Protection des ressources
publiées de l'entreprise

2FA dans les applications Web, VPN et VDI

access manager

En publiant leurs ressources à accès à distance, les entreprises augmentent considérablement le risque d'accès non autorisé à des informations essentielles. Il n'est possible de fournir le niveau de protection nécessaire qu'avec les méthodes modernes d'authentification des utilisateurs. La solution Indeed Access Manager (Indeed AM) permet d'appliquer des méthodes d'authentification à deux facteurs (2FA) pour une large gamme d'applications d'entreprise en permettant ainsi de créer un système 2FA unifié lors de l'accès à des ressources disponibles en dehors du réseau de l'entreprise.

Description de la tâche

  1. ⦁ Fournisser une authentification à deux facteurs en utilisant des mots de passe à usage unique dans les services d'entreprise publiés:
    • Applications Web
    • Serveur VPN
    • VDI (interface de périphérique virtuel)
  2. Implémenter Web Single Sign-On pour un accès direct aux applications Web

Solution

2FA dans les applications Web IIS

Pour l'authentification dans les applications Web utilisant IIS (Internet Information Systems), nous avons développé Indeed AM IIS Extension, un module d'intégration spécialisé. Ce module permet de fournir une authentification à deux facteurs dans les applications sans interférer avec leur code de programme. Après avoir saisi le nom et le mot de passe, l'utilisateur est redirigé vers une page d'authentification distincte sur laquelle il doit se confirmer par un mot de passe à usage unique. L'extension IIS peut être utilisée pour toutes les applications Web, telles que Outlook Web Access, Sharepoint, Skypefor Business, RD Web Access, etc. Pour les applications qui n'utilisent pas IIS, l'intégration est possible à l'aide d'une interface logicielle (API Web).

2FA dans VPN

L'intégration aux services VPN s'effectue via le protocole RADIUS pris en charge par la majorité absolue des fabricants de solutions VPN, comme par exemple, Cisco ISE, CitrixNetscaler, etc. L'authentification à deux facteurs est implémentée à l’aide du mécanisme de essai/réponse (Challenge-Response) intégré dans le RADIUS: dans la première étape, l’utilisateur entre son nom et mot de passe, puis le serveur RADIUS vérifie les données de l’utilisateur et, si tout est correct, demande un deuxième facteur d'authentification à l'utilisateur du service VPN, mot de passe à usage unique. Le serveur RADIUS est basé sur Microsoft Network Policy Server (le service est disponible dans le cadre de Windows Server) et une extension spécialisée pour 2FA.

2FA dans VDI

L'authentification RADIUS en deux étapes à l’aide du mécanisme de essai/réponse (Challenge-Response), prise en charge par de nombreux produits VDI, comme par exemple VMWareHorizon et CitrixXenDesktop, est également utilisée pour l'intégration avec les bureaux virtuels. Dans le cas de l'utilisation des technologies Microsoft, l'authentification à deux facteurs peut être ajoutée au service d'accès à distance sur le serveur Remote Desktop Web Access (à l'aide de IIS Extension).

2FA dans WebSSO (SAML IdP)

L’organisation d’accès direct aux applications Web (websinglesign-on) permet d'améliorer considérablement l'efficacité du travail de l'utilisateur en permettant d'accéder de manière transparente à l'application Web après une seule authentification. L'application de 2FA permet de maintenir un haut niveau de sécurité des informations sans réduire la facilité d'utilisation. Pour l'intégration avec les solutions cibles, la norme d'authentification internationale SAML 2.0 est utilisée garantissant la compatibilité avec de nombreux systèmes. Les applications d'entreprise de communications unifiées et les services en nuage, tels que Office 365 et G Suite (anciennement GoogleApps), peuvent être inclus dans le contour de WebSSO et 2FA.

2FA dans ADFS

La prise en charge de l'authentification des utilisateurs via le protocole ADFS permet non seulement d'améliorer la sécurité des systèmes cibles utilisant 2FA, mais également de créer une solution SingleSign-On (SSO), évitant ainsi aux utilisateurs de s'authentifier de manière répétée au cours d'une session. La combinaison des approches 2FA et SSO améliore considérablement le niveau de sécurité des informations de l'entreprise et augmente l'efficacité du travail de ses employés.

La schéma générale de solution est ci-dessous

remoute access scheme

Caractéristiques de Indeed AM

Sécurité supérieure

L'utilisation de l'authentification à deux facteurs augmente considérablement le niveau de sécurité des ressources de l'entreprise. L'utilisation de la technologie AK Cloud constitue la technique la plus pratique et la plus sûr d'authentification des utilisateurs sur la base de notifications push protégées par cryptographie.

Flexibilité de la solution

La société peut utiliser tous les générateurs de mot de passe à usage unique compatible avec HOTP et TOTP sans restrictions imposées par un fournisseur spécifique d’applications ou de périphériques. Dans le cadre d’une infrastructure unique, toutes les technologies d’authentification OTP prises en charge peuvent être utilisées: applications mobiles, porte-clés OTP de différents fournisseurs, messages SMS et e-mail, Air Key Cloud. La prise en charge de divers mécanismes d'intégration avec les systèmes cibles (RADIUS, SAML, ADFS, IIS Extension, API Web) permet de créer un environnement d'authentification unifiée dans toutes les applications requises.

Mise en œuvre rapide

L'envoi d'OTP par SMS ou e-mail ne nécessite pas d'enregistrement ni aucune autre action de la part des utilisateurs en permettant de commencer à utiliser une authentification à deux facteurs immédiatement après l'installation et la configuration de l'infrastructure du serveur. Le système 2FA utilise les annuaires d'entreprise des utilisateurs (AD, LDAP, SQL, etc.) en simplifiant le déploiement et la gestion.

Différentes technologies d'authentification

Authentification en ligne et hors ligne

Indeed Access Manager prend en charge l'authentification en ligne, lorsque l'utilisateur reçoit un SMS ou un e-mail avec un mot de passe à usage unique ou une notification push sur un smartphone, et l'authentification hors ligne, lorsque l'utilisateur peut générer un mot de passe à usage unique de son côté à l'aide d'une application sur son smartphone ou d'un porte-clés matériel.

Prise en charge OATH des normes d'authentification TOTP et HOTP.

Pour générer et varifier les mots de passe à usage unique, on utilise les algorithmes normalisés Time-based One-time Password Algorithm (TOTP) и HMAC-based one-time password (HOTP). Ces algorithmes sont largement utilisés dans l'industrie et garantissent le niveau nécessaire de sécurité et de compatibilité de systèmes 2FA. Cela permet d'utiliser toutes les applications ou périphériques compatibles avec TOTP ou HOTP pour l'authentification à l'aide de Indeed Access Manager.

Notifications push

Pour l'authentification des utilisateurs, la technologie Indeed Air Key Cloud peut être prise en charge permettant d'envoyer les notifications push au smartphone de l'utilisateur pour confirmer l'opération de connexion. La technologie repose sur l'utilisation de cryptographie asymétrique utilisant les clés privées et publiques. Cette approche permet de fournir aux utilisateurs un moyen pratique et familier de confirmer l'authentification tout en garantissant un haut niveau de sécurité des informations pour la communication client-serveur.

Serveur de self-service des utilisateurs

Pour enregistrer et gérer les technologies d'authentification disponibles, les utilisateurs disposent d'un serveur de self-service au format d'une application Web. Cela permet de fournir aux utilisateurs un mécanisme de gestion d'authentification pratique et accessible depuis n’importe quel l'ordinateur.

EN SAVOIR PLUS
POSEZ VOTRE QUESTION DANS UN CHAT EN DIRECT SUR NOTRE SITE WEB
  • sur les projets mis en œuvre
  • sur la comparaison avec les concurrents
  • sur les prix et les licences
  • sur le matériel nécessaire
Indeed chat
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information à l’ère de la transformation numérique
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement, solutions d’administration pour la carte d’identité électronique