WP- Web Access Manager et Microsoft Exchange
Transcription
WP- Web Access Manager et Microsoft Exchange
Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d’accéder à Microsoft Exchange avec des tablettes ou smartphones. Il s’appuie sur la solution Evidian Web Access Manager. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync -2- White paper > Juillet 2014 Protéger Microsoft Exchange dans un monde Cloud Un système de messagerie tel que Microsoft Exchange est l’une des ressources les plus critiques d’une entreprise. Il est donc indispensable d’en protéger l’accès. Cela est d’autant plus important que, de nos jours, la plupart des applications web utilisent la messagerie pour transmettre ou réinitialiser leurs mots de passe. Mal protégée, la messagerie devient donc un maillon faible du système d’information. Pour protéger et simplifier l’accès aux applications web, des solutions d’authentification unique (single sign-on – SSO) se répandent. Après un login initial (mot de passe, carte à puce, jeton OTP), l’utilisateur accède aux applications auxquelles il a droit, sans connaître les mots de passe des applications elles-mêmes. Comment intégrer facilement Microsoft Exchange dans un tel système de sécurité d’accès ? Dans la pratique, des obstacles peuvent survenir : L’accès Web à Microsoft Exchange n’est pas nativement compatible avec la plupart des mécanismes modernes d’authentification forte. L’accès Web à Microsoft Exchange fait appel au mot de passe Windows, que l’utilisateur ne connaît pas forcément. Pour une direction informatique, il est donc indispensable de s’assurer que le système d’authentification Web qu’elle choisira peut protéger efficacement Microsoft Outlook. -3- Qu’est-ce que Microsoft Outlook Web App et Microsoft ActiveSync ? Microsoft propose deux solutions principales pour accéder à Microsoft Exchange hors de l’écosystème Windows. L’une permet la consultation de sa boîte mail par un navigateur web, l’autre connecte directement un lecteur de mail natif au serveur Microsoft Exchange. Microsoft Outlook Web App (OWA) est l’interface web d’accès aux boîtes mail Microsoft Exchange. L’ergonomie est différente selon que le navigateur soit Internet Explorer (qui supporte ActiveX) ou Firefox ou Chrome (qui ne supportent pas ActiveX). Microsoft ActiveSync est le protocole permettant de synchroniser une boîte mail Microsoft Exchange sur un téléphone portable ou un équipement mobile de type tablette. Ce protocole s’appuie sur OWA et IIS1 ; il utilise une portion du protocole HTTP. Les organisations qui utilisent Microsoft Exchange doivent généralement activer ces deux solutions en même temps pour couvrir la palette des usages de leurs employés. Qu’est-ce qu’Evidian Web Access Manager ? Evidian Web Access Manager est une solution d’authentification unique (en anglais Single Sign-On ou SSO) dédiée aux applications Web. Elle ne nécessite aucune installation sur le poste de travail, lequel peut être une tablette ou un smartphone. Elle peut être utilisée seule ou en coopération avec Evidian Enterprise SSO, Cette dernière solution s’appuie sur un client Windows local et peut aussi donner accès aux applications non-web. Dans ce cas, Evidian Enterprise SSO et Evidian Web Access Manager partagent les informations sur les comptes d’utilisateurs des applications web, et sur le login à Windows. Ce document s’appuie sur Evidian Web Access Manager pour illustrer des cas d’usage d’accès web à Microsoft Outlook par des mécanismes d’authentification unique. 1 Microsoft Internet Information Services -4- Cas d’usage de single sign-on vers Microsoft Outlook Outlook Web App et ActiveSync sont des applications Web qui peuvent être contrôlées par une solution de single sign-on web telle qu’Evidian Web Access Manager. Evidian Web Access Manager peut contrôler les accès à Outlook Web App comme il le ferait avec une application Web classique. Evidian Web Access Manager peut aussi contrôler les accès faits par les postes mobiles à leur messagerie en utilisant le protocole ActiveSync. Cas d’usage avec Outlook Web App (OWA) Un utilisateur nomade accède à sa messagerie Outlook au travers de l’interface Web Outlook Web App. Pour se loguer sur cette interface, il est habituellement nécessaire d’utiliser son mot de passe Windows. Mais l’utilisateur ne connaît pas forcément son mot de passe Windows que réclame Outlook Web App : Sur son PC de bureau, l’utilisateur n’emploie pas toujours son mot de passe Windows. L’accès peut en effet être géré par un outil local tel qu’Evidian Enterprise SSO et Authentication Manager. De même, lors d’un accès distant Web au travers de Evidian Web Access Manager, l’utilisateur peut employer un mot de passe non rejouable (One-Time Password, OTP RADIUS) ou un certificat X.509. Dans ce cas, Evidian Web Access Manager utilise le mot de passe Windows connu par Evidian Enterprise SSO pour réaliser l’authentification vers le serveur OWA. Le résultat : une fois logué sur Evidian Web Access Manager l’utilisateur accède à OWA depuis son navigateur, sans aucun mot de passe supplémentaire. -5- Cas d’usage avec ActiveSync Depuis un téléphone portable (iPhone, Android, Windows Phone) ou une tablette (iPad, Android,..), l’utilisateur synchronise ses mails et son agenda avec son compte mail OWA par Wi-Fi ou en 3G. L’application cliente ActiveSync doit pouvoir s’authentifier et accéder aux ressources OWA en utilisant le protocole ActiveSync. Mais, nous l’avons vu, l’utilisateur ne connaît pas forcément son mot de passe Windows. Il ne peut donc pas l’utiliser pour configurer l’application cliente ActiveSync. Dans ce cas, l’utilisateur est pourvu d’un mot de passe dédié à l’authentification ActiveSync au travers d’Evidian Web Access Manager. L’application cliente ActiveSync, du téléphone ou de la tablette, est configurée pour utiliser Web Access Manager comme serveur de messagerie. Evidian Web Access Manager, utilise ces authentifiants dédiés à l’usage d’ActiveSync pour authentifier l’utilisateur puis injecte en lieu et place, le mot de passe Windows connu par Evidian Enterprise SSO pour réaliser l’authentification vers l’interface ActiveSync du serveur OWA. Le résultat : le client de messagerie se connecte automatiquement à Evidian Web Access Manager pour accéder à OWA, Windows, et sans risque de désynchronisation lorsque le mot de passe Windows est changé. -6- Principes d’architecture avec Outlook Web App La figure ci-dessous présente une architecture typique pour accéder, depuis Internet, à des boîtes mail sous Outlook Web App (OWA). Figure 1: Architecture pour Outlook Web App L’utilisateur nomade possède un moyen d’authentification de type OTP (OneTime Password), par calculette ou application, synchronisé avec un serveur OTP. Lors de son accès au portail Evidian Web Access Manager, l’authentification est vérifiée par le serveur OTP par le protocole RADIUS. Puis Evidian Web Access Manager identifie l’utilisateur dans l’annuaire Active Directory. Evidian Web Access Manager peut obtenir auprès d’Evidian Enterprise SSO, s’il est présent, les mots de passes des applications de l’utilisateur, ainsi que son mot de passe Windows. Le mot de passe Windows est ainsi utilisé pour l’authentification vers les serveurs OWA. Cette authentification peut être de type « authentification Microsoft intégrée » (NTLMv2), « authentification par formulaire » ou « authentification HTTP basique ». -7- Principes et architecture avec Microsoft ActiveSync Le protocole ActiveSync est une réduction du protocole HTTP ; il ne supporte pas : Les redirections 301 et 302 Les ports HTTP/HTTPS autres que 80 et 443 ActiveSync impose donc des contraintes dans sa « portalisation » par une solution de single sign-on web telle qu’Evidian Web Access Manager : Il n’est pas possible de faire des redirections vers un serveur d’authentification Evidian Web Access Manager ou un serveur d’authentification externe. L’authentification primaire doit donc être « portée » par la passerelle Web Access Manager. L’authentification vers un serveur RADIUS ou Kerberos externe n’est pas possible. La passerelle doit s’exécuter sur le port 80 (HTTP) ou 443 (HTTPS). Le décalage d’URL n’est pas possible, la passerelle Web Access Manager doit être un « Remote-Web-Agent ». Les clients mail ActiveSync ne proposent qu’un champ de « login » et « mot de passe » pour gérer l’authentification. Le « login » et « mot de passe » sont envoyés à chaque connexion en « HTTP Basic Authentification ». Il ne peut pas y avoir de dialogue évolué entre la passerelle et le client mail pour gérer une authentification non rejouable. Ergonomiquement, il n’est pas envisageable de modifier très fréquemment le mot de passe ActiveSync qui est sauvegardé dans le téléphone. Les contraintes sur le protocole ActiveSync ne permettent donc pas d’utiliser un serveur OTP. Mais il n’est pas non plus possible d’utiliser le mot de passe Windows de l’utilisateur si celui-ci n’est pas connu par l’utilisateur. Dans l’architecture proposée, les mots de passe primaires sont stockés dans un annuaire LDAP différent de l’annuaire Active Directory. Ce dernier contient les vrais utilisateurs/mots de passe. -8- L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce dernier injectera le mot de passe réel dans le flux de données échangées avec le serveur ActiveSync. L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce dernier injectera le mot de passe réel dans le flux de données échangées avec le serveur ActiveSync. Ce « faux » mot de passe Windows pourra être changé indépendamment de la fréquence de changement du mot de passe Windows. La figure ci-dessous présente une architecture Evidian Web Access Manager permettant d’accéder, depuis un téléphone portable, à des boîtes mail ActiveSync. Figure 2: Architecture Web Access Manager pour ActiveSync Voici le déroulement d’une connexion ActiveSync depuis un téléphone portable : L’utilisateur dispose d’un identifiant « utilisateur1 » et d’un mot de passe Le compte mail « [email protected] » est configuré sur le téléphone portable; serveur de messagerie wam.domaine.com, chiffré (HTTPS) ou non (HTTP) La connexion ActiveSync est activée vers le serveur Evidian Web Access Manager et le client ActiveSync va émettre automatiquement l’identifiant «utilisateur1 » et le mot de passe à chaque requête -9- Evidian Web Access Manager intercepte l’identifiant utilisateur pour réaliser : - (1) L’identification de l’utilisateur : il s’agit de déterminer quel est son annuaire d’origine. - (2) L’authentification de l’utilisateur auprès de son annuaire d’identification. - (3) L’identification auprès de son annuaire contenant la vraie référence à l’utilisateur. - (4) La récupération des mots de passes primaires et secondaires associés à l’utilisateur identifié lors de l’étape (3). Puis Evidian Web Access Manager réalise la connexion vers le serveur ActiveSync en injectant le nom de l’utilisateur et le mot de passe attendu par le serveur de messagerie OWA. L’utilisateur est ensuite authentifié par le serveur OWA (5) auprès de l’annuaire Active Directory du domaine Windows. Gestion des autorisations pour ActiveSync Les autorisations d'accès aux applications peuvent être calculées de manière dynamique en utilisant des règles simples du type and, or ou not appliquées aux attributs de l'utilisateur dans l'annuaire LDAP. Ces règles s’appliquent aux connexions ActiveSync comme sur toutes autres connexions transitant au travers d’Evidian Web Access Manager. Des groupes statiques ou dynamiques peuvent ainsi être constitués pour autoriser l’accès aux boîtes de messagerie sur téléphone portable en fonction des fonctions des utilisateurs. - 10 - Changement de mots de passe pour ActiveSync Les mots de passe utilisés par les téléphones portables sont indépendants des mots de passe Windows. Ils peuvent donc être changés indépendamment : Par un outil de provisionnement (tel que Evidian Identity & Access Manager,ou Evidian ID Synchronization) qui modifie des mots de passe dans l’annuaire LDAP. Les nouveaux mots de passe doivent alors être distribués aux utilisateurs pour qu’ils puissent configurer leurs téléphones portables. Par les utilisateurs eux-mêmes, qui utilisent Web Access Manager pour modifier leurs propres mots de passe. Filtrage sur l’identifiant du téléphone pour ActiveSync Lors de chaque requête ActiveSync, le téléphone portable émet un identifiant dont la syntaxe est propre à chaque constructeur. Le serveur OWA permet de déclarer, enregistrer et filtrer les connexions ActiveSync en fonction de ces identifiants uniques. Ce filtrage permet d’associer fortement un compte courrier utilisateur avec un ou plusieurs appareils mobiles et d’interdire les accès abusifs par duplication du contenu d’un appareil. Tracer l'activité de tous les utilisateurs Toute politique de gestion d'accès requiert un contrôle. Evidian Web Access Manager historise toutes les tentatives d'accès des utilisateurs. Les administrateurs savent ainsi qui a accédé à quelle application, et quand. Evidian Web Access Manager est compatible avec les outils d'analyse de trafic web tel que Webtrends. Cela simplifie l'analyse des rapports d'audit de sécurité. Des événements d’audit sont émis vers la base d’audit centralisé Evidian Identity & Access Manager, lors de chaque authentification et émission de mot de passe. - 11 - Chiffrer les données confidentielles Avec Evidian Web Access Manager, toutes les communications d’OWA et ActiveSync peuvent être chiffrées. La passerelle Evidian Web Access Manager effectue elle-même ce chiffrement par SSL. Les utilisateurs peuvent donc consulter en toute confiance leurs courriers électroniques protégés par Evidian Web Access Manager. Protéger les ressources Web contre les attaques Evidian Web Access Manager aide à éviter les attaques des ressources Web exposées sur Internet. La passerelle Evidian Web Access Manager peut masquer l'adresse réelle des ressources Web. Elle modifie l'URL des applications Web et empêche ainsi les pirates de connaître la topologie du réseau. Evidian Web Access Manager contrôle les entrées pour tous les accès Web. Cela facilite la protection des applications Web contre les attaques provenant d'Internet. Haute disponibilité et partage de charge La passerelle Evidian Web Access Manager peut être installée sur deux ou plusieurs serveurs. Dans ce cas, les serveurs partagent la charge du trafic web et assurent la reprise sur incident en cas de défaillance de l’un des serveurs. Cette solution de haute disponibilité est purement logicielle. Elle ne nécessite donc pas de boîtier ou de disque partagé : elle fonctionne avec des serveurs standards. De la même façon, la montée en charge est assurée par simple ajout de passerelles Evidian Web Access Manager supplémentaires. - 12 - Pour plus d’information, visitez notre site web : www.evidian.fr 39 F2 22LY 01 Email: [email protected] © 2012-2014 Evidian Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Cette brochure est imprimée sur un papier composé de 40 % de fibres éco-certifiées, issues d'une gestion forestière durable, et de 60 % de fibres recyclées, en application des règles environnementales (ISO 14001).