Evidian IAM Access Management
Transcription
Evidian IAM Access Management
Evidian IAM Access Management Un livre blanc Evidian L’authentification unique (SSO) la plus rapide à déployer Sommaire Evidian Enterprise SSO, une solution complète de connexion unique Démarrez simplement avec un niveau élevé de sécurité Améliorez la sécurité avec des fonctions avancées La solution Evidian Enterprise SSO Une architecture sécurisée Evidian File Encryption Contrôler et sécuriser l'accès utilisateur avec le SSO Émergence des architectures SOA dans l'entreprise Evidian SOA Access Manager, un serveur d'authentification SAML JAAS Annexe : Format du Web Service d'Authentification Version 1.0 © 2013 Evidian Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques cités dans cette publication sont reconnus. Access Management Table des matières Evidian Enterprise SSO, une solution complète de connexion unique ....................................... 5 Démarrez simplement avec un niveau élevé de sécurité ... 6 Connexion unique à toutes les applications ..............6 Intégration transparente aux infrastructures existantes .8 Déploiement simple et rapide ............................8 Améliorez la sécurité avec des fonctions avancées ...... 9 Authentification forte ..................................9 Administration étendue .................................11 La solution Evidian Enterprise SSO .................... 13 Evidian Enterprise SSO base ............................13 La Console de Management ...............................21 Evidian Strong Authentication ..........................26 Evidian Audit et Reporting .............................29 Evidian Self-Service Password Reset ....................31 Evidian Kiosk Mode (Changement rapide d'utilisateur) ...32 Profitez de votre architecture LDAP distribuée pour l’authentification .....................................35 Aucun serveur d’authentification supplémentaire ........35 Une architecture sécurisée ............................ 36 Evidian File Encryption ............................... 39 Contrôler et sécuriser l'accès utilisateur avec le SSO 45 Mettre en place le contrôle d'accès à toutes les applications ...........................................45 La création des comptes utilisateurs ...................47 La prise en compte des identités multiples .............47 SSO universel ..........................................48 L’inter-domain SSO .....................................49 Émergence des architectures SOA dans l'entreprise ..... 51 Développement d'une architecture d'applications modulaire pour une intégration du système d'information de l'entreprise ........................................51 Sécurisation d'une architecture SOA ....................54 Evidian SOA Access Manager, un serveur d'authentification SAML JAAS .......................... 57 Evidian SOA Access Manager utilise le login JASS et l'authentification de SAML et des Web Services ......57 39 F2 28LU Rev01 3 Access Management Evidian SOA Access Manager – Architecture ..............59 Evidian SOA Access Manager – Caractéristiques principales ............................................60 Annexe : Format du Web Service d'Authentification ..... 62 Requête d'Authentification .............................62 Réponse à une authentification .........................63 Echecs d'authentification ..............................63 La sécurité instantanée pour un faible coût d'acquisition ..........................................64 39 F2 28LU Rev01 4 Access Management Evidian Enterprise SSO, une solution complète de connexion unique Evidian Enterprise SSO permet de déployer rapidement une solution d’authentification unique efficace. Avec un temps d’attente minimum, les utilisateurs accèdent à leurs applications plus facilement et avec une sécurité accrue. Sur cette base, vous pouvez ajouter des outils avancés pour obtenir une authentification forte et de nouvelles fonctions d’administration. Figure 1. Une solution complète de connexion unique Evidian Enterprise SSO Annuaires Self-service password reset Strong authentication Kiosk mode Enterprise SSO base Audit and Reporting Mobile E-SSO middleware (security services) Smart cards Biometrics USB keys Certificates La solution Evidian Enterprise SSO offre : Accès rapide à l’authentification unique : Enterprise SSO base Enterprise SSO base est au coeur de la solution. Il offre de puissantes fonctions d’authentification unique telles que l’administration des règles d’applications et de mots de passe, la délégation de pouvoirs aux utilisateurs, la re-authentification et la collecte d’audits. Accès SSO depuis Internet : Mobile E-SSO Mobile E-SSO permet aux utilisateurs de se connecter via l’environnement de SSO et en sécurité à partir d’Internet à leurs applications. Gestion des mots de passe : Self-Service Password Reset Self-Service Password Reset permet aux utilisateurs de gérer eux-mêmes la réinitialisation de leur mot de passe unique. Authentification forte : Strong Authentication Strong Authentication rend possibles de puissantes méthodes d’authentification primaire, telles que les cartes cryptographiques, les clés USB, les certificats, le RFID actif et la biométrie. Fonctions de reporting : Audit et Reporting Audit et Reporting fournit des rapports près à l’emploi sur les évènements d’administration, d’authentification, de connexion aux applications cibles. 39 F2 28LU Rev01 5 Access Management Démarrez simplement avec un niveau élevé de sécurité Evidian Enterprise SSO base permet de déployer rapidement une solution d’authentification unique efficace. Bien que Evidian Enterprise SSO base offre des fonctions de connexion unique avancées, il est facile à utiliser et à gérer. Grâce à Evidian Enterprise SSO base, les entreprises peuvent rapidement déployer l’authentification unique, puis définir et mettre en œuvre une méthode de gestion des mots de passe unifiée. Connexion unique à toutes les applications Au sein des entreprises, les procédures sont complexes et les outils nombreux. Les utilisateurs doivent donc disposer de multiples comptes sur différentes applications et technologies. Evidian Enterprise SSO base prend en charge toutes les applications, quelle que soit la technologie utilisée : applications locales, client/serveur, sites Web, émulateurs de mainframes, Unix et Linux, Windows Terminal Server, Citrix MetaFrame, Presentation Server et NFuse. Par exemple, grâce à une configuration par glisser/déplacer, Evidian Enterprise SSO base permet de déployer la connexion unique sur la configuration typique suivante (voir Figure 2) : Tous les employés accèdent aux applications de l’entreprise (comme Lotus Notes, une application de gestion des dépenses ou une application de gestion du temps). Par contre, les applications d’entreprise ne sont utilisées que par certains groupes d’utilisateurs, Certains portails ou applications sont accessibles via une interface Web et certaines applications sont utilisées à l’aide d’un client léger (comme Citrix ou Windows Terminal Server), Certains systèmes transactionnels et bases de données (comme un mainframe IBM) ne sont accessibles que par un émulateur de terminal, Certaines applications d’ERP (comme SAP R/3) et de messagerie (Lotus Notes) ont leurs propres systèmes de contrôle d’accès. 39 F2 28LU Rev01 6 Access Management Figure 2. Une configuration de SSO typique Répertoire Serveur LDAP SSOEngineobtient les données sur les applications 2 Evidian Enterprise SSO 3 Windows Server 1 Authentification dans le domaine 4 5 SSOEngine renseigne les fenêtres de connexion 6 SSOEngine modifie automatiquement les mots de passe Une application est lancée par un utilisateur SSOEngine détecte les fenêtres SSOEngine obtient le mot de passe/ID secondaire depuis la mémoire chiffrée Evidian Enterprise SSO base offre une solution directe pour un déploiement rapide de l’authentification unique avec : configuration par glisser/déplacer de l’authentification unique, aucune modification des applications, automatisation de la génération, des modifications, de l’expiration et de la redéfinition des mots de passe, délégation des accès aux collègues en cas d’absence, possibilité de configurer l’authentification unique pour les applications personnelles (comme les sites Web externes et les serveurs d'informations), Un niveau de sécurité élevé dans toute l’entreprise. Evidian Enterprise SSO base permet aux administrateurs de contrôler l’accès des utilisateurs aux ressources d’informations d’entreprise. Les fonctions suivantes renforcent la sécurité : Authentification forte des utilisateurs lors des accès au réseau ou aux applications sensibles, Chiffrement des données lorsque l’utilisateur final saisit des informations de connexion unique et lors des enregistrements et transferts de données par Evidian Enterprise SSO, Seul l’utilisateur final peut modifier les données d’authentification unique, Les mécanismes de chiffrement garantissent que le propriétaire des informations de sécurité est le seul à pouvoir y accéder, Définition des règles de mots de passe, d’applications et de délégation, 39 F2 28LU Rev01 7 Access Management Définition et mise en œuvre des règles de mots de passe, L’accès aux applications peut dépendre du rôle de l’utilisateur, Audit des accès des utilisateurs et des tâches d’administration. Intégration transparente aux infrastructures existantes Tous les éléments de Evidian Enterprise SSO utilisent l’annuaire des employés existant et enregistrent les règles d’authentification unique dans l’architecture LDAP distribuée pour garantir que les utilisateurs accèdent à leurs applications de la même façon dans toute l’entreprise. L’annuaire LDAP peut être un annuaire existant. Il est également possible de dédier spécifiquement un annuaire pour la solution Evidian Enterprise SSO. Déploiement simple et rapide Evidian Enterprise SSO base simplifie et accélère l’installation, la configuration et le déploiement opérationnel grâce à : Intégration à l’annuaire LDAP existant Evidian Enterprise SSO base n’a pas besoin d’une base de données ou d’un serveur de sécurité spécifique. Cela permet d’éliminer les dépenses supplémentaires associées à l’installation et au remplissage d’un autre annuaire. Installation et configuration simples des stations de travail Evidian Enterprise SSO base est installé sur les stations de travail via Microsoft Windows Installer (MSI). Une installation silencieuse est possible, sans configuration locale. Aucun logiciel n’est installé sur les clients légers Citrix ou Windows Terminal Server eux-mêmes. Une installation de logiciel n’est nécessaire que sur le serveur de terminal. Les modules sont documentés pour faciliter leur distribution distante par d’autres outils éprouvés tels que Computer Associates TNG, IBM Tivoli, Microsoft SMS ou Vision64. Intégration d’une application et initialisation de la connexion unique SSOStudio permet de configurer les détails d’une connexion à une application en quelques clics. Les administrateurs attribuent les droits d’accès à un utilisateur, un groupe d’utilisateurs, ou une organisation au sein de l’entreprise. Avec la plupart des applications, l’utilisateur doit immédiatement changer le mot de passe d’un nouveau compte. Evidian Enterprise SSO base réalise cette opération avec un mot de passe aléatoire, conformément à une règle prédéfinie. Par la suite, l’accès des utilisateurs à l’application est transparent. 39 F2 28LU Rev01 8 Access Management Améliorez la sécurité avec des fonctions avancées A partir d’une simple solution d’authentification unique, Evidian Enterprise SSO peut répondre aux exigences de gestion de la sécurité de niveau supérieur : Authentification forte Evidian Strong Authentication complète Evidian Enterprise SSO base avec une grande variété de méthodes d’authentification forte (cartes, clés USB, biométrie). Les administrateurs peuvent ainsi renforcer la sécurité des accès pour certaines catégories d’utilisateurs. La combinaison nom d'utilisateur/mot de passe est la méthode d’accès la plus courante, en particulier dans les environnements Microsoft. Toutefois, ce « sésame ouvre-toi » universel n’est souvent pas suffisant pour la protection de ressources sensibles. Deux questions se posent : L’authentification de domaine Microsoft est-elle suffisante pour donner accès à d’autres ressources, en particulier pour des applications hétérogènes hors de l’environnement Windows ? Un mot de passe prouve-t-il que la personne qui se connecte est vraiment la personne dont le mot de passe est utilisé ? La réponse est non. En revanche, Evidian Strong Authentication garantit que la personne qui se connecte au système est bien celle qui doit se connecter. La sécurité accrue est fournie par une authentification à plusieurs facteurs, par exemple, Je m’identifie par quelque chose que je sais et quelque chose que je possède. On peut pour cela utiliser une carte, une clé USB ou un mécanisme biométrique (voir Figure 3). 39 F2 28LU Rev01 9 Access Management Figure 3. Authentification par carte Une authentification à plusieurs facteurs Le contrôle des accès est renforcé ; il complète naturellement la connexion unique. Evidian Strong Authentication offre une identification primaire sécurisée pour des utilisateurs spécifiques, indiquant l’identité de ces utilisateurs lorsqu’ils se connectent à des ressources, assurant ainsi la qualité et la fiabilité de l’accès informatique. 39 F2 28LU Rev01 10 Access Management Administration étendue La console de Management de Evidian Enterprise SSO fournit aux administrateurs un outil graphique pour étendre la gestion des droits et profils des utilisateurs dans toute l’organisation. Figure 4 Exemple d'organisation d'administration étendue Administrateurs de sécurité Administrateurs SSOWatch (Studio) : SSOStudio (Studio) : SSOWatch • Définition de • Définition de l’authentification l’authentification unique unique UO –- Ventes et marketing Active Directory Extended Manager : Console de Extended Manager Management : • Gestion des applications • Gestion des applications • Attribution des applications • Attribution des applications aux utilisateurs aux utilisateurs • Création de mots de passe pour • Création de mots de passe pour les nouvelles applications les nouvelles applications • Prêt et verrouillage de cartes • Prêt et verrouillage de cartes • Politique de points d'accès • Politique de points d'accès Equipe d'assistance Extended Manager : Console de Management • Redéfinition • Redéfinition des mots de passe des mots de passe • Affectation de cartes • Affectation de cartes • Affectation de certificats • Affectation de certificats Règle d'authentification unique Auditeurs Console de Management • Rapports d'audit • Rapports d'audit Auto -administration par l'utilisateur final SSOWatch : SSOEngine: SSOWatch • Mots de passe • Mots de passe • Délégation • Délégation • Accès suivant les rôles • Accès suivant les rôles Par exemple, dans chaque unité organisationnelle, vous pouvez définir (voir Figure 4) : Des administrateurs de sécurité, Les administrateurs d’applications peuvent gérer les règles des applications. Les administrateurs d’accès peuvent affecter des applications à des groupes d’utilisateurs et gérer les points d’accès des utilisateurs. Les administrateurs de cartes peuvent prêter leurs cartes si les utilisateurs les ont oubliées et les bloquer s’ils les ont perdues. Des auditeurs, Les administrateurs peuvent analyser tous les accès des utilisateurs et les tâches d’administration. 39 F2 28LU Rev01 11 Access Management Des gestionnaires de mots de passe dans les équipes d’assistance, Les administrateurs locaux peuvent redéfinir les mots de passe principaux en cas d’oubli par les utilisateurs. Une équipe d’assistance locale qui peut fournir des cartes. Les équipes d’assistance locales peuvent affecter des cartes aux utilisateurs d’un service. Dans ce type d’organisation, les administrateurs locaux peuvent continuer à utiliser SSOStudio pour configurer l’accès aux applications par connexion unique. 39 F2 28LU Rev01 12 Access Management La solution Evidian Enterprise SSO La solution Evidian Enterprise SSO s’appuie sur un middleware de sécurité auquel sont liés les différents composants (voir Figure 1). Evidian Enterprise SSO base Evidian Enterprise SSO base permet de gérer les règles de mots de passe et les profils d’applications et de configurer l’accès aux applications. Après une connexion Windows standard, les utilisateurs finaux peuvent utiliser Evidian Enterprise SSO base pour gérer leurs mots de passe et déléguer des accès. Evidian Enterprise SSO base réside sur des stations de travail ou des serveurs de terminaux en cas de configurations clients légers. Il automatise l’authentification et les modifications de mots de passe. Les composants techniques de Evidian Enterprise SSO base sont les suivants : SSOEngine Gère les accès des utilisateurs aux applications et offre une auto-administration par l’utilisateur final. Des plug-ins sont fournis pour se connecter à des applications spécifiques telles que HTML/Internet Explorer, émulation de terminaux, SAP R/3 et Lotus Notes. SSOStudio SSOStudio est un outil de configuration graphique utilisé par les administrateurs pour enrôler les applications au sein du SSO. La Console de Management La Console de Management centralise toutes les fonctions avancées d’administration. Access Collector Access Collector collecte les accès aux applications. Il permet de savoir qui utilise une application donnée, et avec quel identifiant. Il ne nécessite pas d’installer Enterprise SSO base. SSOEngine SSOEngine est exécuté en arrière-plan et offre une connexion unique transparente aux applications autorisées. Ce composant réalise automatiquement les modifications de mots de passe. Un mode d’apprentissage permet aux utilisateurs de fournir le mot de passe de l’application lors de la connexion initiale. 39 F2 28LU Rev01 13 Access Management SSOEngine offre également de fonctions d’auto administration. Depuis une icône de la barre des tâches, l’utilisateur accède aux fonctions suivantes (voir Figure 5) : Suspendre l’authentification unique, Modifier mot de passe/code PIN, Afficher et mettre à jour les mots de passe, Sélectionner un rôle, Déléguer l’accès à un autre utilisateur autorisé. Administrer la fonctionnalité de redéfinition du mot de passe principal Figure 5. L'utilisateur peut afficher la liste de ses comptes autorisés Bureau dynamique Vue des fonctions autorisées par icône Modifier le mot de passe, Délégation, Sélectionner un rôle, Modifier le code PIN Nouvelle authentification pour se connecter aux applications sensibles Une fois l’option sélectionnée, l’utilisateur qui accède à l’application devra s’authentifier de nouveau à l’aide de son mot de passe principal, sur demande de SSOEngine. Cette fonction est configurable dans le profil de sécurité des applications dans SSOStudio. Accès à des applications via des comptes multiples Un même utilisateur peut parfois avoir des comptes différents sur la même application. 39 F2 28LU Rev01 14 Access Management Par exemple, avec l’application mySAP, certains utilisateurs peuvent agir le matin comme « contrôleurs des paiements » et l’après-midi comme « contrôleurs financiers » (voir Figure 6). D’autres utilisateurs sont à la fois « simples utilisateurs » de WebSphere et « administrateurs » en cas de besoin. Pour simplifier l’accès à ces applications, SSOEngine peut permettre l’accès à plusieurs comptes sur la même application. SSOStudio attribue un rôle à chaque compte. Un rôle « administrateur », par exemple, peut être étendu par SSOStudio à plusieurs applications. Dans ce cas, un compte « administrateur » est créé sur chacune des applications concernées. Figure 6. Les rôles permettent un contrôle des accès à plusieurs comptes Rôle Valeur par défaut Application #1 Application #2 Application #3 Application #4 Utilisateur_App1 Utilisateur_App2 Utilisateur_App3 Utilisateur_App4 Responsable Utilisateur_ Responsable Aucun accès Aucun accès Aucun accès Administrateur Aucun accès Aucun accès Administrateur Administrateur Si un utilisateur a plusieurs rôles et n’en sélectionne aucun lors de l’ouverture d’une session Windows, SSOEngine détecte la multiplicité des comptes lors du lancement de l’application et demande à l’utilisateur de choisir un rôle. Si l’utilisateur a choisi un rôle au moment de la connexion, les comptes associés à ce rôle sont utilisés de façon transparente durant le reste de la session Windows. Par exemple, si l’utilisateur a choisi le rôle « administrateur », il sera connecté de façon transparente à toutes les applications avec la connexion et le mot de passe de chaque compte « administrateur ». Un utilisateur peut changer de rôle à tout moment durant la session Windows. 39 F2 28LU Rev01 15 Access Management Figure 7. Un utilisateur peut changer de rôle L’utilisateur peut non seulement utiliser son compte principal, mais aussi d’autres comptes Windows. Ces comptes peuvent se trouver dans le même domaine ou dans d’autres domaines autorisés à permettre des sessions Windows sur la station de travail. Sur la Figure 7, l’utilisateur est invité à choisir entre les comptes disponibles lors de la session d’ouverture. Délégation d’accès (partage de comptes entre utilisateurs) Lors de vacances ou de déplacements professionnels, un utilisateur peut déléguer son accès à une ou plusieurs applications à un autre utilisateur. Il devait précédemment pour cela indiquer son identifiant et son mot de passe, ce qui est strictement interdit par les règles de sécurité de l’entreprise. Maintenant, (voir Figure 8), SSOEngine lui permet d’autoriser temporairement un accès sous son nom par un collègue. Cette délégation est soumise aux règles de sécurité gérées par SSOStudio, avec des dates de validité appliquées et la consignation de tous les accès réalisés dans le cadre de cette délégation. Aucun identifiant ou mot de passe n’est révélé. La fonction de partage de compte est l’une des fonctions d’authentification unique les plus puissantes de Evidian Enterprise SSO base. 39 F2 28LU Rev01 16 Access Management Figure 8. Délégation d'accès Partage de l'accès aux applications avec un assistant pour mes e-mails des collègues sur un projet Le propriétaire du compte déclare : les utilisateurs qui partagent le compte la durée de la délégation les possibilités de modification de mot de passe Un utilisateur peut partager un compte avec un collègue s’ils appartiennent tous deux au même groupe. Si un utilisateur a partagé un compte, il peut à tout moment révoquer cette autorisation. 39 F2 28LU Rev01 17 Access Management Plug-ins de connexion unique Evidian Enterprise SSO base est fourni avec des plug-ins permettant à SSOEngine de fonctionner avec différents types d’applications. Des plug-ins existent pour HTML/Internet Explorer, Firefox, applications Java, émulation de terminaux, SAP R/3 et Lotus Notes. Les plug-ins fournissent des actions génériques personnalisables ou des actions préconfigurées pour des ensembles d’applications courants (comme la gestion du fichier « user.id » avec le plug-in Lotus Notes). Une plug-in HLLAPI permet de configurer un accès SSO aux applications fonctionnant sur émulateurs de terminaux IBM 3270. Prévention du « window spoofing » (espionnage de fenêtre) Evidian Enterprise SSO peut détecter des fenêtres de connexion avec des caractéristiques avancées. Cela empêche le « window spoofing », technique par laquelle un exécutable malveillant tente de se faire passer pour une fenêtre de connexion valable, afin d’obtenir une identité et un mot de passe. Ces caractéristiques avancées comprennent le nom de l’exécutable, la taille, l’emplacement et la signature. Fonctions d’audit Cette fonction est disponible via un appel de DLL externe pouvant fournir tout type de rapport (journal, alerte SNMP, SQL load, etc.) SSOEngine collecte les événements liés à la session utilisateur et à des opérations de connexion unique. Les types de rapports d’audit sont : Format CSV Journal des événements Windows Alerte (trap) SNMP Les fonctions d’audit avancées sont disponibles avec l’option Evidian Audit and Reporting SSOStudio SSOStudio permet de gérer et configurer les règles d’authentification unique. Interface graphique intuitive SSOStudio propose une interface graphique intuitive (voir Figure 9). 39 F2 28LU Rev01 18 Access Management De simples actions glisser/déplacer permettent à l’administrateur de gérer les profils des applications, les fenêtres « login » (connexion) et « change password » (modifier le mot de passe), et les règles de mots de passe. Figure 9. SSOStudio permet de gérer et configurer les authentifications uniques Liste des applications Plusieurs types d'accès suivant les technologies (web, Citrix, etc …) Plusieurs fenêtres peuvent être définies pour une application Les paramètres régionaux sont pris en charge pour gérer les combinaisons d'application et de langue Accès rapide aux principales opérations Principales fonctions Les principales fonctions de SSOStudio sont : Gestion de plusieurs fenêtres pour une seule application, Pré-définition des réponses ou du comportement, Gestion de formulaires HTML (Internet Explorer), Gestion d’émulateurs de terminaux, définition de bannières, Gestion d’éléments d’accréditation de sécurité, Des applications en nombre illimité peuvent utiliser les mêmes éléments d’accréditation (combinaison connexion/mot de passe), Un utilisateur a le choix entre différents éléments d’accréditation pour la même application, Gestion de paramètres complémentaires (pas uniquement connexion/mot de passe), Gestion des mots de passe incorrects, Gestion de l’expiration des mots de passe, 39 F2 28LU Rev01 19 Access Management Renouvellement des mots de passe par intervention de l’utilisateur ou génération de mots de passe aléatoires, Application de règles de mots de passe par application ou groupe d’applications, Gestion de formats de mots de passe complexes, Saisie de mots de passe lors de la connexion initiale, ou lors de la désynchronisation, Possibilité de changer les mots de passe, Possibilité de débloquer la connexion unique pour certaines ou toutes les applications auxquelles l’utilisateur a accès, Script graphique personnalisé A l’aide d’un éditeur de scripts graphique (CustomScript), les administrateurs peuvent définir de nouvelles actions de connexion unique en les créant à partir d’actions élémentaires basiques. La définition d’actions avec CustomScript est réalisée via une interface graphique, sans avoir à effectuer un développement spécifique. L’éditeur de scripts permet d’intégrer des routines externes développées pour une fonction spécifique. SSOStudio fournit des mécanismes pour scénarios de connexions uniques. Par exemple, des scripts peuvent demander des arguments à une application externe avant de se connecter à une application. 39 F2 28LU Rev01 20 Access Management La Console de Management La Console de Management d’Evidian Enterprise SSO propose une interface graphique intuitive pour gérer les règles étendues d’authentification unique (voir Figure 10). Figure 10. Une console graphique et intuitive pour gérer les règles de connexion unique étendues Politique d'application étendue Analyses d'audits Politique de carte étendue Politique de points d'accès Affichage et réutilisation des définitions LDAP (utilisateurs, groupes, U.O.) Administration étendue des règles Cette console permet de gérer des fonctions étendues telles que : Définition de rôles d’administration : Suivant les unités organisationnelles ou le groupe d’utilisateur, la Console de Management fournit des vues dédiées des fonctions d’administration étendues. Application étendue et règle de connexion unique : Par exemple, suivant la règle pour les applications, la Console de Management permet de suspendre, modifier ou révoquer des comptes. Les administrateurs peuvent en outre déléguer des comptes entre des membres d’un groupe autorisé. 39 F2 28LU Rev01 21 Access Management Par exemple, suivant la règle définie pour les mots de passe, la Console de Management peut permettre aux administrateurs de créer, mettre à jour et supprimer des mots de passe. Ainsi, de nouvelles applications peuvent être entièrement déployées par une seule opération sur la console d’administration, sans intervention de l’utilisateur final. Les mots de passe sont cachés aux utilisateurs finaux. Règle de point d’accès : La Console de Management permet la définition d’éléments obligatoires d’adresse IP d’une station de travail, plannings, etc. Grâce à la Console de Management, des données de connexion unique et d’authentification peuvent être associées à des stratégies de sécurité avancées. Règles de sécurité étendues La Console de Management permet de définir et d’affecter des règles de sécurité étendues associées à des rôles utilisateurs dans l’organisation. Par exemple : « G. Martin » est autorisé à accéder à « application-x » avec le mot de passe « ******* » Seulement de « 07h30 » à « 19h00 », et « pas pendant les week-ends » Seulement depuis la station de travail avec les « adresse/id » suivants… Il est ainsi possible de bloquer la connexion à des applications spécifiques en dehors de certaines conditions de temps ou géographiques, si nécessaire. Importation/Exportation de comptes de connexion unique La Console de Management comprend une interface d’exportation/importation. Ce mécanisme permet de générer de nouveaux comptes pour des éléments d’accréditation d’authentification unique et de les exporter dans un format standard vers un système de provisionnement. Une fonction d’exportation permet de générer de nouveaux comptes pour des éléments d’accréditation de connexion unique et de les exporter dans un format standard vers un système de provisionnement. Une fonction d’importation permet de créer des éléments d’accréditation de connexion unique depuis un fichier généré par un système de provisionnement. API de provisionnement Les API de provisionnement permettent à un programme externe de créer, modifier ou supprimer les données d’authentification unique (SSO) de Evidian Enterprise SSO. 39 F2 28LU Rev01 22 Access Management Cela permet à des systèmes de provisionnement tiers de distribuer automatiquement des identités et mots de passe d’utilisateurs via Evidian Enterprise SSO: Lorsqu’il provisionne un nouvel utilisateur dans l’organisation, le système de provisionnement insère directement les éléments d’accréditation de l’utilisateur dans les conteneurs SSO. A chaque fois qu’un mot de passe doit être redéfini dans des applications, systèmes ou bases de données, le système de provisionnement met à jour simultanément les mots de passe dans les données d’authentification unique et dans les comptes des applications ciblées. Quand l’accès d’un utilisateur à une application, un système ou une base de données arrive à échéance, le système de provisionnement retire les identités et mots de passe correspondants des données d’authentification unique. Quand un utilisateur quitte l’entreprise, le système de provisionnement supprime instantanément toutes les identités et tous les mots de passe dans les applications ainsi que dans les données d’authentification unique. Toutes ces opérations peuvent être automatiquement lancées et contrôlées par un système de provisionnement d’un tiers (par exemple Sun Identity Manager ou IBM Tivoli Manager). Les API de provisionnement permettent : D’améliorer le confort et la productivité de l’utilisateur final : • Plus de distribution de mots de passe • Les utilisateurs n’ont plus besoin de taper leur mot de passe De renforcer la sécurité : • Les administrateurs ne connaissent jamais le mot de passe des utilisateurs finaux • La politique des mots de passe est appliquée L’API de provisionnement est une API native C/C++ pour les systèmes Windows. Elle nécessite une authentification d’administrateur. L’API est également disponible pour les autres systèmes que Windows par un service web SOAP. 39 F2 28LU Rev01 23 Access Management Access Collector Le module Evidian Access Collector est un sous-ensemble de Evidian Enterprise SSO base. Ce module doit être utilisé lorsque vous avez besoin de collecter les droits effectivement utilisés par les utilisateurs à travers votre organisation. Les fonctions de SSO ne sont pas activées. Le comportement du moteur du module Access Collector Quand un utilisateur lance une application qui est détectée par le moteur sur le PC, Access Collector démarre la collecte si cette dernière n’a pas déjà été effectuée pour cette application. Si les données du compte ont déjà été collectées, rien ne se passe. Sinon, les données collectées sont stockées dans l’annuaire LDAP. Si une fenêtre de « mot de passe erroné » est détectée lors de la phase de collecte, les données collectées sont détruites ou, si la fenêtre « mot de passe erroné » le gère, de nouvelles données sont collectées. Si la fenêtre « mot de passe erroné » apparaît en-dehors de la phase de collecte, les données du compte ne sont pas détruites. Une fois les données du compte collectées, les fonctions de Access Collector sont désactivées. Données collectées Les données collectées au sein du LDAP sont, pour chaque compte : - l’identifiant Windows - le nom de l’application - l’identifiant utilisateur pour l’application. Le mot de passe n’est jamais collecté. Pourquoi utiliser le module Access Collector plutôt que Evidian Enterprise SSO base Vous pouvez collecter les mêmes données avec Evidian Enterprise SSO base puisque le module Access Collector en est un sous-ensemble avec certaines limitations. Par exemple, les données d’audit ne sont pas disponibles avec le module Access Collector. D’un autre coté, le déploiement d’Access Collector est simplifié car, par exemple, vous n’avez pas besoin de gérer les fenêtres de dialogue de changement de mot de passe. Que faire avec les données collectées Les données collectées peuvent être utilisée pour créer une base centrale des comptes. En effet, les données collectées permettent de faire le lien entre un compte, l’identifiant de l’utilisateur pour ce compte et l’identifiant Windows de l’utilisateur qui identifie de manière unique un utilisateur. 39 F2 28LU Rev01 24 Access Management Cette base centrale peut être utilisée comme point de départ pour la mise en œuvre de votre politique globale via Evidian Policy Manager ou Evidian Approval Workflow. Mobile E-SSO Lorsqu’ils se connectent à partir d’un ordinateur externe (cybercafé, ordinateur du client ou ordinateur au domicile d’un ami, etc.), les utilisateurs peuvent se connecter à leurs applications web par un portail web ou par des agents web distribués. Le portail et les agents appliqueront la politique de sécurité et utiliseront l’identifiant et le mot de passe de l’application ciblée de façon transparente. Figure 11. Mobile E-SSO, une extension « pur Web » de Enterprise SSO Annuaire LDAP E-Mail mySAP accès INTRANET ID, droits d’accès, mots de passe chiffrés Enterprise SSO client local WebSphere Annuaire LDAP E-Mail mySAP HTTPS accès Web INTERNET ID, droits d’accès, mots de passe chiffrés Mobile E-SSO passerelle WebSphere Mobile E-SSO, option de Evidian Enterprise SSO, fournit les fonctionnalités suivantes : La connexion à une application web ciblée est effectuée en utilisant l’identité et le mot de passe qui sont définis par l’accès SSO standard. Un menu de navigation peut afficher dynamiquement seulement les applications web dont l’utilisateur a besoin et auxquelles il est autorisé à accéder. L’infrastructure d’authentification web est basée sur une technologie de passerelle. La topologie du réseau de l’entreprise peut être cachée en renommant à la volée les véritables URL des applications ciblées. 39 F2 28LU Rev01 25 Access Management La passerelle propose une option d’équilibrage de la charge et de basculement. Il est ainsi possible de rendre la passerelle tolérante aux pannes. Les utilisateurs peuvent être authentifiés par une authentification forte (mot de passe, cartes à puce, certificats, Kerberos, OTP et SAML). L’accès peut être filtré en se fondant sur l’adresse IP de l’ordinateur de l’utilisateur. La connexion entre le navigateur de l’utilisateur et Mobile E-SSO peut être sécurisée avec un chiffrement SSL (même si l’application ciblée ne gère pas SSL). Evidian Strong Authentication Evidian Strong Authentication est un composant en option de la solution Evidian Enterprise SSO qui renforce l’authentification des utilisateurs (voir Figure 12). Alors que Evidian Enterprise SSO n’a pas besoin de GINA (module d’authentification) spécifique, Evidian Strong Authentication utilise une GINA Evidian. Figure 12. Evidian Strong Authentication renforce l'authentification des utilisateurs Une GINA protège la session Windows Authentification à plusieurs facteurs Ergonomie GINA standard Evidian Strong Authentication fournit toutes les fonctions de l’authentification standard Windows (GINA) et propage l’authentification vers le domaine Windows. 39 F2 28LU Rev01 26 Access Management Biométrie Evidian Strong Authentication peut gérer les opérations liées à l’authentification biométrique telles que l’enrôlement des utilisateurs, le stockage de leurs données biométriques ainsi que leur authentification biométrique. Evidian Strong Authentication sait travailler selon deux modes différents : « stockage sur PC » ou « stockage sur carte à puce » Authentification Stockage sur PC Stockage sur carte à puce Seule l’authentification biométrique est disponible. Authentification biométrique et par carte à puce. L’empreinte digitale remplace le code PIN L’empreinte digitale remplace l’identifiant et le mot de passé. Stockage des données biométriques Sur le PC dans le cache sécurisé de Evidian Enterprise SSO. Dans la carte à puce Enrôlement L’utilisateur doit s’enrôler sur tous les postes où il souhaite travailler. L’utilisateur ne doit s’enrôler qu’une fois dans sa carte à puce. Blocage/Déblocage du PC Quand les données du PC sont stockées sur le PC, un utilisateur doit presser les touches CTRL+ALT+DEL et cliquer sur le bouton « Lock » pour bloquer le PC. Pour le débloquer, l’utilisateur doit juste présenter son empreinte digitale. Quand les données du PC sont stockées sur la carte à puce, un utilisateur doit juste retirer sa carte pour bloquer le PC. Pour débloquer le PC, l’utilisateur doit présenter sa carte et son empreinte digitale. Gestion des cartes (CMS / Card Management System) Evidian Strong Authentication permet de gérer au sein de la console de Management les cartes ou les jetons utilisés pour l’authentification initiale. Les cryptocartes peuvent contenir soit l’identifiant et le mot de passe de l’utilisateur soit le certificat X.509 de l’utilisateur. La gestion des cartes couvre les tâches comme l’enrôlement, le blacklisting, la réinitialisation d’une carte, ou le déblocage du PIN Code d’une carte. Le PIN code d’une carte peut être débloqué : sur le PC par l’utilisateur via l’option Evidian Self-Service Password Reset ou à distance par l’équipe du help desk. 39 F2 28LU Rev01 27 Access Management Authentification PKI (PKA) L’option Evidian PKA permet aux utilisateurs d’utiliser une cryptocarte X.509 pour s’authentifier, que cette carte soit gérée par Evidian Enterprise SSO ou non (carte nationale d’identité, carte des professionnels de la santé,…). Enrôlement d’une carte externe Lorsqu’un utilisateur présente pour la première fois sa carte, le module Evidian Strong Authentication : Vérifie la validité du code PIN fourni Collecte le mot de passe et le certificat publique de l’utilisateur Vérifie la validité du certificat publique (signature, date et statut de révocation) Enregistre les informations dans le LDAP et l’associe à l’utilisateur courant. La carte peut alors être utilisée pour les authentifications ultérieures. Authentification Lors d’authentifications ultérieures, Evidian Strong Authentication vérifie la validité du code PIN et du certificat puis autorise ou refuse l’accès au PC. La vérification du statut des certificats supporte les protocoles CRL ou OCSP. Autoriser l’authentification PKA Pour autoriser une authentification PKA, l’administrateur doit déclarer l’autorité de certification associée via la console de Management. L’administrateur peut alors autoriser voire même rendre obligatoire l’authentification PKA pour un ou plusieurs utilisateurs ou encore pour un ou plusieurs postes de travail. L’identification « Active RFID » Un badge « Active RFID » est en général positionné sur l’utilisateur lui-même afin que lorsqu’il quitte son PC, son départ puisse être détecté par le PC. L’identification « Active RFID » permet de détecter le départ d’un utilisateur. C’est la fonction de « constat d’absence ». Processus d’identification Lorsqu’un utilisateur s’approche d’un PC, son badge « Active RFID » est détecté. Le PC lui demande alors son mot de passe pour se connecter. Si plusieurs utilisateurs sont détectés, un champ « combo box » lui propose alors de choisir son identifiant avant de fournir son mot de passe. 39 F2 28LU Rev01 28 Access Management Lorsqu’un utilisateur quitte son PC, la session est bloquée. Si il revient avant un délai configurable, son PC est débloqué automatiquement, sinon il doit fournir à nouveau son mot de passe. La gestion des badges « Active RFID » Les badges « Active RFID » sont gérés de la même manière que les cryptocartes. Les opérations de gestion sont : déclaration, enrôlement, blacklisting,… Pour un ou plusieurs utilisateurs et/ou pour un ou plusieurs points d’accès, il est possible de déclarer l’identification « Active RFID » : interdite, autorisée ou obligatoire. Evidian Audit et Reporting Evidian Enterprise SSO permet de collecter les événements concernant l’authentification, l’autorisation, la connexion des utilisateurs et les opérations d’administration. Evidian Audit et Reporting propose un ensemble rapport préconfigué fournissant une vue cohérente des accès aux applications. Evidian Audit et Reporting permet ainsi aux administrateurs de contrôler le respect des règles de sécurité. Les données collectées permettent de produire des rapports (par exemple pour Sarbanes-Oxley) relatifs aux accès des utilisateurs ou à la mise en oeuvre de la politique de sécurité. Ces rapports peuvent s’intégrer dans une chaîne de sécurité (risque, objectif de contrôle, activité de contrôle, test d’activité de contrôle). Exemples de rapports Suppression des comptes inactifs Domaine Contenu Modèle de l’ITGI « Des procédures existent et sont appliquées pour assurer une action rapide concernant la demande, l’établissement, l’émission, la suspension et la fermeture des comptes d’utilisateur. » Exemple de risque Les utilisateurs qui ne sont plus actifs (longue maladie, etc.) ont des comptes inactifs qui pourraient être exploités. Objectif de contrôle Retirer régulièrement les utilisateurs inactifs. Exemple d’activité de Lorsqu’un utilisateur n’a pas utilisé son poste de travail depuis contrôle 90 jours, il doit être désactivé et/ou retiré de la base dans un délai de 2 semaines. Exemple de test d’activité de contrôle 39 F2 28LU Rev01 Demander la liste des membres du groupe d’utilisateurs « Comptabilité » qui n’ont pas utilisé leur poste de travail depuis 90 jours. 29 Access Management Suppression des comptes orphelins Domaine Contenu Modèle de l’ITGI « Un processus de contrôle existe et est suivi de façon à réviser et confirmer régulièrement les autorisations d’accès. » Exemple de risque Les autorisations d’accès pourraient être octroyées individuellement, en dehors de la politique de la société, créant des brèches de sécurité. Objectif de contrôle Détecter et supprimer les comptes qui ont été créés en dehors de la politique de sécurité. Exemple d’activité de Comparer la liste des comptes utilisés via le SSO d’entreprise contrôle et l’état attendu dérivant de la politique de sécurité. Exemple de test d’activité de contrôle Comparer la liste des comptes déclarés dans le SSO et la liste des employés de la société. Domaine Contenu Exemple de risque L’accès à l’application pourrait être octroyé par erreur à des utilisateurs n’ayant pas besoin de cet accès dans l’exercice de leurs fonctions. Objectif de contrôle Les groupes d’utilisateurs doivent être conçus pour fournir l’accès aux applications par les utilisateurs qui ont réellement besoin de l’accès. Auto-inscription Exemple d’activité de Mettre des applications spécifiques en mode d’autocontrôle inscription. Quelques temps après, regarder quels utilisateurs se sont réellement inscrits. Les définitions des groupes d’utilisateurs devraient être révisées si des utilisateurs n’utilisent en fait pas l’application. Exemple de test d’activité de contrôle Pour les applications nécessitant une auto-inscription, demander la liste des utilisateurs ayant réellement effectué une auto-inscription. La comparer à la liste des utilisateurs censés utiliser l’application. Enregistrement des accès aux applications Domaine Contenu Modèle de l’ITGI « Le cas échéant, des contrôles existent pour assurer qu’aucune partie ne puisse nier des transactions, et des contrôles sont réalisés pour produire une non-répudiation d’origine ou de réception, preuve de dépôt et de réception de transactions. » 39 F2 28LU Rev01 30 Access Management Exemple de risque Un utilisateur pourrait nier avoir accédé à une application spécifique. Objectif de contrôle Enregistrement des accès aux applications Exemple d’activité de Les accès aux applications individuelles doivent être contrôle enregistrés et l’historique des accès doit être stocké de façon centrale. Exemple de test d’activité de contrôle Demander la liste des accès à une application sensible spécifique sur une période donnée. Evidian Self-Service Password Reset Même si le Single Sign-On réduit de manière drastique le nombre de mots de passe gérés, un utilisateur peut de temps en temps oublier son mot de passe principal ou son code PIN. Evidian Self-Service Password Reset permet à l’utilisateur de reinitialiser lui-même son mot de passe soit via un site Web soit via son PC directement. Redéfinition du mot de passe principal via un site Web Le département informatique peut mettre en place un site web où les utilisateurs peuvent déverrouiller eux-mêmes leur mot de passe principal. Ils doivent auparavant rédiger eux-mêmes quelques questions et réponses de contrôle. Quand un utilisateur perd son mot de passe principal, il peut lancer un navigateur web, accéder à une URL de redéfinition de mot de passe et donner les bonnes réponses aux questions prédéfinies. L’utilisateur peut alors choisir un nouveau mot de passe. Si l’utilisateur se connecte avec un jeton matériel (par exemple une carte à puce ou une clé USB) et le perd, la même procédure permet de créer un mot de passe à utiliser à la place du jeton. L’activation de cette fonctionnalité est évidemment optionnelle, à la discrétion du département informatique. Un accès d’urgence en tout lieu, à tout moment Si les utilisateurs finaux ont perdu leur mot de passe principal ou leur code PIN, il leur suffit de cliquer sur un bouton « SOS » sur leur écran de connexion Windows. Après avoir répondu correctement à quelques questions prédéfinies, ils seront capables de redéfinir leur mot de passe. Cela fonctionne même si l’utilisateur n’est pas connecté au réseau (par exemple d’une chambre d’hôtel). En cas de perte du mot de passe, les utilisateurs peuvent se connecter en utilisant le nouveau mot de passe qu’ils redéfinissent eux-mêmes. Il n’est pas nécessaire d’appeler l’assistance. En cas de perte du code PIN d’une carte gérée via la Console de Management, l’utilisateur doit cliquer sur un bouton pour obtenir une chaîne de caractère de « formule d’identification » et la fournir à l’assistance. L’assistance fournit une 39 F2 28LU Rev01 31 Access Management chaîne de caractères de « réponse » et l’utilisateur peut se connecter en utilisant un nouveau PIN. Si l’assistance n’est pas disponible, l’utilisateur peut se connecter avec un mot de passe temporaire. Avec cette solution, l’accès d’urgence est possible même si aucune session Windows n’est ouverte, en ligne ou hors ligne, à toute heure. En outre, la solution réduit les coûts d’assistance en éliminant la plupart des appels de redéfinition des mots de passe et codes PIN. Evidian Kiosk Mode (Changement rapide d'utilisateur) Certains environnements exigent que de multiples utilisateurs puissent partager le même poste de travail, tout en commutant d'une session à l'autre aussi rapidement que possible. C'est, par exemple, le cas pour des urgences des hôpitaux, où les infirmières et les médecins ont besoin d'un accès immédiat à leurs informations, ou encore le cas des postes de travail des vendeurs de surfaces spécialisées qui doivent pouvoir vérifier les stocks ou enregistrer les commandes avant que leurs clients ne changent d'avis. Puisque le dispositif rapide de changement d'utilisateur intégré à Windows XP n'est pas disponible dans les versions 'entreprise, la manière standard de changer d’utilisateur exige la fermeture de la session Windows puis son ouverture. Cette procédure est souvent trop longue et n’est pas acceptable pour les PC en libreservice. Le contournement mis en place par les utilisateurs est de n’utiliser qu’une seule session Windows toujours ouverte, ce qui induit des failles de sécurité. Le changement rapide d'utilisateur de Evidian Kiosk Mode fournit une solution où la session de Windows demeure la même d'un utilisateur à l'autre mais où le contexte de sécurité, et l'ouverture/fermeture d'application sont traités individuellement pour chaque utilisateur. La session de Windows est un compte générique qui n'a aucun droit en propre. Cette fonctionnalité peut être couverte de deux manières : 1. Au niveau de l’authentification 2. Au niveau de session 39 F2 28LU Rev01 32 Access Management Le changement rapide d'utilisateur au niveau de l’authentification Dans ce mode, la fermeture et l’ouverture de la session Windows est contrôlée par la GINA d’Evidian. Lorsqu’un utilisateur enlève sa carte à puce, la session est automatiquement bloquée. Si le même utilisateur revient au même poste de travail, il trouvera ses applications encore ouvertes. Mais, si un autre utilisateur se connecte à ce poste de travail, le module de moteur de SSO clôture automatiquement les applications avant d’effectuer un changement rapide d’utilisateur. Evidian Kiosk Mode fournit des dispositifs de classement hiérarchique des utilisateurs afin de contrôler les droits à effectuer des changements rapides d’utilisateur. Ces mécanismes permettent par exemple de permettre à un docteur d'ouvrir la session d'une infirmière, mais d'interdire l'opposé. Commutation rapide d'utilisateur au niveau de session Dans certains cas, le contexte exige que la session du poste de travail demeure ouverte pour fournir un accès publique et restreint à tout le monde et un accès élargi mais contrôlé à certains. Dans ce cas-ci, la session Windows est ouverte comme d'habitude en utilisant un compte commun, ou le dispositif d'auto-logon, mais le moteur de SSO ne sera démarré que lors de l’insertion d’une carte à puce par un utilisateur. Lors du retrait de la carte à puce, le moteur de SSO est arrêté et les applications configurées sont fermées, mais la session Windows reste ouverte. Les cartes à puce pour le changement rapide d'utilisateur Le changement rapide d'utilisateur nécessite généralement une authentification par carte à puce afin que Evidian Kiosk Mode puisse détecter le départ des utilisateurs. 39 F2 28LU Rev01 33 Access Management Intégration avec “Evidian User Provisioning” Evidian Enterprise SSO est pré-intégré avec Evidian User Provisioning. Cette pré-intégration permet de créer/modifier/supprimer les données de SSO d’un utilisateur via User Provisioning. Ainsi, un utilisateur n’a plus besoin de gérer ses identifiant et ses mots de passe, qu’il se connecte via son poste de travail ou à partir d’un accès externe Web. L’administrateur doit simplement déclarer/modifier/supprimer une seule fois les attributs de l’utilisateur pour déployer automatiquement les données sur les comptes applicatifs et système ainsi que les données de SSO dans l’annuaire de Evidian Enterprise SSO. Figure 13. Evidian Enterprise SSO et Evidian User Provisioning q Les données de Evidian Role Management SSO sont automatiquement mises à jour n Rôles assignés aux Enterprise WiseGuard SSO middleware middleware utilisateurs Enterprise WiseGuard SSO Web Service Provisioning User Provisioning Manager p Les opérations de provisionnement sont notifiées à . Enterprise SSO 39 F2 28LU Rev01 o Les comptes utilisateurs sont créés dans les systèmes cibles 34 Access Management Profitez de votre architecture LDAP distribuée pour l’authentification Evidian Enterprise SSO exploite l’architecture LDAP distribuée existante (voir Figure 14) Figure 14. Disponibilité élevée Evolutivité élevée l'architecture LDAP distribuée pour l’authentification Pas de duplication de l'infrastructure (pas (pas de de serveur serveur d'authentification d'authentification ) ou de politique ) AD ou annuaire LDAP AD ou annuaire LDAP Middleware Middleware Politique d'authentification unique dans chaque annuaire LDAP AD ou annuaire LDAP Middleware AD ou annuaire LDAP Middleware Ainsi, Evidian Enterprise SSO est compatible avec des annuaires tels que Microsoft Active Directory, Sun Java System Directory Server, Novel eDirectory, Fedora Directory Server, NEC EDS, IBM Tivoli Directory Server ou OpenLDAP. Si l’on utilise Active Directory, le module d’authentification (GINA) standard de Windows suffit. Sinon, il vous faut utiliser le module GINA d’Evidian (disponible dans Enterprise SSO base). Dans tous les cas, le module GINA d’Evidian est nécessaire pour utiliser des méthodes d’authentification forte telles que carte à puce ou biométrie. Aucun serveur d’authentification supplémentaire Aucun serveur d’authentification ou de règles supplémentaire n’est nécessaire. L’infrastructure n’est pas dupliquée. Le serveur d’authentification de Evidian Enterprise SSO est le répertoire LDAP de l’organisation. Ainsi, les mécanismes standard des répertoires LDAP garantissent le niveau d’évolutivité élevé de la solution. Toutes les règles d’authentification unique sont gérées et enregistrées dans les annuaires LDAP existants. Le mécanisme de réplication standard de LDAP est utilisé pour répliquer les règles d’authentification unique sur tous les annuaires. 39 F2 28LU Rev01 35 Access Management Une architecture sécurisée Avec Evidian Enterprise SSO, tous les liens de communication internes et le stockage des données sont sécurisés (voir Figure 15). Stockage des données de SSO Evidian Enterprise SSO utilise différentes technologies de stockage (base de données, LDAP, carte à puce). Il n’y a pas de base de données de SSO dédiée. Evidian Enterprise SSO utilise un mode de stockage externe comme un annuaire LDAP existant. Chiffrement de données de connexion unique dans le répertoire Bien que Evidian Enterprise SSO utilise un stockage externe, ses données restent sécurisées. Pour cela, Evidian Enterprise SSO utilise une couche de sécurité indépendante pour garantir la sécurité des éléments d’accréditation. Cela permet de stocker des données dans des annuaires existants et de profiter de leur nature distribuée. La gestion des ® secrets est soumise à la technologie Evidian CertiPass . ® La technologie CertiPass gère les données secrètes dans l’annuaire LDAP en utilisant une infrastructure à clé interne ou une infrastructure à clé publique externe. Cela permet d’activer tous les mots de passe pour les applications et de masquer les ressources, tout en garantissant leur intégrité et leur propriété, et en appliquant les règles de sécurité définies dans le schéma des annuaires telles que le provisionnement des mots de passe ou la délégation de l’accès entre utilisateurs autorisés. Tous les mots de passe sont protégés par des mécanismes en plus de ceux du système de stockage (listes de contrôle d’accès LDAP V3). Les données d’authentification unique fournies par Evidian Enterprise SSO aux applications sont chiffrées pour le stockage. L’architecture de stockage ouverte pour les données protégées est composée de différents composants pour la protection et le stockage et représentée sur le schéma ci-dessous : 39 F2 28LU Rev01 36 Access Management Figure 15. Les liens de communication internes et le stockage des données sont sécurisés Répertoire LDAP Active Directory Stockage Éléments d'accréditation et clés d'authentification unique sont stockés chiffrés Clé d’authentification unique protégée par une clé publique (interne ou émise par une infrastructure à clé publique externe) Éléments d'accréditation d’authentification unique protégés par une clé d’authentification unique Les éléments d'accréditation utilisateur sont déchiffrés avec la clé d'authentification unique Protection Enterprise SSO ® SSO Watch Cryptographie externe Clé privée de module Carte La clé d'authentification unique est déchiffrée via les services cryptographiques externes C/S Web Existante Console Applications Le mécanisme de protection peut être modifié, ou plusieurs méthodes peuvent être utilisées. Evidian Enterprise SSO base permet l’utilisation de nombreuses clés de chiffrement et une migration aisée de l’une à l’autre. L’accès aux données d’authentification unique est protégé par un mot de passe généré de façon aléatoire. Utilisation de l’infrastructure à clé publique externe Une infrastructure à clé publique externe peut être utilisée pour protéger l’accès aux données d’authentification unique. Dans ce cas, on utilise la paire de clés RSA associée au certificat pour protéger l’accès à la clé d’authentification unique et donc aux données d’authentification unique. Le contrôle de validité du certificat peut être réalisé avant l’utilisation de la paire de clés RSA associée. 39 F2 28LU Rev01 37 Access Management Il est recommandé d’utiliser un certificat dédié à l’authentification unique ou au chiffrement. Transfert du chiffrement de données de connexion unique Les données de SSO sont chiffrées comme décrit précédemment, avant le transfert et le stockage dans le répertoire. Il n’y a pas de transfert de données de SSO entre les composants de Evidian Enterprise SSO. Toutes les données de SSO sont transférées depuis et vers le répertoire. Gestion et chiffrement du cache d’authentification unique Un cache d’authentification unique existe au niveau des stations de travail de sorte que Evidian Enterprise SSO puisse fonctionner lors d’une déconnexion. Le cache d’authentification unique est chiffré et stocké sur le disque dur de la station de travail de l’utilisateur. Dans la version autonome de Evidian Enterprise SSO (si l’annuaire n’est pas utilisé pour le stockage des données d’authentification unique), il est stocké dans le profil utilisateur. Le cache de SSO est chiffré et stocké suivant le même schéma que le chiffrement dans le répertoire. Il est géré comme un ensemble de données chiffrées disponible en lecture pour accélérer l’accès aux données d’authentification unique. Suivant les paramètres du profil utilisateur, le cache d’authentification unique peut avoir une date/heure de validité et demandera à être renouvelé par le middleware. Cache pour la description et la configuration d’applications Une fois chargée sur la station de travail de l’utilisateur, la liste des applications est enregistrée en mémoire cache et mise à jour si besoin lors du démarrage de chaque session de SSO. La mise à jour du cache n’est réalisée qu’en cas de modification de la description des applications. Une trace au niveau du moteur d’authentification unique enregistre si le fichier de mémoire cache de la liste des applications a été mis à jour. 39 F2 28LU Rev01 38 Access Management Evidian File Encryption Evidian File Encryption sécurise les informations sensibles dans le cadre d’un travail en collaboration. Evidian File Encryption permet aux employés de chiffrer des données sensibles partagées ou transférées entre les membres d’un projet, d’un groupe de travail ou d’un processus d’affaires. Evidian File Encryption est une option de Evidian Enterprise SSO. Aucun hardware supplémentaire n’est requis. Chiffrement Evidian File Encryption permet aux utilisateurs finaux d’importer les clés de chiffrement gérées par les autorités administratives. Ensuite, Evidian File Encryption facilite les opérations de chiffrement et de déchiffrement. Toutes les opérations de chiffrement et de déchiffrement sont réalisées en utilisant les menus accessibles en cliquant à droite (voir Figure 16). Figure 16. Opérations de chiffrement et de déchiffrement faciles utilisant un menu accessible par clic-droit Plusieurs fichiers ou dossiers peuvent être sélectionnés. Une fois qu’un ou plusieurs fichier(s) ou dossier(s) est/sont sélectionné(s), les opérations de chiffrement apparaissent dans le menu accessible en cliquant sur le bouton droit de la souris. Ainsi, l’utilisateur final peut sélectionner la clé utilisée et réaliser les opérations de chiffrement et de déchiffrement. 39 F2 28LU Rev01 39 Access Management Chiffrement automatique Grâce à Evidian File Encryption, les utilisateurs peuvent définir des dossiers d’autochiffrement. Une clé de chiffrement dédiée est associée à un dossier d’autochiffrement. Lorsqu’un ou plusieurs fichiers sont glissés ou copiés dans un dossier d’autochiffrement, ces fichiers sont automatiquement chiffrés. Une icône de clé s’affiche sur lesdits dossiers d’auto-chiffrement. Cette solution permet de définir plusieurs dossiers d’auto-chiffrement. Ainsi, si un employé doit transférer des documents vers plusieurs équipes de travail, il peut associer une clé dédiée à une équipe de travail dédiée. Lorsqu’un fichier est glissé ou copié dans un dispositif de stockage amovible, le fichier est automatiquement chiffré. Cette caractéristique est utile dans la mesure où elle prémunit contre le vol de données sur des moyens de stockage amovibles. Chiffrement autopilote Une fonction de chiffrement autopilote est disponible pour chiffrer des fichiers lors d’opérations « Enregistrer sous… », par exemple lorsque l’utilisateur sauvegarde un document avec Microsoft Word. Ainsi, le mécanisme File Encryption vérifie les dossiers d’auto-chiffrement et chiffre régulièrement tous les fichiers non chiffrés détectés. Partage des clés avec des collègues Une fois qu’un(e) employé(e) a chiffré un fichier sensible, l’utilisateur/-trice final(e) peut envoyer ce fichier à un(e) collègue (notamment par courrier électronique, Skype, Microsoft Live Messenger). Pour déchiffrer le fichier reçu, le/la collègue doit partager une clé secrète avec l’expéditeur/-trice (voir Figure 17). Figure 17. Partage d’une clé avec un(e) collègue 2. Employé(e) 39 F2 28LU Rev01 Employé(e) 40 Access Management Pour renforcer la sécurité quand un(e) employé(e) travaille avec plusieurs équipes de travail, il ou elle doit partager des clés secrètes différentes pour chaque groupe ou équipe de travail. Ainsi, l’employé(e) sécurise les informations transférées et empêche les données sensibles d’être transférées aux mauvaises personnes. La politique de gestion et le déploiement des clefs de groupe sont mis en œuvre par l’administrateur central de Evidian Enterprise SSO, sur la base des groupes LDAP. Auto-déchiffrage pour les équipes de travail externes Lorsque les employés doivent envoyer des fichiers chiffrés à des partenaires en dehors de l’entreprise : Il n’est pas nécessaire de partager une clé avec un partenaire externe, mais seulement de communiquer un mot de passe de sécurité associé au fichier chiffré. Il n’est pas nécessaire d’installer Evidian File Encryption sur des postes de travail externes. Sur le menu accessible par clic-droit, les employés doivent simplement sélectionner un item de menu, créer un fichier d’auto-chiffrement, envoyer le document au partenaire externe et communiquer un mot de passe de sécurité (voir Figure 5). Il utilise alors sa clef de chiffrement utilisateur. Figure 18. Partage de fichiers d’auto-chiffrement avec un(e) partenaire externe Envoie des fichiers par courrier électronique, etc. Employé(e) Fournit le mot de passe par téléphone QQQQ Partenaire Le/La partenaire lit son courrier électronique, enregistre le fichier d’auto-chiffrement sur son poste de travail et obtient le mot de passe de sécurité de son employé(e). Le/La partenaire externe clique deux fois sur le fichier d’auto-chiffrement, puis saisit le mot de passe de sécurité. Pour renforcer la sécurité, l’employé(e) peut apporter une protection supplémentaire à un fichier d’auto-chiffrement en configurant la suppression automatique si un certain nombre de mots de passe incorrects est saisi. 39 F2 28LU Rev01 41 Access Management Administration des clés Evidian File Encryption offre des fonctions d’administration utilisées pour gérer les clés secrètes. Administration à base de rôle Evidian Enterprise SSO propose un rôle d’administration dédié à la gestion des clefs de Evidian File Encryption. Création d’une clef pour un utilisateur Il y a deux manières de créer une clef-utilisateur pour un utilisateur. Pour un utilisateur spécifique, l’administrateur de Evidian File Encryption peut créer une clef utilisateur via la console. Cette opération peut être faite pour utilisateur par utilisateur. Il est aussi possible de sélectionner dans un profile utilisateur les options de création automatique des clefs. Chaque utilisateur associé à ce profile récupérera automatiquement sa clef lors de sa connexion. 39 F2 28LU Rev01 42 Access Management 39 F2 28LU Rev01 43 Access Management Distribution et récupération de clés La distribution des clefs et leur intégration au module de chiffrement sont automatiques sans intervention de l’utilisateur. La politique de mise à jour des clefs suit la politique de mise à jour du cache. Pour les clefs utilisateur, l’administrateur peut mettre en place un renouvellement automatique des clefs. Pour les clefs de groupe, l’administrateur central peut mettre en place une alarme qui le préviendra avant que la clef ne soit plus valide. Les clefs utilisateurs peuvent se trouver dans les états suivants. Console de Management Signification Clef active Clef bientôt en fin de validité Clef expirée Clef active en attente de connexion utilisateur Clef bientôt en fin de validité en attente de connexion utilisateur Clef expirée en attente de connexion utilisateur 39 F2 28LU Rev01 44 Access Management Contrôler et sécuriser l'accès utilisateur avec le SSO Généralement, quand les entreprises évoluent vers l'accès en ligne, il incombe aux administrateurs de chaque application de mettre en œuvre la sécurité. Avec l'ajout d'applications, le nombre d'administrateurs et les règles de sécurité deviennent rapidement impossibles à gérer. Ce type d'approche "puzzle" de la sécurité aboutit à des problèmes de sécurité et à la frustration des utilisateurs finaux. Mettre en place le contrôle d'accès à toutes les applications Evidian Web Access Manager permet de définir et de gérer les applications et les ressources auxquelles peuvent accéder les utilisateurs. Afin d'éviter que chaque administrateur de ressources ne contrôle la sécurité sur ses serveurs, Evidian Web Access Manager centralise la gestion du contrôle d'accès aux ressources Web. A l'aide d'une console facile à utiliser, un administrateur peut contrôler l'accès des utilisateurs de façon dynamique. Les nouveaux employés peuvent être ajoutés aux groupes appropriés et avoir immédiatement accès aux diverses applications. Avec, il suffit d'un clic de souris pour interdire l'accès aux services de l'entreprise aux anciens employés et partenaires. En outre, Evidian Web Access Manager permet de suivre l'activité de tous les utilisateurs. Avec Evidian Web Access Manager, vous pouvez mettre en œuvre une politique de sécurité complète pour l'ensemble des ressources Web, internes et externes. Contrôler les accès aux applications et aux URL Les modules de contrôle des accès aux URL de Evidian Web Access Manager peuvent être positionnés, soit sur une passerelle de sécurité qui vient en coupure de ligne, soit auprès des applications elles-mêmes sur les mêmes serveurs. Evidian Web Access Manager permet de mettre en place trois types d'architecture : Purement "passerelle" dans laquelle le contrôle des accès se positionne en coupure de ligne sur un point de passe obligé unique Purement "Web agent" dans laquelle le contrôle des accès se positionne sur les serveurs des applications à protéger Mixte "Web agent"/"passerelle" dans laquelle, en fonction de la politique de sécurité, de l'architecture réseau et applicative et de l'optimisation des flux réseaux, les points de contrôle peuvent se positionner soit en coupure soit sur les serveurs Des autorisations dynamiques Les autorisations d'accès aux URL et aux applications peuvent être calculées de manière dynamique en utilisant des règles simples du type And, Or, Not appliquées aux attributs de l'utilisateur disponibles dans l'annuaire LDAP. Ces règles sont définies en central par l'administrateur puis appliquées par les modules de contrôles des accès. 39 F2 28LU Rev01 45 Access Management Authentification de l’utilisateur Evidian Web Access Manager peut authentifier les utilisateurs via différentes méthodes comme: L’identifiant et le mot de passe Le clavier virtuel. Ce clavier virtuel permet à un utilisateur de fournir son identifiant et son mot de passe en cliquant sur un clavier positionné aléatoirement à l’écran. Ce clavier virtuel offre une protection supplémentaire contre les « key loggers » sans nécessiter de périphérique ou de logiciel supplémentaire. OTP (mot de passe à usage unique) Carte à puce avec certificat X.509 Jeton Kerberos Jeton SAML Méthode d’authentification à base du protocole Radius Tracer l'activité de tous les utilisateurs Toute politique de gestion d'accès requiert un contrôle. Evidian Web Access Manager suit tous les accès des utilisateurs ou toutes les tentatives d'accès afin de protéger les ressources Web, permettant ainsi aux administrateurs de savoir qui a accédé à quelle application et quand. Administre simplement et rapidement de multiples accès Web 1. Séparation entre l'infrastructure de sécurité et les applications. 2. Solution non intrusive sur les serveurs qui ne demande pas de développements spécifiques. 3. Capacité de monté en puissance. Evidian Web Access Manager est compatible avec les outils d'analyse de connexion tel que NetlQ WebTrends, afin de simplifier l'analyse des rapports d'audit de sécurité faite par les administrateurs. Chiffrer les données confidentielles Pour garantir la confidentialité des données échangées sur Internet, les partenaires doivent ouvrir des sessions chiffrées. Comme de plus en plus d'entreprises travaillent désormais en ligne, le chiffrement de chaque application Web devient problématique, car toutes les applications ne permettent pas le chiffrement. Avec Evidian Web Access Manager, toutes les communications avec le navigateur peuvent être chiffrées. Les clients, employés et partenaires peuvent dialoguer en toute confiance au sein de la communauté de sites gérés par Evidian Web Access Manager. 39 F2 28LU Rev01 46 Access Management Protéger les ressources du Web contre les attaques Evidian Web Access Manager aide à prévenir les attaques des ressources Web exposées sur Internet. La passerelle de Evidian Web Access Manager cache l'adresse réelle des ressources Web : cela modifie l'URL des applications Web pour empêcher les pirates de connaître la topologie du réseau. Evidian Web Access Manager contrôle également les entrées pour tous les accès Web. Cela facilite la protection des applications Web nécessitant un code d'accès contre les vers ou toute autre attaque provenant d'Internet. La création des comptes utilisateurs Evidian Web Access Manager s'intègre de manière cohérente dans les processus de gestion des utilisateurs existants. Utilisation des annuaires LDAP de l'entreprise Evidian Web Access Manager réutilise la définition des utilisateurs de l'entreprise dans les différents annuaires LDAP de l'entreprise. Les annuaires LDAP peuvent être de fournisseurs différents, avoir des schémas différents et résider sur des sites différents. Création du compte par l'utilisateur En fonction de la politique de sécurité mise en place, l'utilisateur peut être autorisé à créer son propre compte dans un annuaire LDAP prédéfini en se connectant à Evidian Web Access Manager. Son compte peut alors être intégré par un administrateur à la politique générale de contrôle des accès de l'entreprise. Réinitialisation du mot de passe primaire Lorsque l'utilisateur a oublié son mot de passe primaire, Evidian Web Access Manager lui offre la possibilité de réinitialiser ce mot de passe primaire grâce à l'utilisation d'un formulaire de type question/réponse. L'utilisateur n'a pas besoin de faire appel au help desk. La politique de création des mots de passe définie par l'entreprise (nombre de caractères, non réutilisation d'un mot de passe déjà utilisé,…) est alors appliquée. La prise en compte des identités multiples Un utilisateur peut avoir accès à de multiples domaines sous le même nom. Chaque identité est alors définie dans un annuaire LDAP différent. Nous parlons alors de domaines différents. Ces différents domaines peuvent par exemple correspondre à des entreprises, filiales ou organisations différentes. Evidian Web Access Manager permet à l'utilisateur de choisir son domaine lors de l'authentification initiale. Il hérite alors des droits associés à l'identité du domaine qu'il a choisi. 39 F2 28LU Rev01 47 Access Management SSO universel Les solutions de sécurité traditionnelles perturbent l'efficacité et le confort des utilisateurs. Pour sa part, Evidian Web Access Manager repose sur une approche simplifiée qui renforce la fidélité des utilisateurs. En facilitant la navigation par la connexion unique et en améliorant le confort des utilisateurs grâce à des contenus personnalisés, Evidian Web Access Manager optimise leur productivité et leur confiance. Améliorer le confort des utilisateurs et la sécurité via une connexion unique Lorsque les utilisateurs doivent fournir un mot de passe à chaque fois qu'ils veulent accéder à une application interne ou externe, la mise en œuvre de la sécurité entrave forcément leurs activités. La gestion de multiples informations de connexion est une activité frustrante qui prend beaucoup de temps. Pour aller plus vite, les utilisateurs choisissent des mots de passe faciles à détecter ou les laissent à la vue de tous. Les appels liés à des problèmes de mot de passe qui sont adressés au "help desk" représentent une part importante des coûts de ce service. La multiplication des mots de passe entrave non seulement les activités, car elle perturbe le confort et la productivité des utilisateurs, mais elle favorise également l'insécurité. Avec Evidian Web Access Manager, les clients, partenaires ou employés accèdent aux ressources Web internes et externes avec un seul nom d'utilisateur et un seul mot de passe. Après la procédure d'authentification initiale par Evidian Web Access Manager, ils peuvent naviguer librement parmi les ressources auxquelles ils sont autorisés à accéder. Transparent pour l'utilisateur, Evidian Web Access Manager fournit à chaque application l'identifiant et le mot de passe appropriés, notamment par l'intermédiaire des formulaires. La connexion unique vers des sites Web extérieurs L'activité des organisations s'étendant au-delà du pare-feu vers des domaines multiples, le SSO doit aussi suivre le même chemin : les portails Intranet offrent souvent l'accès à des sites Web d'achat ou des services d'abonnement et l'Extranet peut couvrir plusieurs sites partenaires. Avec Evidian Web Access Manager, les gestionnaires de portail peuvent contrôler leur environnement Web en ajoutant et en déplaçant des ressources de façon dynamique. Les utilisateurs peuvent accéder aux ressources à distance de l'entreprise sans être obligés de fournir un autre mot de passe. La solution Evidian Web Access Manager améliore la sécurité, la satisfaction des utilisateurs et réduit le nombre d'appels adressés au "help desk". 39 F2 28LU Rev01 48 Access Management Personnaliser l'environnement Web de l'utilisateur final Parce que la navigation sur le Web est impersonnelle, les utilisateurs ont souvent des liens non pertinents sur leur page d'accueil. Evidian Web Access Manager personnalise cette navigation en donnant aux utilisateurs le sentiment d'appartenir à une communauté. Avec Evidian Web Access Manager, les utilisateurs de certains secteurs de l'industrie situés dans des zones géographiques prédéfinies peuvent obtenir un accès et des informations personnalisés. Les clients et partenaires qui accèdent aux services sont sécurisés à plusieurs niveaux. Grâce à cette aptitude de Evidian Web Access Manager à répondre à leurs besoins, les utilisateurs se sentent membres d'une communauté sécurisée. La connexion unique vient renforcer ce sentiment en permettant aux utilisateurs de naviguer de façon transparente au sein des applications autorisées. L'utilisateur peut choisir de gérer lui-même les mots de passe sensibles Les mots de passe peuvent être gérés par l'administrateur ou par un utilisateur. Les mots de passe de groupe peuvent être transparents pour les utilisateurs finaux. Par exemple, l'administrateur peut autoriser les membres d'un groupe défini à accéder à des rapports d'analyste sans leur communiquer le mot de passe de l'entreprise concernée. De même, si les employés accèdent à leur compte de messagerie Web, l'administrateur de portail ne connaîtra pas leur mot de passe. L’inter-domain SSO Les infrastructures SAML proposent une authentification à base d’assertion SAML. Ce type d’infrastructure est particulièrement intéressant lorsqu’une organisation a besoin de déléguer à une autre la gestion des utilisateurs et l’authentification tout en conservant les fonctions de contrôles d’accès aux applications. Ce type d’infrastructure définie 2 types d’acteur : Le fournisseur d’identité qui fourni l’identité de l’utilisateur ainsi que les attributs associés via une assertion SAML Le fournisseur de service qui utilise les informations fournies pour donner ou refuser l’accès à un service (une application) donnée. Evidian Web Access Manager peut fonctionner comme fournisseur d’identité ou comme fournisseur de service. Fournisseur d’identité Après avoir authentifié un utilisateur, Evidian Web Access Manager peut générer une assertion SAML avec les attributs prédéfinis par l’administrateur puis la transférer à un fournisseur de service. 39 F2 28LU Rev01 49 Access Management Fournisseur de Service Evidian Web Access Manager peut authentifier un utilisateur en décodant son assertion SAML et en calculant dynamiquement ses droits à partir des informations récupérées. Les informations peuvent être dans l’assertion elle-même ou dans un serveur d’attribut. Evidian Web Access Manager peut ensuite donner accès aux applications selon trois méthodes différentes : L’utilisateur accède à une application cible via un compte choisi automatiquement par Evidian Web Access Manager L’utilisateur choisit le compte qu’il va utiliser dans l’application cible et fournit l’identifiant et le mot de passe associé. Ces informations lui auront été fourni préalablement. L’administrateur associé manuellement un compte à un utilisateur. L’utilisateur doit se connecter préalablement à Evidian Web Access Manager pour pouvoir être géré par l’administrateur 39 F2 28LU Rev01 50 Access Management Émergence des architectures SOA dans l'entreprise Dans les grandes entreprises, une large part du budget informatique est affectée à la gestion et à la maintenance des réseaux développés au fil des années. Il reste, par conséquent, peu de ressources disponibles pour financer les nouveaux projets dont ces sociétés ont besoin pour demeurer compétitives. Par ailleurs, dans une architecture informatique classique, les informations stratégiques (sur les recettes, les coûts, la concurrence, les tarifs, les politiques et modèles, etc.) nécessaires aujourd'hui, et cruciales pour l'avenir, sont difficiles d'accès. Dans son ensemble, le système d'information, grevé par une disponibilité médiocre et des redondances (au mieux) ou des incohérences (au pire), affiche donc de faibles performances générales. Enfin, l'organisation des systèmes d'information classiques est telle que les applications ou les données sont fortement dépendantes de leurs environnements techniques. En conséquence, tout effort de modernisation requiert un lourd investissement. Il y a quelques années, plusieurs tentatives ont été menées pour améliorer la factorisation des applications et l'accessibilité des données partagées. Les premières ont été la conception orientée objet et CORBA. Elles n'ont toutefois bénéficié qu'aux seules applications, sans transformer radicalement le système d'information. La recherche s'est poursuivie avec les solutions EAI (Enterprise Application Integration), dont le principal défaut est de rendre toute l'architecture dépendante de formats propriétaires, alors qu'à bien des égards, les applications et les données évoluent vers une standardisation généralisée de leurs interfaces. Il fallait donc développer un concept architectural rendant possible l'interconnexion des applications et des données, dont l'indépendance vis-à-vis de l'infrastructure matérielle soit basée sur des standards. Ce concept est généralement connu sous le nom d'architecture SOA (Service-Oriented Architecture, architecture orientée services). Développement d'une architecture d'applications modulaire pour une intégration du système d'information de l'entreprise Pour développer une architecture SOA, il faut organiser et analyser le système d'information selon les processus métier de l'entreprise. Avant de mettre en œuvre cette nouvelle architecture, vous devez évaluer les besoins liés à ces différents processus. Ceci aboutit à une organisation en domaines. Par la suite un ensemble de « services » doit être défini dans chaque domaine. Ces services constitueront les seules interfaces stables sur lesquelles reposeront les processus métier d'un domaine. Celles-ci permettront également d'échanger des ressources ou des données entre les domaines. Avec cette structure en services, de nouveaux processus peuvent rapidement être développés. 39 F2 28LU Rev01 51 Access Management Le département informatique ou les chefs de projet n'ont plus qu'à concentrer leur activité sur ces processus, au lieu de s'efforcer à recréer des interfaces ou à générer des solutions presque identiques et des bases de données redondantes. Les divers projets sont basés sur un annuaire commun de services, qui constituent les services d'applications ou de données « de base ». Caractérisation des « services » dans une architecture SOA Si vous prenez les domaines comme seul objet de travail, vous risquez de les considérer comme des groupes isolés sans interaction entre eux. Les « services » sont donc essentiels pour intégrer les domaines dans l'architecture unique, flexible et modulaire d'un système d'information. Mais comment définir un « service » ? C'est la question la plus souvent posée lorsqu'un projet d'architecture SOA est lancé. Vous trouverez quelques réponses ci-dessous : Les services sont l'interface donnant accès à la logique métier des domaines. Chaque service est fourni par une application dédiée (« fournisseur de service »). Les services ne doivent pas être spécifiques à un seul type de consommateur de service. Ils doivent être de conception suffisamment large pour pouvoir être utilisés par plusieurs consommateurs de service (« forte granularité »). Ceci permet d'accroître leur efficacité et de réaliser des économies d'échelle. Les services sont stables sur le long terme. Ils décrivent les principales interactions au sein d'une entreprise, qui sont habituellement bien plus durables que la mise en œuvre de besoins métier particuliers. Un service distingue le fournisseur du consommateur ; leurs implémentations sont ainsi rapidement modifiables de manière autonome (tant que le service reste stable). Un service établit un lien entre les domaines et l'infrastructure informatique sous-jacente. La figure ci-après représente la structure d'une architecture SOA. Figure 19. Principes d'une architecture SOA Processus métier Domaine A Services A Domaine B Services B Domaine C Services C Infrastructures 39 F2 28LU Rev01 52 Access Management Conception et mise en œuvre d'une architecture SOA Pour organiser une architecture SOA, vous devez mettre en œuvre une plate-forme de gestion (d'intégration) des services. Elle est souvent appelée plate-forme NAP (Network Application Platform, plate-forme d'applications réseau). La plate-forme NAP ne tient pas compte de la logique métier. En tant que participants au service, le fournisseur et le consommateur de service sont chargés de définir la logique métier, de la mettre en œuvre et d'assurer son support. Ils sont inclus dans une organisation décentralisée et distribuée, conformément au paradigme du service intégré. Les services techniques de base (par exemple, les fonctions SSO, la supervision, la gestion des droits des utilisateurs, etc.) sont fournis par la plate-forme, ce qui rend l'architecture encore plus souple. La Figure 20 présente la mise en œuvre d'une architecture SOA générale. Figure 20. Exemple de la mise en oeuvre d'une architecture SOA Services techniques de base Gestion de la sécurité et des utilisateurs Administration du réseau des services Plate-forme NAP (Network Application Platform) pour l’intégration Consommateur Consommateur de service Consommateur de service de service 39 F2 28LU Rev01 Service Service Provider Fournisseur Provider de service 53 Access Management Internet ou Intranet ? Architectures SOA et Web Services Pour mettre en place une architecture SOA, des investissements non négligeables doivent être engagés, pour des avantages considérables. Le système d'information est progressivement révisé afin d'être intégralement rationalisé et rendu compatible. L'architecture SOA agit comme une sorte de système d'exploitation réparti. Principal atout, un projet SOA ne nécessite pas de changement complet du jour au lendemain (approche « big bang »). Une fois la plate-forme NAP mise en place, les « services » sont progressivement définis et créés, puis les « fournisseurs » et les « consommateurs » s'abonnent à la plate-forme. Vous pouvez alors abandonner les interfaces classiques par phases successives. Il serait dommage de restreindre les éléments clés des architectures SOA à quelques « services » fournis par le Web (certains types de transactions et d'échanges via l'extranet, par exemple). Une architecture SOA ne requiert pas nécessairement des Web Services. Il est important, au-delà de l'implémentation de Web Services, de comprendre les principes architecturaux et les liens entre les services, les processus métier et les infrastructures techniques. Cependant, les standards de Web Services, qui sont en phase de maturation, constitueront à l'avenir le jeu d'outils le plus complet pour créer une architecture SOA. Sécurisation d'une architecture SOA Pour sécuriser une architecture SOA, vous pouvez mettre en oeuvre au sein de la plate-forme NAP un ensemble de mécanismes permettant de protéger les échanges entre les fournisseurs et les consommateurs de service. Ces mécanismes font partie d'un groupe de services nommé services techniques de base. Ils comprennent l'adressage de services, la gestion des messages, la supervision de l'architecture SOA, ainsi que la gestion des accès et des identités. Ces deux derniers services de base doivent permettre à tout fournisseur ou consommateur de service de vérifier l'identité de l'utilisateur associé à une transaction en cours (même si c'est un serveur) et de s'assurer qu'il a le droit d'effectuer cette transaction. De manière générale, les « fournisseurs de service » et les « consommateurs de service » utilisent ces services techniques de base de gestion des identités et des accès à deux niveaux : Lors de la première authentification d'un utilisateur, la validité des informations que celui-ci fournit est vérifiée par les services techniques de base. Dans ce cas, l'utilisateur peut tirer profit de la fonction SSO (Single Sign-On ou authentification unique). Lors d'une demande « Consommateur/Fournisseur », le fournisseur de service doit pouvoir, grâce aux services techniques de base, vérifier l'identité et les droits de l'utilisateur. Les opérations sur les droits des utilisateurs et leur identité sont gérées directement par les services techniques de base sur la plate-forme NAP. 39 F2 28LU Rev01 54 Access Management Déploiement de fonctions de sécurité spécifiques En raison des contraintes géographiques liées à l'organisation de l'entreprise ou du niveau de confidentialité des applications utilisées, il peut être nécessaire de déployer une architecture de sécurité spécifique au niveau de la plate-forme NAP, sans pour autant impacter les applications. Par exemple, si une société fédère ses annuaires LDAP au niveau NAP dans un annuaire virtuel (V-Directory), elle sera en mesure d'utiliser tous les processus existants de gestion des identités d'utilisateur. Voici d'autres exemples d'architectures pouvant être déployées par les services de sécurité de base en toute transparence pour les applications : environnement de gestion multi-domaines des utilisateurs, solution de traçabilité des accès aux applications ou encore authentification des utilisateurs via des certificats X.509 (PKI). Intégration dans des environnements non-SOA Les services de sécurité de base permettent également d'assurer la cohérence entre la toute nouvelle architecture SOA et le système d'information classique : mainframe, client-serveur, Web, etc. Comme ils sont indépendants des fournisseurs et des consommateurs de service, les services de sécurité de base d'une architecture SOA peuvent être intégrés dans une solution plus globale de gestion des accès et des identités s'appliquant au système d'information. Exemple d'une plate-forme de gestion des accès et des identités Pour doter une plate-forme NAP de fonctions d'accès et d'authentification en y intégrant une plate-forme IAM (Identity and Access Management, gestion des identités et des accès), vous devez mettre en place trois niveaux distincts. Chacun traite distinctement la politique d'authentification et d'autorisation : Point de gestion des politiques (Policy Management Point, PMP), où cette politique est définie. Point de décision des politiques1 (Policy Decision Point, PDP), où des décisions sont prises en fonction de cette politique. Point d'application des politiques (Policy Enforcement Point, PEP), où les décisions sont mises en oeuvre. 1 D’habitude, les points de décision des politiques sont dédiés aux politiques d’autorisation. Toutefois, le mot « politique » s’applique également aux étapes d’authentification. 39 F2 28LU Rev01 55 Access Management Annuaire + flux Méta-annuaire Base de données RH Liberty Alliance Sources d'identité Point de gestion des politiques Gestion des identités Gestion des politiques Point de décision des politiques Point d'application des politiques Moteur d’identification Poste de travail Moteur d’autorisation Passerelle Agent Les points de gestion des politiques et les points de décision des politiques sont indépendants de la technologie utilisée par les fournisseurs et les consommateurs de service. Les points d'application des politiques, en interface directe avec les consommateurs et les fournisseurs de service, sont très dépendants de la technologie que ceux-ci utilisent. Par exemple, le module SSOEngine de Evidian Enterprise SSO est un point d'application des politiques installé sur un poste de travail et mettant en oeuvre des règles dynamiques. 2 Le module Evidian SOA Access Manager met en œuvre un modèle SAML dans lequel les modules de connexion JAAS sont des points d'application des politiques et les serveurs d'authentification sont des points de décision des politiques. 2 SAML est un standard développé par OASIS (Organization for the Advancement of Structured Information Standards, www.oasis-open.org) et qui rend possible l’interopérabilité des systèmes de sécurité fournissant des services d’autorisation et d’authentification. 39 F2 28LU Rev01 56 Access Management Evidian SOA Access Manager, un serveur d'authentification SAML JAAS Evidian SOA Access Manager utilise le login JASS et l'authentification de SAML et des Web Services Evidian SOA Access Manager est un service d'authentification et d'autorisation basé sur les standards ouverts de sécurisation des Web Services et des applications Java. Module de connexion JAAS – Point d'application des politiques Evidian SOA Access Manager dispose d'un module de connexion (Login Module) conçu pour l'interface standard JAAS (Java Authentication and Authorization Service), et qui s'exécute dans un environnement Java. JAAS est une interface de programmation dotée de mécanismes souples et évolutifs de sécurisation des applications Java client et serveur. Elle agit également comme une couche d'abstraction entre une application et les procédures d'authentification et d'autorisation, ce qui permet aux développeurs d'applications d'utiliser n'importe quel mécanisme de sécurité. Avec le module de connexion JAAS de Evidian SOA Access Manager, une application Java ou J2EE peut rapidement et facilement être sécurisée à l'aide de mécanismes d'authentification et d'autorisation. C'est une solution compatible avec toute application Java utilisant l'interface JAAS à un degré d'intégration peu poussé. Serveur d'authentification SAML – Point de décision des politiques Il s'agit d'un serveur qui effectue l'authentification puis, pour chaque authentification réussie, fournit une assertion SAML (Secure Assertion Markup Language). SAML procure un mécanisme de sécurité inter-opérable par lequel des applications dotées de leur propre système d'autorisation et d'authentification échangent des éléments d'authentification. Il apporte un cadre de sécurisation aux environnements multi-domaines ou aux architectures multi-niveaux. Ainsi, grâce au partage d'informations de sécurité nécessaires à la réalisation d'une transaction entre deux sites, celle-ci peut être initialisée sur un site et validée sur un autre. Lorsque les fonctionnalités SAML de Evidian SOA Access Manager sont exploitées par les applications de l'entreprise, celles-ci peuvent interagir plus facilement et en toute sécurité avec d'autres entités, comme des partenaires commerciaux ou des clients. Le jeton SAML d'un utilisateur peut circuler entre des partenaires commerciaux de confiance liés par une relation de type SSO (Single Sign-On). Les assertions SAML sont signées et vérifiées par les applications via une infrastructure PKI (Public Key Infrastructure). 39 F2 28LU Rev01 57 Access Management Une administration conviviale permet de définir le contenu des assertions, de gérer les infrastructures PKI associées nécessaires et, à un plus large niveau, toutes les configurations. Le Web Service d'authentification Il s'agit d'un Web Service qui vérifie les droits d'accès des utilisateurs et fournit l'assertion SAML associée. Ce Web Service d'authentification est utile lorsque celui qui fait la demande n'est pas dans l'intranet de l'organisation ou ne peut pas utiliser le JAAS Login Module. Par exemple, quand celui qui fait la demande est un partenaire qui a sa propre infrastructure de gestion des identités et des accès. La demande d'authentification et les réponses sont placées dans la section "Body" d'une enveloppe SOAP. L'assertion reçue en échange est encapsulée dans une SAML Response (voir l'annexe page 62 pour une description complète). Enveloppe SOAP Enveloppe SOAP Header Header Body Body SAML Response 39 F2 28LU Rev01 Demande d'authentification Assertion SAML Requête Réponse 58 Access Management Evidian SOA Access Manager – Architecture Figure 21. Utilisateur de services Web Modules de connexion JAAS de Evidian SOA Access Manager et serveur d'authentification SAML Demande d'authentification WS HTTPS Serveur d'authentification SAML HTTPS Modules de connexion JAAS Demande d'authentification JAAS Console d'administration Annuaire uitlisateurs Annuaire SAM J2EE Définition des utilisateurs Annuaires LDAP Définition des contenus SAML Clés, Certifications ListesCRL Le module de connexion JAAS est en interface avec le serveur d'authentification utilisant le protocole SAML. Les applications sont alors en mesure d'authentifier les demandeurs dans toutes les organisations, mais aussi de fournir des attributs utilisateur permettant de contrôler l'accès aux ressources dans des zones multidomaines de sécurité. Les assertions SAML (authentification et attributs) sont signées par l'autorité hébergée par le serveur d'authentification. La signature SAML (XML) exige que des certificats soient déployés et que des listes CRL (Certificate Revocation List) soient prises en charge. Ces fonctionnalités, transparentes pour l'utilisateur, sont fournies par Evidian SOA Access Manager. 39 F2 28LU Rev01 59 Access Management Evidian SOA Access Manager – Caractéristiques principales Les principales caractéristiques de Evidian SOA Access Manager sont les suivantes : Authentification des utilisateurs Evidian SOA Access Manager prend en charge plusieurs types d'authentification. Les utilisateurs peuvent être authentifiés par l'un des éléments suivants : par un nom d'utilisateur et un mot de passe, par un mot de passe à usage unique reconnu dans les jetons matériels, par les dispositifs d’authentification forte pris en charge par Evidian Web Access Manager. L'utilisation du protocole SSL (Secure Socket Layer) garantit la confidentialité des échanges entre le module de connexion JAAS et le serveur d'authentification. Fonction SSO (Single Sign-On) La fonction SSO est intégrée à Evidian SOA Access Manager au niveau du jeton SAML de l'utilisateur. Lorsque ce jeton est présenté aux applications, celles-ci n'ont pas besoin de demander à l'utilisateur de s'identifier à nouveau. Audit de l'authentification des utilisateurs Avec Evidian SOA Access Manager, vous pouvez effectuer l'audit des opérations d'authentification des utilisateurs. Les messages d'audit sont stockés dans des fichiers journaux consultables à tout moment. Rafraîchissement de l'assertion SAML Les assertions SAML ne sont valides que pendant une courte durée, typiquement quelques heures. Il n'est donc pas besoin d'un service de révocation. Tout changement touchant le propriétaire d'une assertion prendra effet après l'expiration des assertions actives. La durée de validité est définie par la politique de sécurité. Mais dans des situations asynchrones, comme le fait de mettre des messages en file d'attente, le délai entre l'envoi SAML et son traitement par un fournisseur de service peut dépasser le délai de validité de l'assertion. Evidian SOA Access Manager peut rafraîchir une assertion SAML expirée, de façon transparente pour l'application. Pendant les opérations de rafraîchissement, toutes les données de l'utilisateur sont vérifiées et l'assertion est reconstruite. Haute disponibilité et extensibilité Les fonctions intégrées de Evidian SOA Access Manager de haute disponibilité et de partage de charge permettent de garantir le maintient d'un niveau de performance satisfaisant et prévisible. 39 F2 28LU Rev01 60 Access Management Administration centralisée Au lieu de gérer séparément les règles d'authentification, d'infrastructure PKI (Public Key Infrastructure) et de contrôle d'accès pour chaque application, Evidian SOA Access Manager réunit toutes ces fonctionnalités en une seule console. Cette console d'administration est une application Java exécutée sur des navigateurs Web prenant en charge le module d'extension Java Run-time Environment. En outre, Evidian SOA Access Manager dispose d'une administration personnalisable à l'aide d'un jeu d'interfaces API Java. Les programmeurs peuvent ainsi utiliser toutes les fonctions de la console d'administration pour développer une application d'administration personnalisée. Une solution de gestion et de sécurité basée sur les annuaires Evidian SOA Access Manager incorpore en toute conformité les standards relatifs aux annuaires LDAP en mode natif. Deux annuaires sont utilisés : L'annuaire SOA Access Manager contient les descriptions des objets de sécurité et la configuration. L'annuaire Utilisateurs (annuaire LDAP de l'entreprise) contient les informations relatives aux utilisateurs et aux groupes. Il est possible qu'un tel annuaire existe déjà dans votre société. Pour cette raison, cette instance peut être séparée de l'annuaire SOA Access Manager. Il n'est donc pas nécessaire d'installer et de gérer des annuaires d'utilisateurs distincts et redondants. 39 F2 28LU Rev01 61 Access Management Annexe : Format du Web Service d'Authentification Requête d'Authentification Seul SOAP sur HTTPS est supporté. le champ header 'SOAPAction' n'est pas pris en compte par le serveur d'authentification SOA Access Manager. Le type de contenu est “text/xml”. Le mot de passe est protégé en utilisant SSL. Exemple <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Body> <authn:Authentication xmlns:authn="http://evidian.com/security/auth/saml/1.0"> <authn:AuthnData> <authn:Version>1.0</authn:Version> <authn:UserName>jeandel</authn:UserName> <authn:Password>*******</authn:Password> <authn:Domain>evidian</authn:Domain> <authn:Policy>strong</authn:Policy> </authn:AuthnData> </authn:Authentication> </SOAP-ENV:Body> </SOAP-ENV:Envelope> Schéma XML de requête <?xml version="1.0"?> <xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema" targetNamespace="http://evidian.com/security/auth/saml/1.0" xmlns="http://evidian.com/security/auth/saml/1.0" elementFormDefault="qualified"> <xs:element name="Authentication"> <xs:complexType> <xs:sequence> <xs:element name="AuthnData"> <xs:complexType> <xs:all> <xs:element name="Version" type="xs:string"/> <xs:element name="UserName" type="xs:string"/> <xs:element name="Password" type="xs:string"/> <xs:element name="Domain" type="xs:string" minOccurs="0"/> <xs:element name="Policy" type="xs:string"/> </xs:all> </xs:complexType> </xs:element> </xs:sequence> </xs:complexType> </xs:element> </xs:schema> 39 F2 28LU Rev01 62 Access Management Définition des éléments Toutes les valeurs d'éléments sont des chaînes de caractères Version Obligatoire, doit être "1.0" UserName Obligatoire, c'est l'identité principale Password Obligatoire, éléments d'authentification en texte simple Domain Spécifie l'annuaire des utilisateurs. Cet élément est obligatoire si plusieurs répertoires d'utilisateurs sont configurés dans la base. Policy Obligatoire. Il s'agit du nom de l'objet contenant la politique dans la base SOA Access Manager. Cet objet spécifie quelles options doivent être utilisées lors de l'authentification et les contenus des assertions SAML qui sont émises. Réponse à une authentification Exemple <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> <SOAP-ENV:Body> <samlp:Response xmlns:samlp="…" xmlns:saml="…" xmlns:ds="…"> <Status> <StatusCodevalue="samlp:Success"/> </Status> <saml:Assertion> <saml:AuthenticationStatement> <ds:Signature> … </ds:Signature> ... </saml:AuthenticationStatement> </saml:Assertion> </samlp:Response> </SOAP-Env:Body> </SOAP-ENV:Envelope> Schéma XML de réponse Le schéma XML est conforme au protocole SAML 1.1. Echecs d'authentification Quand une authentification échoue, la réponse contient un élément ‘samlp:Response', mais sans aucune assertion incluse. L'élément Status contient la raison de l'échec 39 F2 28LU Rev01 63 Access Management La sécurité instantanée pour un faible coût d'acquisition Avec Evidian Web Access Manager, il n'est pas nécessaire de sacrifier la commodité à la sécurité. Evidian Web Access Manager ne requiert aucune modification ou ajout de composant sur les postes de travail des utilisateurs et ni aucune modification des systèmes cibles. Les autres solutions actuellement disponibles sur le marché sont extrêmement complexes, nécessitent des mois de mise Gardez le contrôle de la sécurité en œuvre et consomment de précieuses 1. L'administration centrale minimise les coûts ressources informatiques. et les tâches associées à la sécurité. 2. La flexibilité de l'administration permet d'ajouter ou révoquer les droits d'un utilisateur en quelques clics. 3. L'audit central permet de suivre à la trace toutes les connexions. Une solution non intrusive pour un déploiement simplifié Grâce à son architecture non intrusive, Evidian Web Access Manager peut être déployé intégralement en quelques heures et permet à l'entreprise d'évoluer aussi rapidement que le marché. Téléchargeable depuis le Web, Evidian Web Access Manager est un logiciel complet qui repose sur des standards. Une administration plus efficace Evidian Web Access Manager permet aux administrateurs de portail ou de serveurs Web de gérer de manière transparente l'accès à n'importe quelle application Web sans avoir à déployer de logiciel ou à réorganiser les répertoires. Evidian Web Access Manager ne perturbe ni les processus d'administration en place ni les applications. Evidian Web Access Manager réutilise les annuaires utilisateurs LDAP existants pour appliquer une politique de sécurité sur les ressources de l'entreprise. Réduction des coûts de possession Evidian Web Access Manager permet de limiter au maximum les coûts annexes informatiques. Pas besoin de redéfinir ou de modifier les annuaires utilisateurs. Permet d'augmenter le retour sur investissement des projets Web en facilitant l'extensions des projets portails aux environnement Java et SOA. Pas besoin de mettre à jour Evidian Web Access Manager quand une application protégée est mise à jour. Le résultat final est une solution de sécurité complète simplifiant l'accès des utilisateurs finaux avec le coût de propriété le plus. 39 F2 28LU Rev01 64 Pour plus d'informations, consultez le site www.evidian.com Email: [email protected]