Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour une Chambre de Commerce et d Industrie Par Cathy Demarquois Responsable Marketing Sommaire Description du cas client Solution mise en place à la CCIA Simplifier, contrôler et sécuriser l accès utilisateurs aux ressources de l entreprise
2013 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations passé la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques cités dans cette publication sont reconnus.
Table des matières Description du cas client... 4 La Chambre de Commerce et d Industrie d Alençon (CCIA).4 Un SSO sécurisé... 4 Solution mise en place à la CCIA... 5 Environnement technique et applicatif... 5 Implémentation... 5 Des gains de productivité... 6 Pour ses utilisateurs internes... 6 Pour ses administrateurs... 6 Pour le Help desk... 6 AccessMaster SAM SE s'intègre simplement dans le SI du CCIA... 6 Simplifier, contrôler et sécuriser l accès utilisateurs aux ressources de l entreprise... 7 Evidian Secure Access Manager - Standard Edition... 7 Sélection des attributs à gérer dans les annuaires LDAP 8 Gestion des accès unifiée pour tous les environnements, du système central au Web... 8 Gestion des authentifications... 9 Gestion avancée des accès avec délégation et auto-enregistrement des utilisateurs... 9 Un terminal utilisateur personnalisé et sécurisé... 9 Une signature unique avancée... 10 Contrôle des accès avec certificat utilisateur pour les applications "mot de passe"... 10 Audit et alarmes centralisés... 11 Haute disponibilité et évolutivité... 11 Facilité de déploiement... 11 Environnements terminaux et serveurs supportés... 12 39 F2 66LS Rev00 3
Description du cas client La Chambre de Commerce et d Industrie d Alençon (CCIA) La CCI d'alençon Un SSO sécurisé Une assemblée de 26 membres titulaires et 13 membres associés représentant les 5000 chefs d'entreprises de sa circonscription. Au delà de ses principales missions de : porte-parole des entreprises, appui aux entreprises, appui aux territoires, centre de ressources, la CCIA inscrit ses actions au travers d une stratégie définie par l'assemblée des chefs d'entreprises qui se décline en projets conduits pendant la mandature. La plasturgie, la formation, les services à la personne et les Nouvelles Technologies de l Information et de la Communication sont des axes forts de sa politique générale. Depuis 1998, la CCIA a revu l'ensemble de son organisation interne en se fondant sur les nouvelles technologies. L'ensemble des informations, des données et des connaissances est structuré, mutualisé et capitalisé dans un système d'information global accessible à partir d'un portail interne. A l'issue de cette structuration, la CCIA a souhaité garantir la sécurité des informations, simplifier l'accès et la navigation sur les différentes applications pour favoriser l'appropriation des utilisateurs. 39 F2 66LS Rev00 4
Solution mise en place à la CCIA La CCIA a mis en place la solution AccessMaster Secure Access Manager Standard Edition (SAM SE) permettant de prendre en compte l ensemble des applications tout en centralisant l administration des comptes Lotus, Unix et Windows. SAM SE a permis de couvrir les fonctions suivantes : La gestion centralisée de la sécurité des accès, des postes de travail et de l'authentification. Les connexions SSO permettant d offrir aux utilisateurs du système d information un logon unique qui autorise l accès automatique aux applications (Lotus Notes, client/serveur, HTML, Windows, ), évitant ainsi de mémoriser de 5 à 15 mots de passe. La prise en compte de l administration Lotus Notes. Environnement technique et applicatif L'environnement technique se compose de postes Windows et de serveurs Unix et Windows pour des applications Web, Windows et Unix. Implémentation Les principales applications sont : Messagerie : Lotus Notes Gestion des FCE, FC et apprentissage : progiciel Proconsulix Accès Internet : via un proxy Comptabilité : logiciel Sigma sous Windows Gestion des contrats: logiciel Eracines Sites Internet institutionnels : CCINet, CCI.fr, site des Directeurs Généraux Les applications sont de type client/serveur ou Web. L installation de base initiale a été effectuée en 4 jours. Les applications ont été ensuite intégrées progressivement dans l'infrastructure de SSO. 39 F2 66LS Rev00 5
Des gains de productivité L architecture flexible d AccessMaster a permis une intégration simple avec le système informatique de la CCI d Alençon. L outil a permis des gains de productivité. Pour ses utilisateurs internes AccessMaster offre aux utilisateurs le moyen d avoir un logon unique et donc un accès automatique aux différents applications (provisioning). Pour ses administrateurs Pour le Help desk AccessMaster centralise la gestion de la sécurité et permet ainsi de réduire les coûts et de simplifier les multiples procédures de sécurité. L intégration et la centralisation de l administration simplifient la tâche des administrateurs. La console d administration qui gère l ensemble des alarmes alerte en temps réel les responsables sécurité. AccessMaster a également apporté un avantage conséquent, qui est la réduction du coût de la cellule de Help desk, les oublis de mots de passe étant considérablement réduits. La facilité d installation de l outil a permis un rapide déploiement et la solution a donc été opérationnelle au plus vite à la CCIA. AccessMaster SAM SE s'intègre simplement dans le SI du CCIA AccessMaster a permis à la CCIA de mettre en place rapidement une solution de sécurisation des accès. Simplicité de l'administration Gestion depuis un point unique des accès à toutes les applications et ressources informatiques. Personnalisation du poste de travail Affichage des icônes correspondant aux applications accessibles par l utilisateur. Intégration au SI Aucune modification des systèmes cibles et des applications. Facilité de connexion Réduction du nombre de mots de passe. Contrôle des accès Point unique de gestion de toutes les applications accessibles à chaque utilisateur. 39 F2 66LS Rev00 6
Simplifier, contrôler et sécuriser l accès utilisateurs aux ressources de l entreprise Evidian Secure Access Manager - Standard Edition Ce gestionnaire d'authentifications et d'autorisations délégué est conçu pour le contrôle des accès aux applications Web et au système central. Figure 1. Un gestionnaire des authentifications et autorisations délégué contrôlant les accès aux applications, depuis le système central jusqu'au Web Annuaires LDAP Employés Partenaires Clients IBM MVS SAP, Oracle, Citrix WebSphere Administration Vision uniforme des identités Admin. politiques & ressour. Délégation & RBM Audit & alarmes Haute disponibilité Authentification Connexion sûre, temporisation ID/mot de passe, X.509, cartes DES Haute disponibilité Caches locaux Signature unique Moteur SSO : Central ET Web Mode auto-administration Install. Wizard Utilisateurs finals : PC Windows ou Citrix (Client léger + Unix + OS/2 + Linux) Cette solution compile les événements d'audit et émet des alarmes en cas d'événements critiques pour la sécurité. Cette solution prévoit un point unique pour la gestion de toutes les applications et ressources informatiques auxquelles un utilisateur peut accéder. AccessMaster permet à l'entreprise de tirer pleinement parti des annuaires utilisateurs en reprenant la définition des employés, partenaires et clients dans des annuaires LDAP multiples et de différentes natures (Microsoft Active Directory, annuaires Sun ONE Directory Server, Lotus Notes, OpenLDAP, etc.). Secure Access Manager - Standard Edition met à disposition une SSO (signature unique) transparente pour les accès à toute application locale, centrale, client/serveur ou Web. Le moteur de sécurité SSO extrait les mots de passe demandés du profil utilisateur et les dirige de façon dynamique vers chaque application. Les utilisateurs finals peuvent également recourir aux fonctions d'auto-enregistrement et de gestion des mots de passe primaires. 39 F2 66LS Rev00 7
Sélection des attributs à gérer dans les annuaires LDAP Ainsi qu'il a été vu précédemment, la souplesse offerte par le concept "multiannuaires" d'accessmaster permet d'intégrer sans difficulté la gestion de la sécurité dans l'environnement mis en place pour les informations publiques des utilisateurs. Aussi, est-il conseillé de conserver les outils et procédures d'administration en cours pour ces informations publiques tout en recourant au référentiel de sécurité d'accessmaster pour la gestion des informations de sécurité des utilisateurs. Voici une liste type des informations de sécurité étendues : Gestion des identités Rôles administratifs, politiques de mots de passe, événements et identifiants d'audit, attributs associés aux cartes à puce 3DES, alarmes de sécurité, calendriers, méthodes d'authentification, configurations de sessions (délai de changement du mot de passe, temporisation, etc.), points d'accès (postes de travail, serveurs Radius, serveurs de groupes de travail, etc.). Si les ID/mots de passe des utilisateurs sont déjà gérés dans les annuaires, AccessMaster peut prendre en compte naturellement ces informations. Cela permet de minimiser les changements en conservant les procédures existantes. Provisioning de la sécurité URL, pages d'accueil, systèmes, applications, groupes d'applications, comptes utilisateurs (ID/mots de passe, annuaire principal, paramètres système). Gestion des certificats Modèles de certificats/clés, clés de récupération et cartes à puce cryptographiques. Gestion des accès unifiée pour tous les environnements, du système central au Web Le gestionnaire Evidian Secure Access Manager - Standard Edition permet de gérer depuis un point unique toutes les applications et ressources informatiques auxquelles un utilisateur peut accéder. À partir d'un serveur de politiques centralisé et des composants de sécurité propres aux postes des utilisateurs - Windows, Citrix, Linux ou Unix - le gestionnaire authentifie centralement les utilisateurs à la première connexion, via un mot de passe, un jeton Radius ou Kerberos, un certificat X.509 ou une carte à puce. Cette première connexion sécurisée déclenche l'extraction et la mise en place automatiques d'un profil de sécurité et de connexion sur le terminal utilisateur pour la session ouverte. 39 F2 66LS Rev00 8
Gestion des authentifications Evidian Secure Access Manager - Standard Edition permet de gérer plusieurs méthodes d'authentification telles que mot de passe crypté, certificat à clé publique, carte à puce cryptographique ou 3DES. Un dictionnaire des mots de passe interdits, basé sur des listes très exhaustives d'expressions régulières et sur divers autres mécanismes, évite le recours à des mots de passe primaires peu sécurisés (ex. : séquences de chiffres ou de lettres). Secure Access Manager - Standard Edition permet la gestion des cartes à puce 3DES. Il est notamment possible d'enregistrer sur chacune des cartes les données nécessaires pour leur utilisation dans le système de sécurité. Si l'utilisateur final perd sa carte, l'administrateur peut lui en prêter une nouvelle. Dans le cadre de l'authentification des certificats de clés publiques, Secure Access Manager - Standard Edition s'assure de la validité de chaque certificat reçu. À cet effet, il configure dans le référentiel AccessMaster le certificat à clé publique de l'autorité de certification signataire du certificat, puis il vérifie que le certificat reçu n'a pas été révoqué dans les CRL (listes des certificats révoqués). Gestion avancée des accès avec délégation et auto-enregistrement des utilisateurs Une console décentralisée permet aux administrateurs de gérer les droits d'accès en tous points de l'entreprise à partir des annuaires LDAP existants et de la solution en cours pour la gestion des identités. Cette console permet également de gérer les droits et profils des utilisateurs. En outre, grâce aux fonctions d'auto-enregistrement, les utilisateurs peuvent s'enregistrer depuis leurs terminaux sur les services autorisés. La délégation basée sur les rôles permet de déléguer une sélection de fonctionnalités de gestion vers des unités d'activité ou des partenaires autorisés qui ne visualiseront que les éléments mis à leur disposition. Les utilisateurs finals peuvent également bénéficier de fonctions personnalisées en "libre-service", telles que l'autoenregistrement ou la gestion des mots de passe et profils. Un terminal utilisateur personnalisé et sécurisé Une fois la connexion établie, les terminaux utilisant Windows ou Citrix peuvent être chargés dynamiquement. Seules les icônes correspondant aux applications accessibles par l'utilisateur sont affichées. Pour les postes de travail Unix ou Linux, les composants de la connexion locale et de la SSO sont fournis via une offre proposée par des partenaires d Evidian. Le terminal devient une interface spécifique à l'utilisateur et constitue dès lors un point d'entrée vers les ressources informatiques autorisées. Des fonctions de sécurité locale sont par ailleurs disponibles, dont la temporisation des activités et le contrôle du retrait de la carte à puce. Les partenaires d Evidian peuvent également fournir des fonctions de sécurité PC supplémentaires (moteurs de cryptage des fichiers, par exemple). Toute connexion ultérieure sur une quelconque application locale, centrale, client/serveur, Citrix ou Web sera transparente pour l'utilisateur. 39 F2 66LS Rev00 9
Une signature unique avancée Le moteur SSO de Secure Access Manager - Standard Edition extrait les mots de passe demandés du profil utilisateur et les transmet de façon dynamique à chaque application. Contrairement aux simples solutions de synchronisation des mots de passe, qui ne font qu'affaiblir la sécurité en unifiant les mots de passe utilisateurs sur tous les systèmes, Secure Access Manager - Standard Edition préserve l'individualité de chaque mot de passe, et donc la sécurité individuelle de chaque application. Éventuellement combiné à un contrôle rigoureux des accès par authentification, le produit constitue l'une des solutions SSO les plus sûres du marché. En outre, si l'application impose un changement de mot de passe, le moteur SSO automatise ce changement de façon transparente pour l'utilisateur final. En épargnant les désagréments liés aux connexions multiples, Secure Access Manager - Standard Edition accroît la productivité et le confort de l'utilisateur. Contrôle des accès avec certificat utilisateur pour les applications "mot de passe" Secure Access Manager - Standard Edition permet de recourir aux certificats utilisateurs pour contrôler les accès aux applications exigeant une protection par mot de passe. Dans un premier temps, le logiciel authentifie l'utilisateur via son certificat enregistré sur une carte cryptographique ou un jeton USB. À partir du contenu de ce certificat, il vérifie ensuite les autorisations de l'utilisateur et le connecte de façon transparente sur l'application, que celle-ci soit protégée par mot de passe ou par certificat. Via l'interface PKCS#11 de la carte ou du jeton USB, Secure Access Manager - Standard Edition extrait le certificat X.509 de l'utilisateur et une formule d'identification ("challenge") signée par la clé privée de cet utilisateur. La page d'accueil du logiciel transmet ensuite le certificat et la formule d'identification signée au serveur de sécurité d'accessmaster. Le serveur de sécurité vérifie la signature de la formule d'identification en se référant à la clé publique transmise dans le certificat. Il vérifie par ailleurs la validité de ce certificat en s'assurant qu'il n'a pas été révoqué ; il utilise pour cela les services PKI CRL (Certificate Revocation Lists) ou OCSP (On-Line Certificate Status Protocol). En dernier lieu, le serveur de sécurité d'accessmaster extrait du certificat les attributs propres à la personne (nom X.509, adresse électronique, etc.) et retrouve le profil utilisateur précédemment défini par l'administrateur AccessMaster. Le profil utilisateur contient les droits d'accès de la personne au système informatique de l'entreprise ainsi que ses identifiants et mots de passe. Le profil de travail est ensuite redirigé sur le poste sécurisé de l'utilisateur, ou vers le serveur MetaFrame dans le cas des accès Citrix. 39 F2 66LS Rev00 10
Audit et alarmes centralisés Tous les accès utilisateurs et toutes les tâches administratives sont "audités" et des alarmes peuvent être générées en cas d'événements suspects. Optionnellement, AccessMaster offre la possibilité de compléter l'analyse des journaux d'audit à l'aide d'un puissant moteur de corrélation. Il est alors possible d'élaborer des filtres des événements journalisés et de disposer ainsi d'un support de décision en temps réel. Haute disponibilité et évolutivité Facilité de déploiement Secure Access Manager - Standard Edition peut être distribué vers tous les sites de l'entreprise à l'échelle mondiale, avec une synchronisation en temps réel des profils utilisateurs, des règles de sécurité et des alertes. Les annuaires utilisateurs LDAP répartis, les serveurs de politiques AccessMaster répliqués et les fichiers caches locaux assurent une évolutivité totale ainsi qu'une disponibilité permanente des services. Les utilisateurs peuvent ainsi accéder quotidiennement aux applications associées à leurs activités. Secure Access Manager - Standard Edition ne requiert aucune modification des systèmes cibles et s'intègre rapidement à toutes les applications. Automatiquement activée à partir du terminal, la fonction SSO (signature unique) est transparente pour l'utilisateur final et reste invisible pour les ressources cibles. Contrairement à ce qui se passe avec les autres produits SSO, la plupart des applications ne nécessitent aucun script ou développement spécifique : Secure Access Manager - Standard Edition permet une configuration graphique par "glisserdéposer" et il suffit à l'administrateur de quelques minutes pour définir les applications à prendre en charge par SSO. Secure Access Manager - Standard Edition dispose d'un assistant d'installation. Le déploiement et la mise à jour du logiciel PC sur les terminaux sont ainsi automatisés via le logiciel de distribution intégré. 39 F2 66LS Rev00 11
Environnements terminaux et serveurs supportés Le serveur de sécurité est disponible sur Windows, Solaris et AIX. Le côté client est disponible sur : Les postes de travail Windows, Windows Terminal Server, Citrix MetaFrame et NFuse. Composants AccessMaster pour ces postes : logiciel d authentification sécurisée (authentification, temporisation, retrait cartes à puce, audit), logiciel Security Data Manager (partie client du serveur de sécurité AccessMaster), moteur SSO et API SSO et audit. Les postes Unix (AIX, Solaris) et Linux. Composants AccessMaster sur ces postes : Security Data Manager et API SSO & Audit. Le logiciel d authentification sécurisée et le moteur SSO sont fournis par les partenaires AccessMaster. 39 F2 66LS Rev00 12
Les informations contenues dans ce livre blanc concernent AccessMaster en version 6.2. Evidian se réserve le droit de modifier à tous moments les caractéristiques de ses produits sans avis préalable. Pour plus d'informations, consultez le site www.evidian.com/ Email: info@evidian.com