. Khi hết hạn, tài khoản tự động mất quyền truy cập.

8. Bulk credential creation (tạo tài khoản hàng loạt)​

Với các sự kiện đông người như hội thảo, lớp đào tạo hoặc buổi triển lãm, việc tạo từng tài khoản khách thủ công sẽ mất thời gian. ClearPass Guest hỗ trợ bulk credential creation (tạo thông tin đăng nhập hàng loạt) để cấp nhiều tài khoản cùng lúc.

Tính năng này được HPE nhắc đến trong tài liệu ClearPass Policy Manager Data Sheet, phù hợp với nhiều nhu cầu khách truy cập như doanh nghiệp, bán lẻ, giáo dục và địa điểm công cộng lớn.

9. Operator profile (phân quyền người vận hành)​

Không phải ai cũng cần toàn quyền quản trị ClearPass Guest. Doanh nghiệp có thể phân quyền bằng operator profile, ví dụ:

• Lễ tân chỉ được tạo tài khoản khách ngắn hạn.
• Nhân sự được tạo tài khoản cho ứng viên hoặc khách phỏng vấn.
• IT được quyền cấu hình portal, chính sách và hệ thống.
• Sponsor chỉ được phê duyệt khách thuộc phạm vi của mình.

Access permissions trong ClearPass Guest được kiểm soát thông qua operator profile và có thể tích hợp với LDAP hoặc Active Directory login.

10. Commercial guest Wi-Fi hotspot (Wi-Fi khách thương mại)​

ClearPass Guest không chỉ dùng cho văn phòng doanh nghiệp, mà còn có thể dùng trong môi trường thương mại như khách sạn, trung tâm thương mại, sân bay hoặc địa điểm công cộng.
ClearPass Guest có hỗ trợ các kịch bản commercial-oriented guest Wi-Fi hotspots, bao gồm credit card billing và workflow liên quan đến quảng cáo bên thứ ba

11. MAC caching (ghi nhớ thiết bị khách)​

ClearPass Guest hỗ trợ MAC caching (ghi nhớ thiết bị theo MAC address), giúp khách sau khi đăng nhập thành công có thể kết nối lại trong thời gian cho phép mà không cần nhập lại thông tin đăng nhập nhiều lần.

Xem các tính năng đầy đủ trong đây: https://arubanetworking.hpe.com/techdocs/ClearPass/6.12/Guest/Content/Overview/KeyFeatures.htm?

V. Luồng hoạt động cơ bản của ClearPass Guest​

Các thàn phần và vai trò

• Network Administrator (quản trị mạng)
  Người quản trị cấu hình hệ thống ClearPass Guest: portal, chính sách, quyền của operator, thời gian sử dụng tài khoản khách.
• Operators (người vận hành)
  Có thể là lễ tân, nhân sự, bảo vệ hoặc nhân viên được phân quyền. Họ tạo tài khoản khách mà không cần toàn quyền quản trị hệ thống.
• Print Receipts / SMS / Email
  Sau khi tạo tài khoản, thông tin đăng nhập của khách có thể được in ra giấy hoặc gửi qua SMS/email.
• Guests (khách truy cập)
  Khách nhận username/password hoặc thông tin đăng nhập để sử dụng mạng khách.
• Mobile Devices (thiết bị của khách)
  Khách dùng laptop, điện thoại hoặc tablet để kết nối Wi-Fi guest.
• Wireless APs (Access Points)
  Thiết bị của khách kết nối vào Wi-Fi thông qua các access point.
• Network Cloud / Internet
  Sau khi đăng nhập thành công, khách được cấp quyền truy cập Internet hoặc tài nguyên được cho phép theo chính sách.
• ClearPass Guest ở trung tâm
  ClearPass Guest đóng vai trò quản lý toàn bộ quy trình: tạo tài khoản, gửi thông tin đăng nhập, kiểm soát thời gian sử dụng và phân quyền truy cập.

VI. Lợi ích khi triển khai ClearPass Guest​

ClearPass Guest giúp doanh nghiệp kiểm soát truy cập khách tốt hơn so với cách dùng chung mật khẩu Wi-Fi. Mỗi khách có thể có tài khoản riêng, thời hạn riêng và chính sách truy cập riêng.

Giải pháp này cũng giảm tải cho IT vì các bộ phận như lễ tân, nhân sự hoặc sponsor có thể được phân quyền để tạo và phê duyệt tài khoản khách mà không cần có toàn quyền quản trị hệ thống.

Ngoài ra, captive portal có thể được tùy chỉnh theo thương hiệu, giúp trải nghiệm truy cập Wi-Fi của khách chuyên nghiệp hơn. Với các môi trường đông khách, tính năng self-registration, SMS/email delivery và bulk credential creation giúp quy trình cấp quyền nhanh hơn và dễ vận hành hơn.

VII. ClearPass Guest khác gì Onboard và OnGuard?​

ClearPass Guest dùng để quản lý truy cập cho khách, thường là truy cập tạm thời qua captive portal hoặc tài khoản khách.
ClearPass Onboard dùng để đăng ký và cấu hình thiết bị cá nhân hoặc BYOD, thường gắn với cấp chứng chỉ riêng cho thiết bị.
ClearPass OnGuard dùng để kiểm tra trạng thái bảo mật của thiết bị, ví dụ antivirus, firewall, bản vá hệ điều hành hoặc các điều kiện tuân thủ.

Nói ngắn gọn: Guest quản lý khách, Onboard quản lý thiết bị BYOD, còn OnGuard kiểm tra độ an toàn của thiết bị.

VIII. Kết luận​

ClearPass Guest là một tính năng quan trọng trong hệ sinh thái Aruba ClearPass, giúp doanh nghiệp quản lý truy cập mạng cho khách một cách an toàn, linh hoạt và chuyên nghiệp hơn.

Thay vì dùng chung mật khẩu Wi-Fi, doanh nghiệp có thể tạo tài khoản khách riêng, kiểm soát thời gian sử dụng, yêu cầu sponsor phê duyệt, gửi thông tin đăng nhập qua SMS/email/phiếu in và áp dụng chính sách truy cập phù hợp.

Với các tính năng như guest account management, captive portal, self-registration, sponsor approval, credential delivery và operator profile, ClearPass Guest phù hợp cho nhiều môi trường như văn phòng doanh nghiệp, trường học, bệnh viện, khách sạn, bán lẻ và khu vực công cộng.

Nguồn:
ClearPass Network Access Control
HPE Aruba NetworkingClearPass Policy Manager


Cảm ơn các bạn đã dành thời gian đọc