AccessMaster PortalXpert

Transcription

1 AccessMaster PortalXpert Sommaire 1. Historique du document Sécuriser les ressources web Description du produit PortalXpert Instant Secure Single Sign-on 4. Scénarios de déploiement de PortalXpert Seul Evidian peut sécuriser et simplifier l accès aux ressources web et non web

2 2002 Evidian Les informations contenues dans ce document représentent la vision actuelle d'evidian sur les questions traitées à la date de publication. Evidian se devant de répondre aux conditions changeantes du marché, ce document ne doit pas être considéré comme un engagement de la part d'evidian, et Evidian ne peut pas garantir la précision des informations présentées après la date de publication. Ce document est fourni à titre d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE, EXPRESSE OU INDUITE, DANS CE DOCUMENT. Les autres noms de produit ou d'entreprise cités dans ce document sont des marques déposées de leurs sociétés respectives. Date : 19 mars 2002 Auteurs : LeeLee Brown et Eric Baize PortalXpert : Instant Secure Single Sign-On 2

3 1. Historique du document Révision 3.1 (mars 2002) Présente les nouvelles fonctionnalités de PortalXpert 3.1 Support des nouvelles méthodes d authentification Support de nouveaux annuaires Page d authentification (login) personnalisée Time-out configurable lors d inactivité prolongée Révision 2.0 (octobre 2001) Intègre les nouvelles fonctionnalités de PortalXpert 3.0 : Support de la procédure de connexion unique avec des formulaires HTML, Évolutivité accrue grâce au support de plusieurs passerelles de sécurité, Fonctions intégrées d'équilibrage de la charge et de basculement. Révision 1.1 (mai 2001) Remodelage du document. Révision 1.0 (mars 2001) Version initiale basée sur les fonctionnalités de PortalXpert 2.0. PortalXpert : Instant Secure Single Sign-On 3

4 2. Sécuriser les ressources Web Face à l'accroissement des problèmes de sécurité et de leur coût, les entreprises cherchent à minimiser les risques. La gestion de l'accès des utilisateurs aux applications Web et aux systèmes "back-end" est donc un facteur clé de ce processus. Comme les clients, partenaires et employés peuvent accéder aux données de l'entreprise, il est impératif de contrôler l'accès à ces informations sans gêner la navigation. La sécurisation des entreprises requiert le contrôle de l'accès utilisateur aux applications existantes et aux applications Web. Avec PortalXpert pour l'accès Web et AccessMaster pour l'accès aux applications existantes, la suite de produits Evidian permet aux entreprises de centraliser la gestion du contrôle d'accès dans l'entreprise étendue et d'en faire respecter les règles. Totalement intégrés et modulaires, PortalXpert et AccessMaster permettent aux clients de mettre en œuvre une sécurité adaptée à leurs objectifs de gestion. Evidian est la seule entreprise à disposer du savoir-faire nécessaire en matière de contrôle d'accès des applications Web et existantes. Ce document présente PortalXpert, la solution d'evidian pour les ressources Web. A mesure que les entreprises mettent leurs données et processus en ligne, elles doivent garantir la sécurité tout en permettant une navigation transparente entre des ressources hétérogènes. Le défi ne consiste pas seulement à empêcher l'accès non autorisé aux ressources, mais aussi à améliorer le confort des utilisateurs. Avec PortalXpert, les entreprises peuvent mettre en œuvre une politique de contrôle d'accès aux applications Web et fournir aux utilisateurs des fonctions de personnalisation et un point de connexion unique. PortalXpert offre les avantages suivants : contrôle et sécurisation de l'accès utilisateur aux ressources Web, création de communautés d'utilisateurs sécurisés visant à fidéliser ces derniers, simplification de la sécurité sur le Web. Contrôler et sécuriser l'accès utilisateur aux ressources Web Généralement, quand les entreprises évoluent vers l'accès en ligne, il incombe aux administrateurs de chaque application de mettre en œuvre la sécurité. Avec l'ajout d'applications, le nombre d'administrateurs et les règles de sécurité deviennent rapidement impossibles à gérer. Ce type d'approche "patchwork" de la sécurité aboutit à des problèmes de sécurité et à la frustration des utilisateurs finals. 4"Mettre en place le contrôle d'accès à toutes les applications PortalXpert fournit un seul point pour définir et gérer les applications et les ressources auxquelles peuvent accéder les utilisateurs. Afin d éviter que chaque administrateur de ressources ne contrôle la sécurité sur ses serveurs, PortalXpert centralise la gestion du contrôle d'accès aux ressources Web. A l aide d une console facile à utiliser, un administrateur de portail peut contrôler l'accès des utilisateurs de façon dynamique. Les nouveaux employés peuvent être ajoutés aux groupes appropriés et avoir immédiatement accès aux diverses applications. Avec PortalXpert, il suffit d'un clic de souris pour interdire l'accès aux services de l'entreprise aux anciens employés et partenaires. En outre, PortalXpert permet de suivre l'activité de tous les utilisateurs. Avec PortalXpert, vous pouvez mettre en œuvre une politique de sécurité complète pour l'ensemble des ressources Web, internes et externes. PortalXpert : Instant Secure Single Sign-On 4

5 4"Chiffrer les données confidentielles Pour garantir la confidentialité des données échangées sur Internet, les partenaires doivent ouvrir des sessions chiffrées. Comme de plus en plus d'entreprises travaillent désormais en ligne, le chiffrement de chaque application Web devient problématique, toutes les applications ne permettant pas, notamment, le chiffrement. Avec PortalXpert, toutes les communications entre le navigateur et la passerelle sont chiffrées. Les clients, employés et partenaires peuvent dialoguer en toute confiance au sein de la communauté PortalXpert sur le Web. 4"Masquer la véritable adresse des ressources Internet PortalXpert modifie l'url des applications Web pour empêcher les pirates de connaître la topologie du réseau. Cette fonction de mappage des URL permet également aux entreprises d'inclure de manière transparente les ressources Web de leurs partenaires. Créer des communautés d'utilisateurs sécurisés visant à fidéliser ces derniers Les solutions de sécurité traditionnelles perturbent l'efficacité et le confort des utilisateurs. Pour sa part, PortalXpert repose sur une approche simplifiée qui renforce la fidélité des utilisateurs. En facilitant la navigation par la connexion unique et en améliorant le confort des utilisateurs grâce à des contenus personnalisés, PortalXpert optimise leur productivité et leur confiance. 4"Améliorer le confort des utilisateurs et la sécurité via une connexion unique Lorsque les utilisateurs doivent fournir un mot de passe à chaque fois qu'ils veulent accéder à une application interne ou externe, la mise en œuvre de la sécurité entrave forcément leurs activités. La gestion de multiples informations de connexion est une activité frustrante qui prend beaucoup de temps. Pour aller plus vite, les utilisateurs choisissent des mots de passe faciles à détecter ou les laissent à la vue de tous. Les appels liés à des problèmes de mot de passe qui sont adressés au "help desk" représentent une part importante des coûts de ce service. Les mots de passe multiplés entravent non seulement les activités car ils perturbent le confort et la productivité des utilisateurs, et ils favorisent également l'insécurité. Avec PortalXpert, les clients, partenaires ou employés accèdent aux ressources Web internes et externes avec un seul nom d'utilisateur et un seul mot de passe. Après la procédure d'authentification initiale par PortalXpert, ils peuvent naviguer librement parmi les ressources auxquelles ils sont autorisés à accéder. Transparent pour l'utilisateur, PortalXpert fournit à chaque application le nom d'utilisateur et le mot de passe appropriés, y compris lorsque la demande est formulée via des formulaires HTML. Avec PortalXpert, les administrateurs de portail peuvent contrôler leur environnement Web et ajouter ou supprimer des ressources de manière dynamique. Les utilisateurs peuvent accéder aux ressources externes à l'entreprise sans être invités à saisir un autre mot de passe. La solution de connexion unique PortalXpert renforce la sécurité et la satisfaction de l'utilisateur, et réduit le nombre d'appels adressés au "help desk". 4"Personnaliser l'environnement Web de l'utilisateur final Parce que la navigation sur le Web est impersonnellle, les utilisateurs sont souvent contraints de cliquer sur des liens non pertinents. PortalXpert personnalise cette navigation en donnant aux utilisateurs le sentiment d'appartenir à une communauté. Avec PortalXpert, les utilisateurs de certains secteurs de l'industrie situés dans des zones géographiques prédéfinies peuvent obtenir un PortalXpert : Instant Secure Single Sign-On 5

6 accès et des informations personnalisés. Les clients et partenaires qui accèdent aux services sont sécurisés à plusieurs niveaux. Grâce à cette aptitude de PortalXpert à répondre à leurs besoins, les utilisateurs se sentent membres d'une communauté sécurisée. La connexion unique vient renforcer ce sentiment en permettant aux utilisateurs de naviguer de façon transparente au sein des applications autorisées. 4"L'administrateur du portail ou l'utilisateur peut choisir de gérer les mots de passe sensibles Les mots de passe peuvent être gérés par l'administrateur de portail ou par un utilisateur. Les mots de passe de groupe peuvent être transparents pour les utilisateurs finals. L'administrateur de portail peut autoriser les membres d'un certain groupe à accéder à des rapports d'analyste sans leur communiquer le mot de passe de l'entreprise concernée. De même, si les employés accèdent à leur compte de messagerie Web, l'administrateur de portail ne connaîtra pas leur mot de passe. Simplifier la sécurité sur le Web Avec PortalXpert Security, il n'est pas nécessaire de sacrifier la commodité à la sécurité. Contrairement à la plupart des architectures de sécurité de portail qui nécessitent le déploiement d'agents et de modules d'extension spécifiques sur chaque système cible, PortalXpert ne requiert aucune modification ou ajout de composant sur les postes de travail des utilisateurs et les systèmes cibles. Les autres solutions actuellement disponibles sur le marché sont extrêmement complexes, nécessitent des mois de mise en œuvre et consomment de précieuses ressources informatiques. 4"Déploiement Plug and Play Grâce à son architecture discrète, PortalXpert peut être déployé intégralement en quelques heures et permet à l'entreprise étendue d'évoluer aussi rapidement que le marché. Téléchargeable depuis le Web, PortalXpert est un logiciel complet qui repose sur des standards. 4"Aucune modification pour l'entreprise PortalXpert permet aux administrateurs de portail de gérer de manière transparente l'accès à n'importe quelle application Web sans avoir à déployer de logiciel ou à réorganiser les répertoires. PortalXpert ne requiert aucun logiciel, pas même de cookies, que ce soit côté client ou côté serveur. Il ne perturbe ni les processus ni les applications. PortalXpert réutilise le répertoire utilisateurs LDAP existant. En revanche, les produits concurrents nécessitent le déploiement de logiciels spécifiques sur chaque application et le recours à plusieurs bases de données. 4"Faible coût La licence PortalXpert est commercialisée à un prix modique, et ce produit n'entraîne aucun coût annexe. PortalXpert : Instant Secure Single Sign-On 6

7 3. Description du produit PortalXpert Architecture Plug and Play PortalXpert Security est une passerelle de sécurité qui intercepte toutes les demandes d'accès aux sites Web protégés. Ce produit utilise une technologie en instance de brevet selon laquelle les services basés sur le protocole LDAP fournissent une procédure d'authentification centralisée et gèrent les mots de passe secondaires, ainsi que l'accès des utilisateurs aux URL. L'approche d'evidian en matière de sécurité de portail est unique dans la mesure où elle ne requiert aucun logiciel supplémentaire, ni du côté du navigateur ni du côté du serveur Web. La passerelle de sécurité d'evidian fonctionne comme un serveur de proxy inversé qui met en œuvre des contrôles de sécurité en analysant le protocole HTTP. Ce produit a un impact minimal en termes de coût de déploiement, d'administration et d'exploitation. PortalXpert améliore les portails Web à l'aide des méthodes suivantes : il met en œuvre l'authentification des utilisateurs, il accorde ou refuse l'accès aux URL, il gère de manière transparente les mots de passe d'accès aux serveurs ou aux ressources protégées par mot de passe, il chiffre les données confidentielles échangées entre le navigateur et la passerelle de sécurité via SSL, il personnalise la page d'accueil de l'utilisateur en fournissant à ce dernier la liste des URL autorisées pour son profil, il assure l'audit des accès utilisateurs aux URL protégées, il masque la topologie interne du réseau en mappant les URL, il garantit la haute disponibilité et l'évolutivité du système. La console d'administration du produit permet aux administrateurs de définir des URL autorisées pour les utilisateurs et les groupes figurant dans le répertoire LDAP. Pas de cookies sur le navigateur Authentication Audit Contrôle d accès Personnalisation Connexion unique Mappage des URL Chiffrement du traffic Internet Pas de logiciels sur les serveurs cibles Passerelle de sécurité Extranets HTTP (SSL) HTTP or HTTP-S Internet Navigateur Intranet ou Internet Intranets Console d administration Annuaire LDAP PortalXpert : une architecture Plug and Play pour la sécurité des environnements Web PortalXpert : Instant Secure Single Sign-On 7

8 Mettre en œuvre l'authentification des utilisateurs La passerelle de sécurité PortalXpert met en œuvre l'authentification des utilisateurs pour l'accès aux URL protégées. La passerelle de sécurité authentifie les utilisateurs finals selon une large gamme de méthodes d authentification pour leur permettre de se connecter en toute sécurité au portail depuis n'importe quel emplacement à l'aide d'un nom de connexion (login) et d'un mot de passe uniques. PortalXpert supporte plusieurs méthodes d authentification, laissant au client le choix de la technologie d authentification à déployer sur le portail Web :! Authentification par mot de passe : : l annuaire utilisateurs de PortalXpert est le point crucial de l authentification utilisateur primaire. Le mot de passe de l'utilisateur final est transmis à la passerelle de sécurité et à l annuaire LDAP dans un format chiffré via SSL, ce qui permet à l'utilisateur d'être authentifié sans avoir à envoyer son mot de passe en clair sur le réseau. La définition du nom et du mot de passe de l'utilisateur final dans l annuaire LDAP est généralement assurée par des applications tierces, telles que la console du répertoire LDAP. La page de connexion (Login) PortalXpert peut être personnalisée pour être totalement intégrée à la charte graphique du portail.! Authentification par certificat X.509 : la passerelle de sécurité PortalXpert permet l authentification utilisateur basée sur X.509 via SSL V3. Il fait une corrélation entre la clé privée de l utilisateur stockée sur la partie navigateur et le certificat de la clé publique stockée dans l annuaire LDAP.! Authentification par carte : l authentification via SSL V3, permet à PortalXpert d être utilisé conjointement avec une carte compatible avec les navigateurs Internet! Authentification par jeton : PortalXpert est entièrement compatible avec le dispositif de mot de passe à usage unique (jeton) de VASCO! Authentification Radius : PortalXpert peut authentifier les utilisateurs finals aux serveurs d authentification RADIUS, souvent utilisés pour de l authentification utilisateurs dial-in. Pour accroître encore la sécurité, un time-out configurable dans PortalXpert force les utilisateurs à s authentifier à nouveau quand aucun accès aux ressources Web n a été effectué pendant une période de temps donnée. Accorder ou refuser l'accès aux URL La passerelle de sécurité applique le contrôle d'accès aux URL protégées en fonction de l'identité de l'utilisateur ou du groupe et du type d'url à laquelle celui-ci veut accéder. PortalXpert définit deux catégories d'url : Les URL pour lesquelles la passerelle de sécurité requiert que l'utilisateur final soit authentifié avant l'accès. Pour accéder à ces URL, l'utilisateur final n'a pas besoin que l'administrateur de PortalXpert lui accorde une autorisation spéciale. Les applications de messagerie Web sont un exemple de ce type d'url, Les URL pour lesquelles la passerelle de sécurité requiert non seulement que l'utilisateur final soit authentifié, mais également qu'il réponde aux critères d'accès spécifiés par l'administrateur de PortalXpert. Les services de portail réservés à certaines catégories d'utilisateurs, tels que l'application de gestion des ressources humaines, accessible uniquement au directeur des ressources humaines, sont un exemple de ce type d'url. Les utilisateurs et les groupes sont directement définis dans l annuaire LDAP. Cette règle vient compléter la politique de contrôle d'accès définie par le serveur Web qui héberge l'url accédée. Si celui-ci requiert un nom de connexion et un mot de PortalXpert : Instant Secure Single Sign-On 8

9 passe, la fonction de connexion unique de la passerelle de sécurité PortalXpert rend l'accès transparent pour l'utilisateur final. Gérer les mots de passe de manière transparente La passerelle de sécurité détecte en outre les demandes de mot de passe. Celles-ci peuvent être formulées de deux manières : Dans le protocole HTTP, les noms de connexion et les mots de passe sont demandés via le message de base HTTP AUTH, Sur les pages HTML, les noms de connexion et les mots de passe sont demandés via des formulaires HTML. Dans les deux cas, les noms de connexion et les mots de passe demandés sont automatiquement fournis par la passerelle de sécurité. Pour bénéficier de ce service de connexion unique, une ressource Web doit simplement avoir été définie dans l annuaire LDAP par l'administrateur du répertoire et assignée à l'utilisateur final, directement ou via un groupe. Les utilisateurs finals peuvent initialiser leur nom d'utilisateur et leur mot de passe secondaires par le biais d'un service dédié offert par la passerelle de sécurité. Les administrateurs peuvent également définir des mots de passe de groupe partagés par plusieurs utilisateurs et inconnus des utilisateurs finals. Cette fonction s'avère particulièrement utile lorsque l'administrateur de portail veut gérer l'accès aux comptes d'entreprise. Chiffrer les données confidentielles PortalXpert applique le protocole de chiffrement SSL entre le navigateur de chaque utilisateur de portail et la passerelle de sécurité. Si les ressources accédées nécessitent elles aussi le protocole SSL, la session entre la passerelle de sécurité et l'application finale sera également chiffrée. Cette fonction permet aux entreprises d'éviter de perdre des données confidentielles en chiffrant l'ensemble du trafic Web avec leurs partenaires ou leurs clients. Personnaliser la page d'accueil de l'utilisateur Le produit de sécurité de portail d'evidian offre un service d'accueil simplifié qui fournit à chaque utilisateur une page d'accueil personnalisée représentant l'url autorisée en fonction de son identité et de son rôle. Il est également possible de confier l'initialisation de la page d'accueil à un produit de portail tiers qui ajoute alors son contenu aux informations de sécurité du système. Assurer l'audit des accès utilisateur PortalXpert assure l'audit de toutes les opérations d'authentification et d'accès utilisateur aux URL protégées. Masquer la topologie du réseau La passerelle de sécurité offre des fonctions de mappage des URL qui cachent les adresses Web internes derrière le portail. Cela permet aux entreprises de sécuriser l'affichage de leurs sites Web internes via le portail. Les URL mappées sont stockées dans l annuaire LDAP et gérées à l'aide de la console d'administration du produit. PortalXpert : Instant Secure Single Sign-On 9

10 Garantir la haute disponibilité et l'évolutivité du système Il est possible de déployer plusieurs passerelles de sécurité PortalXpert pour sécuriser les grands environnements distribués. Afin de répondre aux besoins les plus divers des entreprises en matière d'administration, PortalXpert offre un large choix d'options de déploiement. Ainsi, les règles d'accès peuvent être définies de façon centralisée pour l'ensemble des passerelles de sécurité ou être spécifiques à chaque passerelle. De même, les utilisateurs peuvent être définis soit dans un annuaire central, soit dans un annuaire spécifique associé à une passerelle de sécurité donnée. De plus, PortalXpert supporte un logiciel intégré reposant sur la technologie SafeKit d'evidian, qui garantit la haute disponibilité du système et l'équilibrage de la charge entre les différentes passerelles de sécurité. Ce type de configuration autorise le basculement entre les différentes passerelles de sécurité en cas de défaillance d'un des serveurs ou systèmes. Détails techniques La passerelle de sécurité d'evidian s'exécute sous Solaris 7 et 8, et fonctionne avec iplanet Directory Service version 4 et 5 et Lotus Domino à partir de la version 5.0. Elle offre une procédure de connexion unique aux applications Web qui requièrent un nom de connexion et un mot de passe via le message de base HTTP AUTH ou via des formulaires HTML. Ce produit n'impose aucune contrainte au niveau du navigateur et ne nécessite pas de cookies. Il supporte à la fois Internet Explorer et Netscape. La définition des noms d'utilisateurs finals, des mots de passe et des groupes dans l annuaire LDAP est assurée par des applications tierces, telles que la console de l annuaire LDAP. PortalXpert : Instant Secure Single Sign-On 10

11 4. Scénarios de déploiement de PortalXpert PortalXpert améliore la sécurité et le confort des utilisateurs dans plusieurs situations d'entreprise type. Les exemples ci-après montrent comment PortalXpert contribue à renforcer la sécurité des intranets et des extranets, à simplifier la vie des utilisateurs et à sécuriser l'accès aux comptes d'entreprise sur les sites Web des partenaires. Utilisation de PortalXpert pour sécuriser les extranets Afin de fournir un accès sécurisé aux portails des extranets, la passerelle de sécurité PortalXpert peut être déployée entre deux pare-feu (dans un environnement DMZ) pour contrôler l'ensemble du trafic Internet entrant vers les applications Web internes. Les principaux avantages de PortalXpert dans un environnement de type extranet sont les suivants : Chiffrement de l'ensemble des données échangées sur Internet, Authentification et contrôle d'accès pour l'ensemble des utilisateurs externes, Suivi des accès utilisateurs externes, Procédure de connexion unique aux applications Web, Exposition réduite des applications Web de l'entreprise aux pirates et aux virus Internet : seule la passerelle de sécurité est exposée au trafic Internet, et non l'ensemble des serveurs Web accessibles aux partenaires. De plus, les URL internes sont masquées afin d'éviter que la topologie interne du réseau ne soit exposée aux pirates Internet. Utilisation de PortalXpert pour sécuriser et améliorer les accès intranet En ce qui concerne les intranets, PortalXpert facilite l'accès au Web pour les employés grâce aux fonctions de connexion unique et de personnalisation, et il aide les administrateurs à définir et à contrôler de façon centralisée les droits d'accès aux applications Web. PortalXpert peut s'interfacer directement avec l'annuaire des employés ou importer des données relatives à ces derniers. Utilisation de PortalXpert pour sécuriser et gérer l'accès aux comptes d'entreprise PortalXpert offre une fonction unique qui permet de connecter un utilisateur à un site Internet protégé par un mot de passe en masquant ce mot de passe aux utilisateurs finals. Ainsi, PortalXpert peut fournir l'accès à un site Web sur lequel l'entreprise dispose d'un compte (le site Web d'un fournisseur de mobilier de bureau, par exemple) en laissant l'administrateur de la sécurité déterminer quels sont les utilisateurs autorisés à accéder à ce site. Dans ce type de scénario, les principaux avantages de PortalXpert sont les suivants : Authentification des utilisateurs avant tout accès à un site Web protégé, Connexion automatique à des sites Web protégés pour les utilisateurs autorisés sans que les mots de passe de ces sites ne soient communiqués aux utilisateurs finals, PortalXpert : Instant Secure Single Sign-On 11

12 Suivi des accès individuels aux sites Web protégés. Cette fonction unique permet de prévenir l'utilisation abusive des comptes d'entreprise et d'éviter que des employés mécontents ne puissent partager leurs droits d'accès en divulguant leur mot de passe. L'entreprise conserve un contrôle total, dispose d'un moyen de suivi des accès employés aux comptes d'entreprise et peut immédiatement verrouiller l'accès de tel ou tel employé. PortalXpert : Instant Secure Single Sign-On 12

13 5.Seul Evidian peut sécuriser et simplifier l'accès aux ressources Web et non Web PortalXpert est un produit indépendant au sein de la suite de logiciels de sécurité AccessMaster d'evidian, laquelle inclut également : AccessMaster Single Sign-On, service de connexion unique basé sur des règles pour l'accès aux ressources non Web, AccessMaster PKI Manager, gestionnaire d'infrastructure de clé publique, AccessMaster Netwall, pare-feu Internet haut de gamme. PortalXpert peut être intégré à AccessMaster Single Sign-On via une interface qui permet à ces deux produits d'exploiter un annuaire utilisateurs LDAP commun. Il constitue alors une solution de connexion unique complète pour toutes les applications, Web et non Web, de l'entreprise. Pour plus d'informations, contacter : Evidian Groupe Bull France : 68 route de Versailles Louveciennes CEDEX Tél. : (33) fax : (33) SRV.evidian-France@evidian.com PortalXpert : Instant Secure Single Sign-On 13