Protection des ressources
publiées de l'entreprise

2FA dans les applications Web, VPN et VDI

access manager

Making a company resources accessible remote desktop connection increases the risk of unauthorized employee access to critical business information drastically. The required protection level can only be reached by using modern user authentication methods. The Indeed Access Manager (AM) solution makes it possible to use two-factor authentication (2FA) methods in a broad range of corporate applications. This, in turn, allows for building of unified 2FA system for accessing the resources available from outside the company’s network.

Description de la tâche

  1. ⦁ Fournisser une authentification à deux facteurs en utilisant des mots de passe à usage unique dans les services d'entreprise publiés:
    • Applications Web
    • Serveur VPN
    • VDI (interface de périphérique virtuel)
  2. Implémenter Web Single Sign-On pour un accès direct aux applications Web

Solution

2FA dans les applications Web IIS

Pour l'authentification dans les applications Web utilisant IIS (Internet Information Systems), nous avons développé Indeed AM IIS Extension, un module d'intégration spécialisé. Ce module permet de fournir une authentification à deux facteurs dans les applications sans interférer avec leur code de programme. Après avoir saisi le nom et le mot de passe, l'utilisateur est redirigé vers une page d'authentification distincte sur laquelle il doit se confirmer par un mot de passe à usage unique. L'extension IIS peut être utilisée pour toutes les applications Web, telles que Outlook Web Access, Sharepoint, Skypefor Business, RD Web Access, etc. Pour les applications qui n'utilisent pas IIS, l'intégration est possible à l'aide d'une interface logicielle (API Web).

2FA dans VPN

Integration to VPN services is carried out using the RADIUS protocol, supported by overwhelming majority of VPN security solution manufacturers, such as Cisco ISE, Citrix Netscaler etc. Two-factor authentication is implemented using the Challenge-Response mechanism, which is embedded into RADIUS: dans la première étape, l’utilisateur entre son nom et mot de passe, puis le serveur RADIUS vérifie les données de l’utilisateur et, si tout est correct, demande un deuxième facteur d'authentification à l'utilisateur du service VPN, mot de passe à usage unique. Le serveur RADIUS est basé sur Microsoft Network Policy Server (le service est disponible dans le cadre de Windows Server) et une extension spécialisée pour 2FA.

2FA dans VDI

To integrate into virtual desktop systems, two-factor RADIUS Challenge-Response authentication is used as well. This is supported by many VDI products, such as VMWare Horizon and Citrix XenDesktop. If using Microsoft technologies, the two-factor authentication can be added to remote computer access service at the Remote Desktop Web Access server (using IIS Extension).

2FA dans WebSSO (SAML IdP)

Web single sign-on allows for significant increase of user work efficiency by making it possible to access employee to web applications after single authentication. 2FA provides for retaining the high level of information security without compromising the convenience of use. To integrate it into target solutions, the SAML 2.0 international authentication standard is used to provide for compatibility with wide range of various systems. The WebSSO and 2FA loop might include not only corporate on-premise applications, but also the cloud services, such as Office 365 and G Suite (former Google Apps).

2FA dans ADFS

La prise en charge de l'authentification des utilisateurs via le protocole ADFS permet non seulement d'améliorer la sécurité des systèmes cibles utilisant 2FA, mais également de créer une solution SingleSign-On (SSO), évitant ainsi aux utilisateurs de s'authentifier de manière répétée au cours d'une session. La combinaison des approches 2FA et SSO améliore considérablement le niveau de sécurité des informations de l'entreprise et augmente l'efficacité du travail de ses employés.

La schéma générale de solution est ci-dessous

remoute access scheme

Caractéristiques de Indeed AM

Sécurité supérieure

L'utilisation de l'authentification à deux facteurs augmente considérablement le niveau de sécurité des ressources de l'entreprise. L'utilisation de la technologie AK Cloud constitue la technique la plus pratique et la plus sûr d'authentification des utilisateurs sur la base de notifications push protégées par cryptographie.

Flexibilité de la solution

La société peut utiliser tous les générateurs de mot de passe à usage unique compatible avec HOTP et TOTP sans restrictions imposées par un fournisseur spécifique d’applications ou de périphériques. Dans le cadre d’une infrastructure unique, toutes les technologies d’authentification OTP prises en charge peuvent être utilisées: applications mobiles, porte-clés OTP de différents fournisseurs, messages SMS et e-mail, Air Key Cloud. La prise en charge de divers mécanismes d'intégration avec les systèmes cibles (RADIUS, SAML, ADFS, IIS Extension, API Web) permet de créer un environnement d'authentification unifiée dans toutes les applications requises.

Mise en œuvre rapide

L'envoi d'OTP par SMS ou e-mail ne nécessite pas d'enregistrement ni aucune autre action de la part des utilisateurs en permettant de commencer à utiliser une authentification à deux facteurs immédiatement après l'installation et la configuration de l'infrastructure du serveur. Le système 2FA utilise les annuaires d'entreprise des utilisateurs (AD, LDAP, SQL, etc.) en simplifiant le déploiement et la gestion.

Différentes technologies d'authentification

Authentification en ligne et hors ligne

Indeed Access Manager prend en charge l'authentification en ligne, lorsque l'utilisateur reçoit un SMS ou un e-mail avec un mot de passe à usage unique ou une notification push sur un smartphone, et l'authentification hors ligne, lorsque l'utilisateur peut générer un mot de passe à usage unique de son côté à l'aide d'une application sur son smartphone ou d'un porte-clés matériel.

Prise en charge OATH des normes d'authentification TOTP et HOTP.

Pour générer et varifier les mots de passe à usage unique, on utilise les algorithmes normalisés Time-based One-time Password Algorithm (TOTP) и HMAC-based one-time password (HOTP). Ces algorithmes sont largement utilisés dans l'industrie et garantissent le niveau nécessaire de sécurité et de compatibilité de systèmes 2FA. Cela permet d'utiliser toutes les applications ou périphériques compatibles avec TOTP ou HOTP pour l'authentification à l'aide de Indeed Access Manager.

Notifications push

Pour l'authentification des utilisateurs, la technologie Indeed Air Key Cloud peut être prise en charge permettant d'envoyer les notifications push au smartphone de l'utilisateur pour confirmer l'opération de connexion. La technologie repose sur l'utilisation de cryptographie asymétrique utilisant les clés privées et publiques. Cette approche permet de fournir aux utilisateurs un moyen pratique et familier de confirmer l'authentification tout en garantissant un haut niveau de sécurité des informations pour la communication client-serveur.

Serveur de self-service des utilisateurs

Pour enregistrer et gérer les technologies d'authentification disponibles, les utilisateurs disposent d'un serveur de self-service au format d'une application Web. Cela permet de fournir aux utilisateurs un mécanisme de gestion d'authentification pratique et accessible depuis n’importe quel l'ordinateur.

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement