AUGMENTATION DE LA SÉCURITÉ ET DE L'UTILISATION
AVEC L'AUTHENTIFICATION MULTI-FACTEUR
Notre logiciel fournit des technologies d'authentification avancées pour l'accès des employés aux ressources informatiques de l'entreprise au lieu de mots de passe obsolètes et peu fiables.
access manager

Indeed Access Manager (Indeed AM) software suite is a platform for building up a centralized system for managing user access to the corporate information resources.

The Indeed AM allows implementing strict and multi-factor authentication of users when accessing the information resources. The said technologies mitigate information security risks by supplementing or replacing password usage. Indeed AM supports various authentication methods. Due to that, it can easily be adapted to access scenarios required and therefore can offer optimal authentication technology to users in each case.

Indeed Certificate Manager

Besides various authentication technologies, the Indeed AM utilizes a wide range of integration technologies that allow connecting the target application to the authentication system. The said technologies are implementation of Single Sign-On (Web and Enterprise SSO) approach, standard authentication protocols and agent modules. Indeed Access Manager provides controlled access to information resources both within the company intranet and to services available externally, such as email, VDI, VPN and web portals.

This approach makes it possible to build up a centralized access management system that encompasses all the target systems used, minimizes the number of user requests to help desk service, reduces infrastructure maintenance costs and enhances user efficiency.

La plate-forme est basée sur des modules de base assurant le fonctionnement de l’infrastructure de serveur et des outils de gestion (Fig. 1). Les modules de base Indeed AM comprennent:

Le serveur d'authentification et de gestion Indeed AM. Le serveur est le cœur du système et assure le fonctionnement de tout le système. Il authentifie les utilisateurs et implémente la logique métier de la solution. Le serveur est un ASP. L'application NET prend en charge l’installation en mode cluster, ce qui permet un niveau élevé de performances et de tolérance aux pannes, quelle que soit l’ampleur de la mise en œuvre.

Entrepôt de données. Toutes les données du système sont stockées dans un seul entrepôt, qui est directement adressée uniquement par le serveur. Le stockage et le transfert des données au/du serveur sont effectués sous forme cryptée. L'entrepôt peut être situé dans l'annuaire Active Directory (aucune extension de schéma n'est pas exécutée) ou dans le SGBD SQL.

Serveur de journal. Tous les événements de modification des paramètres et de l'accès sont enregistrés dans un seul journal que se trouve sur un serveur dédié. Le journal peut être stocké au format Windows Event Log ou dans son propre format Indeed AM dans le SGBD SQL. En outre, l'envoi d'événements au journal tiers via le protocole syslog est pris en charge.

Console d'administrateur est au format d’une application Web permettant afficher et modifier les paramètres système et les paramètres utilisateur, ainsi que consulter le journal système.

Le Serveur de Self-Service permet aux utilisateurs d’enregistrer ou de modifier les données d’authentification (cartes à puce, générateurs de mots de passe à usage unique, empreintes digitales, etc.).

Les Fournisseurs d'authentification offrent à Indeed AM la possibilité de travailler avec les technologies d’authentification des utilisateurs. Le fournisseur d'authentification fournit au système une interface unifiée pour effectuer les opérations avec une technologie d'authentification spécifique: obtenir des données d'authentification pour le stockage et la vérification. Indeed Access Manager prend en charge les technologies d'authentification suivantes:

    • Cartes à puce cryptographiques et clés USB, comme par exemple eToken, IDBridge etc.
    • Cartes RFID sans contact (utilisées comme un laissez-passer dans les systèmes élargis de contrôle d'accès) aux formats EM-Marin, HID iClass, Proximité HID, Mifare.
    • Jetons matériels et logiciels permettant de générer des mots de passe à usage unique par les protocoles OATH TOTP et HOTP
    • Codes à usage unique envoyés par SMS ou Email
    • La technologie biométrique: comprend les empreintes digitales, l'imagerie veineuse de palme, l'image du visage.
    • L'authentification hors bande en utilisant l'application mobile et notifications push basées sur Indeed Air Key Cloud (Indeed AKC).

Différentes technologies peuvent être combinées en une seule méthode d'authentification, mettant ainsi en œuvre l'authentification multifactorielle (MFA).

Les stratégies d'accès déterminent quelles technologies et pour quels systèmes doivent être utilisés, ainsi que les droits des opérateurs et des administrateurs système.

access manager scheme 1

Modules d’intégration

Chaque module d'intégration peut être utilisé séparément et est conçu pour résoudre un problème spécifique de protection d'accès et d'authentification des utilisateurs. Les modules sont conçus pour la collaboration, et cela nous permet de créer toutes les configuration du système d’authentification en l’adaptant aux besoins et au paysage actuels des systèmes d’information de notre société.

Indeed Access Manager

access manager scheme 2

Indeed AM Windows Logon

Indeed AM Windows Logon (Windows Logon) permet d’accéder à Windows en utilisant l’authentification forte dans l’environnement Microsoft Active Directory. Pour ce faire, on installe l'agent Windows Logon sur les postes de travail des utilisateurs. Le programme d'installation de l'agent est implémenté en tant que package d'installation MSI (Microsoft Windows Installer) standard. Ceci permet d'installer le système et d'effectuer rapidement son changement de masse en utilisant divers outils, tels que les stratégies de groupe Active Directory, Microsoft System Center Configuration Manager (SCCM), etc.

Pour l'intégration avec le système d'exploitation Windows, on utilise le mécanisme standard pour implémenter sa propre interface d'authentification des utilisateurs, Credentials Provider. Cette technologie permet aux développeurs tiers d’intégrer leurs propres technologies d’authentification à l’interface Windows, permet non seulement de se connecter à Windows à l'aide de la technologie Indeed AM, mais également de s'authentifier à l'aide de Indeed Access Manager dans le système d'exploitation, par exemple lors de l'accès à des ressources de domaine, des applications Web, etc.

Le Windows Logon prend en charge toutes les technologies d'authentification disponibles dans Indeed Access Manager (cartes à puce, cartes RFID, OTP, biométrie, etc.).

Mode hors ligne

Decouvrir
Pour augmenter la tolérance de panne, le Windows Logon peut créer un cache local sur l'ordinateur de chaque utilisateur. Ce cache contient des données d'authentification et est utilisé quand il n'y a pas de connexion avec l'infrastructure du serveur (mode hors ligne) ; par exemple, en cas de défaillance de la connexion ou pendent d'un voyage professionnel. La durée de vie du cache local peut être limitée au nombre de jours ou à une date de calendrier. Le cache est créé uniquement pour les utilisateurs pour lesquels cela est explicitement autorisé par l'administrateur de Indeed AM. La technologie API de protection des données Windows (Windows Data Protection API) est utilisée pour protéger les données locales.
Cacher

Mode de remplacement de fonctionnaires en congé.

Decouvrir
Indeed AM Windows Logon prend en charge le mode de remplacement de fonctionnaires en congé. Pour cela, l'administrateur a la possibilité d'attribuer un remplaçant à un utilisateur spécifique. Dans ce mode, le remplaçant peut utiliser les informations d'authentification (cartes, empreinte digitale, etc.) pour se connecter au système d'exploitation au nom de l'utilisateur remplacé. Dans ce cas, le journal système contient des informations indiquant que l'entrée a été faite exactement par le remplaçant. Ce mode est utile en cas de besoin d'effectuer immédiatement une action (envoyer un rapport annuel, par exemple) au nom d'un utilisateur actuellement indisponible (qui est malade ou en vacances). La période de remplacement peut être limitée aux dates du calendrier.
Cacher

Identification de l'utilisateur en mode automatique (mode kiosque)

Decouvrir
Ce mode est pratique lorsque beaucoup d'employés utilisent un lieu de travail et le basculement entre leurs sessions de travail doit être effectué rapidement. Pour un confort optimal, l'utilisation de cartes à puce sans contact (RFID) ou à contact est recommandée dans ce mode. Le scénario d'accès ressemblera à ceci:
  1. Pour l'identification, les utilisateurs n'ont pas besoin d'indiquer un nom d'utilisateur, ils doivent uniquement soumettre une carte à puce. Pour ce faire, un kiosque est équipé d'un lecteur de carte à puce.
  2. Le système peut nécessiter la présence d’une carte sur le lecteur pendant tout le temps de travail sur le PC. Lorsque la carte est retirée du lecteur de carte à puce, la session en cours peut être bloquée ou terminée.
  3. Lorsqu'une nouvelle carte à puce est installée sur le lecteur, la session en cours peut se terminer ou basculer sur une session d'un nouvel employé.
  4. L'authentification biométrique peut être ajoutée à la carte en tant que protection d'accès supplémentaire (par exemple, la biométrie sans contact utilisant un motif de paume).
Cacher

Gestion des mots de passe des utilisateurs Active Directory

Decouvrir
Indeed Access Manager ne remplace pas le système d'authentification standard Active Directory, mais automatise la gestion des mots de passe des utilisateurs. Dans cette configuration, l'authentification par mot de passe devient un mécanisme interne utilisé uniquement au niveau logiciel. L'administrateur de Indeed Access Manager peut configurer le système de sorte que, au moment de l'enregistrement de l'utilisateur du premier authentifiant, son mot de passe soit automatiquement remplacé par une valeur aléatoire qui ne soit signalée ni à l'utilisateur ni à l'administrateur système. Ainsi, l'accès au domaine devient possible uniquement à l'aide de Windows Logon. À l'avenir, le mot de passe de l'utilisateur est modifié automatiquement à la demande du système d'exploitation ou selon un calendrier prédéterminé.
Cacher

Indeed AM RDP Windows Logon

Le module Indeed AM RDP Windows Logon (RDP Windows Logon) est utilisé pour mettre en œuvre une authentification à deux facteurs pour les connexions RDP. Dans ce cas, le premier facteur est le mot de passe du domaine et le deuxième facteur est un mot de passe à usage unique (one-time password, OTP) ou une confirmation de la saisie dans l'application mobile Indeed Air Key Cloud. L'OTP peut être soit généré du côté de l'utilisateur dans l'application du smartphone, soit à l'aide d'un porte-clé spécial (jeton OTP), soit envoyé à celui-ci par SMS ou par courrier électronique.

Windows Logon RDP doit être installé sur le serveur Terminal Server de destination où l'utilisateur se connecte. L'installation de tout composant sur l'ordinateur client n'est pas requise. La configuration prise en charge avec Remote Desktop Gateway.

Indeed AM Enterprise Single Sign-On (Enterprise SSO)

Indeed AM Enterprise Single Sign-On (Enterprise SSO) implémente une approche de connexion unique pour les applications existantes qui ne prennent pas en charge les mécanismes SSO. Le système stocke de façon centralisée les mots de passe des utilisateurs pour toutes les applications nécessitant la saisie de coordonnées d'accès et les insère automatiquement dans des formulaires à l'écran lorsque l'application le requiert. La technologie Enterprise SSO peut s’appliquer à n’importe quel type d’application (Windows, Java, Web, .net), quelle que soit l’architecture - architecture à un, deux ou trois niveaux, client lourd, client léger, applications terminales.

Enterprise SSO évite aux employés de mémoriser et de stocker les mots de passe en secret, de saisir manuellement les mots de passe à partir du clavier et de modifier périodiquement les mots de passe en fonction des règles de sécurité.

À ces fins, un agent Enterprise SSO est installé sur le lieu de travail de l'utilisateur. Cet agent suit le lancement des applications et intercepte les formulaires d'authentification lorsqu'ils apparaissent à l'écran. L'agent inclut également des extensions pour les navigateurs courants (InternetExplorer, GoogleChrome, MozillaFirefox) en permettant de travailler avec des applications Web.

Principe d'intégration de Enterprise SSO avec des systèmes cibles

Decouvrir
Enterprise SSO permet de travailler avec l’application sans intervention logicielle sur le serveur ou les parties clientes de cette application. La prise en charge de la nouvelle application implique la création d'un modèle spécial au format xml, dont la mise en œuvre est effectuée dans le langage interne de AM Enterprise SSO du type Script. La langue permet de spécifier les formulaires dont l'application a besoin pour déterminer la réponse.: La réponse de Enterprise SSO peut inclure une nouvelle authentification forte de l'utilisateur, le remplissage des champs avec les données d'enregistrement (par exemple, identifiant, mot de passe), l'activation des commandes nécessaires (par exemple, le coup de bouton « Entrée »), l'enregistrement de l'événement dans un journal d'audit, etc.
Cacher

Changer le mot de passe dans l'application cible

Decouvrir
Afin de minimiser les risques en matière de sécurité de l'information, la plupart des systèmes d’information prennent en charge la possibilité de demander à l’utilisateur de changer mot de passe immédiatement après sa première connexion au système ou après l’expiration du mot de passe. Enterprise SSO gère cette situation et vous permet de bloquer automatiquement (de façon transparente pour l'utilisateur) l'accès de la fenêtre de changement de mot de passe à ce moment-là, de générer un nouveau mot de passe, de renseigner les champs de formulaire « nouveau mot de passe » et « confirmation », puis de cliquer sur le bouton « OK ». Après avoir attendu que le système cible vous informe de la réussite du changement de mot de passe, l'agent de Enterprise SSO enregistre le nouveau mot de passe dans la base de données de Indeed AM. À partir de là, ni l'utilisateur ni l'administrateur ne connaissent le nouveau mot de passe et ne peuvent donc pas se connecter au système cible en contournant Enterprise SSO. Il est émergé la possibilité pour gérer la situation de changement de mot de passe uniquement si le modèle d'application ESSO prend en charge la réaction à l'apparition de ce type de fenêtre.
Cacher

Prise en charge de l'environnement terminal d'exécution

Decouvrir
Indeed AM Enterprise SSO est adapté pour fonctionner dans un environnement terminal en empêchant les employés de l’utilisation de leurs mots de passe lorsque le travail avec une application a lieu dans une session terminal. Pour ce faire, l'agent Enterprise SSO doit être installé sur sur serveur terminal. Dans certaines situations, l'employé peut être soumis à une procédure d'authentification supplémentaire au moment d'accéder à des applications particulièrement critiques. Si la technologie implique l’utilisation d’un équipement externe connecté à l’ordinateur de l’employé (par exemple, un scanner d’empreintes digitales), la communication a lieu entre l’agent Enterprise SSO du serveur terminal et l’équipement. Enterprise SSO communique par les protocoles Microsoft RDP ou Citrix ICA. C'est-à-dire que sur le côté de l’ordinateur de l’employé, aucun logiciel supplémentaire n'est requis, à l'exception du pilote et d'un ensemble de bibliothèques runtime nécessaires au fonctionnement de l'équipement.
Cacher

Indeed AM SAML Identity Provider

Le module Indeed AM SAML Identity Provider (SAML IDP) est utilisé pour organiser l'authentification multifactorielle et l'accès direct aux applications Web (websinglesign-on, WebSSO). Pour l'intégration avec les solutions cibles, ce module utilise la norme d'authentification internationale ouverte SAML 2.0 (Security Assertion Markup Language) garantissant la compatibilité avec de nombreux systèmes commerciaux. L'utilisation de SAML élimine le besoin de se souvenir de plusieurs coordonnées d'accès ; l'accès à tous les systèmes intégrés ne nécessitant qu'un seul ensemble de coordonnées d'accès. L'authentification est effectuée de façon centralisée sur le côté SAML Identity Provider (IDP, fournisseur d'identité). Indeed AM SAML IDP est réalisé au format d’une application Web et est déployé dans l’infrastructure du client. En cours d'accès, l'application cible redirige l'utilisateur vers la page IDP pour son authentification, et après, en cas de succès, l'utilisateur est redirigé vers l'application cible avec le signe « authentifié », où sa session s'ouvre.

L'intégration du protocole SAML est effectuée sur le côté serveur en permetant d'utiliser l'approche MFA et WebSSO sur tous les appareils dotés d'un navigateur: ordinateur, smartphone ou tablette.

Indeed AM SAML IDP prend en charge les technologies d’authentification d’utilisateur suivantes dans toutes les combinaisons: mot de passe de domaine, mots de passe à usage unique OATH TOTP et HOTP, codes à usage unique par les SMS et EMail, authentification hors bande en utilisant l'application mobile Indeed Air Key Cloud.

Les applications d'entreprise de communications unifiées qui prennent en charge SAML (par exemple, les solutions de SAP, Citrix, etc.) et les services en nuage, tels que Office 365, Salesforce, Slack, G Suite (anciennement GoogleApps) et autres, peuvent être inclus dans le contour de WebSSO et MFA.

Indeed AM ADFS Extension

Les applications Web Internet Information Services (IIS) peuvent être intégrées au progiciel Indeed AM à l'aide du mécanisme ADFS et du composant Indeed AM ADFS Extension. Le composant Extension ADFS implémente le fournisseur d'authentification multifacteur pour le serveur Microsoft ADFS, en ajoutant un deuxième facteur au processus d'accès. Cette approche permet de s’intégrer aux applications cibles sans les modifier - en entrant dans le champ d'application, l’utilisateur est redirigé vers la page Web d’authentification ADFS, où, via le fournisseur d’authentification Indeed AM ADFS Extension, il est invité à fournir un deuxième facteur ;

La technologie ADFS est prise en charge par les applications Web Microsoft, telles que OutlookWebAccess, Sharepoint, Skypefor Business, etc.

Quant au deuxième facteur: Indeed AM ADFS Extension prend en charge l’authentification avec les mots de passe à usage unique OATH TOTP et HOTP, les codes à usage unique par les SMS et EMail et l'authentification hors bande en utilisant l'application mobile Indeed Air Key Cloud.

Indeed AM IIS Extension

Pour l'authentification dans les applications Web qui utilisent les systèmes IIS (Internet Information Systems) et ne prennent pas en charge le mécanisme ADFS, nous avons développé Indeed AM IIS Extension, un module d'intégration spécialisé. Ce module est installé sur un serveur Web sur lequel l'application cible est déployée et permet de fournir une authentification à deux facteurs sans interférer avec son code de programme. Le module intercepte les tentatives d'authentification et, après avoir saisi le nom et le mot de passe, l'utilisateur est redirigé vers une page distincte sur laquelle il doit se confirmer par un mot de passe à usage unique.

Le mode d'authentification à un facteur est également pris en charge. Ce mode est requis pour l'application Exchange Active Sync (EAS) et vous permet d'exclure le mot de passe du domaine du schéma d'authentification. Dans ce cas, il faut utiliser un mot de passe n'appartenant pas au domaine pour accéder à l'EAS. Ce mot de passe est un mot de passe d'application (application password) utilisé uniquement pour EAS. Ce mot de passe est saisi par l'utilisateur dans le client mobile pour accéder au courrier électronique de l entreprise.

IIS Extension peut être utilisée pour toutes les applications Web basées sur IIS, telles que Outlook Web Access, RD Web Access, Exchange Active Sync, etc.

Indeed AM NPS RADIUS Extension

Indeed AM NPS RADIUS Extension (RADIUS Extension) est un module d'extension Microsoft Network Policy Server (NPS, inclus dans Windows Server) et permet de mettre en œuvre une technologie d'authentification à deux facteurs pour les services et applications compatibles RADIUS. Pour ce faire, il faudrait:

    • Déployer un serveur NPS sur le réseau d'entreprise qui fournit une authentification via le protocole RADIUS en utilisant les coordonnées d'accès du répertoire ActiveDirectory.
    • Configurer l'application cible pour authentifier les utilisateurs via le protocole RADIUS sur le serveur NPS.
    • Installer l'extension Indeed AM NPS RADIUS Extension sur le serveur NPS, qui gérera les demandes d'authentification et exigera le deuxième facteur d'authentification de l'utilisateur.

L'authentification du deuxième facteur est effectuée sur le serveur Indeed Access Manager, et le résultat de la vérification est transmis à l'application cible via le serveur NPS.

Quant au deuxième facteur, Indeed AM NPS RADIUS Extension prend en charge l’authentification avec les mots de passe à usage unique - OATH TOTP et HOTP, les codes à usage unique par les SMS et EMail et l'authentification hors bande en utilisant l'application mobile Indeed Air Key Cloud.

L'authentification via le protocole RADIUS peut être utilisée dans de nombreuses solutions VPN et VDI, par exemple, dans les produits logiciels de Cisco, Citrix, CheckPoint, VMWare et C-Terra.

Indeed AM API

Indeed AM API est une interface logicielle au format REST API qui permet l’intégration avec des systèmes et des applications tiers. L'API peut être utilisé à deux fins:

    • ⦁ Implémentation de l'authentification à deux facteurs. Dans le cas où l'application cible ne prend en charge aucune des normes d'authentification, l'authentification à deux facteurs peut y être ajoutée en incorporant les appels Indeed AM API. Cette approche peut être utilisée pour des applications de développement internes ou personnalisées, lorsqu'il est possible de les affiner.
    • Intégration avec les systèmes associés. Cette intégration permet d'implémenter des scénarios supplémentaires pour automatiser le travail avec les coordonnées d'accès ou pour contrôler l'accès des utilisateurs. Les exemples de ces scénarios sont l'intégration avec les systèmes de gestion des droits et les coordonnées d'accès des utilisateurs (Identity Management, IDM) et les systèmes de contrôle d'accès physique (ACS).

Intégration avec les systèmes Identity Management

L'intégration permet de créer et de renseigner en mode automatique un profil d'accès d'utilisateur pour le module Indeed AM Enterprise SSO. Le connecteur au système IDM permet de synchroniser en mode automatique les coordonnées d'accès des utilisateurs dans la base de données Enterprise SSO. Les coordonnées d'accès sont créées à l'aide de connecteurs IDM aux systèmes cibles et sont immédiatement stockées dans le sous-système Indeed AM Enterprise SSO, ce qui évite à l'employé de mémoriser et de saisir manuellement des mots de passe. L'intégration offre les avantages suivants:

Indeed Certificate Manager
    • L'augmentation du niveau de sécurité des informations de l'entreprise grâce à l'automatisation complète du cycle de vie des mots de passe des utilisateurs: (les mots de passe sont créés, modifiés et saisis en mode totalement automatique, sans la participation des utilisateurs et des administrateurs).
    • Minimisation des étapes pour fournir et obtenir l'accès pour les employés. Après avoir enregistré un nouvel utilisateur dans le système d'origine (par exemple, le système RH) et effectué une synchronisation (en mode automatique), l'utilisateur obtient un accès sans mot de passe à tous les systèmes dont il a besoin.

Schéma d'intégration de Indeed AM Enterprise SSO avec IDM

Decouvrir

On va examiner le schéma de travail sur l'exemple de l'opération commerciale consistant à amener un nouvel employé au travail et à l'utiliser une clé USB pour l'authentification lors de l'accès au bureau. Tout le processus peut être divisé en 5 étapes principales.

    1. L'employé du service du personnel enregistre un enregistrement concernant un nouvel employé dans le système de comptabilité du personnel (système RH).
    2. Ensuite, les données relatives au nouvel employé sont introduites via un connecteur dans la base de données IDM, vers le système RH.
    3. Basé sur cet événement, IDM effectue une opération de synchronisation, créant des comptes d'utilisateur dans toutes les applications, en fonction du poste (activité opérationnel) de l'employé. Pour cette opération, des connecteurs IDM spéciaux sont utilisés.
    4. Selon le même principe, on a implémenté le connecteur pour Indeed AM Enterprise SSO qui crée à la dernière étape de la synchronisation un profil d'accès de l'employé dans la base de données Enterprise SSO en y copiant les coordonnées d'accès de l'utilisateur.
    5. À cette étape, l'employé a tout ce dont il a besoin pour travailler. Après avoir accédé à son bureau, l’agent Indeed AM Enterprise SSO fournit à l’employé un accès transparent à toutes les applications nécessaires en substituant les coordonnées d'accès de l’utilisateur aux formulaires de connexion des applications.
Cacher

Integration with ACS (Access Control System)

Integration with ACS systems allows the Indeed AM to take the employee location at the moment of authentication into account. This makes the following scenarios possible, for example:

    • Access is granted only if the employee is within the building perimeter (say, entering via entrance checkpoint n#1, n#2 et n#3;
    • Access is granted in the specific room only (say, in the room n#5, no matter how the employee got there);
    • Depuis n'importe quel ordinateur d'une certaine zone (par exemple, vers n'importe quel ordinateur du 3ème étage).
EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
NEWS ABOUT INDEED ACCESS MANAGER