Evidian IAM Access Management

Transcription

1 Evidian IAM Access Management Un livre blanc Evidian L authentification unique (SSO) la plus rapide à déployer Sommaire Version 1.0 Evidian Enterprise SSO, une solution complète de connexion unique Démarrez simplement avec un niveau élevé de sécurité Améliorez la sécurité avec des fonctions avancées La solution Evidian Enterprise SSO Une architecture sécurisée Evidian File Encryption Contrôler et sécuriser l'accès utilisateur avec le SSO Émergence des architectures SOA dans l'entreprise Evidian SOA Access Manager, un serveur d'authentification SAML JAAS Annexe : Format du Web Service d'authentification

2 2013 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques cités dans cette publication sont reconnus.

3 Table des matières Evidian Enterprise SSO, une solution complète de connexion unique... 5 Démarrez simplement avec un niveau élevé de sécurité... 6 Connexion unique à toutes les applications...6 Intégration transparente aux infrastructures existantes.8 Déploiement simple et rapide...8 Améliorez la sécurité avec des fonctions avancées... 9 Authentification forte...9 Administration étendue...11 La solution Evidian Enterprise SSO Evidian Enterprise SSO base...13 La Console de Management...21 Evidian Strong Authentication...26 Evidian Audit et Reporting...29 Evidian Self-Service Password Reset...31 Evidian Kiosk Mode (Changement rapide d'utilisateur)...32 Profitez de votre architecture LDAP distribuée pour l authentification...35 Aucun serveur d authentification supplémentaire...35 Une architecture sécurisée Evidian File Encryption Contrôler et sécuriser l'accès utilisateur avec le SSO 45 Mettre en place le contrôle d'accès à toutes les applications...45 La création des comptes utilisateurs...47 La prise en compte des identités multiples...47 SSO universel...48 L inter-domain SSO...49 Émergence des architectures SOA dans l'entreprise Développement d'une architecture d'applications modulaire pour une intégration du système d'information de l'entreprise...51 Sécurisation d'une architecture SOA...54 Evidian SOA Access Manager, un serveur d'authentification SAML JAAS Evidian SOA Access Manager utilise le login JASS et l'authentification de SAML et des Web Services F2 28LU Rev01 3

4 Evidian SOA Access Manager Architecture...59 Evidian SOA Access Manager Caractéristiques principales...60 Annexe : Format du Web Service d'authentification Requête d'authentification...62 Réponse à une authentification...63 Echecs d'authentification...63 La sécurité instantanée pour un faible coût d'acquisition F2 28LU Rev01 4

5 Evidian Enterprise SSO, une solution complète de connexion unique Evidian Enterprise SSO permet de déployer rapidement une solution d authentification unique efficace. Avec un temps d attente minimum, les utilisateurs accèdent à leurs applications plus facilement et avec une sécurité accrue. Sur cette base, vous pouvez ajouter des outils avancés pour obtenir une authentification forte et de nouvelles fonctions d administration. Figure 1. Une solution complète de connexion unique Annuaires Evidian Enterprise SSO Mobile E-SSO Self-service password reset Strong authentication Enterprise SSO base middleware (security services) Kiosk mode Audit and Reporting Smart cards Biometrics USB keys Certificates La solution Evidian Enterprise SSO offre : Accès rapide à l authentification unique : Enterprise SSO base Enterprise SSO base est au coeur de la solution. Il offre de puissantes fonctions d authentification unique telles que l administration des règles d applications et de mots de passe, la délégation de pouvoirs aux utilisateurs, la re-authentification et la collecte d audits. Accès SSO depuis Internet : Mobile E-SSO Mobile E-SSO permet aux utilisateurs de se connecter via l environnement de SSO et en sécurité à partir d Internet à leurs applications. Gestion des mots de passe : Self-Service Password Reset Self-Service Password Reset permet aux utilisateurs de gérer eux-mêmes la réinitialisation de leur mot de passe unique. Authentification forte : Strong Authentication Strong Authentication rend possibles de puissantes méthodes d authentification primaire, telles que les cartes cryptographiques, les clés USB, les certificats, le RFID actif et la biométrie. Fonctions de reporting : Audit et Reporting Audit et Reporting fournit des rapports près à l emploi sur les évènements d administration, d authentification, de connexion aux applications cibles. 39 F2 28LU Rev01 5

6 Démarrez simplement avec un niveau élevé de sécurité Evidian Enterprise SSO base permet de déployer rapidement une solution d authentification unique efficace. Bien que Evidian Enterprise SSO base offre des fonctions de connexion unique avancées, il est facile à utiliser et à gérer. Grâce à Evidian Enterprise SSO base, les entreprises peuvent rapidement déployer l authentification unique, puis définir et mettre en œuvre une méthode de gestion des mots de passe unifiée. Connexion unique à toutes les applications Au sein des entreprises, les procédures sont complexes et les outils nombreux. Les utilisateurs doivent donc disposer de multiples comptes sur différentes applications et technologies. Evidian Enterprise SSO base prend en charge toutes les applications, quelle que soit la technologie utilisée : applications locales, client/serveur, sites Web, émulateurs de mainframes, Unix et Linux, Windows Terminal Server, Citrix MetaFrame, Presentation Server et NFuse. Par exemple, grâce à une configuration par glisser/déplacer, Evidian Enterprise SSO base permet de déployer la connexion unique sur la configuration typique suivante (voir Figure 2) : Tous les employés accèdent aux applications de l entreprise (comme Lotus Notes, une application de gestion des dépenses ou une application de gestion du temps). Par contre, les applications d entreprise ne sont utilisées que par certains groupes d utilisateurs, Certains portails ou applications sont accessibles via une interface Web et certaines applications sont utilisées à l aide d un client léger (comme Citrix ou Windows Terminal Server), Certains systèmes transactionnels et bases de données (comme un mainframe IBM) ne sont accessibles que par un émulateur de terminal, Certaines applications d ERP (comme SAP R/3) et de messagerie (Lotus Notes) ont leurs propres systèmes de contrôle d accès. 39 F2 28LU Rev01 6

7 Figure 2. Une configuration de SSO typique R é pertoire Serveur LDAP SSOEngine obtient les données sur les applications 2 Evidian Enterprise SSO 5 6 SSOEngine renseigne les fenêtres de connexion SSOEngine modifie automatiquement les mots de passe 3 Une application est lancée par un utilisateur SSOEngine détecte les fenêtres Windows Server 1 Authentification dans le domaine 4 SSOEngine obtient le mot de passe/id secondaire depuis la mémoire chiffrée Evidian Enterprise SSO base offre une solution directe pour un déploiement rapide de l authentification unique avec : configuration par glisser/déplacer de l authentification unique, aucune modification des applications, automatisation de la génération, des modifications, de l expiration et de la redéfinition des mots de passe, délégation des accès aux collègues en cas d absence, possibilité de configurer l authentification unique pour les applications personnelles (comme les sites Web externes et les serveurs d'informations), Un niveau de sécurité élevé dans toute l entreprise. Evidian Enterprise SSO base permet aux administrateurs de contrôler l accès des utilisateurs aux ressources d informations d entreprise. Les fonctions suivantes renforcent la sécurité : Authentification forte des utilisateurs lors des accès au réseau ou aux applications sensibles, Chiffrement des données lorsque l utilisateur final saisit des informations de connexion unique et lors des enregistrements et transferts de données par Evidian Enterprise SSO, Seul l utilisateur final peut modifier les données d authentification unique, Les mécanismes de chiffrement garantissent que le propriétaire des informations de sécurité est le seul à pouvoir y accéder, Définition des règles de mots de passe, d applications et de délégation, 39 F2 28LU Rev01 7

8 Définition et mise en œuvre des règles de mots de passe, L accès aux applications peut dépendre du rôle de l utilisateur, Audit des accès des utilisateurs et des tâches d administration. Intégration transparente aux infrastructures existantes Tous les éléments de Evidian Enterprise SSO utilisent l annuaire des employés existant et enregistrent les règles d authentification unique dans l architecture LDAP distribuée pour garantir que les utilisateurs accèdent à leurs applications de la même façon dans toute l entreprise. L annuaire LDAP peut être un annuaire existant. Il est également possible de dédier spécifiquement un annuaire pour la solution Evidian Enterprise SSO. Déploiement simple et rapide Evidian Enterprise SSO base simplifie et accélère l installation, la configuration et le déploiement opérationnel grâce à : Intégration à l annuaire LDAP existant Evidian Enterprise SSO base n a pas besoin d une base de données ou d un serveur de sécurité spécifique. Cela permet d éliminer les dépenses supplémentaires associées à l installation et au remplissage d un autre annuaire. Installation et configuration simples des stations de travail Evidian Enterprise SSO base est installé sur les stations de travail via Microsoft Windows Installer (MSI). Une installation silencieuse est possible, sans configuration locale. Aucun logiciel n est installé sur les clients légers Citrix ou Windows Terminal Server eux-mêmes. Une installation de logiciel n est nécessaire que sur le serveur de terminal. Les modules sont documentés pour faciliter leur distribution distante par d autres outils éprouvés tels que Computer Associates TNG, IBM Tivoli, Microsoft SMS ou Vision64. Intégration d une application et initialisation de la connexion unique SSOStudio permet de configurer les détails d une connexion à une application en quelques clics. Les administrateurs attribuent les droits d accès à un utilisateur, un groupe d utilisateurs, ou une organisation au sein de l entreprise. Avec la plupart des applications, l utilisateur doit immédiatement changer le mot de passe d un nouveau compte. Evidian Enterprise SSO base réalise cette opération avec un mot de passe aléatoire, conformément à une règle prédéfinie. Par la suite, l accès des utilisateurs à l application est transparent. 39 F2 28LU Rev01 8

9 Améliorez la sécurité avec des fonctions avancées Authentification forte A partir d une simple solution d authentification unique, Evidian Enterprise SSO peut répondre aux exigences de gestion de la sécurité de niveau supérieur : Evidian Strong Authentication complète Evidian Enterprise SSO base avec une grande variété de méthodes d authentification forte (cartes, clés USB, biométrie). Les administrateurs peuvent ainsi renforcer la sécurité des accès pour certaines catégories d utilisateurs. La combinaison nom d'utilisateur/mot de passe est la méthode d accès la plus courante, en particulier dans les environnements Microsoft. Toutefois, ce «sésame ouvre-toi» universel n est souvent pas suffisant pour la protection de ressources sensibles. Deux questions se posent : L authentification de domaine Microsoft est-elle suffisante pour donner accès à d autres ressources, en particulier pour des applications hétérogènes hors de l environnement Windows? Un mot de passe prouve-t-il que la personne qui se connecte est vraiment la personne dont le mot de passe est utilisé? La réponse est non. En revanche, Evidian Strong Authentication garantit que la personne qui se connecte au système est bien celle qui doit se connecter. La sécurité accrue est fournie par une authentification à plusieurs facteurs, par exemple, Je m identifie par quelque chose que je sais et quelque chose que je possède. On peut pour cela utiliser une carte, une clé USB ou un mécanisme biométrique (voir Figure 3). 39 F2 28LU Rev01 9

10 Figure 3. Authentification par carte Une authentification à plusieurs facteurs Le contrôle des accès est renforcé ; il complète naturellement la connexion unique. Evidian Strong Authentication offre une identification primaire sécurisée pour des utilisateurs spécifiques, indiquant l identité de ces utilisateurs lorsqu ils se connectent à des ressources, assurant ainsi la qualité et la fiabilité de l accès informatique. 39 F2 28LU Rev01 10

11 Administration étendue La console de Management de Evidian Enterprise SSO fournit aux administrateurs un outil graphique pour étendre la gestion des droits et profils des utilisateurs dans toute l organisation. Figure 4 Exemple d'organisation d'administration étendue Administrateurs de sécurité Administrateurs SSOWatch (Studio) : SSOWatch SSOStudio (Studio) : Définition de Définition de l authentification l authentification unique unique UO - Ventes et marketing Active Directory Extended Manager : Extended Console de Manager Management : Gestion des applications Gestion des applications Attribution des applications Attribution des applications aux utilisateurs aux utilisateurs Création de mots de passe pour Création de mots de passe pour les nouvelles applications les nouvelles applications Prêt et verrouillage de cartes Prêt et verrouillage de cartes Politique de points d'accès Politique de points d'accès Equipe d'assistance Extended Manager : Console de Management Redéfinition Redéfinition des mots de passe des mots de passe Affectation de cartes Affectation de cartes Affectation de certificats Affectation de certificats Règle d'authentification unique Auto -administration par l'utilisateur final SSOWatch : SSOWatch SSOEngine : Mots de passe Mots de passe Délégation Délégation Accès suivant les rôles Accès suivant les rôles Auditeurs Console de Management Rapports d'audit Rapports d'audit Par exemple, dans chaque unité organisationnelle, vous pouvez définir (voir Figure 4) : Des administrateurs de sécurité, Les administrateurs d applications peuvent gérer les règles des applications. Les administrateurs d accès peuvent affecter des applications à des groupes d utilisateurs et gérer les points d accès des utilisateurs. Les administrateurs de cartes peuvent prêter leurs cartes si les utilisateurs les ont oubliées et les bloquer s ils les ont perdues. Des auditeurs, Les administrateurs peuvent analyser tous les accès des utilisateurs et les tâches d administration. 39 F2 28LU Rev01 11

12 Des gestionnaires de mots de passe dans les équipes d assistance, Les administrateurs locaux peuvent redéfinir les mots de passe principaux en cas d oubli par les utilisateurs. Une équipe d assistance locale qui peut fournir des cartes. Les équipes d assistance locales peuvent affecter des cartes aux utilisateurs d un service. Dans ce type d organisation, les administrateurs locaux peuvent continuer à utiliser SSOStudio pour configurer l accès aux applications par connexion unique. 39 F2 28LU Rev01 12

13 La solution Evidian Enterprise SSO La solution Evidian Enterprise SSO s appuie sur un middleware de sécurité auquel sont liés les différents composants (voir Figure 1). Evidian Enterprise SSO base SSOEngine Evidian Enterprise SSO base permet de gérer les règles de mots de passe et les profils d applications et de configurer l accès aux applications. Après une connexion Windows standard, les utilisateurs finaux peuvent utiliser Evidian Enterprise SSO base pour gérer leurs mots de passe et déléguer des accès. Evidian Enterprise SSO base réside sur des stations de travail ou des serveurs de terminaux en cas de configurations clients légers. Il automatise l authentification et les modifications de mots de passe. Les composants techniques de Evidian Enterprise SSO base sont les suivants : SSOEngine Gère les accès des utilisateurs aux applications et offre une auto-administration par l utilisateur final. Des plug-ins sont fournis pour se connecter à des applications spécifiques telles que HTML/Internet Explorer, émulation de terminaux, SAP R/3 et Lotus Notes. SSOStudio SSOStudio est un outil de configuration graphique utilisé par les administrateurs pour enrôler les applications au sein du SSO. La Console de Management La Console de Management centralise toutes les fonctions avancées d administration. Access Collector Access Collector collecte les accès aux applications. Il permet de savoir qui utilise une application donnée, et avec quel identifiant. Il ne nécessite pas d installer Enterprise SSO base. SSOEngine est exécuté en arrière-plan et offre une connexion unique transparente aux applications autorisées. Ce composant réalise automatiquement les modifications de mots de passe. Un mode d apprentissage permet aux utilisateurs de fournir le mot de passe de l application lors de la connexion initiale. 39 F2 28LU Rev01 13

14 SSOEngine offre également de fonctions d auto administration. Depuis une icône de la barre des tâches, l utilisateur accède aux fonctions suivantes (voir Figure 5) : Suspendre l authentification unique, Modifier mot de passe/code PIN, Afficher et mettre à jour les mots de passe, Sélectionner un rôle, Déléguer l accès à un autre utilisateur autorisé. Administrer la fonctionnalité de redéfinition du mot de passe principal Figure 5. L'utilisateur peut afficher la liste de ses comptes autorisés Bureau dynamique Vue des fonctions autorisées par icône Modifier le mot de passe, Délégation, Sélectionner un rôle, Modifier le code PIN Nouvelle authentification pour se connecter aux applications sensibles Une fois l option sélectionnée, l utilisateur qui accède à l application devra s authentifier de nouveau à l aide de son mot de passe principal, sur demande de SSOEngine. Cette fonction est configurable dans le profil de sécurité des applications dans SSOStudio. Accès à des applications via des comptes multiples Un même utilisateur peut parfois avoir des comptes différents sur la même application. 39 F2 28LU Rev01 14

15 Par exemple, avec l application mysap, certains utilisateurs peuvent agir le matin comme «contrôleurs des paiements» et l après-midi comme «contrôleurs financiers» (voir Figure 6). D autres utilisateurs sont à la fois «simples utilisateurs» de WebSphere et «administrateurs» en cas de besoin. Pour simplifier l accès à ces applications, SSOEngine peut permettre l accès à plusieurs comptes sur la même application. SSOStudio attribue un rôle à chaque compte. Un rôle «administrateur», par exemple, peut être étendu par SSOStudio à plusieurs applications. Dans ce cas, un compte «administrateur» est créé sur chacune des applications concernées. Figure 6. Les rôles permettent un contrôle des accès à plusieurs comptes Rôle Application #1 Application #2 Application #3 Application #4 Valeur par défaut Utilisateur_App1 Utilisateur_App2 Utilisateur_App3 Utilisateur_App4 Responsable Utilisateur_ Responsable Aucun accès Aucun accès Aucun accès Administrateur Aucun accès Aucun accès Administrateur Administrateur Si un utilisateur a plusieurs rôles et n en sélectionne aucun lors de l ouverture d une session Windows, SSOEngine détecte la multiplicité des comptes lors du lancement de l application et demande à l utilisateur de choisir un rôle. Si l utilisateur a choisi un rôle au moment de la connexion, les comptes associés à ce rôle sont utilisés de façon transparente durant le reste de la session Windows. Par exemple, si l utilisateur a choisi le rôle «administrateur», il sera connecté de façon transparente à toutes les applications avec la connexion et le mot de passe de chaque compte «administrateur». Un utilisateur peut changer de rôle à tout moment durant la session Windows. 39 F2 28LU Rev01 15

16 Figure 7. Un utilisateur peut changer de rôle L utilisateur peut non seulement utiliser son compte principal, mais aussi d autres comptes Windows. Ces comptes peuvent se trouver dans le même domaine ou dans d autres domaines autorisés à permettre des sessions Windows sur la station de travail. Sur la Figure 7, l utilisateur est invité à choisir entre les comptes disponibles lors de la session d ouverture. Délégation d accès (partage de comptes entre utilisateurs) Lors de vacances ou de déplacements professionnels, un utilisateur peut déléguer son accès à une ou plusieurs applications à un autre utilisateur. Il devait précédemment pour cela indiquer son identifiant et son mot de passe, ce qui est strictement interdit par les règles de sécurité de l entreprise. Maintenant, (voir Figure 8), SSOEngine lui permet d autoriser temporairement un accès sous son nom par un collègue. Cette délégation est soumise aux règles de sécurité gérées par SSOStudio, avec des dates de validité appliquées et la consignation de tous les accès réalisés dans le cadre de cette délégation. Aucun identifiant ou mot de passe n est révélé. La fonction de partage de compte est l une des fonctions d authentification unique les plus puissantes de Evidian Enterprise SSO base. 39 F2 28LU Rev01 16

17 Figure 8. Délégation d'accès Partage de l'accès aux applications avec un assistant pour mes s des collègues sur un projet Le propriétaire du compte déclare : les utilisateurs qui partagent le compte la durée de la délégation les possibilités de modification de mot de passe Un utilisateur peut partager un compte avec un collègue s ils appartiennent tous deux au même groupe. Si un utilisateur a partagé un compte, il peut à tout moment révoquer cette autorisation. 39 F2 28LU Rev01 17

18 Plug-ins de connexion unique Evidian Enterprise SSO base est fourni avec des plug-ins permettant à SSOEngine de fonctionner avec différents types d applications. Des plug-ins existent pour HTML/Internet Explorer, Firefox, applications Java, émulation de terminaux, SAP R/3 et Lotus Notes. Les plug-ins fournissent des actions génériques personnalisables ou des actions préconfigurées pour des ensembles d applications courants (comme la gestion du fichier «user.id» avec le plug-in Lotus Notes). Une plug-in HLLAPI permet de configurer un accès SSO aux applications fonctionnant sur émulateurs de terminaux IBM Prévention du «window spoofing» (espionnage de fenêtre) Fonctions d audit SSOStudio Evidian Enterprise SSO peut détecter des fenêtres de connexion avec des caractéristiques avancées. Cela empêche le «window spoofing», technique par laquelle un exécutable malveillant tente de se faire passer pour une fenêtre de connexion valable, afin d obtenir une identité et un mot de passe. Ces caractéristiques avancées comprennent le nom de l exécutable, la taille, l emplacement et la signature. Cette fonction est disponible via un appel de DLL externe pouvant fournir tout type de rapport (journal, alerte SNMP, SQL load, etc.) SSOEngine collecte les événements liés à la session utilisateur et à des opérations de connexion unique. Les types de rapports d audit sont : Format CSV Journal des événements Windows Alerte (trap) SNMP Interface graphique intuitive Les fonctions d audit avancées sont disponibles avec l option Evidian Audit and Reporting SSOStudio permet de gérer et configurer les règles d authentification unique. SSOStudio propose une interface graphique intuitive (voir Figure 9). 39 F2 28LU Rev01 18

19 De simples actions glisser/déplacer permettent à l administrateur de gérer les profils des applications, les fenêtres «login» (connexion) et «change password» (modifier le mot de passe), et les règles de mots de passe. Figure 9. SSOStudio permet de gérer et configurer les authentifications uniques Liste des applications Plusieurs types d'accès suivant les technologies (web, Citrix, etc ) Plusieurs fenêtres peuvent être définies pour une application Les paramètres régionaux sont pris en charge pour gérer les combinaisons d'application et de langue Accès rapide aux principales opérations Principales fonctions Les principales fonctions de SSOStudio sont : Gestion de plusieurs fenêtres pour une seule application, Pré-définition des réponses ou du comportement, Gestion de formulaires HTML (Internet Explorer), Gestion d émulateurs de terminaux, définition de bannières, Gestion d éléments d accréditation de sécurité, Des applications en nombre illimité peuvent utiliser les mêmes éléments d accréditation (combinaison connexion/mot de passe), Un utilisateur a le choix entre différents éléments d accréditation pour la même application, Gestion de paramètres complémentaires (pas uniquement connexion/mot de passe), Gestion des mots de passe incorrects, Gestion de l expiration des mots de passe, 39 F2 28LU Rev01 19

20 Renouvellement des mots de passe par intervention de l utilisateur ou génération de mots de passe aléatoires, Application de règles de mots de passe par application ou groupe d applications, Gestion de formats de mots de passe complexes, Saisie de mots de passe lors de la connexion initiale, ou lors de la désynchronisation, Possibilité de changer les mots de passe, Possibilité de débloquer la connexion unique pour certaines ou toutes les applications auxquelles l utilisateur a accès, Script graphique personnalisé A l aide d un éditeur de scripts graphique (CustomScript), les administrateurs peuvent définir de nouvelles actions de connexion unique en les créant à partir d actions élémentaires basiques. La définition d actions avec CustomScript est réalisée via une interface graphique, sans avoir à effectuer un développement spécifique. L éditeur de scripts permet d intégrer des routines externes développées pour une fonction spécifique. SSOStudio fournit des mécanismes pour scénarios de connexions uniques. Par exemple, des scripts peuvent demander des arguments à une application externe avant de se connecter à une application. 39 F2 28LU Rev01 20

21 La Console de Management La Console de Management d Evidian Enterprise SSO propose une interface graphique intuitive pour gérer les règles étendues d authentification unique (voir Figure 10). Figure 10. Une console graphique et intuitive pour gérer les règles de connexion unique étendues Politique d'application étendue Analyses d'audits Politique de carte étendue Politique de points d'accès Affichage et réutilisation des définitions LDAP (utilisateurs, groupes, U.O.) Administration étendue des règles Cette console permet de gérer des fonctions étendues telles que : Définition de rôles d administration : Suivant les unités organisationnelles ou le groupe d utilisateur, la Console de Management fournit des vues dédiées des fonctions d administration étendues. Application étendue et règle de connexion unique : Par exemple, suivant la règle pour les applications, la Console de Management permet de suspendre, modifier ou révoquer des comptes. Les administrateurs peuvent en outre déléguer des comptes entre des membres d un groupe autorisé. 39 F2 28LU Rev01 21

22 Par exemple, suivant la règle définie pour les mots de passe, la Console de Management peut permettre aux administrateurs de créer, mettre à jour et supprimer des mots de passe. Ainsi, de nouvelles applications peuvent être entièrement déployées par une seule opération sur la console d administration, sans intervention de l utilisateur final. Les mots de passe sont cachés aux utilisateurs finaux. Règle de point d accès : Règles de sécurité étendues La Console de Management permet la définition d éléments obligatoires d adresse IP d une station de travail, plannings, etc. Grâce à la Console de Management, des données de connexion unique et d authentification peuvent être associées à des stratégies de sécurité avancées. La Console de Management permet de définir et d affecter des règles de sécurité étendues associées à des rôles utilisateurs dans l organisation. Par exemple : «G. Martin» est autorisé à accéder à «application-x» avec le mot de passe «*******» Seulement de «07h30» à «19h00», et «pas pendant les week-ends» Seulement depuis la station de travail avec les «adresse/id» suivants Il est ainsi possible de bloquer la connexion à des applications spécifiques en dehors de certaines conditions de temps ou géographiques, si nécessaire. Importation/Exportation de comptes de connexion unique API de provisionnement La Console de Management comprend une interface d exportation/importation. Ce mécanisme permet de générer de nouveaux comptes pour des éléments d accréditation d authentification unique et de les exporter dans un format standard vers un système de provisionnement. Une fonction d exportation permet de générer de nouveaux comptes pour des éléments d accréditation de connexion unique et de les exporter dans un format standard vers un système de provisionnement. Une fonction d importation permet de créer des éléments d accréditation de connexion unique depuis un fichier généré par un système de provisionnement. Les API de provisionnement permettent à un programme externe de créer, modifier ou supprimer les données d authentification unique (SSO) de Evidian Enterprise SSO. 39 F2 28LU Rev01 22

23 Cela permet à des systèmes de provisionnement tiers de distribuer automatiquement des identités et mots de passe d utilisateurs via Evidian Enterprise SSO: Lorsqu il provisionne un nouvel utilisateur dans l organisation, le système de provisionnement insère directement les éléments d accréditation de l utilisateur dans les conteneurs SSO. A chaque fois qu un mot de passe doit être redéfini dans des applications, systèmes ou bases de données, le système de provisionnement met à jour simultanément les mots de passe dans les données d authentification unique et dans les comptes des applications ciblées. Quand l accès d un utilisateur à une application, un système ou une base de données arrive à échéance, le système de provisionnement retire les identités et mots de passe correspondants des données d authentification unique. Quand un utilisateur quitte l entreprise, le système de provisionnement supprime instantanément toutes les identités et tous les mots de passe dans les applications ainsi que dans les données d authentification unique. Toutes ces opérations peuvent être automatiquement lancées et contrôlées par un système de provisionnement d un tiers (par exemple Sun Identity Manager ou IBM Tivoli Manager). Les API de provisionnement permettent : D améliorer le confort et la productivité de l utilisateur final : Plus de distribution de mots de passe Les utilisateurs n ont plus besoin de taper leur mot de passe De renforcer la sécurité : Les administrateurs ne connaissent jamais le mot de passe des utilisateurs finaux La politique des mots de passe est appliquée L API de provisionnement est une API native C/C++ pour les systèmes Windows. Elle nécessite une authentification d administrateur. L API est également disponible pour les autres systèmes que Windows par un service web SOAP. 39 F2 28LU Rev01 23

24 Access Collector Le module Evidian Access Collector est un sous-ensemble de Evidian Enterprise SSO base. Ce module doit être utilisé lorsque vous avez besoin de collecter les droits effectivement utilisés par les utilisateurs à travers votre organisation. Les fonctions de SSO ne sont pas activées. Le comportement du moteur du module Access Collector Données collectées Quand un utilisateur lance une application qui est détectée par le moteur sur le PC, Access Collector démarre la collecte si cette dernière n a pas déjà été effectuée pour cette application. Si les données du compte ont déjà été collectées, rien ne se passe. Sinon, les données collectées sont stockées dans l annuaire LDAP. Si une fenêtre de «mot de passe erroné» est détectée lors de la phase de collecte, les données collectées sont détruites ou, si la fenêtre «mot de passe erroné» le gère, de nouvelles données sont collectées. Si la fenêtre «mot de passe erroné» apparaît en-dehors de la phase de collecte, les données du compte ne sont pas détruites. Une fois les données du compte collectées, les fonctions de Access Collector sont désactivées. Les données collectées au sein du LDAP sont, pour chaque compte : - l identifiant Windows - le nom de l application - l identifiant utilisateur pour l application. Le mot de passe n est jamais collecté. Pourquoi utiliser le module Access Collector plutôt que Evidian Enterprise SSO base Que faire avec les données collectées Vous pouvez collecter les mêmes données avec Evidian Enterprise SSO base puisque le module Access Collector en est un sous-ensemble avec certaines limitations. Par exemple, les données d audit ne sont pas disponibles avec le module Access Collector. D un autre coté, le déploiement d Access Collector est simplifié car, par exemple, vous n avez pas besoin de gérer les fenêtres de dialogue de changement de mot de passe. Les données collectées peuvent être utilisée pour créer une base centrale des comptes. En effet, les données collectées permettent de faire le lien entre un compte, l identifiant de l utilisateur pour ce compte et l identifiant Windows de l utilisateur qui identifie de manière unique un utilisateur. 39 F2 28LU Rev01 24

25 Mobile E-SSO Cette base centrale peut être utilisée comme point de départ pour la mise en œuvre de votre politique globale via Evidian Policy Manager ou Evidian Approval Workflow. Lorsqu ils se connectent à partir d un ordinateur externe (cybercafé, ordinateur du client ou ordinateur au domicile d un ami, etc.), les utilisateurs peuvent se connecter à leurs applications web par un portail web ou par des agents web distribués. Le portail et les agents appliqueront la politique de sécurité et utiliseront l identifiant et le mot de passe de l application ciblée de façon transparente. Figure 11. Mobile E-SSO, une extension «pur Web» de Enterprise SSO Annuaire LDAP ID, droits d accès, mots de passe chiffrés INTRANET accès Enterprise SSO client local mysap WebSphere Annuaire LDAP ID, droits d accès, mots de passe chiffrés INTERNET accès Web HTTPS Mobile E-SSO passerelle mysap WebSphere Mobile E-SSO, option de Evidian Enterprise SSO, fournit les fonctionnalités suivantes : La connexion à une application web ciblée est effectuée en utilisant l identité et le mot de passe qui sont définis par l accès SSO standard. Un menu de navigation peut afficher dynamiquement seulement les applications web dont l utilisateur a besoin et auxquelles il est autorisé à accéder. L infrastructure d authentification web est basée sur une technologie de passerelle. La topologie du réseau de l entreprise peut être cachée en renommant à la volée les véritables URL des applications ciblées. 39 F2 28LU Rev01 25

26 La passerelle propose une option d équilibrage de la charge et de basculement. Il est ainsi possible de rendre la passerelle tolérante aux pannes. Les utilisateurs peuvent être authentifiés par une authentification forte (mot de passe, cartes à puce, certificats, Kerberos, OTP et SAML). L accès peut être filtré en se fondant sur l adresse IP de l ordinateur de l utilisateur. La connexion entre le navigateur de l utilisateur et Mobile E-SSO peut être sécurisée avec un chiffrement SSL (même si l application ciblée ne gère pas SSL). Evidian Strong Authentication Evidian Strong Authentication est un composant en option de la solution Evidian Enterprise SSO qui renforce l authentification des utilisateurs (voir Figure 12). Alors que Evidian Enterprise SSO n a pas besoin de GINA (module d authentification) spécifique, Evidian Strong Authentication utilise une GINA Evidian. Figure 12. Evidian Strong Authentication renforce l'authentification des utilisateurs Une GINA protège la session Windows Authentification à plusieurs facteurs Ergonomie GINA standard Evidian Strong Authentication fournit toutes les fonctions de l authentification standard Windows (GINA) et propage l authentification vers le domaine Windows. 39 F2 28LU Rev01 26

27 Biométrie Evidian Strong Authentication peut gérer les opérations liées à l authentification biométrique telles que l enrôlement des utilisateurs, le stockage de leurs données biométriques ainsi que leur authentification biométrique. Evidian Strong Authentication sait travailler selon deux modes différents : «stockage sur PC» ou «stockage sur carte à puce» Authentification Stockage des données biométriques Enrôlement Stockage sur PC Seule l authentification biométrique est disponible. L empreinte digitale remplace l identifiant et le mot de passé. Sur le PC dans le cache sécurisé de Evidian Enterprise SSO. L utilisateur doit s enrôler sur tous les postes où il souhaite travailler. Stockage sur carte à puce Authentification biométrique et par carte à puce. L empreinte digitale remplace le code PIN Dans la carte à puce L utilisateur ne doit s enrôler qu une fois dans sa carte à puce. Blocage/Déblocage du PC Quand les données du PC sont stockées sur le PC, un utilisateur doit presser les touches CTRL+ALT+DEL et cliquer sur le bouton «Lock» pour bloquer le PC. Pour le débloquer, l utilisateur doit juste présenter son empreinte digitale. Quand les données du PC sont stockées sur la carte à puce, un utilisateur doit juste retirer sa carte pour bloquer le PC. Pour débloquer le PC, l utilisateur doit présenter sa carte et son empreinte digitale. Gestion des cartes (CMS / Card Management System) Evidian Strong Authentication permet de gérer au sein de la console de Management les cartes ou les jetons utilisés pour l authentification initiale. Les cryptocartes peuvent contenir soit l identifiant et le mot de passe de l utilisateur soit le certificat X.509 de l utilisateur. La gestion des cartes couvre les tâches comme l enrôlement, le blacklisting, la réinitialisation d une carte, ou le déblocage du PIN Code d une carte. Le PIN code d une carte peut être débloqué : sur le PC par l utilisateur via l option Evidian Self-Service Password Reset ou à distance par l équipe du help desk. 39 F2 28LU Rev01 27

28 Authentification PKI (PKA) Enrôlement d une carte externe Authentification Autoriser l authentification PKA L identification «Active RFID» Processus d identification L option Evidian PKA permet aux utilisateurs d utiliser une cryptocarte X.509 pour s authentifier, que cette carte soit gérée par Evidian Enterprise SSO ou non (carte nationale d identité, carte des professionnels de la santé, ). Lorsqu un utilisateur présente pour la première fois sa carte, le module Evidian Strong Authentication : Vérifie la validité du code PIN fourni Collecte le mot de passe et le certificat publique de l utilisateur Vérifie la validité du certificat publique (signature, date et statut de révocation) Enregistre les informations dans le LDAP et l associe à l utilisateur courant. La carte peut alors être utilisée pour les authentifications ultérieures. Lors d authentifications ultérieures, Evidian Strong Authentication vérifie la validité du code PIN et du certificat puis autorise ou refuse l accès au PC. La vérification du statut des certificats supporte les protocoles CRL ou OCSP. Pour autoriser une authentification PKA, l administrateur doit déclarer l autorité de certification associée via la console de Management. L administrateur peut alors autoriser voire même rendre obligatoire l authentification PKA pour un ou plusieurs utilisateurs ou encore pour un ou plusieurs postes de travail. Un badge «Active RFID» est en général positionné sur l utilisateur lui-même afin que lorsqu il quitte son PC, son départ puisse être détecté par le PC. L identification «Active RFID» permet de détecter le départ d un utilisateur. C est la fonction de «constat d absence». Lorsqu un utilisateur s approche d un PC, son badge «Active RFID» est détecté. Le PC lui demande alors son mot de passe pour se connecter. Si plusieurs utilisateurs sont détectés, un champ «combo box» lui propose alors de choisir son identifiant avant de fournir son mot de passe. 39 F2 28LU Rev01 28

29 La gestion des badges «Active RFID» Evidian Audit et Reporting Exemples de rapports Suppression des comptes inactifs Lorsqu un utilisateur quitte son PC, la session est bloquée. Si il revient avant un délai configurable, son PC est débloqué automatiquement, sinon il doit fournir à nouveau son mot de passe. Les badges «Active RFID» sont gérés de la même manière que les cryptocartes. Les opérations de gestion sont : déclaration, enrôlement, blacklisting, Pour un ou plusieurs utilisateurs et/ou pour un ou plusieurs points d accès, il est possible de déclarer l identification «Active RFID» : interdite, autorisée ou obligatoire. Evidian Enterprise SSO permet de collecter les événements concernant l authentification, l autorisation, la connexion des utilisateurs et les opérations d administration. Evidian Audit et Reporting propose un ensemble rapport préconfigué fournissant une vue cohérente des accès aux applications. Evidian Audit et Reporting permet ainsi aux administrateurs de contrôler le respect des règles de sécurité. Les données collectées permettent de produire des rapports (par exemple pour Sarbanes-Oxley) relatifs aux accès des utilisateurs ou à la mise en oeuvre de la politique de sécurité. Ces rapports peuvent s intégrer dans une chaîne de sécurité (risque, objectif de contrôle, activité de contrôle, test d activité de contrôle). Domaine Modèle de l ITGI Exemple de risque Objectif de contrôle Exemple d activité de contrôle Exemple de test d activité de contrôle Contenu «Des procédures existent et sont appliquées pour assurer une action rapide concernant la demande, l établissement, l émission, la suspension et la fermeture des comptes d utilisateur.» Les utilisateurs qui ne sont plus actifs (longue maladie, etc.) ont des comptes inactifs qui pourraient être exploités. Retirer régulièrement les utilisateurs inactifs. Lorsqu un utilisateur n a pas utilisé son poste de travail depuis 90 jours, il doit être désactivé et/ou retiré de la base dans un délai de 2 semaines. Demander la liste des membres du groupe d utilisateurs «Comptabilité» qui n ont pas utilisé leur poste de travail depuis 90 jours. 39 F2 28LU Rev01 29

30 Suppression des comptes orphelins Domaine Modèle de l ITGI Exemple de risque Objectif de contrôle Exemple d activité de contrôle Exemple de test d activité de contrôle Contenu «Un processus de contrôle existe et est suivi de façon à réviser et confirmer régulièrement les autorisations d accès.» Les autorisations d accès pourraient être octroyées individuellement, en dehors de la politique de la société, créant des brèches de sécurité. Détecter et supprimer les comptes qui ont été créés en dehors de la politique de sécurité. Comparer la liste des comptes utilisés via le SSO d entreprise et l état attendu dérivant de la politique de sécurité. Comparer la liste des comptes déclarés dans le SSO et la liste des employés de la société. Auto-inscription Domaine Exemple de risque Contenu L accès à l application pourrait être octroyé par erreur à des utilisateurs n ayant pas besoin de cet accès dans l exercice de leurs fonctions. Objectif de contrôle Exemple d activité de contrôle Exemple de test d activité de contrôle Les groupes d utilisateurs doivent être conçus pour fournir l accès aux applications par les utilisateurs qui ont réellement besoin de l accès. Mettre des applications spécifiques en mode d autoinscription. Quelques temps après, regarder quels utilisateurs se sont réellement inscrits. Les définitions des groupes d utilisateurs devraient être révisées si des utilisateurs n utilisent en fait pas l application. Pour les applications nécessitant une auto-inscription, demander la liste des utilisateurs ayant réellement effectué une auto-inscription. La comparer à la liste des utilisateurs censés utiliser l application. Enregistrement des accès aux applications Domaine Modèle de l ITGI Contenu «Le cas échéant, des contrôles existent pour assurer qu aucune partie ne puisse nier des transactions, et des contrôles sont réalisés pour produire une non-répudiation d origine ou de réception, preuve de dépôt et de réception de transactions.» 39 F2 28LU Rev01 30

31 Exemple de risque Objectif de contrôle Exemple d activité de contrôle Exemple de test d activité de contrôle Un utilisateur pourrait nier avoir accédé à une application spécifique. Enregistrement des accès aux applications Les accès aux applications individuelles doivent être enregistrés et l historique des accès doit être stocké de façon centrale. Demander la liste des accès à une application sensible spécifique sur une période donnée. Evidian Self-Service Password Reset Même si le Single Sign-On réduit de manière drastique le nombre de mots de passe gérés, un utilisateur peut de temps en temps oublier son mot de passe principal ou son code PIN. Evidian Self-Service Password Reset permet à l utilisateur de reinitialiser lui-même son mot de passe soit via un site Web soit via son PC directement. Redéfinition du mot de passe principal via un site Web Le département informatique peut mettre en place un site web où les utilisateurs peuvent déverrouiller eux-mêmes leur mot de passe principal. Ils doivent auparavant rédiger eux-mêmes quelques questions et réponses de contrôle. Quand un utilisateur perd son mot de passe principal, il peut lancer un navigateur web, accéder à une URL de redéfinition de mot de passe et donner les bonnes réponses aux questions prédéfinies. L utilisateur peut alors choisir un nouveau mot de passe. Si l utilisateur se connecte avec un jeton matériel (par exemple une carte à puce ou une clé USB) et le perd, la même procédure permet de créer un mot de passe à utiliser à la place du jeton. L activation de cette fonctionnalité est évidemment optionnelle, à la discrétion du département informatique. Un accès d urgence en tout lieu, à tout moment Si les utilisateurs finaux ont perdu leur mot de passe principal ou leur code PIN, il leur suffit de cliquer sur un bouton «SOS» sur leur écran de connexion Windows. Après avoir répondu correctement à quelques questions prédéfinies, ils seront capables de redéfinir leur mot de passe. Cela fonctionne même si l utilisateur n est pas connecté au réseau (par exemple d une chambre d hôtel). En cas de perte du mot de passe, les utilisateurs peuvent se connecter en utilisant le nouveau mot de passe qu ils redéfinissent eux-mêmes. Il n est pas nécessaire d appeler l assistance. En cas de perte du code PIN d une carte gérée via la Console de Management, l utilisateur doit cliquer sur un bouton pour obtenir une chaîne de caractère de «formule d identification» et la fournir à l assistance. L assistance fournit une 39 F2 28LU Rev01 31

32 chaîne de caractères de «réponse» et l utilisateur peut se connecter en utilisant un nouveau PIN. Si l assistance n est pas disponible, l utilisateur peut se connecter avec un mot de passe temporaire. Avec cette solution, l accès d urgence est possible même si aucune session Windows n est ouverte, en ligne ou hors ligne, à toute heure. En outre, la solution réduit les coûts d assistance en éliminant la plupart des appels de redéfinition des mots de passe et codes PIN. Evidian Kiosk Mode (Changement rapide d'utilisateur) Certains environnements exigent que de multiples utilisateurs puissent partager le même poste de travail, tout en commutant d'une session à l'autre aussi rapidement que possible. C'est, par exemple, le cas pour des urgences des hôpitaux, où les infirmières et les médecins ont besoin d'un accès immédiat à leurs informations, ou encore le cas des postes de travail des vendeurs de surfaces spécialisées qui doivent pouvoir vérifier les stocks ou enregistrer les commandes avant que leurs clients ne changent d'avis. Puisque le dispositif rapide de changement d'utilisateur intégré à Windows XP n'est pas disponible dans les versions 'entreprise, la manière standard de changer d utilisateur exige la fermeture de la session Windows puis son ouverture. Cette procédure est souvent trop longue et n est pas acceptable pour les PC en libreservice. Le contournement mis en place par les utilisateurs est de n utiliser qu une seule session Windows toujours ouverte, ce qui induit des failles de sécurité. Le changement rapide d'utilisateur de Evidian Kiosk Mode fournit une solution où la session de Windows demeure la même d'un utilisateur à l'autre mais où le contexte de sécurité, et l'ouverture/fermeture d'application sont traités individuellement pour chaque utilisateur. La session de Windows est un compte générique qui n'a aucun droit en propre. Cette fonctionnalité peut être couverte de deux manières : 1. Au niveau de l authentification 2. Au niveau de session 39 F2 28LU Rev01 32

33 Le changement rapide d'utilisateur au niveau de l authentification Dans ce mode, la fermeture et l ouverture de la session Windows est contrôlée par la GINA d Evidian. Lorsqu un utilisateur enlève sa carte à puce, la session est automatiquement bloquée. Si le même utilisateur revient au même poste de travail, il trouvera ses applications encore ouvertes. Mais, si un autre utilisateur se connecte à ce poste de travail, le module de moteur de SSO clôture automatiquement les applications avant d effectuer un changement rapide d utilisateur. Evidian Kiosk Mode fournit des dispositifs de classement hiérarchique des utilisateurs afin de contrôler les droits à effectuer des changements rapides d utilisateur. Ces mécanismes permettent par exemple de permettre à un docteur d'ouvrir la session d'une infirmière, mais d'interdire l'opposé. Commutation rapide d'utilisateur au niveau de session Dans certains cas, le contexte exige que la session du poste de travail demeure ouverte pour fournir un accès publique et restreint à tout le monde et un accès élargi mais contrôlé à certains. Dans ce cas-ci, la session Windows est ouverte comme d'habitude en utilisant un compte commun, ou le dispositif d'auto-logon, mais le moteur de SSO ne sera démarré que lors de l insertion d une carte à puce par un utilisateur. Lors du retrait de la carte à puce, le moteur de SSO est arrêté et les applications configurées sont fermées, mais la session Windows reste ouverte. Les cartes à puce pour le changement rapide d'utilisateur Le changement rapide d'utilisateur nécessite généralement une authentification par carte à puce afin que Evidian Kiosk Mode puisse détecter le départ des utilisateurs. 39 F2 28LU Rev01 33