Evidian Secure Access Manager Standard Edition

Transcription

1 Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan dominique.castan@evidian.com et Michel Bastien michel.bastien@evidian.com Sommaire Septembre 2003 Introduction Comment faire de vos annuaires LDAP utilisateurs le point focal de votre infrastructure Comment déployer rapidement un SSO dans votre organisation Comment ouvrir un accès sécurisé aux partenaires et/ou clients Comment étendre le contrôle d accès de votre système d information à votre nouvelle filiale Conclusion

2 2003 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques cités dans cette publication sont reconnus.

3 Table des matières Introduction...4 Comment faire de vos annuaires LDAP utilisateurs le point focal de votre infrastructure...5 Comment déployer rapidement un SSO dans votre organisation...6 Une infrastructure classique d'entreprise... 6 AccessMaster contrôle et simplifie les accès... 7 Comment ouvrir un accès sécurisé aux partenaires et/ou clients...9 Infrastructure de support des accès externes... 9 AccessMaster contrôle et simplifie les accès externes Comment étendre le contrôle d accès de votre système d information à votre nouvelle filiale...12 Une infrastructure hétérogène et multi-directions AccessMaster s'intègre simplement dans une infrastructure hétérogène Conclusion

4 Introduction Pour rester compétitive et garantir ses objectifs financiers, l entreprise doit absolument optimiser sa productivité et améliorer constamment sa réactivité. Et cela dans un contexte qui est de plus difficile, où budgets et personnels ne sont pas en croissance. Pour réussir ce défi, l entreprise dispose de deux atouts majeurs que sont son système d information et ses utilisateurs. Dans leurs tâches de tous les jours, les employés, les utilisateurs mobiles et les partenaires de l entreprise mettent en œuvre des processus métier leur permettant de traiter l information. Pour cela, ils doivent avoir accès à de multiples applications aussi bien sur des environnements de type mainframe, que sur des serveurs d applications back-office, des bases de données, des ERP ou des applications Web. Augmenter la productivité et la réactivité de l entreprise, c est offrir à ses utilisateurs des processus d accès au système d information les plus simples possibles. Ces processus d accès doivent garantir la sécurité de l information, mais sans que la sécurité soit une contrainte pour l activité des utilisateurs. Un employé ou un sous-traitant ne doit pas patienter plusieurs jours pour avoir accès à de nouvelles informations métiers. Un responsable d une ligne de produit ou un responsable d exploitation ne doit pas attendre des heures pour renseigner les autorisations d accès d un nouveau collaborateur. Pour être efficace, le contrôle d accès à l information doit masquer au mieux la multiplicité et la diversité des référentiels des utilisateurs. Il doit s appuyer aussi bien sur l annuaire du personnel, que sur l annuaire du service client ou sur l annuaire du service des partenaires. Chacun de ces annuaires pouvant être d origines diverses. Pour apporter une solution à ce défi, le but de ce document est de montrer comment AccessMaster répond à ces besoins en offrant une solution simple, modulaire et intégrée. Ce document montre comment progressivement, au rythme des vos besoins, AccessMaster automatise le contrôle d accès et le SSO pour des personnes dont les identités et les droits sont gérés dans de multiples annuaires et qui doivent se connecter à de multiples applications Web et non Web. 4

5 Comment faire de vos annuaires LDAP utilisateurs le point focal de votre infrastructure Au delà de l administration de leurs employés, les entreprises ouvrent leur système d information aux partenaires, fournisseurs et clients. Cette explosion en nombre d utilisateurs rend la tâche d administration des identités fort complexe. Dans ce contexte, les annuaires LDAP deviennent un point focal majeur pour publier des informations liées au métier des utilisateurs (noms, adresse, groupes, rôles, profils, attributs métiers, etc ) Ainsi, AccessMaster a la capacité d utiliser les annuaires LDAP existants (voir Figure 1) comme point focal de l infrastructure de l entreprise. Cela permet de déployer rapidement une solution modulaire et extensible de contrôle d accès et de SSO vers l ensemble des applications du système d information. Figure 1. les annuaires LDAP comme point focal de l infrastructure Identity Management User Provisioning To resources LDAP Directories Certificate Management Employees Partners Customers Secure Access Manager Std Edition Secure Access Manager Web Edition Que vous ayez choisi un ou plusieurs annuaires LDAP pour gérer vos employés, partenaires et clients, AccessMaster s appuie sur vos annuaires utilisateurs comme référentiel centralisé pour l authentification et la gestion de vos utilisateurs. Ainsi AccessMaster s intègre simplement à vos outils d administration des personnes et d administration des applications. Sans aucune modification de vos procédures d administration utilisateur, sans aucun changement de vos outils d administration, les composants modulaires d AccessMaster vous fournissent une solution simple et extensible qui s adapte sans les modifier à vos procédures métier déjà en place : Le composant «Secure Access Manager Standard Edition» offre depuis vos PC une authentification par mot de passe ou carte à puce et un SSO en environnement multi applications du monde Web au monde non Web Le composant «Certificate Manager» offre depuis vos PC la généralisation de l usage de vos certificats pour une authentification et un SSO en environnement multi-applications du monde Web au monde non Web Le composant «Secure Access Manager Web Editon» offre depuis tout navigateur Web de vos employés ou partenaires une authentification robuste (mot de passe, OTP, certificat) et un contrôle d accès granulaire (URL, autorisation d accès par attribut utilisateur) à l ensemble de vos applications Web. 5

6 Comment déployer rapidement un SSO dans votre organisation Prenons l exemple d une entreprise composée d employés qui, dans leur activité de production, utilisent depuis leur PC des applications classiques (mainframe et client/serveur) et des applications Web en Intranet. Le directeur de cette entreprise, afin d améliorer le confort de ses utilisateurs et la sécurité du système d information, veut mettre en œuvre un contrôle d accès multi environnements et un SSO (Single Sign-On) pour ses applications Web et non Web. Par contre, ce directeur met en pré-requis que ce déploiement se fasse le plus rapidement possible, sans remettre en cause ni les procédures d administration et ni les procédures de traitement de l information déjà en place. Une infrastructure classique d'entreprise Les employés de l organisation de production sont administrés dans l annuaire Active Directory de l entreprise. Les employés de l organisation de production (voir Figure 2) peuvent accéder aux applications SAP pour les personnes du service financier, aux applications de production sur le mainframe et aux applications de documentation via WebSphere. Figure 2. Un contrôle d accès et un SSO pour l Intranet de production SAP Active Directory employés MVS Employés de la production WebSphere 6

7 AccessMaster contrôle et simplifie les accès Le scénario «Production» s appuie sur la solution AccessMaster «Secure Access Manager Standard Edition». Les employés sont administrés dans l annuaire Active Directory par la console Microsoft, leurs comptes étant gérés par les administrateurs des applications. La console d administration d AccessMaster administre uniquement la politique de sécurité (authentification et autorisation). Elle permet d exploiter également l audit global des accès utilisateurs. Dans ce cas, le composant «Secure Access Manager Standard Edition» s appuie directement sur Active Directory (voir Figure 3) pour indiquer quels utilisateurs doivent accéder à quelles applications. Il n y a aucun import, ni aucune redéfinition des identités. Figure 3. «Secure Access Manager Standard Edition» utilise Active Directory Active Directory Employés (1) Lecture des identités Secure Access Manager Standard Edition (2) Administration de la politique de sécurité AccessMaster Console 7

8 Les employés accèdent à leurs applications autorisées après avoir été authentifiés par «Secure Access Manager Standard Edition» qui est en relation directe avec l annuaire Active Directory (voir Figure 4). Figure 4. les employés accèdent aux applications autorisées SAP production A.D. (2) Vérification du compte primaire MVS (3) SSO Secure Access Manager Standard Edition WebSphere (1) Authentification Employés de la production Les employés accèdent simplement à leurs applications grâce au SSO de «Secure Access Manager Standard Edition» qui leur évite de retenir plusieurs identifiants et plusieurs mots de passe comme c est souvent le cas aujourd hui. Cette solution est de plus totalement non intrusive vis à vis des applications Web ou non Web. Il n est pas nécessaire de les modifier ou de les adapter. Les utilisateurs travaillent plus facilement sans que la sécurité soit un frein et vos coûts de help desk diminuent. Les employés sont ainsi authentifiés par un serveur auquel est confié l exécution de la politique de sécurité. Ce serveur est en étroite relation avec le serveur Active Directory sans remettre en cause son fonctionnement. C'est SSO très simple qui facilite le travail de tous les jours des utilisateurs et diminue les coûts du help desk. 8

9 Comment ouvrir un accès sécurisé aux partenaires et/ou clients L entreprise que nous avons pris en exemple au chapitre précédent a d autre part un Service Après-Vente (SAV). Ce service après-vente travaille avec des clients qui doivent avoir accès à une base spécifique SAV depuis leur navigateur Web à travers Internet. Le directeur demande maintenant d étendre la solution de contrôle d accès à son département SAV pour améliorer le service client de son entreprise. Ceux-ci pourront par exemple se connecter, consulter leur dossier en ligne et avoir accès à toute la documentation technique. Le directeur met toujours en pré-requis que l ouverture Internet de son entreprise se fasse le plus rapidement possible, sans remettre en cause ni les procédures d administration et ni les procédures de traitement de l information déjà en place dans le SAV. Par contre, il impose que la sécurité des informations du service SAV soit garantie, qu il sache précisément quel client accède à quelle information et qu en cas de nécessité un accès Web utilisateur puisse être révoqué immédiatement. Infrastructure de support des accès externes Si les employés de l organisation de production sont administrés dans l annuaire Active Directory de l entreprise, l organisation SAV quant à elle gère les comptes clients indépendamment dans une base OpenLDAP. Les clients accèderont quant à eux via une DMZ aux applications Web du SAV. La Figure 5 décrit le scénario «SAV» à mettre en place, il consiste à étendre le contrôle d accès à Internet. Figure 5. Etendre le contrôle d accès à Internet de production du SAV SAP A.D. employés LDAP Clients MVS Application Web SAV Employés de la production Clients extérieurs WebSphere 9

10 AccessMaster contrôle et simplifie les accès externes AccessMaster est une solution modulaire et extensible. L extension du scénario «Production» aux accès Internet de l entreprise s appuie sur le module «Access Manager for Web». Les clients sont administrés par l organisation SAV, indépendamment de l organisation de production, dans un annuaire OpenLDAP dédié. De la même façon que dans le scénario «Production», la console du composant «Secure Access Manager Standard Edition» étend aux accès externes l administration de la politique de sécurité d authentification et d autorisation des clients de l entreprise (voir Figure 6). Figure 6. «Secure Access Manager Standard Edition» étend aux accès externes l administration de la politique de sécurité d authentification et d autorisation Employés Active Directory (1) Lecture des identités Secure Access Manager Standard Edition OpenLDAP Clients AccessMaster Console (2) Administration de la politique de sécurité 10

11 Les clients externes à l entreprise accèdent à l application SAV après avoir été authentifiés par l extension «Secure Access Manager Web Edition» qui est en relation avec l annuaire OpenLDAP (voir Figure 7). Figure 7. Les clients externes accèdent à l application SAV après avoir été authentifiés par l extension «Secure Access Manager Web Edition» production du SAV SAP A.D. (2) Vérification du compte primaire (5) Vérification du compte primaire LDAP Application Web SAV MVS (3) SSO Secure Access Manager Standard Edition Secure Access Manager Web Edition WebSphere (1) Authentification (4) Authentification (6) SSO et contrôle d URL Employés de la production Clients extérieurs Les clients n ont pas besoin de logiciel particulier à installer sur leur PC. Cette solution est de plus totalement non intrusive vis à vis des applications Web. Il n est pas nécessaire de les modifier ou de les adapter. De plus les administrateurs de «Secure Access Manager Standard Edition» exploitent de façon globale l audit de sécurité réalisé lors des accès Web. Les clients sont authentifiés par un serveur auquel est confié l exécution de la politique de sécurité d authentification et d autorisation d accès. Ce serveur est en étroite relation avec l annuaire OpenLDAP du SAV sans remettre en cause son fonctionnement. Les accès des clients par Internet sont sécurisés. 11

12 Comment étendre le contrôle d accès de votre système d information à votre nouvelle filiale La même entreprise vient d acquérir une nouvelle organisation qui devient sa filiale dédiée à la vente et à la distribution d une partie de sa production. Le directeur de l entreprise veut le plus rapidement possible optimiser les ressources et les procédures métier communes aux deux organisations. Son souci est d optimiser les coûts d exploitation. Malgré les changements organisationnels importants mis en place dans cette nouvelle filiale, la priorité du directeur est : que les forces de ventes de la nouvelle filiale s intègrent parfaitement dans les procédures de ventes produit de l entreprise, qu elles soient opérationnelles sans délai, que les vendeurs de la filiale restent motivés et productifs. Une infrastructure hétérogène et multi-directions La filiale gère actuellement ses utilisateurs, ses rôles et attributs métier dans un annuaire iplanet via sa console d administration (voir Figure 8). Figure 8. La filiale gère actuellement ses utilisateurs dans un annuaire iplanet SAP production A.D. employés iplanet Employés filiale Filiale Distribution MVS du SAV WebSphere LDAP Clients Employés de la production Clients extérieurs Application Web SAV Pour leur nouvelles activités au sein de l entreprise, les forces de ventes de la filiale utilisent leur PC pour accéder aux applications SAP de facturation, WebSphere pour obtenir les catalogues de prix, de configuration produit et de remise commerciale. Pour leurs relations avec leurs nouveaux clients, ils doivent également accéder aux applications Web de CRM de l organisation SAV de l entreprise. 12

13 AccessMaster s'intègre simplement dans une infrastructure hétérogène Pour gagner du temps et rendre les vendeurs opérationnels immédiatement, il n est pas nécessaire d importer ou de redéfinir dans l annuaire Active Directory de l entreprise les identités, rôles et attributs métier qui étaient gérés initialement dans l annuaire iplanet de la filiale. La solution «Secure Access Manager Standard Edition» permet de prendre en compte immédiatement les utilisateurs là où ils sont définis. Depuis la console d administration de «Secure Access Manager Standard Edition», les administrateurs vont pointer directement l organisation où sont définis les vendeurs de la filiale en l occurrence, dans l annuaire iplanet. Les administrateurs auront alors une vue unifiée de toutes les identités de l entreprise qu elles soient définies dans iplanet ou Active Directory (voir Figure 9). Figure 9. Vue unifiée des identités dans iplanet et Active Directory Active Directory Employés (1) Lecture des identités Employés filiale iplanet OpenLDAP Clients Secure Access Manager Standard Edition AccessMaster Console (2) Administration de la politique de sécurité En fonction des identités de chacun des utilisateurs et en quelques clics, l administrateur de «Secure Access Manager Standard Edition» va autoriser l accès aux applications et aux URL pour chacune des personnes ou groupes de personnes des forces de ventes. Pour cela, l administrateur va s appuyer sur les politiques d authentification et d autorisation déjà définies dans Secure Access Manager (méthode d authentification, dictionnaire de mots de passe, plages horaires, workgroups d accès, comptes accessibles, paramètres d accès nécessaires, politique de mot de passe secondaire, etc...). 13

14 Pour accéder à leurs applications et URL (voir Figure 10), les forces de vente sont authentifiées par le serveur d authentification de «Secure Access Manager Standard Edition». Celui-ci vérifie l authentifiant primaire de l utilisateur dans l annuaire iplanet où sont définis les utilisateurs de la filiale (action 1 et action 2). Une fois authentifiées, les forces de vente ne verront que les applications et URL auxquelles elles ont le droit d accéder. Grâce à la fonction d auto apprentissage de «Secure Access Manager Standard Edition», chaque personne des forces de vente pourra renseigner les mots de passe de chacune des applications auxquelles elle a le droit d accéder. Puis de façon transparente, sans avoir à saisir son mot de passe, chaque utilisateur de la filiale vente accèdera à l information métier dont il a besoin, pas plus, mais pas moins. Si une application demande un changement de mot de passe, «Secure Access Manager Standard Edition» le gérera automatiquement. Ainsi, l utilisateur n aura plus à s en soucier et les coûts de help desk diminueront. Figure 10. Authentification là où sont administrés les utilisateurs et SSO transparent production Filiale distribution SAP A.D. employés iplanet employés filiale (2) Vérification du compte primaire MVS (3) SSO (1) Authentification WebSphere Application Web SAV Forces de vente Enfin, les administrateurs de Secure Access Manager consultent les événements d audit de sécurité récoltés lors des authentifications et accès aux applications Web et non Web. Vous augmentez la productivité et la réactivité de votre entreprise, car chaque nouvel utilisateur accède simplement et de façon sécurisée au système d information. Le déploiement se fait en quelques jours. Il ne remet en cause ni les procédures d administration ni les procédures de traitement de l information déjà en place. 14

15 Conclusion Evidian Secure Access Manager offre une solution de sécurité modulaire et extensible par étape pour contrôler vos accès et déployer votre SSO rapidement. Secure Access Manager s appuie sur vos procédures d administration déjà en place et utilise les données utilisateur contenues dans vos différents annuaires LDAP. Cela vous évite de perdre du temps à synchroniser vos utilisateurs avec vos ressources. Secure Access Manager augmente la productivité de vos employés et améliore la qualité de service pour vos clients. Il réduit vos coûts de help desk grâce à un SSO simple et transparent pour l utilisateur. Secure Access Manager permet d augmenter la sécurité de l entreprise grâce à une authentification robuste et un contrôle d accès aux applications Web et non Web en fonction des rôles métiers de vos utilisateurs. Il permet de gérer en toute cohérence vos politiques de sécurité d authentification et d autorisation, quelle que soit la nature de vos accès Intranet ou Internet. 15

16 Les informations contenues dans ce white paper concernent AccessMaster en version 6.2. Evidian se réserve le droit de modifier à tous moments les caractéristiques de ses produits sans avis préalable. Pour plus d'informations, consultez le site