Organisation du point d’accès unique aux
systèmes d’information de l’entreprise

Mise en œuvre de l’approche d’authentification unique d’entreprise (Enterprise Single Sign-On)

access manager

Malgré les risques évidents, les mots de passe restent la méthode d'authentification d'utilisateur la plus courante. L’augmentation du nombre de systèmes d’information auxquels les utilisateurs doivent avoir accès crée une lourde charge pour le service de sécurité de l’information en termes de gestion des mots de passe des utilisateurs. La migration vers de nouvelles technologies d’authentification exige des efforts considérables. Souvent, les applications stratégiques de l’entreprise sont héritées et ne prennent pas en charge les technologies modernes. Les responsables de la sécurité de l'information doivent résoudre le problème de l'utilisation de mots de passeen attendant la possibilité de passer aux nouvelles technologies d'authentification.. Les systèmes de classe Enterprise Single Sign-On facilitent cette tâche et fournissent un mécanisme de gestion centralisée des mots de passe des utilisateurs.

Les risques associés à l'utilisation de mots de passe entraînent à la fois des pertes financières directes résultant du vol d'informations confidentielles et une diminution de l'efficacité des contributeurs individuels et du service informatique . Les principaux facteurs négatifs d’utilisation des mots de passe sont les suivants:

Coût élevé de la gestion des mots de passe

Les utilisateurs oublient régulièrement leurs mots de passe perdant l'accès aux applications professionnelles et créant une charge pour le service informatique, parce qu'il est obligé de passer beaucoup de temps à réinitialiser les mots de passe et à restaurer l'accès. Les stratégies en matière de la sécurité de l'information, qui resserrent les exigences relatives à la fréquence de changement et à la complexité des mots de passe, ne font qu'aggraver la situation. Les solutions de réinitialisation automatique des mots de passe impliquent des coûts financiers et de temps supplémentaires pour la sélection, l'achat de logiciels supplémentaires, la formation des administrateurs et des employés permanents.

Risques d'accès non autorisé aux applications métiers

Les nouvelles technologies, comme par exemple SAML, OAuth, OpenIDConnect et d’autres, peuvent résoudre les problèmes d’authentification, mais leur adaptation par les développeurs de systèmes d'entreprise est lente et, en outre, la mise à jour des applications déjà déployées est un processus long et coûteux. Les entreprises sont obligées d'utiliser une infrastructure hybride et des applications héritées qui ne prennent en charge que les mots de passe. Les entreprises donc conservent le risque de recevoir les mots de passe par un attaquant.

La possibilité d'obtenir un accès non autorisé par un insider

Les employés peuvent non seulement écrire les mots de passe difficiles à retenir sur leur lieu de travail, mais aussi les découvrir à leurs collègues, par exemple, en leur demandant d'envoyer un rapport en leur absence. Cela donc crée une opportunité pour les employés peu scrupuleux de saisir les coordonnées d’accès des autres personnes et d'obtenir un accès non autorisé aux applications.

Description de la tâche

Les exigences de base pour la mise en œuvre du système de classe Enterprise Single Sign-On pour la résolution du problème lié aux mots de passe sont les suivants:

  1. La solution centralisée pour stocker et gérer les coordonnées d’accès des utilisateur est nécessaire.
  2. Cette solution ne doit pas nécessiter de modification des applications cibles utilisées.
  3. Cette solution doit permettre de garder secret le mot de passe du compte de l'employé.
  4. Cette solution doit prendre en charge les opérations suivantes avec les applications cibles:
      • Connexion à l'application
      • Déverrouillage de l'application (en conséquene du temps d'inactivité)
      • Changement du mot de passe dans l'application (sur demande de l'application)
  5. La possibilité de prendre en charge la connexion aux applications fonctionnant sur le principe du client lourd et via le navigateur.
  6. La possibilité d'utiliser une authentification à deux facteurs lors de la connexion à l'application
  7. La possibilité de déléguer à un employé l'accès aux coordonnées d'accès d'un autre employé (avec l'autorisation de l'administrateur).

Solution

Pour résoudre les problèmes décrits, on utilise le logiciel Indeed Access Manager (Indeed AM). Le composant Indeed AM Enterprise Single Sign-On (ESSO) est chargé d’organiser un point d’accès unique au sein du complexe.

Indeed AM Enterprise SSO met en oeuvre l’approche de l'authentification unique (single sign-on) à l'échelle de l'entreprise. Le système stocke de façon centralisée les mots de passe des utilisateurs pour toutes les applications nécessitant l'authentification et les insère automatiquement lorsque l'application le requiert. La technologie ESSO peut s’appliquer à n’importe quel type d’application (Windows, Web, .net), quelle que soit l’architecture - architecture à un, deux ou trois niveaux, client lourd, client léger, applications terminales.

Indeed AM Enterprise SSO évite aux employés de mémoriser et de stocker les mots de passe en secret, de saisir manuellement les mots de passe à partir du clavier et de modifier périodiquement les mots de passe en fonction des règles de sécurité.

ESSO permet de s'intégrer à l’application cible sans nécessité d'intervention logicielle dans l'application. Pour ce faire, l'interception des formes de l'écran de connexion, de déverrouillage et de changement de mot de passe sont utilisées dans l'application. L'interception est effectuée par l'agent ESSO installé sur les postes de travail des utilisateurs. Au moment où la forme de connexion à l'application cible apparaît, l’écran se bloque et l’agent ESSO remplit automatiquement la forme de connexion, ou demande d'abord à l'utilisateur de suivre la procédure d'authentification: entrer un mot de passe à usage unique, mettre un doigt sur le lecteur d'empreintes digitales, etc., et après cela, il remplit la forme de connexion.

La schéma générale de solution est ci-dessous

Single access point operation scheme

Le travail de Indeed AM Enterprise SSO est fournit par les composants principaux suivants:

Indeed AM Server (Serveur) est un composant de serveur d'infrastructure de Indeed Access Manager. Le serveur assure le stockage centralisé et la protection des données des utilisateurs, effectue l'authentification des utilisateurs, accepte et traite les demandes des composants clients et des outils d'administrateur. Le serveur assure à l'utilisateur la disponibilité des données depuis n'importe quel l'ordinateur. Le serveur permet à l'administrateur de configurer les paramètres d'accès de l'employé (ou du groupe d'employés), d'apporter des modifications globales au système.

Agent ESSO, c'est un logiciel client installé sur le lieu de travail de l'employé. L’agent reçoit du serveur Indeed Enterprise Server une liste des systèmes et des coordonnées d'accès qui constituent le profil d'accès personnel de l'employé. Une fois que l'employé lance le raccourci d'application nécessitant la saisie de la paire nom de connexion/mot de passe, l'agent ESSO intercepte la fenêtre d'enregistrement de l'application, la masque de l'utilisateur, la remplit automatiquement (remplace le nom de compte et le mot de passe reçus du serveur) et contrôle la procédure d'accès à l'environnement de l'application. Selon le résultat de l'opération, le fait que de la tentative d'accès réussie ou non réussie est enregistré dans le journal d'événements du système.

Journal d'accès. Tous les événements survenant dans le système sont enregistrés dans le journal. Le journal enregistre la date, l'heure, le nom du compte Active Directory, le nom du compte du système cible, le fait d'utiliser les coordonnées d'accès, le fait de se connecter aux systèmes cible, etc. Le journal enregistre aussie la technologie d'authentification utilisée par l'employé pour accéder à l'application.

Journal Indeed AM. Tous les événements survenant dans le système sont enregistrés dans le journal Indeed AM. Le journal enregistre la date, l'heure, le nom d'utilisateur, le nom du compte Active Directory, le nom du compte du système cible, le fait d'utiliser les coordonnées d'accès, le fait de se connecter aux systèmes cible, etc. Le journal enregistre aussie le moyens et la technologie d'authentification utilisée par l'employé pour accéder au système.

ESSO IDM Connector est le Connecteur aux systèmes Identity Management qui permet de synchroniser en mode automatique les coordonnées d'accès des utilisateurs dans la base de données ESSO. Les coordonnées d'accès sont créées à l'aide de connecteurs IDM et sont immédiatement stockées dans le système ESSO.

Caractéristiques de Indeed AM ESSO

En plus du mécanisme SSO et de l’organisation de l’accès direct aux applications d’entreprise,la solution Indeed AM ESSO présente les caractéristiques utiles suivantes:

Authentification forte de l'utilisateur

Avant de donner à l'utilisateur un accès à l'application, ESSO peut demander à l'utilisateur de se soumette à une procédure d'authentification. Une vaste gamme de technologies d’authentification est prise en charge: authentification à deux facteurs, biométrie, cartes à puce, mots de passe à usage unique. L’administrateur peut assigner différentes technologies d'authentification pour différentes applications.

Mode de remplacement de fonctionnaires en congé.

Ce mode permet de donner au remplaçant l'accès au profil ESSO de l'employé remplacé. Cette possibilité est nécessaire lorsqu'il faut d'accéder rapidement au système pour le compte d'un employé absent (vacances, maladie). Dans ce cas, le journal indique clairement quel employé a eu accès au système. Par exemple, l'utilisateur Ivanov s'est connecté à 1C sous le compte de Sidorova. Cela permet d'obtenir une image précise de ce qui se passe et d'éviter les abus. L'administrateur peut limiter la période de remplacement de l'employé (par exemple, ses vacances).

Intégration avec IDM

Indeed AM ESSO prend en charge l’intégration avec les systèmes IDM les plus courants: SolarinRights, KUB, 1IDM, Microsoft FIM, IBM Tivolli IDM. L'intégration offre les avantages suivants:

  • L'augmentation du niveau de sécurité des informations de l'entreprise grâce à l'automatisation complète du cycle de vie des mots de passe des utilisateurs: (les mots de passe sont créés, modifiés et saisis en mode totalement automatique, sans la participation des utilisateurs et des administrateurs).
  • Minimisation des étapes pour fournir et obtenir l'accès pour les employés. Après avoir enregistré un nouvel utilisateur dans le système d'origine (par exemple, le système RH) et effectué une synchronisation (en mode automatique), l'utilisateur obtient un accès sans mot de passe à tous les systèmes dont il a besoin.

Fonctionnement hors ligne

En cas de besoin, lorsque le réseau de l'entreprise (et le serveur ESSO) n'est pas disponible (par exemple, lors d'un voyage d'affaires ou en cas de problème de réseau), l'administrateur ESSO peut autoriser un employé à travailler hors ligne. Dans ce mode, le profil ESSO de l'utilisateur est temporairement sauvegardé sur son ordinateur et est utilisé lorsqu'il ne peut pas contacter le serveur. La période de la vie locale du profil est définie par l’administrateur. Une fois ce délai écoulé, la copie locale du profil est supprimée.

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
NEWS ABOUT INDEED ACCESS MANAGER