WP- Web Access Manager et Microsoft Exchange

Ce document décrit une solution
de single sign-on (SSO) sécurisée
permettant d’accéder à Microsoft
Exchange avec des tablettes ou
smartphones.
Il s’appuie sur la solution Evidian
Web Access Manager.
PERSPECTIVES
Le Single Sign-On mobile
vers Microsoft Exchange
avec OWA et ActiveSync
-2-
White paper > Juillet 2014
Protéger Microsoft Exchange dans un monde Cloud
Un système de messagerie tel que Microsoft Exchange est l’une des ressources
les plus critiques d’une entreprise. Il est donc indispensable d’en protéger
l’accès.
Cela est d’autant plus important que, de nos jours, la plupart des applications
web utilisent la messagerie pour transmettre ou réinitialiser leurs mots de passe.
Mal protégée, la messagerie devient donc un maillon faible du système
d’information.
Pour protéger et simplifier l’accès aux applications web, des solutions
d’authentification unique (single sign-on – SSO) se répandent. Après un login
initial (mot de passe, carte à puce, jeton OTP), l’utilisateur accède aux
applications auxquelles il a droit, sans connaître les mots de passe des
applications elles-mêmes.
Comment intégrer facilement Microsoft Exchange dans un tel système de
sécurité d’accès ? Dans la pratique, des obstacles peuvent survenir :
 L’accès Web à Microsoft Exchange n’est pas nativement compatible
avec la plupart des mécanismes modernes d’authentification forte.
 L’accès Web à Microsoft Exchange fait appel au mot de passe
Windows, que l’utilisateur ne connaît pas forcément.
Pour une direction informatique, il est donc indispensable de s’assurer que le
système d’authentification Web qu’elle choisira peut protéger efficacement
Microsoft Outlook.
-3-
Qu’est-ce que Microsoft Outlook Web App et Microsoft
ActiveSync ?
Microsoft propose deux solutions principales pour accéder à Microsoft
Exchange hors de l’écosystème Windows. L’une permet la consultation de sa
boîte mail par un navigateur web, l’autre connecte directement un lecteur de
mail natif au serveur Microsoft Exchange.
 Microsoft Outlook Web App (OWA) est l’interface web d’accès aux
boîtes mail Microsoft Exchange. L’ergonomie est différente selon que le
navigateur soit Internet Explorer (qui supporte ActiveX) ou Firefox ou
Chrome (qui ne supportent pas ActiveX).
 Microsoft ActiveSync est le protocole permettant de synchroniser une
boîte mail Microsoft Exchange sur un téléphone portable ou un
équipement mobile de type tablette. Ce protocole s’appuie sur OWA
et IIS1 ; il utilise une portion du protocole HTTP.
Les organisations qui utilisent Microsoft Exchange doivent généralement activer
ces deux solutions en même temps pour couvrir la palette des usages de leurs
employés.
Qu’est-ce qu’Evidian Web Access Manager ?
Evidian Web Access Manager est une solution d’authentification unique (en
anglais Single Sign-On ou SSO) dédiée aux applications Web. Elle ne
nécessite aucune installation sur le poste de travail, lequel peut être une tablette
ou un smartphone.
Elle peut être utilisée seule ou en coopération avec Evidian Enterprise SSO,
Cette dernière solution s’appuie sur un client Windows local et peut aussi
donner accès aux applications non-web. Dans ce cas, Evidian Enterprise SSO
et Evidian Web Access Manager partagent les informations sur les comptes
d’utilisateurs des applications web, et sur le login à Windows.
Ce document s’appuie sur Evidian Web Access Manager pour illustrer des cas
d’usage d’accès web à Microsoft Outlook par des mécanismes
d’authentification unique.
1
Microsoft Internet Information Services
-4-
Cas d’usage de single sign-on vers Microsoft Outlook
Outlook Web App et ActiveSync sont des applications Web qui peuvent être
contrôlées par une solution de single sign-on web telle qu’Evidian Web Access
Manager.
 Evidian Web Access Manager peut contrôler les accès à Outlook Web
App comme il le ferait avec une application Web classique.
 Evidian Web Access Manager peut aussi contrôler les accès faits par
les postes mobiles à leur messagerie en utilisant le protocole
ActiveSync.
Cas d’usage avec Outlook Web App (OWA)
Un utilisateur nomade accède à sa messagerie Outlook au travers de
l’interface Web Outlook Web App. Pour se loguer sur cette interface, il est
habituellement nécessaire d’utiliser son mot de passe Windows.
Mais l’utilisateur ne connaît pas forcément son mot de passe Windows que
réclame Outlook Web App :
 Sur son PC de bureau, l’utilisateur n’emploie pas toujours son mot de
passe Windows. L’accès peut en effet être géré par un outil local tel
qu’Evidian Enterprise SSO et Authentication Manager.
 De même, lors d’un accès distant Web au travers de Evidian Web
Access Manager, l’utilisateur peut employer un mot de passe non rejouable (One-Time Password, OTP RADIUS) ou un certificat X.509.
Dans ce cas, Evidian Web Access Manager utilise le mot de passe Windows
connu par Evidian Enterprise SSO pour réaliser l’authentification vers le serveur
OWA.
Le résultat : une fois logué sur Evidian Web Access Manager l’utilisateur
accède à OWA depuis son navigateur, sans aucun mot de passe
supplémentaire.
-5-
Cas d’usage avec ActiveSync
Depuis un téléphone portable (iPhone, Android, Windows Phone) ou une
tablette (iPad, Android,..), l’utilisateur synchronise ses mails et son agenda
avec son compte mail OWA par Wi-Fi ou en 3G. L’application cliente
ActiveSync doit pouvoir s’authentifier et accéder aux ressources OWA en
utilisant le protocole ActiveSync.
Mais, nous l’avons vu, l’utilisateur ne connaît pas forcément son mot de passe
Windows. Il ne peut donc pas l’utiliser pour configurer l’application cliente
ActiveSync.
Dans ce cas, l’utilisateur est pourvu d’un mot de passe dédié à
l’authentification ActiveSync au travers d’Evidian Web Access Manager.
L’application cliente ActiveSync, du téléphone ou de la tablette, est configurée
pour utiliser Web Access Manager comme serveur de messagerie. Evidian
Web Access Manager, utilise ces authentifiants dédiés à l’usage d’ActiveSync
pour authentifier l’utilisateur puis injecte en lieu et place, le mot de passe
Windows connu par Evidian Enterprise SSO pour réaliser l’authentification vers
l’interface ActiveSync du serveur OWA.
Le résultat : le client de messagerie se connecte automatiquement à Evidian
Web Access Manager pour accéder à OWA, Windows, et sans risque de
désynchronisation lorsque le mot de passe Windows est changé.
-6-
Principes d’architecture avec Outlook Web App
La figure ci-dessous présente une architecture typique pour accéder, depuis
Internet, à des boîtes mail sous Outlook Web App (OWA).
Figure 1: Architecture pour Outlook Web App
L’utilisateur nomade possède un moyen d’authentification de type OTP (OneTime Password), par calculette ou application, synchronisé avec un serveur
OTP. Lors de son accès au portail Evidian Web Access Manager,
l’authentification est vérifiée par le serveur OTP par le protocole RADIUS.
Puis Evidian Web Access Manager identifie l’utilisateur dans l’annuaire Active
Directory.
Evidian Web Access Manager peut obtenir auprès d’Evidian Enterprise SSO,
s’il est présent, les mots de passes des applications de l’utilisateur, ainsi que
son mot de passe Windows.
Le mot de passe Windows est ainsi utilisé pour l’authentification vers les
serveurs OWA. Cette authentification peut être de type « authentification
Microsoft intégrée » (NTLMv2), « authentification par formulaire »
ou « authentification HTTP basique ».
-7-
Principes et architecture avec Microsoft ActiveSync
Le protocole ActiveSync est une réduction du protocole HTTP ; il ne supporte
pas :
 Les redirections 301 et 302
 Les ports HTTP/HTTPS autres que 80 et 443
ActiveSync impose donc des contraintes dans sa « portalisation » par une
solution de single sign-on web telle qu’Evidian Web Access Manager :
 Il n’est pas possible de faire des redirections vers un serveur
d’authentification Evidian Web Access Manager ou un serveur
d’authentification externe. L’authentification primaire doit donc être
« portée » par la passerelle Web Access Manager. L’authentification
vers un serveur RADIUS ou Kerberos externe n’est pas possible.
 La passerelle doit s’exécuter sur le port 80 (HTTP) ou 443 (HTTPS).
 Le décalage d’URL n’est pas possible, la passerelle Web Access
Manager doit être un « Remote-Web-Agent ».
 Les clients mail ActiveSync ne proposent qu’un champ de « login » et
« mot de passe » pour gérer l’authentification. Le « login » et « mot de
passe » sont envoyés à chaque connexion en « HTTP Basic
Authentification ». Il ne peut pas y avoir de dialogue évolué entre la
passerelle et le client mail pour gérer une authentification non rejouable.
 Ergonomiquement, il n’est pas envisageable de modifier très
fréquemment le mot de passe ActiveSync qui est sauvegardé dans le
téléphone.
Les contraintes sur le protocole ActiveSync ne permettent donc pas d’utiliser un
serveur OTP. Mais il n’est pas non plus possible d’utiliser le mot de passe
Windows de l’utilisateur si celui-ci n’est pas connu par l’utilisateur.
Dans l’architecture proposée, les mots de passe primaires sont stockés dans un
annuaire LDAP différent de l’annuaire Active Directory. Ce dernier contient les
vrais utilisateurs/mots de passe.
-8-
L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel
Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce
dernier injectera le mot de passe réel dans le flux de données échangées avec
le serveur ActiveSync.
L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel
Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce
dernier injectera le mot de passe réel dans le flux de données échangées avec
le serveur ActiveSync.
Ce « faux » mot de passe Windows pourra être changé indépendamment de la
fréquence de changement du mot de passe Windows.
La figure ci-dessous présente une architecture Evidian Web Access Manager
permettant d’accéder, depuis un téléphone portable, à des boîtes mail
ActiveSync.
Figure 2: Architecture Web Access Manager pour ActiveSync
Voici le déroulement d’une connexion ActiveSync depuis un téléphone
portable :
 L’utilisateur dispose d’un identifiant « utilisateur1 » et d’un mot de passe
 Le compte mail « [email protected] » est configuré sur le
téléphone portable; serveur de messagerie wam.domaine.com, chiffré
(HTTPS) ou non (HTTP)
 La connexion ActiveSync est activée vers le serveur Evidian Web
Access Manager et le client ActiveSync va émettre automatiquement
l’identifiant «utilisateur1 » et le mot de passe à chaque requête
-9-
 Evidian Web Access Manager intercepte l’identifiant utilisateur pour
réaliser :
-
(1) L’identification de l’utilisateur : il s’agit de déterminer quel est son
annuaire d’origine.
-
(2) L’authentification de l’utilisateur auprès de son annuaire
d’identification.
-
(3) L’identification auprès de son annuaire contenant la vraie
référence à l’utilisateur.
-
(4) La récupération des mots de passes primaires et secondaires
associés à l’utilisateur identifié lors de l’étape (3).
 Puis Evidian Web Access Manager réalise la connexion vers le serveur
ActiveSync en injectant le nom de l’utilisateur et le mot de passe
attendu par le serveur de messagerie OWA. L’utilisateur est ensuite
authentifié par le serveur OWA (5) auprès de l’annuaire Active
Directory du domaine Windows.
Gestion des autorisations pour ActiveSync
Les autorisations d'accès aux applications peuvent être calculées de manière
dynamique en utilisant des règles simples du type and, or ou not appliquées
aux attributs de l'utilisateur dans l'annuaire LDAP.
Ces règles s’appliquent aux connexions ActiveSync comme sur toutes autres
connexions transitant au travers d’Evidian Web Access Manager.
Des groupes statiques ou dynamiques peuvent ainsi être constitués pour
autoriser l’accès aux boîtes de messagerie sur téléphone portable en fonction
des fonctions des utilisateurs.
- 10 -
Changement de mots de passe pour ActiveSync
Les mots de passe utilisés par les téléphones portables sont indépendants des
mots de passe Windows. Ils peuvent donc être changés indépendamment :
 Par un outil de provisionnement (tel que Evidian Identity & Access
Manager,ou Evidian ID Synchronization) qui modifie des mots de
passe dans l’annuaire LDAP. Les nouveaux mots de passe doivent alors
être distribués aux utilisateurs pour qu’ils puissent configurer leurs
téléphones portables.
 Par les utilisateurs eux-mêmes, qui utilisent Web Access Manager pour
modifier leurs propres mots de passe.
Filtrage sur l’identifiant du téléphone pour ActiveSync
Lors de chaque requête ActiveSync, le téléphone portable émet un identifiant
dont la syntaxe est propre à chaque constructeur. Le serveur OWA permet de
déclarer, enregistrer et filtrer les connexions ActiveSync en fonction de ces
identifiants uniques.
Ce filtrage permet d’associer fortement un compte courrier utilisateur avec un
ou plusieurs appareils mobiles et d’interdire les accès abusifs par duplication
du contenu d’un appareil.
Tracer l'activité de tous les utilisateurs
Toute politique de gestion d'accès requiert un contrôle. Evidian Web Access
Manager historise toutes les tentatives d'accès des utilisateurs. Les
administrateurs savent ainsi qui a accédé à quelle application, et quand.
Evidian Web Access Manager est compatible avec les outils d'analyse de trafic
web tel que Webtrends. Cela simplifie l'analyse des rapports d'audit de
sécurité.
Des événements d’audit sont émis vers la base d’audit centralisé Evidian
Identity & Access Manager, lors de chaque authentification et émission de mot
de passe.
- 11 -
Chiffrer les données confidentielles
Avec Evidian Web Access Manager, toutes les communications d’OWA et
ActiveSync peuvent être chiffrées. La passerelle Evidian Web Access Manager
effectue elle-même ce chiffrement par SSL.
Les utilisateurs peuvent donc consulter en toute confiance leurs courriers
électroniques protégés par Evidian Web Access Manager.
Protéger les ressources Web contre les attaques
Evidian Web Access Manager aide à éviter les attaques des ressources Web
exposées sur Internet.
La passerelle Evidian Web Access Manager peut masquer l'adresse réelle des
ressources Web. Elle modifie l'URL des applications Web et empêche ainsi les
pirates de connaître la topologie du réseau.
Evidian Web Access Manager contrôle les entrées pour tous les accès Web.
Cela facilite la protection des applications Web contre les attaques provenant
d'Internet.
Haute disponibilité et partage de charge
La passerelle Evidian Web Access Manager peut être installée sur deux ou
plusieurs serveurs. Dans ce cas, les serveurs partagent la charge du trafic web
et assurent la reprise sur incident en cas de défaillance de l’un des serveurs.
Cette solution de haute disponibilité est purement logicielle. Elle ne nécessite
donc pas de boîtier ou de disque partagé : elle fonctionne avec des serveurs
standards.
De la même façon, la montée en charge est assurée par simple ajout de
passerelles Evidian Web Access Manager supplémentaires.
- 12 -
Pour plus d’information, visitez notre site web : www.evidian.fr
39 F2 22LY 01
Email: [email protected]
© 2012-2014 Evidian
Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de
marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations passé la
date de publication.
Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT.
Cette brochure est imprimée sur un papier composé de 40 % de fibres éco-certifiées, issues d'une gestion forestière durable, et de 60 % de fibres recyclées, en application des règles
environnementales (ISO 14001).