Evidian IAM Access Management

Transcription

Evidian IAM Access
Management
Un livre blanc Evidian
L’authentification unique (SSO)
la plus rapide à déployer
Sommaire

Evidian Enterprise SSO, une solution
complète de connexion unique

Démarrez simplement avec un niveau élevé
de sécurité

Améliorez la sécurité avec des fonctions
avancées

La solution Evidian Enterprise SSO
Une architecture sécurisée
Evidian File Encryption
Contrôler et sécuriser l'accès utilisateur
avec le SSO

Émergence des architectures SOA dans
l'entreprise

Evidian SOA Access Manager, un serveur
d'authentification SAML JAAS

Annexe : Format du Web Service
d'Authentification
Version 1.0
© 2013 Evidian
Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de
publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne
représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations
passé la date de publication.
Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE
NI EXPLICITE DANS LE PRÉSENT DOCUMENT.
Les droits des propriétaires des marques cités dans cette publication sont reconnus.
Access Management
Table des matières
Evidian Enterprise SSO, une solution complète de
connexion unique ....................................... 5
Démarrez simplement avec un niveau élevé de sécurité ... 6
Connexion unique à toutes les applications ..............6
Intégration transparente aux infrastructures existantes .8
Déploiement simple et rapide ............................8
Améliorez la sécurité avec des fonctions avancées ...... 9
Authentification forte ..................................9
Administration étendue .................................11
La solution Evidian Enterprise SSO .................... 13
Evidian Enterprise SSO base ............................13
La Console de Management ...............................21
Evidian Strong Authentication ..........................26
Evidian Audit et Reporting .............................29
Evidian Self-Service Password Reset ....................31
Evidian Kiosk Mode (Changement rapide d'utilisateur) ...32
Profitez de votre architecture LDAP distribuée pour
l’authentification .....................................35
Aucun serveur d’authentification supplémentaire ........35
Une architecture sécurisée ............................ 36
Evidian File Encryption ............................... 39
Contrôler et sécuriser l'accès utilisateur avec le SSO 45
Mettre en place le contrôle d'accès à toutes les
applications ...........................................45
La création des comptes utilisateurs ...................47
La prise en compte des identités multiples .............47
SSO universel ..........................................48
L’inter-domain SSO .....................................49
Émergence des architectures SOA dans l'entreprise ..... 51
Développement d'une architecture d'applications
modulaire pour une intégration du système d'information
de l'entreprise ........................................51
Sécurisation d'une architecture SOA ....................54
d'authentification SAML JAAS .......................... 57
Evidian SOA Access Manager utilise le login JASS
et l'authentification de SAML et des Web Services ......57
39 F2 28LU Rev01
3
Access Management
Evidian SOA Access Manager – Architecture ..............59
Evidian SOA Access Manager – Caractéristiques
principales ............................................60
Annexe : Format du Web Service d'Authentification ..... 62
Requête d'Authentification .............................62
Réponse à une authentification .........................63
Echecs d'authentification ..............................63
La sécurité instantanée pour un faible coût
d'acquisition ..........................................64
39 F2 28LU Rev01
4
Access Management
Evidian Enterprise SSO, une solution complète de
connexion unique
Evidian Enterprise SSO permet de déployer rapidement une solution d’authentification
unique efficace. Avec un temps d’attente minimum, les utilisateurs accèdent à leurs
applications plus facilement et avec une sécurité accrue. Sur cette base, vous pouvez
ajouter des outils avancés pour obtenir une authentification forte et de nouvelles
fonctions d’administration.
Figure 1.
Une solution complète de connexion unique
Evidian Enterprise SSO
Annuaires
Self-service
password reset
Strong
authentication
Kiosk
mode
Enterprise SSO base
Audit and
Reporting
Mobile
E-SSO
middleware (security services)
Smart cards
Biometrics
USB keys
Certificates
La solution Evidian Enterprise SSO offre :
Accès rapide à l’authentification unique : Enterprise SSO base
Enterprise SSO base est au coeur de la solution. Il offre de puissantes fonctions
d’authentification unique telles que l’administration des règles d’applications et de
mots de passe, la délégation de pouvoirs aux utilisateurs, la re-authentification et
la collecte d’audits.
Accès SSO depuis Internet : Mobile E-SSO
Mobile E-SSO permet aux utilisateurs de se connecter via l’environnement de
SSO et en sécurité à partir d’Internet à leurs applications.
Gestion des mots de passe : Self-Service Password Reset
Self-Service Password Reset permet aux utilisateurs de gérer eux-mêmes la
réinitialisation de leur mot de passe unique.
Authentification forte : Strong Authentication
Strong Authentication rend possibles de puissantes méthodes d’authentification
primaire, telles que les cartes cryptographiques, les clés USB, les certificats, le
RFID actif et la biométrie.
Fonctions de reporting : Audit et Reporting
Audit et Reporting fournit des rapports près à l’emploi sur les évènements
d’administration, d’authentification, de connexion aux applications cibles.
39 F2 28LU Rev01
5
Access Management
Démarrez simplement avec un niveau élevé de
sécurité
Evidian Enterprise SSO base permet de déployer rapidement une solution
d’authentification unique efficace. Bien que Evidian Enterprise SSO base offre des
fonctions de connexion unique avancées, il est facile à utiliser et à gérer.
Grâce à Evidian Enterprise SSO base, les entreprises peuvent rapidement déployer
l’authentification unique, puis définir et mettre en œuvre une méthode de gestion des
mots de passe unifiée.
Connexion unique à toutes les applications
Au sein des entreprises, les procédures sont complexes et les outils nombreux. Les
utilisateurs doivent donc disposer de multiples comptes sur différentes applications et
technologies.
Evidian Enterprise SSO base prend en charge toutes les applications, quelle que soit
la technologie utilisée : applications locales, client/serveur, sites Web, émulateurs de
mainframes, Unix et Linux, Windows Terminal Server, Citrix MetaFrame,
Presentation Server et NFuse.
Par exemple, grâce à une configuration par glisser/déplacer, Evidian Enterprise SSO
base permet de déployer la connexion unique sur la configuration typique suivante
(voir Figure 2) :
Tous les employés accèdent aux applications de l’entreprise (comme Lotus Notes,
une application de gestion des dépenses ou une application de gestion du temps).
Par contre, les applications d’entreprise ne sont utilisées que par certains groupes
d’utilisateurs,
Certains portails ou applications sont accessibles via une interface Web et
certaines applications sont utilisées à l’aide d’un client léger (comme Citrix ou
Windows Terminal Server),
Certains systèmes transactionnels et bases de données (comme un mainframe
IBM) ne sont accessibles que par un émulateur de terminal,
Certaines applications d’ERP (comme SAP R/3) et de messagerie (Lotus Notes)
ont leurs propres systèmes de contrôle d’accès.
39 F2 28LU Rev01
6
Access Management
Figure 2.
Une configuration de SSO typique
Répertoire
Serveur LDAP
SSOEngineobtient
les données sur
les applications
2
Evidian Enterprise SSO
3
Windows Server
1 Authentification
dans le domaine
4
5
SSOEngine renseigne
les fenêtres de connexion
6
SSOEngine modifie
automatiquement
les mots de passe
Une application est lancée par un utilisateur
SSOEngine détecte les fenêtres
SSOEngine obtient le mot de
passe/ID secondaire depuis
la mémoire chiffrée
Evidian Enterprise SSO base offre une solution directe pour un déploiement rapide de
l’authentification unique avec :
configuration par glisser/déplacer de l’authentification unique,
aucune modification des applications,
automatisation de la génération, des modifications, de l’expiration et de la
redéfinition des mots de passe,
délégation des accès aux collègues en cas d’absence,
possibilité de configurer l’authentification unique pour les applications personnelles
(comme les sites Web externes et les serveurs d'informations),
Un niveau de sécurité élevé dans toute l’entreprise.
Evidian Enterprise SSO base permet aux administrateurs de contrôler l’accès des
utilisateurs aux ressources d’informations d’entreprise. Les fonctions suivantes
renforcent la sécurité :
Authentification forte des utilisateurs lors des accès au réseau ou aux applications
sensibles,
Chiffrement des données lorsque l’utilisateur final saisit des informations de
connexion unique et lors des enregistrements et transferts de données par Evidian
Enterprise SSO,
Seul l’utilisateur final peut modifier les données d’authentification unique,
Les mécanismes de chiffrement garantissent que le propriétaire des informations
de sécurité est le seul à pouvoir y accéder,
Définition des règles de mots de passe, d’applications et de délégation,
39 F2 28LU Rev01
7
Access Management
Définition et mise en œuvre des règles de mots de passe,
L’accès aux applications peut dépendre du rôle de l’utilisateur,
Audit des accès des utilisateurs et des tâches d’administration.
Intégration transparente aux infrastructures existantes
Tous les éléments de Evidian Enterprise SSO utilisent l’annuaire des employés
existant et enregistrent les règles d’authentification unique dans l’architecture LDAP
distribuée pour garantir que les utilisateurs accèdent à leurs applications de la même
façon dans toute l’entreprise.
L’annuaire LDAP peut être un annuaire existant. Il est également possible de dédier
spécifiquement un annuaire pour la solution Evidian Enterprise SSO.
Déploiement simple et rapide
Evidian Enterprise SSO base simplifie et accélère l’installation, la configuration et le
déploiement opérationnel grâce à :
Intégration à l’annuaire LDAP existant
Evidian Enterprise SSO base n’a pas besoin d’une base de données ou d’un serveur
de sécurité spécifique. Cela permet d’éliminer les dépenses supplémentaires
associées à l’installation et au remplissage d’un autre annuaire.
Installation et configuration simples des stations de travail
Evidian Enterprise SSO base est installé sur les stations de travail via Microsoft
Windows Installer (MSI). Une installation silencieuse est possible, sans configuration
locale.
Aucun logiciel n’est installé sur les clients légers Citrix ou Windows Terminal Server
eux-mêmes. Une installation de logiciel n’est nécessaire que sur le serveur de
terminal.
Les modules sont documentés pour faciliter leur distribution distante par d’autres outils
éprouvés tels que Computer Associates TNG, IBM Tivoli, Microsoft SMS ou Vision64.
Intégration d’une application et initialisation de la connexion unique
SSOStudio permet de configurer les détails d’une connexion à une application en
quelques clics.
Les administrateurs attribuent les droits d’accès à un utilisateur, un groupe
d’utilisateurs, ou une organisation au sein de l’entreprise.
Avec la plupart des applications, l’utilisateur doit immédiatement changer le mot de
passe d’un nouveau compte. Evidian Enterprise SSO base réalise cette opération
avec un mot de passe aléatoire, conformément à une règle prédéfinie. Par la suite,
l’accès des utilisateurs à l’application est transparent.
39 F2 28LU Rev01
8
Access Management
Améliorez la sécurité avec des fonctions avancées
A partir d’une simple solution d’authentification unique, Evidian Enterprise SSO peut
répondre aux exigences de gestion de la sécurité de niveau supérieur :
Authentification forte
Evidian Strong Authentication complète Evidian Enterprise SSO base avec une
grande variété de méthodes d’authentification forte (cartes, clés USB, biométrie). Les
administrateurs peuvent ainsi renforcer la sécurité des accès pour certaines
catégories d’utilisateurs.
La combinaison nom d'utilisateur/mot de passe est la méthode d’accès la plus
courante, en particulier dans les environnements Microsoft. Toutefois, ce « sésame
ouvre-toi » universel n’est souvent pas suffisant pour la protection de ressources
sensibles.
Deux questions se posent :
L’authentification de domaine Microsoft est-elle suffisante pour donner accès à
d’autres ressources, en particulier pour des applications hétérogènes hors de
l’environnement Windows ?
Un mot de passe prouve-t-il que la personne qui se connecte est vraiment la
personne dont le mot de passe est utilisé ?
La réponse est non. En revanche, Evidian Strong Authentication garantit que la
personne qui se connecte au système est bien celle qui doit se connecter. La sécurité
accrue est fournie par une authentification à plusieurs facteurs, par exemple, Je
m’identifie par quelque chose que je sais et quelque chose que je possède.
On peut pour cela utiliser une carte, une clé USB ou un mécanisme biométrique
(voir Figure 3).
39 F2 28LU Rev01
9
Access Management
Figure 3.
Authentification par carte
Une authentification
à plusieurs facteurs
Le contrôle des accès est renforcé ; il complète naturellement la connexion unique.
Evidian Strong Authentication offre une identification primaire sécurisée pour des
utilisateurs spécifiques, indiquant l’identité de ces utilisateurs lorsqu’ils se connectent
à des ressources, assurant ainsi la qualité et la fiabilité de l’accès informatique.
39 F2 28LU Rev01
10
Access Management
Administration étendue
La console de Management de Evidian Enterprise SSO fournit aux administrateurs
un outil graphique pour étendre la gestion des droits et profils des utilisateurs dans
toute l’organisation.
Figure 4
Exemple d'organisation d'administration étendue
Administrateurs de sécurité
Administrateurs
SSOWatch (Studio) :
SSOStudio (Studio) :
SSOWatch
• Définition de
• Définition de
l’authentification
unique
unique
UO –- Ventes
et marketing
Active
Directory
Extended Manager :
Console de
Extended
Manager
Management
:
• Gestion des applications
• Gestion des applications
• Attribution des applications
• Attribution des applications
aux utilisateurs
aux utilisateurs
• Création de mots de passe pour
• Création de mots de passe pour
les nouvelles applications
les nouvelles applications
• Prêt et verrouillage de cartes
• Prêt et verrouillage de cartes
• Politique de points d'accès
• Politique de points d'accès
Equipe d'assistance
Extended Manager :
Console de Management
• Redéfinition
• Redéfinition
des mots de passe
des mots de passe
• Affectation de cartes
• Affectation de cartes
• Affectation de certificats
• Affectation de certificats
Règle
d'authentification
unique
Auditeurs
Console de Management
• Rapports d'audit
• Rapports d'audit
Auto -administration
par l'utilisateur final
SSOWatch :
SSOEngine:
SSOWatch
• Mots de passe
• Mots de passe
• Délégation
• Délégation
• Accès suivant les rôles
• Accès suivant les rôles
Par exemple, dans chaque unité organisationnelle, vous pouvez définir
(voir Figure 4) :
Des administrateurs de sécurité,
Les administrateurs d’applications peuvent gérer les règles des applications.
Les administrateurs d’accès peuvent affecter des applications à des groupes
d’utilisateurs et gérer les points d’accès des utilisateurs.
Les administrateurs de cartes peuvent prêter leurs cartes si les utilisateurs les ont
oubliées et les bloquer s’ils les ont perdues.
Des auditeurs,
Les administrateurs peuvent analyser tous les accès des utilisateurs et les tâches
d’administration.
39 F2 28LU Rev01
11
Access Management
Des gestionnaires de mots de passe dans les équipes d’assistance,
Les administrateurs locaux peuvent redéfinir les mots de passe principaux en cas
d’oubli par les utilisateurs.
Une équipe d’assistance locale qui peut fournir des cartes.
Les équipes d’assistance locales peuvent affecter des cartes aux utilisateurs d’un
service.
Dans ce type d’organisation, les administrateurs locaux peuvent continuer à utiliser
SSOStudio pour configurer l’accès aux applications par connexion unique.
39 F2 28LU Rev01
12
Access Management
La solution Evidian Enterprise SSO
La solution Evidian Enterprise SSO s’appuie sur un middleware de sécurité auquel
sont liés les différents composants (voir Figure 1).
Evidian Enterprise SSO base
Evidian Enterprise SSO base permet de gérer les règles de mots de passe et les
profils d’applications et de configurer l’accès aux applications.
Après une connexion Windows standard, les utilisateurs finaux peuvent utiliser
Evidian Enterprise SSO base pour gérer leurs mots de passe et déléguer des accès.
Evidian Enterprise SSO base réside sur des stations de travail ou des serveurs de
terminaux en cas de configurations clients légers. Il automatise l’authentification et
les modifications de mots de passe.
Les composants techniques de Evidian Enterprise SSO base sont les suivants :
SSOEngine
Gère les accès des utilisateurs aux applications et offre une auto-administration
par l’utilisateur final.
Des plug-ins sont fournis pour se connecter à des applications spécifiques telles
que HTML/Internet Explorer, émulation de terminaux, SAP R/3 et Lotus Notes.
SSOStudio
SSOStudio est un outil de configuration graphique utilisé par les administrateurs
pour enrôler les applications au sein du SSO.
La Console de Management
La Console de Management centralise toutes les fonctions avancées
d’administration.
Access Collector
Access Collector collecte les accès aux applications. Il permet de savoir qui utilise
une application donnée, et avec quel identifiant. Il ne nécessite pas d’installer
Enterprise SSO base.
SSOEngine
SSOEngine est exécuté en arrière-plan et offre une connexion unique transparente
aux applications autorisées.
Ce composant réalise automatiquement les modifications de mots de passe.
Un mode d’apprentissage permet aux utilisateurs de fournir le mot de passe de
l’application lors de la connexion initiale.
39 F2 28LU Rev01
13
Access Management
SSOEngine offre également de fonctions d’auto administration.
Depuis une icône de la barre des tâches, l’utilisateur accède aux fonctions suivantes
(voir Figure 5) :
Suspendre l’authentification unique,
Modifier mot de passe/code PIN,
Afficher et mettre à jour les mots de passe,
Sélectionner un rôle,
Déléguer l’accès à un autre utilisateur autorisé.
Administrer la fonctionnalité de redéfinition du mot de passe principal
Figure 5.
L'utilisateur peut afficher la liste de ses comptes
autorisés
Bureau dynamique
Vue des fonctions
autorisées par icône
Modifier le mot de passe,
Délégation,
Sélectionner un rôle,
Modifier le code PIN
Nouvelle authentification pour se connecter aux applications sensibles
Une fois l’option sélectionnée, l’utilisateur qui accède à l’application devra
s’authentifier de nouveau à l’aide de son mot de passe principal, sur demande de
SSOEngine. Cette fonction est configurable dans le profil de sécurité des applications
dans SSOStudio.
Accès à des applications via des comptes multiples
Un même utilisateur peut parfois avoir des comptes différents sur la même
application.
39 F2 28LU Rev01
14
Access Management
Par exemple, avec l’application mySAP, certains utilisateurs peuvent agir le matin
comme « contrôleurs des paiements » et l’après-midi comme « contrôleurs
financiers » (voir Figure 6). D’autres utilisateurs sont à la fois « simples utilisateurs »
de WebSphere et « administrateurs » en cas de besoin.
Pour simplifier l’accès à ces applications, SSOEngine peut permettre l’accès à
plusieurs comptes sur la même application.
SSOStudio attribue un rôle à chaque compte. Un rôle « administrateur », par
exemple, peut être étendu par SSOStudio à plusieurs applications. Dans ce cas, un
compte « administrateur » est créé sur chacune des applications concernées.
Figure 6.
Les rôles permettent un contrôle des accès à
plusieurs comptes
Rôle
Valeur
par défaut
Application
#1
Application #2
Application #3
Application
#4
Utilisateur_App1 Utilisateur_App2 Utilisateur_App3 Utilisateur_App4
Responsable
Utilisateur_
Responsable
Aucun accès
Aucun accès
Aucun accès
Administrateur
Aucun accès
Aucun accès
Administrateur
Administrateur
Si un utilisateur a plusieurs rôles et n’en sélectionne aucun lors de l’ouverture d’une
session Windows, SSOEngine détecte la multiplicité des comptes lors du lancement
de l’application et demande à l’utilisateur de choisir un rôle.
Si l’utilisateur a choisi un rôle au moment de la connexion, les comptes associés à ce
rôle sont utilisés de façon transparente durant le reste de la session Windows. Par
exemple, si l’utilisateur a choisi le rôle « administrateur », il sera connecté de façon
transparente à toutes les applications avec la connexion et le mot de passe de chaque
compte « administrateur ».
Un utilisateur peut changer de rôle à tout moment durant la session Windows.
39 F2 28LU Rev01
15
Access Management
Figure 7.
Un utilisateur peut changer de rôle
L’utilisateur peut non seulement utiliser son compte principal, mais aussi d’autres
comptes Windows. Ces comptes peuvent se trouver dans le même domaine ou dans
d’autres domaines autorisés à permettre des sessions Windows sur la station de
travail. Sur la Figure 7, l’utilisateur est invité à choisir entre les comptes disponibles
lors de la session d’ouverture.
Délégation d’accès (partage de comptes entre utilisateurs)
Lors de vacances ou de déplacements professionnels, un utilisateur peut déléguer son
accès à une ou plusieurs applications à un autre utilisateur.
Il devait précédemment pour cela indiquer son identifiant et son mot de passe, ce qui
est strictement interdit par les règles de sécurité de l’entreprise.
Maintenant, (voir Figure 8), SSOEngine lui permet d’autoriser temporairement un
accès sous son nom par un collègue. Cette délégation est soumise aux règles de
sécurité gérées par SSOStudio, avec des dates de validité appliquées et la
consignation de tous les accès réalisés dans le cadre de cette délégation. Aucun
identifiant ou mot de passe n’est révélé.
La fonction de partage de compte est l’une des fonctions d’authentification unique les
plus puissantes de Evidian Enterprise SSO base.
39 F2 28LU Rev01
16
Access Management
Figure 8.
Délégation d'accès
Partage de l'accès aux applications avec
un assistant pour mes e-mails
des collègues sur un projet
Le propriétaire du compte déclare :
les utilisateurs qui partagent le compte
la durée de la délégation
les possibilités de modification de mot
de passe
Un utilisateur peut partager un compte avec un collègue s’ils appartiennent tous deux
au même groupe. Si un utilisateur a partagé un compte, il peut à tout moment
révoquer cette autorisation.
39 F2 28LU Rev01
17
Access Management
Plug-ins de connexion unique
Evidian Enterprise SSO base est fourni avec des plug-ins permettant à SSOEngine de
fonctionner avec différents types d’applications. Des plug-ins existent pour
HTML/Internet Explorer, Firefox, applications Java, émulation de terminaux, SAP R/3
et Lotus Notes.
Les plug-ins fournissent des actions génériques personnalisables ou des actions préconfigurées pour des ensembles d’applications courants (comme la gestion du fichier
« user.id » avec le plug-in Lotus Notes).
Une plug-in HLLAPI permet de configurer un accès SSO aux applications fonctionnant
sur émulateurs de terminaux IBM 3270.
Prévention du «
window spoofing » (espionnage de fenêtre)
Evidian Enterprise SSO peut détecter des fenêtres de connexion avec des
caractéristiques avancées. Cela empêche le « window spoofing », technique par
laquelle un exécutable malveillant tente de se faire passer pour une fenêtre de
connexion valable, afin d’obtenir une identité et un mot de passe.
Ces caractéristiques avancées comprennent le nom de l’exécutable, la taille,
l’emplacement et la signature.
Fonctions d’audit
Cette fonction est disponible via un appel de DLL externe pouvant fournir tout type de
rapport (journal, alerte SNMP, SQL load, etc.)
SSOEngine collecte les événements liés à la session utilisateur et à des opérations de
connexion unique.
Les types de rapports d’audit sont :
Format CSV
Journal des événements Windows
Alerte (trap) SNMP
Les fonctions d’audit avancées sont disponibles avec l’option Evidian Audit and
Reporting
SSOStudio
SSOStudio permet de gérer et configurer les règles d’authentification unique.
Interface graphique intuitive
SSOStudio propose une interface graphique intuitive (voir Figure 9).
39 F2 28LU Rev01
18
Access Management
De simples actions glisser/déplacer permettent à l’administrateur de gérer les profils
des applications, les fenêtres « login » (connexion) et « change password » (modifier
le mot de passe), et les règles de mots de passe.
Figure 9.
SSOStudio permet de gérer et configurer les
authentifications uniques
Liste des applications
Plusieurs types d'accès
suivant les technologies
(web, Citrix, etc …)
Plusieurs fenêtres peuvent être
définies pour une application
Les paramètres régionaux sont
pris en charge pour gérer les
combinaisons d'application et
de langue
Accès rapide aux
principales opérations
Principales fonctions
Les principales fonctions de SSOStudio sont :
Gestion de plusieurs fenêtres pour une seule application,
Pré-définition des réponses ou du comportement,
Gestion de formulaires HTML (Internet Explorer),
Gestion d’émulateurs de terminaux, définition de bannières,
Gestion d’éléments d’accréditation de sécurité,
Des applications en nombre illimité peuvent utiliser les mêmes éléments
d’accréditation (combinaison connexion/mot de passe),
Un utilisateur a le choix entre différents éléments d’accréditation pour la même
application,
Gestion de paramètres complémentaires (pas uniquement connexion/mot de
passe),
Gestion des mots de passe incorrects,
Gestion de l’expiration des mots de passe,
39 F2 28LU Rev01
19
Access Management
Renouvellement des mots de passe par intervention de l’utilisateur ou génération
de mots de passe aléatoires,
Application de règles de mots de passe par application ou groupe d’applications,
Gestion de formats de mots de passe complexes,
Saisie de mots de passe lors de la connexion initiale, ou lors de la
désynchronisation,
Possibilité de changer les mots de passe,
Possibilité de débloquer la connexion unique pour certaines ou toutes les
applications auxquelles l’utilisateur a accès,
Script graphique personnalisé
A l’aide d’un éditeur de scripts graphique (CustomScript), les administrateurs peuvent
définir de nouvelles actions de connexion unique en les créant à partir d’actions
élémentaires basiques.
La définition d’actions avec CustomScript est réalisée via une interface graphique,
sans avoir à effectuer un développement spécifique. L’éditeur de scripts permet
d’intégrer des routines externes développées pour une fonction spécifique.
SSOStudio fournit des mécanismes pour scénarios de connexions uniques. Par
exemple, des scripts peuvent demander des arguments à une application externe
avant de se connecter à une application.
39 F2 28LU Rev01
20
Access Management
La Console de Management
La Console de Management d’Evidian Enterprise SSO propose une interface
graphique intuitive pour gérer les règles étendues d’authentification unique
(voir Figure 10).
Figure 10. Une console graphique et intuitive pour gérer les
règles de connexion unique étendues
Politique
d'application
étendue
Analyses
d'audits
Politique de carte
étendue
Politique de points
d'accès
Affichage et réutilisation
des définitions LDAP
(utilisateurs, groupes, U.O.)
Administration étendue des règles
Cette console permet de gérer des fonctions étendues telles que :
Définition de rôles d’administration :
Suivant les unités organisationnelles ou le groupe d’utilisateur, la Console de
Management fournit des vues dédiées des fonctions d’administration étendues.
Application étendue et règle de connexion unique :
Par exemple, suivant la règle pour les applications, la Console de Management
permet de suspendre, modifier ou révoquer des comptes. Les administrateurs
peuvent en outre déléguer des comptes entre des membres d’un groupe autorisé.
39 F2 28LU Rev01
21
Access Management
Par exemple, suivant la règle définie pour les mots de passe, la Console de
Management peut permettre aux administrateurs de créer, mettre à jour et
supprimer des mots de passe. Ainsi, de nouvelles applications peuvent être
entièrement déployées par une seule opération sur la console d’administration,
sans intervention de l’utilisateur final. Les mots de passe sont cachés aux
utilisateurs finaux.
Règle de point d’accès :
La Console de Management permet la définition d’éléments obligatoires d’adresse
IP d’une station de travail, plannings, etc.
Grâce à la Console de Management, des données de connexion unique et
d’authentification peuvent être associées à des stratégies de sécurité avancées.
Règles de sécurité étendues
La Console de Management permet de définir et d’affecter des règles de sécurité
étendues associées à des rôles utilisateurs dans l’organisation.
Par exemple :
« G. Martin » est autorisé à accéder à « application-x » avec
le mot de passe « ******* »
Seulement de « 07h30 » à « 19h00 », et « pas pendant les week-ends »
Seulement depuis la station de travail avec les « adresse/id » suivants…
Il est ainsi possible de bloquer la connexion à des applications spécifiques en dehors
de certaines conditions de temps ou géographiques, si nécessaire.
Importation/Exportation de comptes de connexion unique
La Console de Management comprend une interface d’exportation/importation.
Ce mécanisme permet de générer de nouveaux comptes pour des éléments
d’accréditation d’authentification unique et de les exporter dans un format standard
vers un système de provisionnement.
Une fonction d’exportation permet de générer de nouveaux comptes pour des
éléments d’accréditation de connexion unique et de les exporter dans un format
standard vers un système de provisionnement.
Une fonction d’importation permet de créer des éléments d’accréditation de
connexion unique depuis un fichier généré par un système de provisionnement.
API de provisionnement
Les API de provisionnement permettent à un programme externe de créer, modifier
ou supprimer les données d’authentification unique (SSO) de Evidian Enterprise SSO.
39 F2 28LU Rev01
22
Access Management
Cela permet à des systèmes de provisionnement tiers de distribuer automatiquement
des identités et mots de passe d’utilisateurs via Evidian Enterprise SSO:
Lorsqu’il provisionne un nouvel utilisateur dans l’organisation, le système de
provisionnement insère directement les éléments d’accréditation de l’utilisateur
dans les conteneurs SSO.
A chaque fois qu’un mot de passe doit être redéfini dans des applications,
systèmes ou bases de données, le système de provisionnement met à jour
simultanément les mots de passe dans les données d’authentification unique et
dans les comptes des applications ciblées.
Quand l’accès d’un utilisateur à une application, un système ou une base de
données arrive à échéance, le système de provisionnement retire les identités et
mots de passe correspondants des données d’authentification unique.
Quand un utilisateur quitte l’entreprise, le système de provisionnement supprime
instantanément toutes les identités et tous les mots de passe dans les applications
ainsi que dans les données d’authentification unique.
Toutes ces opérations peuvent être automatiquement lancées et contrôlées par un
système de provisionnement d’un tiers (par exemple Sun Identity Manager ou IBM
Tivoli Manager).
Les API de provisionnement permettent :
D’améliorer le confort et la productivité de l’utilisateur final :
•
Plus de distribution de mots de passe
•
Les utilisateurs n’ont plus besoin de taper leur mot de passe
De renforcer la sécurité :
•
Les administrateurs ne connaissent jamais le mot de passe des utilisateurs
finaux
•
La politique des mots de passe est appliquée
L’API de provisionnement est une API native C/C++ pour les systèmes Windows.
Elle nécessite une authentification d’administrateur.
L’API est également disponible pour les autres systèmes que Windows par un service
web SOAP.
39 F2 28LU Rev01
23
Access Management
Access Collector
Le module Evidian Access Collector est un sous-ensemble de Evidian Enterprise SSO
base. Ce module doit être utilisé lorsque vous avez besoin de collecter les droits
effectivement utilisés par les utilisateurs à travers votre organisation. Les fonctions de
SSO ne sont pas activées.
Le comportement du moteur du module Access Collector
Quand un utilisateur lance une application qui est détectée par le moteur sur le PC,
Access Collector démarre la collecte si cette dernière n’a pas déjà été effectuée pour
cette application. Si les données du compte ont déjà été collectées, rien ne se passe.
Sinon, les données collectées sont stockées dans l’annuaire LDAP.
Si une fenêtre de « mot de passe erroné » est détectée lors de la phase de collecte,
les données collectées sont détruites ou, si la fenêtre « mot de passe erroné » le gère,
de nouvelles données sont collectées.
Si la fenêtre « mot de passe erroné » apparaît en-dehors de la phase de collecte, les
données du compte ne sont pas détruites.
Une fois les données du compte collectées, les fonctions de Access Collector sont
désactivées.
Données collectées
Les données collectées au sein du LDAP sont, pour chaque compte :
- l’identifiant Windows
- le nom de l’application
- l’identifiant utilisateur pour l’application.
Le mot de passe n’est jamais collecté.
Pourquoi utiliser le module Access Collector plutôt que Evidian Enterprise SSO base
Vous pouvez collecter les mêmes données avec Evidian Enterprise SSO base
puisque le module Access Collector en est un sous-ensemble avec certaines
limitations. Par exemple, les données d’audit ne sont pas disponibles avec le module
Access Collector.
D’un autre coté, le déploiement d’Access Collector est simplifié car, par exemple,
vous n’avez pas besoin de gérer les fenêtres de dialogue de changement de mot de
passe.
Que faire avec les données collectées
Les données collectées peuvent être utilisée pour créer une base centrale des
comptes. En effet, les données collectées permettent de faire le lien entre un compte,
l’identifiant de l’utilisateur pour ce compte et l’identifiant Windows de l’utilisateur qui
identifie de manière unique un utilisateur.
39 F2 28LU Rev01
24
Access Management
Cette base centrale peut être utilisée comme point de départ pour la mise en œuvre
de votre politique globale via Evidian Policy Manager ou Evidian Approval Workflow.
Mobile E-SSO
Lorsqu’ils se connectent à partir d’un ordinateur externe (cybercafé, ordinateur du
client ou ordinateur au domicile d’un ami, etc.), les utilisateurs peuvent se connecter à
leurs applications web par un portail web ou par des agents web distribués. Le portail
et les agents appliqueront la politique de sécurité et utiliseront l’identifiant et le mot de
passe de l’application ciblée de façon transparente.
Figure 11.
Mobile E-SSO, une extension « pur Web » de
Enterprise SSO
Annuaire LDAP
E-Mail
mySAP
accès
INTRANET
ID, droits d’accès,
mots de passe chiffrés
Enterprise SSO
client local
WebSphere
Annuaire LDAP
E-Mail
mySAP
HTTPS
accès Web
INTERNET
ID, droits d’accès,
mots de passe chiffrés
Mobile E-SSO
passerelle
WebSphere
Mobile E-SSO, option de Evidian Enterprise SSO, fournit les fonctionnalités suivantes :
La connexion à une application web ciblée est effectuée en utilisant l’identité et le
mot de passe qui sont définis par l’accès SSO standard.
Un menu de navigation peut afficher dynamiquement seulement les applications
web dont l’utilisateur a besoin et auxquelles il est autorisé à accéder.
L’infrastructure d’authentification web est basée sur une technologie de passerelle.
La topologie du réseau de l’entreprise peut être cachée en renommant à la volée
les véritables URL des applications ciblées.
39 F2 28LU Rev01
25
Access Management
La passerelle propose une option d’équilibrage de la charge et de basculement. Il
est ainsi possible de rendre la passerelle tolérante aux pannes.
Les utilisateurs peuvent être authentifiés par une authentification forte (mot de
passe, cartes à puce, certificats, Kerberos, OTP et SAML).
L’accès peut être filtré en se fondant sur l’adresse IP de l’ordinateur de l’utilisateur.
La connexion entre le navigateur de l’utilisateur et Mobile E-SSO peut être
sécurisée avec un chiffrement SSL (même si l’application ciblée ne gère pas SSL).
Evidian Strong Authentication
Evidian Strong Authentication est un composant en option de la solution Evidian
Enterprise SSO qui renforce l’authentification des utilisateurs (voir Figure 12).
Alors que Evidian Enterprise SSO n’a pas besoin de GINA (module d’authentification)
spécifique, Evidian Strong Authentication utilise une GINA Evidian.
Figure 12.
Evidian Strong Authentication renforce
l'authentification des utilisateurs
Une GINA
protège la
session
Windows
Authentification à
plusieurs facteurs
Ergonomie
GINA standard
Evidian Strong Authentication fournit toutes les fonctions de l’authentification standard
Windows (GINA) et propage l’authentification vers le domaine Windows.
39 F2 28LU Rev01
26
Access Management
Biométrie
Evidian Strong Authentication peut gérer les opérations liées à l’authentification
biométrique telles que l’enrôlement des utilisateurs, le stockage de leurs données
biométriques ainsi que leur authentification biométrique.
Evidian Strong Authentication sait travailler selon deux modes différents : « stockage
sur PC » ou « stockage sur carte à puce »
Authentification
Stockage sur PC
Stockage sur carte à puce
Seule l’authentification
biométrique est disponible.
Authentification biométrique et
par carte à puce. L’empreinte
digitale remplace le code PIN
L’empreinte digitale
remplace l’identifiant et le
mot de passé.
Stockage des
données
biométriques
Sur le PC dans le cache
sécurisé de Evidian
Enterprise SSO.
Dans la carte à puce
Enrôlement
L’utilisateur doit s’enrôler
sur tous les postes où il
souhaite travailler.
L’utilisateur ne doit s’enrôler
qu’une fois dans sa carte à
puce.
Blocage/Déblocage du PC
Quand les données du PC sont stockées sur le PC, un utilisateur doit presser les
touches CTRL+ALT+DEL et cliquer sur le bouton « Lock » pour bloquer le PC. Pour le
débloquer, l’utilisateur doit juste présenter son empreinte digitale.
Quand les données du PC sont stockées sur la carte à puce, un utilisateur doit juste
retirer sa carte pour bloquer le PC. Pour débloquer le PC, l’utilisateur doit présenter sa
carte et son empreinte digitale.
Gestion des cartes (CMS / Card Management System)
Evidian Strong Authentication permet de gérer au sein de la console de Management
les cartes ou les jetons utilisés pour l’authentification initiale.
Les cryptocartes peuvent contenir soit l’identifiant et le mot de passe de l’utilisateur
soit le certificat X.509 de l’utilisateur.
La gestion des cartes couvre les tâches comme l’enrôlement, le blacklisting, la
réinitialisation d’une carte, ou le déblocage du PIN Code d’une carte.
Le PIN code d’une carte peut être débloqué :
sur le PC par l’utilisateur via l’option Evidian Self-Service Password Reset
ou à distance par l’équipe du help desk.
39 F2 28LU Rev01
27
Access Management
Authentification PKI (PKA)
L’option Evidian PKA permet aux utilisateurs d’utiliser une cryptocarte X.509 pour
s’authentifier, que cette carte soit gérée par Evidian Enterprise SSO ou non (carte
nationale d’identité, carte des professionnels de la santé,…).
Enrôlement d’une carte externe
Lorsqu’un utilisateur présente pour la première fois sa carte, le module Evidian Strong
Authentication :
Vérifie la validité du code PIN fourni
Collecte le mot de passe et le certificat publique de l’utilisateur
Vérifie la validité du certificat publique (signature, date et statut de révocation)
Enregistre les informations dans le LDAP et l’associe à l’utilisateur courant.
La carte peut alors être utilisée pour les authentifications ultérieures.
Authentification
Lors d’authentifications ultérieures, Evidian Strong Authentication vérifie la validité du
code PIN et du certificat puis autorise ou refuse l’accès au PC.
La vérification du statut des certificats supporte les protocoles CRL ou OCSP.
Autoriser l’authentification PKA
Pour autoriser une authentification PKA, l’administrateur doit déclarer l’autorité de
certification associée via la console de Management.
L’administrateur peut alors autoriser voire même rendre obligatoire l’authentification
PKA pour un ou plusieurs utilisateurs ou encore pour un ou plusieurs postes de travail.
L’identification « Active RFID »
Un badge « Active RFID » est en général positionné sur l’utilisateur lui-même afin que
lorsqu’il quitte son PC, son départ puisse être détecté par le PC.
L’identification « Active RFID » permet de détecter le départ d’un utilisateur. C’est la
fonction de « constat d’absence ».
Processus d’identification
Lorsqu’un utilisateur s’approche d’un PC, son badge « Active RFID » est détecté. Le
PC lui demande alors son mot de passe pour se connecter. Si plusieurs utilisateurs
sont détectés, un champ « combo box » lui propose alors de choisir son identifiant
avant de fournir son mot de passe.
39 F2 28LU Rev01
28
Access Management
Lorsqu’un utilisateur quitte son PC, la session est bloquée. Si il revient avant un délai
configurable, son PC est débloqué automatiquement, sinon il doit fournir à nouveau
son mot de passe.
La gestion des badges « Active RFID »
Les badges « Active RFID » sont gérés de la même manière que les cryptocartes. Les
opérations de gestion sont : déclaration, enrôlement, blacklisting,…
Pour un ou plusieurs utilisateurs et/ou pour un ou plusieurs points d’accès, il est
possible de déclarer l’identification « Active RFID » : interdite, autorisée ou
obligatoire.
Evidian Audit et Reporting
Evidian Enterprise SSO permet de collecter les événements concernant
l’authentification, l’autorisation, la connexion des utilisateurs et les opérations
d’administration.
Evidian Audit et Reporting propose un ensemble rapport préconfigué fournissant une
vue cohérente des accès aux applications. Evidian Audit et Reporting permet ainsi
aux administrateurs de contrôler le respect des règles de sécurité.
Les données collectées permettent de produire des rapports (par exemple pour
Sarbanes-Oxley) relatifs aux accès des utilisateurs ou à la mise en oeuvre de la
politique de sécurité. Ces rapports peuvent s’intégrer dans une chaîne de sécurité
(risque, objectif de contrôle, activité de contrôle, test d’activité de contrôle).
Exemples de rapports
Suppression des comptes inactifs
Domaine
Contenu
Modèle de l’ITGI
« Des procédures existent et sont appliquées pour assurer
une action rapide concernant la demande, l’établissement,
l’émission, la suspension et la fermeture des comptes
d’utilisateur. »
Exemple de risque
Les utilisateurs qui ne sont plus actifs (longue maladie, etc.)
ont des comptes inactifs qui pourraient être exploités.
Objectif de contrôle
Retirer régulièrement les utilisateurs inactifs.
Exemple d’activité de Lorsqu’un utilisateur n’a pas utilisé son poste de travail depuis
contrôle
90 jours, il doit être désactivé et/ou retiré de la base dans un
délai de 2 semaines.
Exemple de test
d’activité de contrôle
39 F2 28LU Rev01
Demander la liste des membres du groupe d’utilisateurs
« Comptabilité » qui n’ont pas utilisé leur poste de travail
depuis 90 jours.
29
Access Management
Suppression des comptes orphelins
Domaine
Contenu
Modèle de l’ITGI
« Un processus de contrôle existe et est suivi de façon à
réviser et confirmer régulièrement les autorisations d’accès. »
Exemple de risque
Les autorisations d’accès pourraient être octroyées
individuellement, en dehors de la politique de la société,
créant des brèches de sécurité.
Détecter et supprimer les comptes qui ont été créés en
dehors de la politique de sécurité.
Exemple d’activité de Comparer la liste des comptes utilisés via le SSO d’entreprise
contrôle
et l’état attendu dérivant de la politique de sécurité.
Exemple de test
Comparer la liste des comptes déclarés dans le SSO et la
liste des employés de la société.
Domaine
Contenu
Exemple de risque
L’accès à l’application pourrait être octroyé par erreur à des
utilisateurs n’ayant pas besoin de cet accès dans l’exercice de
leurs fonctions.
Les groupes d’utilisateurs doivent être conçus pour fournir
l’accès aux applications par les utilisateurs qui ont réellement
besoin de l’accès.
Auto-inscription
Exemple d’activité de Mettre des applications spécifiques en mode d’autocontrôle
inscription. Quelques temps après, regarder quels utilisateurs
se sont réellement inscrits. Les définitions des groupes
d’utilisateurs devraient être révisées si des utilisateurs
n’utilisent en fait pas l’application.
Exemple de test
Pour les applications nécessitant une auto-inscription,
demander la liste des utilisateurs ayant réellement effectué
une auto-inscription. La comparer à la liste des utilisateurs
censés utiliser l’application.
Enregistrement des accès aux applications
Domaine
Contenu
Modèle de l’ITGI
« Le cas échéant, des contrôles existent pour assurer
qu’aucune partie ne puisse nier des transactions, et des
contrôles sont réalisés pour produire une non-répudiation
d’origine ou de réception, preuve de dépôt et de réception de
transactions. »
39 F2 28LU Rev01
30
Access Management
Exemple de risque
Un utilisateur pourrait nier avoir accédé à une application
spécifique.
Enregistrement des accès aux applications
Exemple d’activité de Les accès aux applications individuelles doivent être
contrôle
enregistrés et l’historique des accès doit être stocké de façon
centrale.
Exemple de test
Demander la liste des accès à une application sensible
spécifique sur une période donnée.
Evidian Self-Service Password Reset
Même si le Single Sign-On réduit de manière drastique le nombre de mots de passe
gérés, un utilisateur peut de temps en temps oublier son mot de passe principal ou
son code PIN. Evidian Self-Service Password Reset permet à l’utilisateur de reinitialiser lui-même son mot de passe soit via un site Web soit via son PC
directement.
Redéfinition du mot de passe principal via un site Web
Le département informatique peut mettre en place un site web où les utilisateurs
peuvent déverrouiller eux-mêmes leur mot de passe principal. Ils doivent auparavant
rédiger eux-mêmes quelques questions et réponses de contrôle.
Quand un utilisateur perd son mot de passe principal, il peut lancer un navigateur
web, accéder à une URL de redéfinition de mot de passe et donner les bonnes
réponses aux questions prédéfinies. L’utilisateur peut alors choisir un nouveau mot de
passe.
Si l’utilisateur se connecte avec un jeton matériel (par exemple une carte à puce ou
une clé USB) et le perd, la même procédure permet de créer un mot de passe à
utiliser à la place du jeton.
L’activation de cette fonctionnalité est évidemment optionnelle, à la discrétion du
département informatique.
Un accès d’urgence en tout lieu, à tout moment
Si les utilisateurs finaux ont perdu leur mot de passe principal ou leur code PIN, il leur
suffit de cliquer sur un bouton « SOS » sur leur écran de connexion Windows. Après
avoir répondu correctement à quelques questions prédéfinies, ils seront capables de
redéfinir leur mot de passe. Cela fonctionne même si l’utilisateur n’est pas connecté
au réseau (par exemple d’une chambre d’hôtel).
En cas de perte du mot de passe, les utilisateurs peuvent se connecter en utilisant
le nouveau mot de passe qu’ils redéfinissent eux-mêmes. Il n’est pas nécessaire
d’appeler l’assistance.
En cas de perte du code PIN d’une carte gérée via la Console de Management,
l’utilisateur doit cliquer sur un bouton pour obtenir une chaîne de caractère de
« formule d’identification » et la fournir à l’assistance. L’assistance fournit une
39 F2 28LU Rev01
31
Access Management
chaîne de caractères de « réponse » et l’utilisateur peut se connecter en utilisant
un nouveau PIN. Si l’assistance n’est pas disponible, l’utilisateur peut se connecter
avec un mot de passe temporaire.
Avec cette solution, l’accès d’urgence est possible même si aucune session Windows
n’est ouverte, en ligne ou hors ligne, à toute heure. En outre, la solution réduit les
coûts d’assistance en éliminant la plupart des appels de redéfinition des mots de
passe et codes PIN.
Evidian Kiosk Mode (Changement rapide d'utilisateur)
Certains environnements exigent que de multiples utilisateurs puissent partager le
même poste de travail, tout en commutant d'une session à l'autre aussi rapidement
que possible.
C'est, par exemple, le cas pour des urgences des hôpitaux, où les infirmières et les
médecins ont besoin d'un accès immédiat à leurs informations, ou encore le cas des
postes de travail des vendeurs de surfaces spécialisées qui doivent pouvoir vérifier
les stocks ou enregistrer les commandes avant que leurs clients ne changent d'avis.
Puisque le dispositif rapide de changement d'utilisateur intégré à Windows XP n'est
pas disponible dans les versions 'entreprise, la manière standard de changer
d’utilisateur exige la fermeture de la session Windows puis son ouverture. Cette
procédure est souvent trop longue et n’est pas acceptable pour les PC en libreservice. Le contournement mis en place par les utilisateurs est de n’utiliser qu’une
seule session Windows toujours ouverte, ce qui induit des failles de sécurité.
Le changement rapide d'utilisateur de Evidian Kiosk Mode fournit une solution où la
session de Windows demeure la même d'un utilisateur à l'autre mais où le contexte
de sécurité, et l'ouverture/fermeture d'application sont traités individuellement pour
chaque utilisateur.
La session de Windows est un compte générique qui n'a aucun droit en propre.
Cette fonctionnalité peut être couverte de deux manières :
1.
Au niveau de l’authentification
2.
Au niveau de session
39 F2 28LU Rev01
32
Access Management
Le changement rapide d'utilisateur au niveau de l’authentification
Dans ce mode, la fermeture et l’ouverture de la session Windows est contrôlée par la
GINA d’Evidian. Lorsqu’un utilisateur enlève sa carte à puce, la session est
automatiquement bloquée. Si le même utilisateur revient au même poste de travail, il
trouvera ses applications encore ouvertes. Mais, si un autre utilisateur se connecte à
ce poste de travail, le module de moteur de SSO clôture automatiquement les
applications avant d’effectuer un changement rapide d’utilisateur.
Evidian Kiosk Mode fournit des dispositifs de classement hiérarchique des utilisateurs
afin de contrôler les droits à effectuer des changements rapides d’utilisateur. Ces
mécanismes permettent par exemple de permettre à un docteur d'ouvrir la session
d'une infirmière, mais d'interdire l'opposé.
Commutation rapide d'utilisateur au niveau de session
Dans certains cas, le contexte exige que la session du poste de travail demeure
ouverte pour fournir un accès publique et restreint à tout le monde et un accès élargi
mais contrôlé à certains.
Dans ce cas-ci, la session Windows est ouverte comme d'habitude en utilisant un
compte commun, ou le dispositif d'auto-logon, mais le moteur de SSO ne sera
démarré que lors de l’insertion d’une carte à puce par un utilisateur. Lors du retrait de
la carte à puce, le moteur de SSO est arrêté et les applications configurées sont
fermées, mais la session Windows reste ouverte.
Les cartes à puce pour le changement rapide d'utilisateur
Le changement rapide d'utilisateur nécessite généralement une authentification par
carte à puce afin que Evidian Kiosk Mode puisse détecter le départ des utilisateurs.
39 F2 28LU Rev01
33
Access Management
Intégration avec “Evidian User Provisioning”
Evidian Enterprise SSO est pré-intégré avec Evidian User Provisioning.
Cette pré-intégration permet de créer/modifier/supprimer les données de SSO d’un
utilisateur via User Provisioning.
Ainsi, un utilisateur n’a plus besoin de gérer ses identifiant et ses mots de passe, qu’il
se connecte via son poste de travail ou à partir d’un accès externe Web.
L’administrateur doit simplement déclarer/modifier/supprimer une seule fois les
attributs de l’utilisateur pour déployer automatiquement les données sur les comptes
applicatifs et système ainsi que les données de SSO dans l’annuaire de Evidian
Enterprise SSO.
Figure 13. Evidian Enterprise SSO et Evidian User Provisioning
q Les données de
Evidian Role Management
SSO sont
automatiquement
mises à jour
n Rôles assignés aux
Enterprise
WiseGuard
SSO
middleware
middleware
utilisateurs
Enterprise
WiseGuard
SSO
Web Service
Provisioning
User Provisioning
Manager
p Les
opérations de
provisionnement
sont notifiées à
.
Enterprise SSO
39 F2 28LU Rev01
o Les comptes utilisateurs sont
créés dans les systèmes cibles
34
Access Management
Profitez de votre architecture LDAP distribuée pour
Evidian Enterprise SSO exploite l’architecture LDAP distribuée existante (voir Figure
14)
Figure 14.
Disponibilité élevée
Evolutivité élevée
l'architecture LDAP distribuée pour
Pas de duplication de l'infrastructure
(pas
(pas
de de
serveur
serveur
d'authentification
d'authentification
)
ou de politique )
AD
ou
annuaire
LDAP
AD
ou
annuaire
LDAP
Middleware
Middleware
Politique d'authentification
unique dans chaque
annuaire LDAP
AD
ou
annuaire
LDAP
Middleware
AD
ou
annuaire
LDAP
Middleware
Ainsi, Evidian Enterprise SSO est compatible avec des annuaires tels que Microsoft
Active Directory, Sun Java System Directory Server, Novel eDirectory, Fedora
Directory Server, NEC EDS, IBM Tivoli Directory Server ou OpenLDAP.
Si l’on utilise Active Directory, le module d’authentification (GINA) standard de
Windows suffit. Sinon, il vous faut utiliser le module GINA d’Evidian (disponible dans
Enterprise SSO base). Dans tous les cas, le module GINA d’Evidian est nécessaire
pour utiliser des méthodes d’authentification forte telles que carte à puce ou biométrie.
Aucun serveur d’authentification supplémentaire
Aucun serveur d’authentification ou de règles supplémentaire n’est nécessaire.
L’infrastructure n’est pas dupliquée. Le serveur d’authentification de Evidian
Enterprise SSO est le répertoire LDAP de l’organisation. Ainsi, les mécanismes
standard des répertoires LDAP garantissent le niveau d’évolutivité élevé de la
solution.
Toutes les règles d’authentification unique sont gérées et enregistrées dans les
annuaires LDAP existants. Le mécanisme de réplication standard de LDAP est utilisé
pour répliquer les règles d’authentification unique sur tous les annuaires.
39 F2 28LU Rev01
35
Access Management
Une architecture sécurisée
Avec Evidian Enterprise SSO, tous les liens de communication internes et le stockage
des données sont sécurisés (voir Figure 15).
Stockage des données de SSO
Evidian Enterprise SSO utilise différentes technologies de stockage (base de
données, LDAP, carte à puce).
Il n’y a pas de base de données de SSO dédiée. Evidian Enterprise SSO utilise un
mode de stockage externe comme un annuaire LDAP existant.
Chiffrement de données de connexion unique dans le
répertoire
Bien que Evidian Enterprise SSO utilise un stockage externe, ses données restent
sécurisées.
Pour cela, Evidian Enterprise SSO utilise une couche de sécurité indépendante pour
garantir la sécurité des éléments d’accréditation. Cela permet de stocker des données
dans des annuaires existants et de profiter de leur nature distribuée. La gestion des
®
secrets est soumise à la technologie Evidian CertiPass .
®
La technologie CertiPass gère les données secrètes dans l’annuaire LDAP en
utilisant une infrastructure à clé interne ou une infrastructure à clé publique externe.
Cela permet d’activer tous les mots de passe pour les applications et de masquer les
ressources, tout en garantissant leur intégrité et leur propriété, et en appliquant les
règles de sécurité définies dans le schéma des annuaires telles que le
provisionnement des mots de passe ou la délégation de l’accès entre utilisateurs
autorisés.
Tous les mots de passe sont protégés par des mécanismes en plus de ceux du
système de stockage (listes de contrôle d’accès LDAP V3).
Les données d’authentification unique fournies par Evidian Enterprise SSO aux
applications sont chiffrées pour le stockage.
L’architecture de stockage ouverte pour les données protégées est composée de
différents composants pour la protection et le stockage et représentée sur le schéma
ci-dessous :
39 F2 28LU Rev01
36
Access Management
Figure 15.
Les liens de communication internes et le stockage
des données sont sécurisés
Répertoire LDAP
Active Directory
Stockage
Éléments d'accréditation et clés
d'authentification unique sont
stockés chiffrés
Clé d’authentification unique
protégée par une clé publique
(interne ou émise par une
infrastructure
à clé publique externe)
Éléments d'accréditation
d’authentification unique
protégés par une clé
d’authentification unique
Les éléments d'accréditation
utilisateur sont déchiffrés
avec la clé d'authentification
unique
Protection
Enterprise
SSO
®
SSO Watch
Cryptographie externe
Clé privée de module
Carte
La clé d'authentification
unique est déchiffrée via les
services cryptographiques
externes
C/S
Web
Existante
Console
Applications
Le mécanisme de protection peut être modifié, ou plusieurs méthodes peuvent être
utilisées.
Evidian Enterprise SSO base permet l’utilisation de nombreuses clés de chiffrement
et une migration aisée de l’une à l’autre.
L’accès aux données d’authentification unique est protégé par un mot de passe
généré de façon aléatoire.
Utilisation de l’infrastructure à clé publique externe
Une infrastructure à clé publique externe peut être utilisée pour protéger l’accès aux
données d’authentification unique. Dans ce cas, on utilise la paire de clés RSA
associée au certificat pour protéger l’accès à la clé d’authentification unique et donc
aux données d’authentification unique.
Le contrôle de validité du certificat peut être réalisé avant l’utilisation de la paire de
clés RSA associée.
39 F2 28LU Rev01
37
Access Management
Il est recommandé d’utiliser un certificat dédié à l’authentification unique
ou au chiffrement.
Transfert du chiffrement de données de connexion unique
Les données de SSO sont chiffrées comme décrit précédemment, avant le transfert et
le stockage dans le répertoire. Il n’y a pas de transfert de données de SSO entre les
composants de Evidian Enterprise SSO.
Toutes les données de SSO sont transférées depuis et vers le répertoire.
Gestion et chiffrement du cache d’authentification unique
Un cache d’authentification unique existe au niveau des stations de travail de sorte
que Evidian Enterprise SSO puisse fonctionner lors d’une déconnexion.
Le cache d’authentification unique est chiffré et stocké sur le disque dur de la station
de travail de l’utilisateur. Dans la version autonome de Evidian Enterprise SSO (si
l’annuaire n’est pas utilisé pour le stockage des données d’authentification unique), il
est stocké dans le profil utilisateur.
Le cache de SSO est chiffré et stocké suivant le même schéma que le chiffrement
dans le répertoire. Il est géré comme un ensemble de données chiffrées disponible en
lecture pour accélérer l’accès aux données d’authentification unique. Suivant les
paramètres du profil utilisateur, le cache d’authentification unique peut avoir une
date/heure de validité et demandera à être renouvelé par le middleware.
Cache pour la description et la configuration d’applications
Une fois chargée sur la station de travail de l’utilisateur, la liste des applications est
enregistrée en mémoire cache et mise à jour si besoin lors du démarrage de chaque
session de SSO.
La mise à jour du cache n’est réalisée qu’en cas de modification de la description des
applications.
Une trace au niveau du moteur d’authentification unique enregistre si le fichier de
mémoire cache de la liste des applications a été mis à jour.
39 F2 28LU Rev01
38
Access Management
Evidian File Encryption
Evidian File Encryption sécurise les informations sensibles dans le cadre d’un travail
en collaboration.
Evidian File Encryption permet aux employés de chiffrer des données sensibles
partagées ou transférées entre les membres d’un projet, d’un groupe de travail ou d’un
processus d’affaires.
Evidian File Encryption est une option de Evidian Enterprise SSO. Aucun hardware
supplémentaire n’est requis.
Chiffrement
Evidian File Encryption permet aux utilisateurs finaux d’importer les clés de
chiffrement gérées par les autorités administratives. Ensuite, Evidian File Encryption
facilite les opérations de chiffrement et de déchiffrement.
Toutes les opérations de chiffrement et de déchiffrement sont réalisées en utilisant les
menus accessibles en cliquant à droite (voir Figure 16).
Figure 16. Opérations de chiffrement et de déchiffrement faciles
utilisant un menu accessible par clic-droit
Plusieurs fichiers ou dossiers peuvent être sélectionnés. Une fois qu’un ou plusieurs
fichier(s) ou dossier(s) est/sont sélectionné(s), les opérations de chiffrement
apparaissent dans le menu accessible en cliquant sur le bouton droit de la souris.
Ainsi, l’utilisateur final peut sélectionner la clé utilisée et réaliser les opérations de
chiffrement et de déchiffrement.
39 F2 28LU Rev01
39
Access Management
Chiffrement automatique
Grâce à Evidian File Encryption, les utilisateurs peuvent définir des dossiers d’autochiffrement. Une clé de chiffrement dédiée est associée à un dossier d’autochiffrement.
Lorsqu’un ou plusieurs fichiers sont glissés ou copiés dans un dossier d’autochiffrement, ces fichiers sont automatiquement chiffrés. Une icône de clé s’affiche sur
lesdits dossiers d’auto-chiffrement.
Cette solution permet de définir plusieurs
dossiers d’auto-chiffrement. Ainsi, si un
employé doit transférer des documents
vers plusieurs équipes de travail, il peut
associer une clé dédiée à une équipe de
travail dédiée.
Lorsqu’un fichier est glissé ou copié dans un dispositif de stockage amovible, le fichier
est automatiquement chiffré. Cette caractéristique est utile dans la mesure où elle
prémunit contre le vol de données sur des moyens de stockage amovibles.
Chiffrement autopilote
Une fonction de chiffrement autopilote est disponible pour chiffrer des fichiers lors
d’opérations « Enregistrer sous… », par exemple lorsque l’utilisateur sauvegarde un
document avec Microsoft Word.
Ainsi, le mécanisme File Encryption vérifie les dossiers d’auto-chiffrement et chiffre
régulièrement tous les fichiers non chiffrés détectés.
Partage des clés avec des collègues
Une fois qu’un(e) employé(e) a chiffré un fichier sensible, l’utilisateur/-trice final(e)
peut envoyer ce fichier à un(e) collègue (notamment par courrier électronique, Skype,
Microsoft Live Messenger). Pour déchiffrer le fichier reçu, le/la collègue doit partager
une clé secrète avec l’expéditeur/-trice (voir Figure 17).
Figure 17. Partage d’une clé avec un(e) collègue
2.
Employé(e)
39 F2 28LU Rev01
Employé(e)
40
Access Management
Pour renforcer la sécurité quand un(e) employé(e) travaille avec plusieurs équipes de
travail, il ou elle doit partager des clés secrètes différentes pour chaque groupe ou
équipe de travail. Ainsi, l’employé(e) sécurise les informations transférées et empêche
les données sensibles d’être transférées aux mauvaises personnes.
La politique de gestion et le déploiement des clefs de groupe sont mis en œuvre par
l’administrateur central de Evidian Enterprise SSO, sur la base des groupes LDAP.
Auto-déchiffrage pour les équipes de travail externes
Lorsque les employés doivent envoyer des fichiers chiffrés à des partenaires en
dehors de l’entreprise :
Il n’est pas nécessaire de partager une clé avec un partenaire externe, mais
seulement de communiquer un mot de passe de sécurité associé au fichier chiffré.
Il n’est pas nécessaire d’installer Evidian File Encryption sur des postes de travail
externes.
Sur le menu accessible par clic-droit, les employés doivent simplement sélectionner
un item de menu, créer un fichier d’auto-chiffrement, envoyer le document au
partenaire externe et communiquer un mot de passe de sécurité (voir Figure 5). Il
utilise alors sa clef de chiffrement utilisateur.
Figure 18. Partage de fichiers d’auto-chiffrement avec un(e)
partenaire externe
Envoie des
fichiers par
courrier
électronique, etc.
Employé(e)
Fournit le mot
de passe par
téléphone
QQQQ
Partenaire
Le/La partenaire lit son courrier électronique, enregistre le fichier d’auto-chiffrement
sur son poste de travail et obtient le mot de passe de sécurité de son employé(e).
Le/La partenaire externe clique deux fois sur le fichier d’auto-chiffrement, puis saisit le
mot de passe de sécurité.
Pour renforcer la sécurité, l’employé(e) peut apporter une protection supplémentaire à
un fichier d’auto-chiffrement en configurant la suppression automatique si un certain
nombre de mots de passe incorrects est saisi.
39 F2 28LU Rev01
41
Access Management
Administration des clés
Evidian File Encryption offre des fonctions d’administration utilisées pour gérer les
clés secrètes.
Administration à base de rôle
Evidian Enterprise SSO propose un rôle d’administration dédié à la gestion des clefs
de Evidian File Encryption.
Création d’une clef pour un utilisateur
Il y a deux manières de créer une clef-utilisateur pour un utilisateur.
Pour un utilisateur spécifique, l’administrateur de Evidian File Encryption peut créer
une clef utilisateur via la console. Cette opération peut être faite pour utilisateur par
utilisateur.
Il est aussi possible de sélectionner dans un profile utilisateur les options de création
automatique des clefs. Chaque utilisateur associé à ce profile récupérera
automatiquement sa clef lors de sa connexion.
39 F2 28LU Rev01
42
Access Management
39 F2 28LU Rev01
43
Access Management
Distribution et récupération de clés
La distribution des clefs et leur intégration au module de chiffrement sont
automatiques sans intervention de l’utilisateur.
La politique de mise à jour des clefs suit la politique de mise à jour du cache.
Pour les clefs utilisateur, l’administrateur peut mettre en place un renouvellement
automatique des clefs.
Pour les clefs de groupe, l’administrateur central peut mettre en place une alarme qui
le préviendra avant que la clef ne soit plus valide.
Les clefs utilisateurs peuvent se trouver dans les états suivants.
Console de
Management
Signification
Clef active
Clef bientôt en fin de validité
Clef expirée
Clef active en attente de connexion utilisateur
Clef bientôt en fin de validité en attente de connexion
utilisateur
Clef expirée en attente de connexion utilisateur
39 F2 28LU Rev01
44
Access Management
Contrôler et sécuriser l'accès utilisateur avec le
SSO
Généralement, quand les entreprises évoluent vers l'accès en ligne, il incombe aux
administrateurs de chaque application de mettre en œuvre la sécurité. Avec l'ajout
d'applications, le nombre d'administrateurs et les règles de sécurité deviennent
rapidement impossibles à gérer. Ce type d'approche "puzzle" de la sécurité aboutit à
des problèmes de sécurité et à la frustration des utilisateurs finaux.
Mettre en place le contrôle d'accès à
toutes les applications
Evidian Web Access Manager permet de définir et de gérer les applications et les
ressources auxquelles peuvent accéder les utilisateurs. Afin d'éviter que chaque
administrateur de ressources ne contrôle la sécurité sur ses serveurs, Evidian Web
Access Manager centralise la gestion du contrôle d'accès aux ressources Web.
A l'aide d'une console facile à utiliser, un administrateur peut contrôler l'accès des
utilisateurs de façon dynamique. Les nouveaux employés peuvent être ajoutés aux
groupes appropriés et avoir immédiatement accès aux diverses applications. Avec, il
suffit d'un clic de souris pour interdire l'accès aux services de l'entreprise aux anciens
employés et partenaires. En outre, Evidian Web Access Manager permet de suivre
l'activité de tous les utilisateurs. Avec Evidian Web Access Manager, vous pouvez
mettre en œuvre une politique de sécurité complète pour l'ensemble des ressources
Web, internes et externes.
Contrôler les accès aux applications et aux URL
Les modules de contrôle des accès aux URL de Evidian Web Access Manager
peuvent être positionnés, soit sur une passerelle de sécurité qui vient en coupure de
ligne, soit auprès des applications elles-mêmes sur les mêmes serveurs.
Evidian Web Access Manager permet de mettre en place trois types d'architecture :
Purement "passerelle" dans laquelle le contrôle des accès se positionne en
coupure de ligne sur un point de passe obligé unique
Purement "Web agent" dans laquelle le contrôle des accès se positionne sur les
serveurs des applications à protéger
Mixte "Web agent"/"passerelle" dans laquelle, en fonction de la politique de
sécurité, de l'architecture réseau et applicative et de l'optimisation des flux
réseaux, les points de contrôle peuvent se positionner soit en coupure soit sur les
serveurs
Des autorisations dynamiques
Les autorisations d'accès aux URL et aux applications peuvent être calculées de
manière dynamique en utilisant des règles simples du type And, Or, Not appliquées
aux attributs de l'utilisateur disponibles dans l'annuaire LDAP. Ces règles sont définies
en central par l'administrateur puis appliquées par les modules de contrôles des
accès.
39 F2 28LU Rev01
45
Access Management
Authentification de l’utilisateur
Evidian Web Access Manager peut authentifier les utilisateurs via différentes
méthodes comme:
L’identifiant et le mot de passe
Le clavier virtuel. Ce clavier virtuel permet à un utilisateur de fournir son identifiant
et son mot de passe en cliquant sur un clavier positionné aléatoirement à l’écran.
Ce clavier virtuel offre une protection supplémentaire contre les « key loggers »
sans nécessiter de périphérique ou de logiciel supplémentaire.
OTP (mot de passe à usage unique)
Carte à puce avec certificat X.509
Jeton Kerberos
Jeton SAML
Méthode d’authentification à base du protocole Radius
Tracer l'activité de tous les utilisateurs
Toute politique de gestion d'accès requiert un contrôle. Evidian Web Access Manager
suit tous les accès des utilisateurs ou toutes les tentatives d'accès afin de protéger les
ressources Web, permettant ainsi aux administrateurs de savoir qui a accédé à quelle
application et quand.
Administre simplement et rapidement de multiples
accès Web
1. Séparation entre l'infrastructure de sécurité et
les applications.
2. Solution non intrusive sur les serveurs qui ne
demande pas de développements spécifiques.
3. Capacité de monté en puissance.
Evidian Web Access Manager est
compatible avec les outils
d'analyse de connexion tel que
NetlQ WebTrends, afin de
simplifier l'analyse des rapports
d'audit de sécurité faite par les
administrateurs.
Chiffrer les données confidentielles
Pour garantir la confidentialité des données échangées sur Internet, les partenaires
doivent ouvrir des sessions chiffrées. Comme de plus en plus d'entreprises travaillent
désormais en ligne, le chiffrement de chaque application Web devient problématique,
car toutes les applications ne permettent pas le chiffrement.
Avec Evidian Web Access Manager, toutes les communications avec le navigateur
peuvent être chiffrées. Les clients, employés et partenaires peuvent dialoguer en
toute confiance au sein de la communauté de sites gérés par Evidian Web Access
Manager.
39 F2 28LU Rev01
46
Access Management
Protéger les ressources du Web contre les attaques
Evidian Web Access Manager aide à prévenir les attaques des ressources Web
exposées sur Internet.
La passerelle de Evidian Web Access Manager cache l'adresse réelle des ressources
Web : cela modifie l'URL des applications Web pour empêcher les pirates de
connaître la topologie du réseau.
Evidian Web Access Manager contrôle également les entrées pour tous les accès
Web. Cela facilite la protection des applications Web nécessitant un code d'accès
contre les vers ou toute autre attaque provenant d'Internet.
La création des comptes utilisateurs
Evidian Web Access Manager s'intègre de manière cohérente dans les processus de
gestion des utilisateurs existants.
Utilisation des annuaires LDAP de l'entreprise
Evidian Web Access Manager réutilise la définition des utilisateurs de l'entreprise
dans les différents annuaires LDAP de l'entreprise. Les annuaires LDAP peuvent être
de fournisseurs différents, avoir des schémas différents et résider sur des sites
différents.
Création du compte par l'utilisateur
En fonction de la politique de sécurité mise en place, l'utilisateur peut être autorisé à
créer son propre compte dans un annuaire LDAP prédéfini en se connectant à Evidian
Web Access Manager. Son compte peut alors être intégré par un administrateur à la
politique générale de contrôle des accès de l'entreprise.
Réinitialisation du mot de passe primaire
Lorsque l'utilisateur a oublié son mot de passe primaire, Evidian Web Access Manager
lui offre la possibilité de réinitialiser ce mot de passe primaire grâce à l'utilisation d'un
formulaire de type question/réponse. L'utilisateur n'a pas besoin de faire appel au help
desk. La politique de création des mots de passe définie par l'entreprise (nombre de
caractères, non réutilisation d'un mot de passe déjà utilisé,…) est alors appliquée.
La prise en compte des identités multiples
Un utilisateur peut avoir accès à de multiples domaines sous le même nom. Chaque
identité est alors définie dans un annuaire LDAP différent. Nous parlons alors de
domaines différents. Ces différents domaines peuvent par exemple correspondre à
des entreprises, filiales ou organisations différentes.
Evidian Web Access Manager permet à l'utilisateur de choisir son domaine lors de
l'authentification initiale. Il hérite alors des droits associés à l'identité du domaine qu'il
a choisi.
39 F2 28LU Rev01
47
Access Management
SSO universel
Les solutions de sécurité traditionnelles perturbent l'efficacité et le confort des
utilisateurs. Pour sa part, Evidian Web Access Manager repose sur une approche
simplifiée qui renforce la fidélité des utilisateurs. En facilitant la navigation par la
connexion unique et en améliorant le confort des utilisateurs grâce à des contenus
personnalisés, Evidian Web Access Manager optimise leur productivité et leur
confiance.
Améliorer le confort des utilisateurs et la sécurité via une
connexion unique
Lorsque les utilisateurs doivent fournir un mot de passe à chaque fois qu'ils veulent
accéder à une application interne ou externe, la mise en œuvre de la sécurité entrave
forcément leurs activités. La gestion de multiples informations de connexion est une
activité frustrante qui prend beaucoup de temps. Pour aller plus vite, les utilisateurs
choisissent des mots de passe faciles à détecter ou les laissent à la vue de tous. Les
appels liés à des problèmes de mot de passe qui sont adressés au "help desk"
représentent une part importante des coûts de ce service. La multiplication des mots
de passe entrave non seulement les activités, car elle perturbe le confort et la
productivité des utilisateurs, mais elle favorise également l'insécurité.
Avec Evidian Web Access Manager, les clients, partenaires ou employés accèdent
aux ressources Web internes et externes avec un seul nom d'utilisateur et un seul mot
de passe. Après la procédure d'authentification initiale par Evidian Web Access
Manager, ils peuvent naviguer librement parmi les ressources auxquelles ils sont
autorisés à accéder. Transparent pour l'utilisateur, Evidian Web Access Manager
fournit à chaque application l'identifiant et le mot de passe appropriés, notamment par
l'intermédiaire des formulaires.
La connexion unique vers des sites Web extérieurs
L'activité des organisations s'étendant au-delà du pare-feu vers des domaines
multiples, le SSO doit aussi suivre le même chemin : les portails Intranet offrent
souvent l'accès à des sites Web d'achat ou des services d'abonnement et l'Extranet
peut couvrir plusieurs sites partenaires.
Avec Evidian Web Access Manager, les gestionnaires de portail peuvent contrôler leur
environnement Web en ajoutant et en déplaçant des ressources de façon dynamique.
Les utilisateurs peuvent accéder aux ressources à distance de l'entreprise sans être
obligés de fournir un autre mot de passe. La solution Evidian Web Access Manager
améliore la sécurité, la satisfaction des utilisateurs et réduit le nombre d'appels
adressés au "help desk".
39 F2 28LU Rev01
48
Access Management
Personnaliser l'environnement Web de l'utilisateur final
Parce que la navigation sur le Web est impersonnelle, les utilisateurs ont souvent des
liens non pertinents sur leur page d'accueil. Evidian Web Access Manager
personnalise cette navigation en donnant aux utilisateurs le sentiment d'appartenir à
une communauté. Avec Evidian Web Access Manager, les utilisateurs de certains
secteurs de l'industrie situés dans des zones géographiques prédéfinies peuvent
obtenir un accès et des informations personnalisés. Les clients et partenaires qui
accèdent aux services sont sécurisés à plusieurs niveaux. Grâce à cette aptitude de
Evidian Web Access Manager à répondre à leurs besoins, les utilisateurs se sentent
membres d'une communauté sécurisée. La connexion unique vient renforcer ce
sentiment en permettant aux utilisateurs de naviguer de façon transparente au sein
des applications autorisées.
L'utilisateur peut choisir de gérer lui-même les mots de passe
sensibles
Les mots de passe peuvent être gérés par l'administrateur ou par un utilisateur. Les
mots de passe de groupe peuvent être transparents pour les utilisateurs finaux. Par
exemple, l'administrateur peut autoriser les membres d'un groupe défini à accéder à
des rapports d'analyste sans leur communiquer le mot de passe de l'entreprise
concernée. De même, si les employés accèdent à leur compte de messagerie Web,
l'administrateur de portail ne connaîtra pas leur mot de passe.
L’inter-domain SSO
Les infrastructures SAML proposent une authentification à base d’assertion SAML. Ce
type d’infrastructure est particulièrement intéressant lorsqu’une organisation a besoin
de déléguer à une autre la gestion des utilisateurs et l’authentification tout en
conservant les fonctions de contrôles d’accès aux applications.
Ce type d’infrastructure définie 2 types d’acteur :
Le fournisseur d’identité qui fourni l’identité de l’utilisateur ainsi que les attributs
associés via une assertion SAML
Le fournisseur de service qui utilise les informations fournies pour donner ou
refuser l’accès à un service (une application) donnée.
Evidian Web Access Manager peut fonctionner comme fournisseur d’identité ou
comme fournisseur de service.
Fournisseur d’identité
Après avoir authentifié un utilisateur, Evidian Web Access Manager peut générer une
assertion SAML avec les attributs prédéfinis par l’administrateur puis la transférer à un
fournisseur de service.
39 F2 28LU Rev01
49
Access Management
Fournisseur de Service
Evidian Web Access Manager peut authentifier un utilisateur en décodant son
assertion SAML et en calculant dynamiquement ses droits à partir des informations
récupérées.
Les informations peuvent être dans l’assertion elle-même ou dans un serveur
d’attribut.
Evidian Web Access Manager peut ensuite donner accès aux applications selon trois
méthodes différentes :
L’utilisateur accède à une application cible via un compte choisi automatiquement
par Evidian Web Access Manager
L’utilisateur choisit le compte qu’il va utiliser dans l’application cible et fournit
l’identifiant et le mot de passe associé. Ces informations lui auront été fourni
préalablement.
L’administrateur associé manuellement un compte à un utilisateur. L’utilisateur doit
se connecter préalablement à Evidian Web Access Manager pour pouvoir être
géré par l’administrateur
39 F2 28LU Rev01
50
Access Management
Émergence des architectures SOA dans l'entreprise
Dans les grandes entreprises, une large part du budget informatique est affectée à la
gestion et à la maintenance des réseaux développés au fil des années. Il reste, par
conséquent, peu de ressources disponibles pour financer les nouveaux projets dont
ces sociétés ont besoin pour demeurer compétitives.
Par ailleurs, dans une architecture informatique classique, les informations
stratégiques (sur les recettes, les coûts, la concurrence, les tarifs, les politiques et
modèles, etc.) nécessaires aujourd'hui, et cruciales pour l'avenir, sont difficiles
d'accès. Dans son ensemble, le système d'information, grevé par une disponibilité
médiocre et des redondances (au mieux) ou des incohérences (au pire), affiche donc
de faibles performances générales.
Enfin, l'organisation des systèmes d'information classiques est telle que les
applications ou les données sont fortement dépendantes de leurs environnements
techniques. En conséquence, tout effort de modernisation requiert un lourd
investissement.
Il y a quelques années, plusieurs tentatives ont été menées pour améliorer la
factorisation des applications et l'accessibilité des données partagées. Les premières
ont été la conception orientée objet et CORBA. Elles n'ont toutefois bénéficié qu'aux
seules applications, sans transformer radicalement le système d'information.
La recherche s'est poursuivie avec les solutions EAI (Enterprise Application
Integration), dont le principal défaut est de rendre toute l'architecture dépendante de
formats propriétaires, alors qu'à bien des égards, les applications et les données
évoluent vers une standardisation généralisée de leurs interfaces.
Il fallait donc développer un concept architectural rendant possible l'interconnexion
des applications et des données, dont l'indépendance vis-à-vis de l'infrastructure
matérielle soit basée sur des standards. Ce concept est généralement connu sous le
nom d'architecture SOA (Service-Oriented Architecture, architecture orientée
services).
Développement d'une architecture d'applications modulaire
pour une intégration du système d'information de
l'entreprise
Pour développer une architecture SOA, il faut organiser et analyser le système
d'information selon les processus métier de l'entreprise. Avant de mettre en œuvre
cette nouvelle architecture, vous devez évaluer les besoins liés à ces différents
processus. Ceci aboutit à une organisation en domaines. Par la suite un ensemble de
« services » doit être défini dans chaque domaine.
Ces services constitueront les seules interfaces stables sur lesquelles reposeront les
processus métier d'un domaine. Celles-ci permettront également d'échanger des
ressources ou des données entre les domaines. Avec cette structure en services, de
nouveaux processus peuvent rapidement être développés.
39 F2 28LU Rev01
51
Access Management
Le département informatique ou les chefs de projet n'ont plus qu'à concentrer leur
activité sur ces processus, au lieu de s'efforcer à recréer des interfaces ou à générer
des solutions presque identiques et des bases de données redondantes. Les divers
projets sont basés sur un annuaire commun de services, qui constituent les services
d'applications ou de données « de base ».
Caractérisation des « services » dans une architecture SOA
Si vous prenez les domaines comme seul objet de travail, vous risquez de les
considérer comme des groupes isolés sans interaction entre eux. Les « services »
sont donc essentiels pour intégrer les domaines dans l'architecture unique, flexible et
modulaire d'un système d'information. Mais comment définir un « service » ? C'est la
question la plus souvent posée lorsqu'un projet d'architecture SOA est lancé.
Vous trouverez quelques réponses ci-dessous :
Les services sont l'interface donnant accès à la logique métier des domaines.
Chaque service est fourni par une application dédiée (« fournisseur de service »).
Les services ne doivent pas être spécifiques à un seul type de consommateur de
service. Ils doivent être de conception suffisamment large pour pouvoir être utilisés
par plusieurs consommateurs de service (« forte granularité »). Ceci permet
d'accroître leur efficacité et de réaliser des économies d'échelle.
Les services sont stables sur le long terme. Ils décrivent les principales interactions
au sein d'une entreprise, qui sont habituellement bien plus durables que la mise en
œuvre de besoins métier particuliers.
Un service distingue le fournisseur du consommateur ; leurs implémentations sont
ainsi rapidement modifiables de manière autonome (tant que le service reste
stable).
Un service établit un lien entre les domaines et l'infrastructure informatique
sous-jacente.
La figure ci-après représente la structure d'une architecture SOA.
Figure 19. Principes d'une architecture SOA
Processus métier
Domaine A
Services A
Domaine B
Services B
Domaine C
Services C
Infrastructures
39 F2 28LU Rev01
52
Access Management
Conception et mise en œuvre d'une architecture SOA
Pour organiser une architecture SOA, vous devez mettre en œuvre une plate-forme
de gestion (d'intégration) des services. Elle est souvent appelée plate-forme NAP
(Network Application Platform, plate-forme d'applications réseau).
La plate-forme NAP ne tient pas compte de la logique métier. En tant que participants
au service, le fournisseur et le consommateur de service sont chargés de définir la
logique métier, de la mettre en œuvre et d'assurer son support. Ils sont inclus dans
une organisation décentralisée et distribuée, conformément au paradigme du service
intégré.
Les services techniques de base (par exemple, les fonctions SSO, la supervision, la
gestion des droits des utilisateurs, etc.) sont fournis par la plate-forme, ce qui rend
l'architecture encore plus souple. La Figure 20 présente la mise en œuvre d'une
architecture SOA générale.
Figure 20. Exemple de la mise en oeuvre d'une architecture SOA
Services techniques de base
Gestion de la sécurité
et des utilisateurs
Administration du
réseau des services
Plate-forme NAP
(Network Application Platform)
pour l’intégration
Consommateur
Consommateur
de service
Consommateur
de service
de service
39 F2 28LU Rev01
Service
Service
Provider
Fournisseur
Provider
de service
53
Access Management
Internet ou Intranet ? Architectures SOA et Web Services
Pour mettre en place une architecture SOA, des investissements non négligeables
doivent être engagés, pour des avantages considérables. Le système d'information
est progressivement révisé afin d'être intégralement rationalisé et rendu compatible.
L'architecture SOA agit comme une sorte de système d'exploitation réparti.
Principal atout, un projet SOA ne nécessite pas de changement complet du jour au
lendemain (approche « big bang »). Une fois la plate-forme NAP mise en place, les
« services » sont progressivement définis et créés, puis les « fournisseurs » et les
« consommateurs » s'abonnent à la plate-forme. Vous pouvez alors abandonner les
interfaces classiques par phases successives.
Il serait dommage de restreindre les éléments clés des architectures SOA à quelques
« services » fournis par le Web (certains types de transactions et d'échanges via
l'extranet, par exemple).
Une architecture SOA ne requiert pas nécessairement des Web Services. Il est
important, au-delà de l'implémentation de Web Services, de comprendre les principes
architecturaux et les liens entre les services, les processus métier et les
infrastructures techniques. Cependant, les standards de Web Services, qui sont en
phase de maturation, constitueront à l'avenir le jeu d'outils le plus complet pour créer
une architecture SOA.
Sécurisation d'une architecture SOA
Pour sécuriser une architecture SOA, vous pouvez mettre en oeuvre au sein de la
plate-forme NAP un ensemble de mécanismes permettant de protéger les échanges
entre les fournisseurs et les consommateurs de service.
Ces mécanismes font partie d'un groupe de services nommé services techniques de
base. Ils comprennent l'adressage de services, la gestion des messages, la
supervision de l'architecture SOA, ainsi que la gestion des accès et des identités. Ces
deux derniers services de base doivent permettre à tout fournisseur ou consommateur
de service de vérifier l'identité de l'utilisateur associé à une transaction en cours
(même si c'est un serveur) et de s'assurer qu'il a le droit d'effectuer cette transaction.
De manière générale, les « fournisseurs de service » et les « consommateurs de
service » utilisent ces services techniques de base de gestion des identités et des
accès à deux niveaux :
Lors de la première authentification d'un utilisateur, la validité des informations
que celui-ci fournit est vérifiée par les services techniques de base. Dans ce cas,
l'utilisateur peut tirer profit de la fonction SSO (Single Sign-On ou authentification
unique).
Lors d'une demande « Consommateur/Fournisseur », le fournisseur de service doit
pouvoir, grâce aux services techniques de base, vérifier l'identité et les droits de
l'utilisateur.
Les opérations sur les droits des utilisateurs et leur identité sont gérées directement
par les services techniques de base sur la plate-forme NAP.
39 F2 28LU Rev01
54
Access Management
Déploiement de fonctions de sécurité spécifiques
En raison des contraintes géographiques liées à l'organisation de l'entreprise ou du
niveau de confidentialité des applications utilisées, il peut être nécessaire de déployer
une architecture de sécurité spécifique au niveau de la plate-forme NAP, sans pour
autant impacter les applications.
Par exemple, si une société fédère ses annuaires LDAP au niveau NAP dans un
annuaire virtuel (V-Directory), elle sera en mesure d'utiliser tous les processus
existants de gestion des identités d'utilisateur.
Voici d'autres exemples d'architectures pouvant être déployées par les services de
sécurité de base en toute transparence pour les applications : environnement de
gestion multi-domaines des utilisateurs, solution de traçabilité des accès aux
applications ou encore authentification des utilisateurs via des certificats X.509 (PKI).
Intégration dans des environnements non-SOA
Les services de sécurité de base permettent également d'assurer la cohérence entre
la toute nouvelle architecture SOA et le système d'information classique : mainframe,
client-serveur, Web, etc. Comme ils sont indépendants des fournisseurs et des
consommateurs de service, les services de sécurité de base d'une architecture SOA
peuvent être intégrés dans une solution plus globale de gestion des accès et des
identités s'appliquant au système d'information.
Exemple d'une plate-forme de gestion des accès et des identités
Pour doter une plate-forme NAP de fonctions d'accès et d'authentification en y
intégrant une plate-forme IAM (Identity and Access Management, gestion des
identités et des accès), vous devez mettre en place trois niveaux distincts. Chacun
traite distinctement la politique d'authentification et d'autorisation :
Point de gestion des politiques (Policy Management Point, PMP),
où cette politique est définie.
Point de décision des politiques1 (Policy Decision Point, PDP),
où des décisions sont prises en fonction de cette politique.
Point d'application des politiques (Policy Enforcement Point, PEP),
où les décisions sont mises en oeuvre.
1
D’habitude, les points de décision des politiques sont dédiés aux politiques
d’autorisation. Toutefois, le mot « politique » s’applique également aux étapes
d’authentification.
39 F2 28LU Rev01
55
Access Management
Annuaire + flux
Méta-annuaire
Base de données RH
Liberty Alliance
Sources d'identité
Point de gestion des politiques
Gestion des identités
Gestion des politiques
Point de décision
des politiques
Point d'application
des politiques
Moteur
d’identification
Poste de travail
Moteur
d’autorisation
Passerelle
Agent
Les points de gestion des politiques et les points de décision des politiques sont
indépendants de la technologie utilisée par les fournisseurs et les consommateurs de
service.
Les points d'application des politiques, en interface directe avec les consommateurs
et les fournisseurs de service, sont très dépendants de la technologie que ceux-ci
utilisent.
Par exemple, le module SSOEngine de Evidian Enterprise SSO est un point
d'application des politiques installé sur un poste de travail et mettant en oeuvre des
règles dynamiques.
2
Le module Evidian SOA Access Manager met en œuvre un modèle SAML dans
lequel les modules de connexion JAAS sont des points d'application des politiques et
les serveurs d'authentification sont des points de décision des politiques.
2
SAML est un standard développé par OASIS (Organization for the Advancement of
Structured Information Standards, www.oasis-open.org) et qui rend possible
l’interopérabilité des systèmes de sécurité fournissant des services d’autorisation et
d’authentification.
39 F2 28LU Rev01
56
Access Management
d'authentification SAML JAAS
Evidian SOA Access Manager utilise le login JASS et
l'authentification de SAML et des Web Services
Evidian SOA Access Manager est un service d'authentification et
d'autorisation basé sur les standards ouverts de sécurisation des Web
Services et des applications Java.
Module de connexion JAAS – Point d'application des politiques
Evidian SOA Access Manager dispose d'un module de connexion (Login Module)
conçu pour l'interface standard JAAS (Java Authentication and Authorization Service),
et qui s'exécute dans un environnement Java.
JAAS est une interface de programmation dotée de mécanismes souples et évolutifs
de sécurisation des applications Java client et serveur. Elle agit également comme
une couche d'abstraction entre une application et les procédures d'authentification et
d'autorisation, ce qui permet aux développeurs d'applications d'utiliser n'importe quel
mécanisme de sécurité.
Avec le module de connexion JAAS de Evidian SOA Access Manager, une
application Java ou J2EE peut rapidement et facilement être sécurisée à l'aide de
mécanismes d'authentification et d'autorisation. C'est une solution compatible avec
toute application Java utilisant l'interface JAAS à un degré d'intégration peu poussé.
Serveur d'authentification SAML – Point de décision des politiques
Il s'agit d'un serveur qui effectue l'authentification puis, pour chaque authentification
réussie, fournit une assertion SAML (Secure Assertion Markup Language).
SAML procure un mécanisme de sécurité inter-opérable par lequel des applications
dotées de leur propre système d'autorisation et d'authentification échangent des
éléments d'authentification.
Il apporte un cadre de sécurisation aux environnements multi-domaines ou aux
architectures multi-niveaux. Ainsi, grâce au partage d'informations de sécurité
nécessaires à la réalisation d'une transaction entre deux sites, celle-ci peut être
initialisée sur un site et validée sur un autre.
Lorsque les fonctionnalités SAML de Evidian SOA Access Manager sont exploitées
par les applications de l'entreprise, celles-ci peuvent interagir plus facilement et en
toute sécurité avec d'autres entités, comme des partenaires commerciaux ou des
clients.
Le jeton SAML d'un utilisateur peut circuler entre des partenaires commerciaux de
confiance liés par une relation de type SSO (Single Sign-On).
Les assertions SAML sont signées et vérifiées par les applications via une
infrastructure PKI (Public Key Infrastructure).
39 F2 28LU Rev01
57
Access Management
Une administration conviviale permet de définir le contenu des assertions, de gérer
les infrastructures PKI associées nécessaires et, à un plus large niveau, toutes les
configurations.
Le Web Service d'authentification
Il s'agit d'un Web Service qui vérifie les droits d'accès des utilisateurs et fournit
l'assertion SAML associée.
Ce Web Service d'authentification est utile lorsque celui qui fait la demande n'est pas
dans l'intranet de l'organisation ou ne peut pas utiliser le JAAS Login Module. Par
exemple, quand celui qui fait la demande est un partenaire qui a sa propre
infrastructure de gestion des identités et des accès.
La demande d'authentification et les réponses sont placées dans la section "Body"
d'une enveloppe SOAP.
L'assertion reçue en échange est encapsulée dans une SAML Response (voir l'annexe
page 62 pour une description complète).
Enveloppe SOAP
Enveloppe SOAP
Header
Header
Body
Body
SAML Response
39 F2 28LU Rev01
Demande
d'authentification
Assertion
SAML
Requête
Réponse
58
Access Management
Evidian SOA Access Manager – Architecture
Figure 21.
Utilisateur de
services Web
Modules de connexion JAAS de Evidian SOA Access
Manager et serveur d'authentification SAML
Demande
d'authentification WS
HTTPS
Serveur
d'authentification
SAML
HTTPS
Modules de
connexion
JAAS
Demande
d'authentification JAAS
Console
d'administration
Annuaire
uitlisateurs
Annuaire
SAM J2EE
Définition des
utilisateurs
Annuaires
LDAP
Définition des
contenus SAML
Clés, Certifications
ListesCRL
Le module de connexion JAAS est en interface avec le serveur d'authentification
utilisant le protocole SAML. Les applications sont alors en mesure d'authentifier
les demandeurs dans toutes les organisations, mais aussi de fournir des attributs
utilisateur permettant de contrôler l'accès aux ressources dans des zones multidomaines de sécurité. Les assertions SAML (authentification et attributs) sont signées
par l'autorité hébergée par le serveur d'authentification.
La signature SAML (XML) exige que des certificats soient déployés et que des listes
CRL (Certificate Revocation List) soient prises en charge. Ces fonctionnalités,
transparentes pour l'utilisateur, sont fournies par Evidian SOA Access Manager.
39 F2 28LU Rev01
59
Access Management
Evidian SOA Access Manager – Caractéristiques principales
Les principales caractéristiques de Evidian SOA Access Manager sont les suivantes :
Authentification des utilisateurs
Evidian SOA Access Manager prend en charge plusieurs types d'authentification.
Les utilisateurs peuvent être authentifiés par l'un des éléments suivants :
par un nom d'utilisateur et un mot de passe,
par un mot de passe à usage unique reconnu dans les jetons matériels,
par les dispositifs d’authentification forte pris en charge par Evidian Web Access
Manager.
L'utilisation du protocole SSL (Secure Socket Layer) garantit la confidentialité des
échanges entre le module de connexion JAAS et le serveur d'authentification.
Fonction SSO (Single Sign-On)
La fonction SSO est intégrée à Evidian SOA Access Manager au niveau du jeton
SAML de l'utilisateur. Lorsque ce jeton est présenté aux applications, celles-ci n'ont
pas besoin de demander à l'utilisateur de s'identifier à nouveau.
Audit de l'authentification des utilisateurs
Avec Evidian SOA Access Manager, vous pouvez effectuer l'audit des opérations
d'authentification des utilisateurs. Les messages d'audit sont stockés dans des fichiers
journaux consultables à tout moment.
Rafraîchissement de l'assertion SAML
Les assertions SAML ne sont valides que pendant une courte durée, typiquement
quelques heures. Il n'est donc pas besoin d'un service de révocation. Tout
changement touchant le propriétaire d'une assertion prendra effet après l'expiration
des assertions actives. La durée de validité est définie par la politique de sécurité.
Mais dans des situations asynchrones, comme le fait de mettre des messages en file
d'attente, le délai entre l'envoi SAML et son traitement par un fournisseur de service
peut dépasser le délai de validité de l'assertion.
Evidian SOA Access Manager peut rafraîchir une assertion SAML expirée, de façon
transparente pour l'application. Pendant les opérations de rafraîchissement, toutes les
données de l'utilisateur sont vérifiées et l'assertion est reconstruite.
Haute disponibilité et extensibilité
Les fonctions intégrées de Evidian SOA Access Manager de haute disponibilité et de
partage de charge permettent de garantir le maintient d'un niveau de performance
satisfaisant et prévisible.
39 F2 28LU Rev01
60
Access Management
Administration centralisée
Au lieu de gérer séparément les règles d'authentification, d'infrastructure PKI (Public
Key Infrastructure) et de contrôle d'accès pour chaque application, Evidian SOA
Access Manager réunit toutes ces fonctionnalités en une seule console. Cette console
d'administration est une application Java exécutée sur des navigateurs Web prenant
en charge le module d'extension Java Run-time Environment.
En outre, Evidian SOA Access Manager dispose d'une administration personnalisable
à l'aide d'un jeu d'interfaces API Java. Les programmeurs peuvent ainsi utiliser toutes
les fonctions de la console d'administration pour développer une application
d'administration personnalisée.
Une solution de gestion et de sécurité basée sur les annuaires
Evidian SOA Access Manager incorpore en toute conformité les standards relatifs aux
annuaires LDAP en mode natif. Deux annuaires sont utilisés :
L'annuaire SOA Access Manager contient les descriptions des objets de sécurité et
la configuration.
L'annuaire Utilisateurs (annuaire LDAP de l'entreprise) contient les informations
relatives aux utilisateurs et aux groupes. Il est possible qu'un tel annuaire existe
déjà dans votre société. Pour cette raison, cette instance peut être séparée de
l'annuaire SOA Access Manager.
Il n'est donc pas nécessaire d'installer et de gérer des annuaires d'utilisateurs distincts
et redondants.
39 F2 28LU Rev01
61
Access Management
Annexe : Format du Web Service d'Authentification
Requête d'Authentification
Seul SOAP sur HTTPS est supporté. le champ header 'SOAPAction' n'est pas pris en
compte par le serveur d'authentification SOA Access Manager.
Le type de contenu est “text/xml”.
Le mot de passe est protégé en utilisant SSL.
Exemple
<SOAP-ENV:Envelope
xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body>
<authn:Authentication
xmlns:authn="http://evidian.com/security/auth/saml/1.0">
<authn:AuthnData>
<authn:Version>1.0</authn:Version>
<authn:UserName>jeandel</authn:UserName>
<authn:Password>*******</authn:Password>
<authn:Domain>evidian</authn:Domain>
<authn:Policy>strong</authn:Policy>
</authn:AuthnData>
</authn:Authentication>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
Schéma XML de requête
<?xml version="1.0"?>
<xs:schema xmlns:xs="http://www.w3.org/2001/XMLSchema"
targetNamespace="http://evidian.com/security/auth/saml/1.0"
xmlns="http://evidian.com/security/auth/saml/1.0"
elementFormDefault="qualified">
<xs:element name="Authentication">
<xs:complexType>
<xs:sequence>
<xs:element name="AuthnData">
<xs:complexType>
<xs:all>
<xs:element name="Version" type="xs:string"/>
<xs:element name="UserName" type="xs:string"/>
<xs:element name="Password" type="xs:string"/>
<xs:element name="Domain" type="xs:string"
minOccurs="0"/>
<xs:element name="Policy" type="xs:string"/>
</xs:all>
</xs:complexType>
</xs:element>
</xs:sequence>
</xs:complexType>
</xs:element>
</xs:schema>
39 F2 28LU Rev01
62
Access Management
Définition des éléments
Toutes les valeurs d'éléments sont des chaînes de caractères
Version
Obligatoire, doit être "1.0"
UserName
Obligatoire, c'est l'identité principale
Password
Obligatoire, éléments d'authentification en texte simple
Domain
Spécifie l'annuaire des utilisateurs. Cet élément est obligatoire si
plusieurs répertoires d'utilisateurs sont configurés dans la base.
Policy
Obligatoire. Il s'agit du nom de l'objet contenant la politique dans la
base SOA Access Manager. Cet objet spécifie quelles options doivent
être utilisées lors de l'authentification et les contenus des assertions
SAML qui sont émises.
Réponse à une authentification
Exemple
<SOAP-ENV:Envelope
xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
<SOAP-ENV:Body>
<samlp:Response xmlns:samlp="…" xmlns:saml="…" xmlns:ds="…">
<Status>
<StatusCodevalue="samlp:Success"/>
</Status>
<saml:Assertion>
<saml:AuthenticationStatement>
<ds:Signature> … </ds:Signature>
...
</saml:AuthenticationStatement>
</saml:Assertion>
</samlp:Response>
</SOAP-Env:Body>
</SOAP-ENV:Envelope>
Schéma XML de réponse
Le schéma XML est conforme au protocole SAML 1.1.
Echecs d'authentification
Quand une authentification échoue, la réponse contient un élément ‘samlp:Response',
mais sans aucune assertion incluse.
L'élément Status contient la raison de l'échec
39 F2 28LU Rev01
63
Access Management
La sécurité instantanée pour un faible coût d'acquisition
Avec Evidian Web Access Manager, il n'est pas nécessaire de sacrifier la commodité
à la sécurité. Evidian Web Access Manager ne requiert aucune modification ou ajout
de composant sur les postes de travail des utilisateurs et ni aucune modification des
systèmes cibles.
Les autres solutions actuellement disponibles sur le marché sont extrêmement
complexes, nécessitent des mois de mise
Gardez le contrôle de la sécurité
en œuvre et consomment de précieuses
1. L'administration centrale minimise les coûts
ressources informatiques.
et les tâches associées à la sécurité.
2. La flexibilité de l'administration permet
d'ajouter ou révoquer les droits d'un
utilisateur en quelques clics.
3. L'audit central permet de suivre à la trace
toutes les connexions.
Une solution non intrusive pour un déploiement simplifié
Grâce à son architecture non intrusive, Evidian Web Access Manager peut être
déployé intégralement en quelques heures et permet à l'entreprise d'évoluer aussi
rapidement que le marché. Téléchargeable depuis le Web, Evidian Web Access
Manager est un logiciel complet qui repose sur des standards.
Une administration plus efficace
Evidian Web Access Manager permet aux administrateurs de portail ou de serveurs
Web de gérer de manière transparente l'accès à n'importe quelle application Web
sans avoir à déployer de logiciel ou à réorganiser les répertoires. Evidian Web Access
Manager ne perturbe ni les processus d'administration en place ni les applications.
Evidian Web Access Manager réutilise les annuaires utilisateurs LDAP existants pour
appliquer une politique de sécurité sur les ressources de l'entreprise.
Réduction des coûts de possession
Evidian Web Access Manager permet de limiter au maximum les coûts annexes
informatiques.

Pas besoin de redéfinir ou de modifier les annuaires utilisateurs.

Permet d'augmenter le retour sur investissement des projets Web en facilitant
l'extensions des projets portails aux environnement Java et SOA.

Pas besoin de mettre à jour Evidian Web Access Manager quand une application
protégée est mise à jour.
Le résultat final est une solution de sécurité complète simplifiant l'accès des
utilisateurs finaux avec le coût de propriété le plus.
39 F2 28LU Rev01
64
Pour plus d'informations, consultez le site www.evidian.com
Email: [email protected]