" Authentification unique multi-facteurs " - Coter-Numérique
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
« Authentification unique multi-facteurs » CoTer Numérique – Groupe du Travail – 08 Janvier 2020 Emmanuelle PINATTON Olivier MOREL Administratrice fédérale Gestionnaire de patrimoine Sign&go et CMS Directeur Général Adjoint DEES\DINSI\DARBO Métropole de Lyon ILEX International 20, rue du Lac 51 Boulevard Voltaire CS 33569 - 69505 Lyon Cedex 03 92600 Asnières-sur-Seine
Sommaire 1. La Métropole de Lyon 2. Objectifs et enjeux du projet « Authentification unique multi-facteurs » 3. Le projet : périmètre, réalisation 4. Exemples de services rendus aux utilisateurs 5. Administration et exploitation 6. Et maintenant ? 7. Q&R 8. Annexes
1. La Métropole de Lyon
La Métropole de Lyon La Métropole de Lyon rassemble toutes les missions de la Communauté urbaine de Lyon et du département du Rhône sur le territoire du Grand Lyon. Création le 01 Janvier 2015 59 communes 2ème agglomération de France 1,3 million habitants 54 120 hectares 9000 collaborateurs Budget 2019 : 3335 M€ https://www.grandlyon.com/
Missions et compétences Les champs d'action de la Métropole de Lyon : Développement économique Solidarités Education, culture et loisirs • Innovation et • Personnes • Archives et action âgées patrimoine économique • Personnes • Collèges • Relations handicapées • Culture internationales • Enfance et • Prospective et • Insertion et Famille dialogue public emploi • Santé et • Soutien aux • Attractivité et développement bibliothèques tourisme social • Sports • Foncier et • Politique de la immobilier ville • Vie associative Cadre de vie Gestion au quotidien • Habitat et logement • Eau et • Déplacements assainissement • Nature • Nettoiement des • Aménagement espaces publics urbain • Collecte des • Energie déchets • Environnement • Voirie et écologie
Direction de l’Innovation Numérique et des Systèmes d’Information (DINSI) La DINSI fait partie de la délégation DEES (Développement Économique, Emploi & Savoirs). Elle a plusieurs missions : gestion globale des systèmes d’information, gestion des usages numériques, gestion des données appartenant au Système d’Information Géographique (SIG), gestion des infrastructures téléphoniques fixes et mobiles et des systèmes de câblages, relation opérationnelle avec les directions de la Métropole de Lyon. La DINSI est composée de 4 Directions adjointes :
2. Contexte & enjeux du projet « Authentification unique multi-facteurs »
Le Système d’information de la Métropole de Lyon Le SI de la Métropole est utilisé par plus de 9000 utilisateurs : Les internes Métropole : élus Métropole, groupes politiques, agents… Les externes Métropole : élus et agents des communes, prestataires, entreprises, partenaires et autres collectivités Tout utilisateur peut se connecter au réseau de la Métropole sur toute machine gérée par la Métropole (~6000 PC fixes et ~1000 portables, ~200 tablettes, ~1000 smartphones…), mais également à partir d’équipements personnels (domicile ou professionnel) dès lors qu’ils sont en possession d’un certificat valide. depuis les sites Métropole, les sites hors institution, les sites non managés, ou en mobilité L’accès au système d’information s‘articule autour des éléments suivants : En accès interne, les utilisateurs accèdent au SI classiquement par login/mot de passe En accès externe, trois points d’accès sont disponibles pour desservir près de 200 services applicatifs publiés vers l’extérieur (sur 560 applications gérées par la DINSI), accédés soit en authentification login/pwd, soit via certificat électronique
Etat des lieux des accès au SI avant le lancement du projet Applications SSO F5 eBureau Storefront Postes virtuels SSO Application Applications PWM Internes Services de Externes Portail fichiers Juniper Applications Application (Ldap) SSO Applications Wifi Application ISeSame (ISesame) Internes Externes SI RH Internes AD FS Exchange AD LDS SSO GLT WAP AD Délibération PKI FIM Synchro Élus Métropole Ermès Élus Communes Self Service Agents communes GAV PKI Asset Internes Support FIM Portail Alcatel AI Existant Admin Services techniques
Etat des lieux des accès au SI avant le projet Points d’accès depuis l’extérieur Un accès au portail Juniper portail.grandlyon.fr par certificat (~4500 utilisateurs, jusqu’à 20000 connexions par jour) Un accès au portail ebureau.grandlyon.fr également par certificat (~100 utilisateurs, en moyenne 25 sessions connectées par jour) Un accès à quelques services (Extranet, …) en mobilité ou en poste fixe sans certificat par un 3 ème proxy (WAP Microsoft) SSO (Single Sign-On) Un service « natif » dans le monde Windows (Kerberos) 17 applications en SSO par un service ISeSame (qui porte également des habilitations) Les services de SSO natifs de Juniper et F5 pour certaines applications Services de self-administration La solution FIM en accès interne …et en externe (par Web Service) pour du self- enrôlement pour les agents des communes Une solution de réinitialisation de mot de passe (PWM) Services d’administration « back-office » La solution GAV de gestion des certificats qui prend appui sur une PKI Open SSL La solution ISeSame développée en 2006 La solution FIM de gestion des identités
Et donc… l’authentification au quotidien … Lorsque vous vous connectez à un service du Grand Lyon A partir d’un poste interne A partir de territoires.grandlyon.fr Depuis l’extérieur, sur portail.grandlyon.fr… Une authentification « forte » aux variations multiples !
Conséquences de cet état des lieux Un constat Des failles de sécurité importantes (usurpation d’identité, maitrise des identités, …) Une complexité des processus d’ouverture d’accès (parfois plusieurs jours) Des responsabilités dans la gestion des accès, diluées dans l’organisation Une expérience utilisateur parfois délicate (installation, renouvellement, auto- administration…) Des manques fonctionnels (absence de traçabilité des accès, supervision, …) Concernant l’offre technique Une démultiplication des points d’accès Des services de SSO plutôt restreints et un usage limité L’absence de réponse pour des accès à des applications Cloud Une complexité et des coûts d’administration élevés…peu admissibles en cas d’accroissement de volume Or … Une diversification des usages (mobilité, équipements, situation d’accès, …) Un accroissement des besoins d’authentification (passage d’équipements fixes à des mobiles) Une diversification des modes d’accès (Accès depuis l’intérieur à une application Cloud…) Une ouverture de service vers de plus en plus de comptes internes ou externes Un partage de services d’accès avec des tiers « institutionnels »
Les nouveaux enjeux exprimés par la DINSI Proposer des modes d’authentification adaptés aux contextes d’usages des utilisateurs et aux différents services applicatifs proposés Améliorer l’expérience utilisateur lors de l’accès au SI Améliorer la sécurité des accès au SI et en optimiser les coûts d’exploitation et d’administration Organiser la gouvernance autour de la gestion des accès au SI et disposer d’une solution d’administration, de supervision, d’audit performante Supporter la diversification des architectures applicatives et des solutions d’hébergement Pour répondre à ces enjeux, la solution Sign&Go Global SSO de l’éditeur ILEX International a été retenue.
Choix de la solution : les offres du marché Une offre fonctionnelle large Concernant l’authentification Des solutions matérielles (clés USB, cartes à puce, …) Des solutions logicielles (labellisées pour certaines par l’ANSSI) basées sur les équipements, les sessions…en mode connecté ou déconnecté Des solutions adaptatives basées sur des analyses de contexte et des scénarios Concernant le SSO Des solutions de Web SSO (par complétion des URL par exemple, ou d’injection) Des solutions d’Enterprise SSO (eSSO) d’interception des mires d’authentification Des solutions de Mobile SSO basées sur des kiosks de services installés sur les mobiles Des solutions de fédération basées sur des protocoles standards Une diversité des offres Des solutions libres, libres sous licence commerciale, propriétaires Des solutions cloud, on premise, voire hybride avec des niveaux d’hybridation variés Des prix à l’utilisateur, au token, à la période, …etc ! Des licences par abonnement (ou support annuel), d’autres par acquisition Quelques contraintes GL Le composant Juniper est conservé dans ses fonctions de portail, et de SSO encore pour un certain temps (pour les accès externes) La solution doit être hébergée sur l’infra Grand Lyon La solution doit être en modèle d’acquisition
Pourquoi la solution ILEX Sign&go Global SSO ? Couverture fonctionnelle… Authentification Authentification Administration Gestion des Identification (Id 1er facteur) (Id ++ 1er facteur) 2ème facteur administrateurs autorisations fonctionnels Configuration Configuration self- Gestion des actifs Habilitation des Blocs Self Service Supervision self-service service d’authentification services Portail de Publication des Administration Cycle de vie des Audit, traçabilité services services des accès identités techniques Échanges Blocs données et Reverse proxy Stockage identités services L’offre ILEX Sign&go Périmètre du Hors périmètre projet projet
3. Le projet « Authentification unique multi-facteurs »
Le projet requalifié La solution doit permettre aux utilisateurs internes ou externes … d’authentifier et d’autoriser l’accès aux services applicatifs de la Métropole ou à des services de confiance, conformément à la PSSI, éventuellement par l’utilisation de système de confiance tiers d’accéder à des solutions « On premise » ou « Cloud » depuis tous types de terminaux managés par la Métropole ou non managés d’administrer, superviser et auditer les accès aux services mis à dispositions par la Métropole de manière centralisée Quelques cas d’usage significatifs à adresser (choisis parmi 3 cas d’usages internes et 11 cas d’usage externes explicités) : Accès par les ViP, à partir de tablettes (équipement dédié, managé par la Métropole), en accès externe sur réseau Internet Accès par des prestataires GL, à partir de PC entreprise, non managé par la Métropole, sur site non managé, en accès externe, en réseau Internet Accès par des internes, sur équipement managé, en prêt, par réseau Internet, à des applications hébergées Le choix des scenarios retenus (pour le pilote) : S1 : les agents des communes (environ 2500 utilisateurs) S2 : les élus (168 utilisateurs) S3 : Intégration des 3000 nouveaux utilisateurs du projet « un agent / un compte »
Le projet requalifié Les zones de redondance potentielle avec l’existant Juniper F5 Juniper ADFS F5 Juniper F5 Authentification Authentification Administration Gestion des Identification (Id + 1er facteur) 2ème facteur administrateurs autorisations ISeSame PWM FIM GAV Juniper F5 ISeSame fonctionnels Configuration self- Gestion des actifs Habilitation des Blocs FIM Self Service Supervision service d’authentification services Juniper Juniper Juniper ISeSame Juniper F5 Portail de Publication des Administration Cycle de vie des Audit, traçabilité services services des accès identités techniques Échanges WAP F5 Blocs données et Reverse proxy Stockage identités services Périmètre du Hors périmètre projet projet
Le projet requalifié SSO F5 eBureau Existant Postes virtuels SSO Application Portail Applications Le projet Internes Juniper Externes Services Migration à l’étude techniques F5 Applications Fédération Wifi Internes Externes Solution sur site Par acquisition Portail Application Login Authent. 1er Application F5 Services Élus Métropole facteur (SSO) Élus Communes Agents communes Authent. 2ème Internes facteur SSO uniquement pour les accès gérés par la solution cible Administration AD LDS Admin FIM Self FIM portail AD Synchro PKI … Projet indépendant en attente initialisation
La solution mise en œuvre Sign&go Sign&Go global SSO pour l’authentification, le contrôle d’accès et le SSO Sign&Go CMS pour la gestion du cycle de vie des certificats Authentification Déblocage Sign&Go Global SSO Contrôle d’accès Fédération Périmètre projet Web SSO Log / Audit Hors périmètre Mobile SSO Self-service eSSO Portail applicatifs
Périmètre déployé pour la 1ère version du projet Périmètre initialement ouvert, puis contractualisé en étude Remplacement du point d’accès WAP/ADFS utilisé par les agents des communes et les élus, avec raccordement des applications : Grand Lyon Territoires, Ermes, Délibérations agents et élus Ouverture des accès à 3000 agents qui n’ont pas de comptes aujourd'hui (projet 1 agent / 1 compte), avec raccordement des applications : Comète, Foederis, Ermes, Webmail, Annuaire Sharepoint Ouverture du service « Espaces Collaboratifs » en Sharepoint 2016, pour 50 utilisateurs 1èrs services rendus : Un parcours de premier enregistrement (validation charte, collecte données de contact) Plusieurs schémas d’authentification (Id/Pwd, OTP mail, SMS, Authenticator) dépendant de la criticité des applications et de leurs contextes d’usage Un premier service « monprofil.grandlyon.fr » et un service de demande de création de compte pour les agents des communes Des services de réinitialisation de mot de passe par OTP ou parrainage
Zoom sur l’authentification adaptative Quels moyens d’authentification ? La criticité des impacts Le contexte d’usage Disponibilité Intégrité Confidentialité Service rendu 2 Juridique 1 Image 3 Financier 2 Les solutions d’authentification Niveau faible Identifiant / mot de passe ? Niveau moyen Niveau fort Niveau très fort OTP par SMS, mails Application mobile / Certificat Carte à puce avec code PIN Une qualification déterminée par une négociation métier / DINSI
La solution Sign&go - Architecture logique Administrateurs Authentification Outils admin. Outils admin. Administration Administrateurs Serveur de sécurité Sign&Go Intranet / F5 Authentification Extranet Création Application Application Élus Applications Agents communes compte Externes Internes Mon Profil AD FIM SSO Application Portail Applications Juniper Internes Externes SSO F5 eBureau Postes virtuels
La solution Sign&go - Architecture technique Cinématique d’accès type 4 6 3 0 5 0 2 7 2 7 1 6
Macro Planning Dates clés Démarrage du projet le 12/03/2018 Lancement T0 : 16/04/18 VA : le 19/10/18 Déploiement : 25/10 : Pilote agents des communes 09/11 : Pilote 1 agent / 1 compte 15/11 : Bascule Wap/ADFS
Zoom sur la stratégie de déploiement 24/10 09/11 16/11 01/01/2019 1 2 3 4 5 6 7 8 05/11 10/12 Conseils 08/10 22/10 30/10 12/11 26 03/12 Commissions Copil CIME Autres 10/10 22/10 Congés 02/11 événements 2500 2600 10 20 60 1 20 168 Grd Lyon Territoires Comète Grd Lyon Territoires Comète 2016 Impacts Ermes Foederis Ermes Foederis Délibération élus Webmail Délibération élus Webmail Délibérations Annuaire Délib. Agents Annuaire agents Ermes Espaces collab. 2016 Ermes CPI CIME CPU (s) CPI AI INT CPU (s) Admin Synetis INT CIME CPI Synetis AI Équipe projet INT Admin Synetis CPI Pilotes de CIME INT service AI CIME Admin Admin Synetis Synetis
4. Exemples de services rendus aux utilisateurs
Services proposés aux utilisateurs finaux Le processus de première authentification Si 1ère connexion Agent interne Élus Agent des communes Validation charte Saisie d’information de contact Si compte inexistant Si authentification de niveau > 2 Après un premier accès à une application de niveau N Un accès à une application de niveau ≤ ne nécessite pas d’authentification complémentaire Un accès à une application de niveau > nécessite une nouvelle authentification
Services proposés aux utilisateurs finaux Déblocage en cas d’oublis de mots de passe Inscription
Services proposés aux utilisateurs finaux Le parrainage Principe : Un utilisateur a perdu son mot de passe Il peut faire appel à un « ami » habilité par l’administrateur à le débloquer Il a préalablement renseigné une question personnelle Le processus de parrainage Utilisateur Parrain ? Ce processus a été durci (par un challenge questions/réponses) Il peut être rendu intégralement autonome
Services proposés aux utilisateurs finaux Les accréditations et le SSO Les accréditations sont les comptes utilisés par Sign&Go pour identifier l’utilisateur et lui donner accès aux applications Les accréditations primaires : comptes annuaire d'entreprise Les accréditations secondaires : comptes applicatifs Avec Sign&go Avant Sign&go Application A sitcmaq ********** sitcmaq Application A ********** Admin07 Application B S ********** Admin07 N Application B ********** G cmaq@gl.fr Utilisateur Application C ********** cmaq@gl.fr sitcmaq Utilisateur Application C ********** ********** sitcmaq Zoe12 Application D ********** ********** Zoe12 Application D ********** Accréditation Primaire App. secondaire Sitcmaq / ******** A Sitcmaq B Admin07 C cmaq@fl.fr D Zoe2 Pour les gérer…. Par apprentissage : soit par l’utilisateur lui-même (Pas proposé dans un premier temps) Par une administration déléguée (AI, CIME, Mainteneurs…) Par une identification fonctionnelle (Cas des applications type compte Windows)
Services proposés aux utilisateurs finaux Monprofil.grandlyon.fr
En synthèse, ce qui change pour les utilisateurs Des changements techniques Un nouveau point d’accès en remplacement d’un ancien ! Des accès par les intranet/extranet ou par URL direct Des changements fonctionnels Pour l’utilisateur final Des moyens d’authentification « adaptés » Des fonctions de « self-service » : installation certificat, enrôlement terminal, changement de mot de passe, … Une expérience plus fluide apportée par le SSO Pour l’administration des accès Des capacités de configuration de politiques d’accès Des fonctions d’administration déportées vers le centre de support ou les AI Des fonctions de contrôles, d’audit et d’analyse …? Des changements dans les processus projet et MCO La nécessaire qualification de la criticité des applications, des contextes d’usage La prise en compte d’un tiers (Sign&Go) lors de l’intégration d’une application ….réciproquement, des changements possibles induits par des configurations d’authentification ou des évolutions de condition de raccordement Une qualification supplémentaire lors du traitement des incidents Des changements organisationnels Une solution administrée par l’équipe DARBO Des AI en capacité de réaliser des opérations de proximité
Communication
Focus : projet « 1 agent, 1 compte » 2600 agents sans compte ou avec un accès complexe Développement urbain & cadre de vie (DDUCV) Ressources (DR) Développement solidaire, habitat & éducation (DDSHE) Restaurant administratif, garage, nettoyage et maintenance des bâtiments (DGR) Objectif : Donner un compte informatique à chacun Pour accéder à quoi ? Une adresse mail professionnelle Un accès à l’intranet Comète, l’annuaire des agents, l’espace emploi- formation (Fœderis), le Portail de la documentation (Ermes) Courant 2019/2020 : recrutement, demande de formations, documentation, gestion des congés, déroulement de carrière … Pas de comptes prévus pour : Contrats de courte durée (moins de 6 mois) Agents en disponibilité (sauf ceux d’office pour raison de santé) Agents en détachement (sauf Musée des Confluences)
1A1C : vont-ils y accéder ? Le préalable : Y accéder simplement, depuis n’importe quel lieu ayant un accès internet, avec n’importe quel équipement personnel (smartphone, tablette, ordinateur) Accès sécurisé (projet authentification multi-facteurs) : Connexion par une adresse internet Saisie login + mot de passe Puis saisie d’un code de confirmation unique généré à chaque connexion et envoyé par sms ou mail > implique que l’agent donne son numéro de portable perso et/ou son mail perso Modalités pour informer les 2600 agents Création des comptes par les AI Un courrier au domicile de chaque agent : Son login et son mot de passe provisoire Une plaquette expliquant les services en accès et les modalités de connexion Envois des courriers échelonnés sur 2 mois Information de/via la ligne managériale NB : les managers informatisés n’ ont pas le même mode d’accès à distance Déplacement sur les principaux sites de travail sur le 1er trimestre 2019
5. Administration et exploitation
…Et maintenant comment fait-on ? L’organisation mise en place autour de Sign&Go Back Office Front Office Services d’authentification Services d’authentification MCO socles Bénéficiaires Services d’administration CIME / AI Services d’administration CIME / AI Configuration scénarios et accès MCO socles Socle logiciel et configurations Gestionnaire Administrateur patrimoine DARBO DARBO Log / Audit Administrateur Socle technique DARBO F5 Socle logiciel et Pilotes de production configurations Gestionnaire DARBO patrimoine Utilisateurs DARBO Utilisateurs Socle technique AD Pilotes de production DARBO Administrateur Sign&Go = Gestionnaire patrimoine Sign&Go
Administration Accès direct aux outils d’administration Depuis Internet Depuis le LAN Quelques documentations
Accédez-vous à l’application Le traitement des incidents Oui Non Poste connecté au Question ? réseau Métropole ? État • Comete • Grand Lyon Territoires Site Internet • Delibération agents / élus Métropole • Ermes • Foederis • Webmail Quelle URL utilisez- • Annuaires Sharepoint vous ? • Espaces collaboratifs • Je ne connais pas mon identifiant. Utilisateur • J’ai oublié mon mot de passe. Utilisateur Utilisateur applications • Je n’arrive pas à me connecter à une application. Juniper Sign&Go F5 direct • Je ne reçois pas de SMS avec le code. • Portail.grandlyon.fr • Je ne reçois de mail avec le code. • Je n’arrive pas à enrôler mon mobile ou ma tablette. Quel est le problème ? • Je n’ai pas de certificat • Je ne ‘ai pas de compte pour accéder à l’application • Mot de passe Incident accès Incident Incident • Parrainage application d’authentification Niveau 1 • Accréditations (Procéduré) • Informations de contact CIME / AI • Enrôlement de mobile Niveau ? • Accès à une application Compte • Erreur 403, 404… Niveau 2 application •? Administrateur Sign&go
6. Et maintenant ?
…Et maintenant comment fait-on ? Ce qui a été écarté du 1er périmètre… Le raccordement des applications accessibles par Comète et GLT (Lyvia, Cart@DS, …) Un portail de service applicatif Un service « monprofil.grandlyon.fr » enrichi couplé à la gestion d’identités …Ce qui pourrait être fait à terme Un kiosque « mobile » pour tablette, smartphone, …. Une intégration des moyens d’authentification et de signature Une généralisation du SSO pour toutes applications (Remplacement de ISesame notamment) Des nouveaux cas d’usages Pour planifier un raccordement à Sign&go (aujourd’hui !) Sollicitation de l’instance « Coordination accès au SI » Priorisation / Ordonnancement par cette instance Pour raccorder une nouvelle application, 4 étapes 1. Qualification du niveau d’authentification (Criticité / Cas d’usage) Chef de projet / RSSI 2. Spécification technique Intégrateur / Administrateur Sign&go 3. Raccordement technique Administrateur de la solution 4. Validation fonctionnelle et technique Intégrateur / Chef de projet
Merci !
Annexe : Zoom sur la gestion des certificats
L’architecture logique sign&go CMS DMZ Administrateurs Authentification Outils admin. Administration https://cms.grandlyon.fr/cms/connect Élus F5 Agents communes Gateway PKI Externes Internes CMS Self service utilisateurs PKI AD CS https://certificats.grandlyon.fr LDAP Utilisateur interne Scénarios AD CIME / AI
Les services proposés aux utilisateurs finaux Processus de demande de certificat
Services proposés aux utilisateurs finaux Demande de certificat
Services proposés aux utilisateurs finaux Retrait d’un certificat
Services proposés aux utilisateurs finaux Renouvellement d’un certificat
SNG - Stratégie de déploiement 01/01/2019 1 2 08/10 05/11 Impacts Échantillon d’utilisateur Élus Utilisateurs finaux 2500 2500 10 1 20 168 50 60 Pilotage Réalisation Proximité Support Niv 1 Support Niv 2 Support Niv 3 AI CIME CPI Admin ILEX Int. Élus Externe Interne
Avez-vous reçu votre email de retrait ? Le traitement des incidents Non Oui Accédez-vous à l’interface de retrait ? Question ? État Non Oui • certificat.grandlyon.fr/… Avez-vous utilisez le mot de passe de retrait ? Non Oui Quel est le problème ? Incident accès Incident de retrait Niveau ? Administrateur CMS CIME / AI • J’ai oublié mon mot de passe. • Je ne reçois de mail avec le code. Niveau 1 • Erreur 403, 404… • Je n’ai pas de certificat. (Procéduré) Niveau 2 •? • Je ne connais pas mon mot de passe
En synthèse, ce qui change avec Sign&go CMS Ce qui va changer avec l’arrivée du CMS Des changements techniques Un nouveau self-service utilisateur en DMZ Une nouvelle PKI (Windows) Des changements fonctionnels Pour l’utilisateur final – Un nouveau processus de retrait de certificat – Des fonctions de « self-service » : installation certificat Pour l’administration des accès – Des capacités de configuration de politiques d’accès – Des fonctions de contrôles, d’audit et d’analyse Des changements organisationnels Une solution administrée par l’équipe DARBO Des AI en capacité d’exécuter le scénario de demande de certificat
Merci !
Vous pouvez aussi lire
