Authentification unique (SSO) d'entreprise mobilité, sécurité et simplicité - Evidian
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Authentification unique Authentification (SSO) d’entrepriseunique (SSO) d’entreprise mobilité, sécurité et mobilité, simplicité sécurité et simplicité
Sommaire
Ce livre blanc décrit les principales
fonctions apportées par le SSO
d’entreprise. Il présente également
Enterprise SSO, la solution
d’authentification unique d’Evidian.
Qu’est-ce que l’authentification unique ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Les trois raisons d’investir dans un SSO d’entreprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Une architecture simple. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Les trois architectures du SSO d’entreprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Plusieurs annuaires d’entreprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Une gestion qui devient naturelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Un SSO pour que la sécurité devienne naturelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Gérer les mots de passe naturellement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Renforcer la sécurité : l’authentification forte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
La continuité de service réduit les coûts d’exploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Comment intégrer une de vos applications au SSO ?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
L’administration du SSO au quotidien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Votre informatique s’ouvre sans risque. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
L’ouverture aux usages des appareils mobiles. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
L’ouverture au monde extérieur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
La montée en charge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Intégration avec la gestion des identités et des accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Evidian : ensemble des fonctions de gestion des accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Environnements supportés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
La suite logicielle d’Evidian . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Qu’est-ce que l’authentification unique ?
L’authentification unique (en anglais single sign-on ou SSO)
permet à un utilisateur d’accéder à toutes ses applications
avec un seul moyen d’authentification. Cela peut être par
exemple un mot de passe, un badge sans contact, un
certificat sur une carte nationale d’identité, une clé USB
cryptographique, un mot de passe à usage unique (OTP) ou
votre doigt si vous disposez d’un lecteur biométrique.
Les bénéfices d’un SSO SSO individuel et Quelles sont les alternatives au
SSO d’entreprise SSO?
Typiquement, un SSO nécessite d’installer un
logiciel sur votre PC, tablette ou smartphone, Il existe de nombreux outils individuels de D’autres types de solutions réduisent le
qui renseigne les mots de passe des SSO, comme les fonctions d’auto-remplissage nombre de mots de passe que les utilisateurs
applications à votre place. Ce logiciel n’est pas des navigateurs Web. Mais fournir un SSO aux renseignent au cours de leur journée.
nécessaire si vous vous contentez de lancer centaines – voire aux milliers – d’employés
des applications Web ou si vous travaillez en d’une entreprise nécessite une approche • La synchronisation des mots de passe
mode ‘client léger’. Dans ce cas, le logiciel de toute différente. Cela est dû à la nécessité diffuse le même mot de passe sur toutes
SSO réside sur un serveur et renseigne les de gérer, contrôler et proposer des moyens les applications. Si le mot de passe de
mots de passe à distance. d’authentification forte, des fonctions votre messagerie est « abcd », alors le
d’administration, de délégation, de mobilité, mot de passe sera également « abcd »
Le SSO simplifie la vie des utilisateurs, libère d’utilisation de tablettes, de continuité d’activité pour l’application de paye. Avec cette
leur temps et leur esprit de la saisie, du et d’audit indispensables dans les grandes approche, l’utilisateur continue de saisir
changement et même de la connaissance organisations. son mot de passe pour chaque connexion
des mots de passe. Evidian a rencontré à une application : l’utilisateur a bien un
des entreprises où les utilisateurs devaient C’est pour ces raisons qu’il est conseillé mot de passe unique mais il n’a pas une
connaître une trentaine de mots de passe de choisir un outil de SSO qui remplisse authentification unique.
différents : à présent, zéro ou un seul mot l’ensemble des fonctions dont vous aurez De plus, il faut développer pour chaque
de passe suffit. Le SSO permet également besoin de façon satisfaisante : cela doit être un application un module qui synchronise les
d’augmenter la sécurité et de réduire les coûts. choix d’entreprise. mots de passe uniques des utilisateurs.
Ces enjeux sont décrits ci-dessous dans la
section «Les trois raisons d’investir dans un La solution Enterprise SSO d’Evidian est Ce type de mot de passe unique donne la
SSO d’entreprise». l’aboutissement de plus de quinze ans sensation de facilité d’utilisation mais cela se
d’expérience en gestion des identités et des fait au détriment de la sécurité. En effet, ceci
accès. Plus de 5 millions d’utilisateurs dans constitue une politique de contrôle du format
le monde accèdent chaque jour à leurs de mot de passe (PFCP) extrêmement faible. Si
applications avec l’offre d’Evidian. Par exemple, le mot de passe « abcd » est piraté ou volé sur
Evidian a équipé les 120.000 postes d’un client une application, alors toutes les applications
répartis sur plusieurs continents en couvrant seront compromises.
une grande variété de cas d’usage. Sur la base
de ce savoir-faire, ce livre blanc dresse un Cette méthode est souvent utilisée pour
panel des fonctions de SSO à l’état de l’art. synchroniser tous les mots de passe avec le
mot de passe Windows du domaine. Il est lui-
même parfois requis pour les accès externes,
parfois stocké sur un terminal mobile avec un
chiffrement faible.
4Certaines organisations essaient de une situation complexe à gérer. Face à cette Cependant, dans la plupart des cas, il faut
synchroniser les mots de passe selon des situation où les mots de passe se retrouvent modifier l’application et la délégation d’accès
politiques différentes, suivant les capacités inscrits sur une note ou dans un fichier, la mise entre collègues est impossible. De plus,
des applications à gérer des mots de passe à disposition pour les utilisateurs d’un logiciel les fonctions de réauthentification en cas
plus ou moins longs et contenant plus ou de SSO devient une nécessité. d’accès aux applications sensibles et de
moins de caractère spéciaux. Toutefois à gestion de postes en mode kiosque ne sont
l’usage, on constate que l’utilisation de plus • Avec des « jetons virtuels » de type Kerberos souvent pas présentes.
de 2 mots de passe pour un grand nombre ou SAML, les applications délèguent
d’applications avec des changements de mots l’authentification à un module externe.
de passe imposés représente pour l’utilisateur
Pour illustrer ce propos, voici des exemples de situations
fréquemment rencontrées :
Risque opérationnel Situations fréquentes Single Sign-On Evidian
Mots de passe utilisés pour chacune des Tous identiques au mot de passe Windows Tous différents et complexes
applications
Dévoilement ou usurpation du mot de Donne accès à toutes les applications Donne accès à cette seule application
passe d’une application autorisées pour cet utilisateur
Accès interne pour les utilisateurs à des Le mot de passe Windows donne accès aux Niveau d’authentification configurable par
applications sensibles applications application sensible et par utilisateur
Il s’agit d’applications qui nécessitent un Pour gérer ce risque, les applications Si un administrateur réinitialise le mot de
haut niveau de privilèges et ne doivent sensibles doivent donc être exclues de la passe Windows, alors l’accès à l’application
absolument pas être accessibles si le mot synchronisation par le SSO sera refusé et l’utilisateur
de passe Windows est forcé par le support propriétaire sera averti
ou l’administrateur
La situation à risque n’est pas gérée La situation à risque est gérée de
manière globale
Accès externe pour les utilisateurs équipés Mot de passe interne du domaine Windows Mot de passe différent du mot de passe
d’un appareil mobile pour le mail, l’agenda, stocké dans la configuration locale du Windows stocké dans la configuration
les contacts, les notes, la messagerie terminal locale du terminal
instantanée
La situation à risque n’est pas gérée La situation à risque est gérée de
manière globale
Accès externe via un terminal mobile Mot de passe interne du domaine Windows Mot de passe interne du domaine
– (PC, tablette, …) en client léger via des saisi par l’utilisateur dans le processus de Windows non saisi par l’utilisateur dans
fermes « VDI » pour traiter les situations de connexion, seul ou combiné à un OTP le processus de connexion, seul l’OTP est
mobilité nécessaire
La situation est à très haut risque car le
L’utilisateur dispose d’une authentification mot de passe interne du domaine Windows Le risque de mots de passe internes du
par mot de passe ou par mot de passe est exposé sur le terminal et sur le réseau domaine Windows exposés sur le terminal
unique (OTP) externe de l’entreprise et sur le réseau externe de l’entreprise est
éliminé
La mobilité induit une situation à haut La mobilité n’induit pas de situation à
risque qui freine son adoption haut risque
Note : pour renforcer de manière optimale la sécurité des accès externes d’utilisateurs privilégiés, la solution d’Evidian permet de combiner l’OTP
avec un mot de passe différent du mot de passe Windows grâce à l’authentification multi-facteurs.
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 5Les trois raisons d’investir dans un SSO
d’entreprise
Les entreprises sont motivées par trois principaux facteurs
dans leurs décisions d’investir dans une solution de Single
Signe-On.
Renforcer la sécurité et respecter les Réduire les coûts de fonctionnement Ouvrir sans risque l’informatique au
1 contraintes réglementaires 2 de l’informatique 3 monde extérieur
En intégrant un point de passage obligé En multipliant les mots de passe, souvent Cette demande est de plus en plus fréquente
entre un utilisateur et ses applications, une pour d’excellentes raisons, la productivité de : l’accès au Web est devenu aisé, mais les
organisation peut contrôler les accès de l’utilisateur baisse et la qualité du travail s’en employés continuent à avoir des difficultés
manière efficace. ressent. De plus, ces « coûts cachés » ont aussi à accéder de l’extérieur aux applications
une face visible : jusqu’à 30% des appels au intranet.
Pour plus de précisions, reportez-vous help desk résultent de mots de passe perdus.
à la section « Renforcer la sécurité : Cette charge sera considérablement allégée Pour plus de précisions, reportez-vous à la
l’authentification forte ». par un SSO, avec un retour sur investissement section « Votre informatique s’ouvre sans
facile à estimer. risque ».
Pour plus de précisions, reportez-vous à la
section « La continuité de service réduit les
coûts d’exploitation ».
La façon de mettre en place l’outil de SSO peut
varier en fonction de ces facteurs, même si
cet outil est le même dans les trois cas. Bien
sûr, certaines entreprises peuvent décider de
faire d’une pierre deux coups, et de combler
plusieurs besoins à la fois !
Sécurité, réduction des coûts, ouverture :
le SSO d’entreprise d’Evidian répond à ces
besoins par une architecture modulaire. Les
modules fonctionnels peuvent être mis en
œuvre par étapes, en apportant à chacune
d’elles des fonctions utiles et visibles.
De même, il est possible d’équiper dans un
premier temps un seul service et d’étendre par
la suite les fonctions au reste de l’entreprise.
6Une architecture simple
Les trois architectures du SSO instances d’« appliance » pour chaque Plusieurs annuaires
d’entreprise environnement (production, intégration, site d’entreprise
de secours), elle introduit un nouveau
Le logiciel de SSO présent sur le poste, la système d’exploitation, un nouvel annuaire Toutes les entreprises ont mis en place des
tablette ou le smartphone de l’utilisateur à synchroniser. Comme dans le cas ci- annuaires, mais certaines en ont plusieurs !
renseigne les identifiants et mots de passe à dessus, les synchronisations de comptes Les raisons peuvent être historiques (une
sa place. Mais où le logiciel trouve-t-il ces complexes présentent un risque de entreprise récemment acquise, une filiale
informations ? cohérence pour la gestion des droits indépendante) ou fonctionnelles (les
d’accès. Pour ce qui est de la continuité des partenaires sont gérés dans une base à
Avec un SSO individuel, les données de SSO part). Cela peut poser problème si un
accès, ce type de solution peut présenter
sont sur le poste de l’utilisateur. Quelle que utilisateur se déplace d’un domaine à un
un risque de SPOF (Single Point Of Failure).
soit la méthode de cryptage des données, autre.
l’entreprise abandonne le SSO individuel au Annuaire de l’entreprise : les
profit du SSO d’entreprise pour les raisons 3 informations de SSO sont tout Dans ce cas, Evidian propose une solution
suivantes : simplement stockées chiffrées dans de synchronisation d’annuaires : les
l’annuaire qui équipe déjà la plupart des informations les plus fiables sont obtenues
`` le contrôle : il faut pouvoir retirer ou depuis l’endroit adéquat et il est possible de
entreprises, garantissant un haut niveau de
attribuer un accès à distance, bâtir ainsi un annuaire central. De cette
confidentialité avec un chiffrement non
`` l’audit : il faut pouvoir analyser les accès réversible de type AES256. Par exemple : façon, un utilisateur déclaré dans les bases
pour optimiser les coûts liés à l’utilisation l’annuaire Microsoft Active Directory où sont des ressources humaines sera très
des applications, déclarés les utilisateurs et par lequel ils rapidement opérationnel dans l’ensemble
accèdent à leur session Windows, ou bien de l’entreprise.
`` la traçabilité et la mobilité des utilisateurs : son instance applicative Microsoft AD-LDS
changement de poste de travail, Une architecture basée sur l’annuaire
dans lequel peuvent être stockées des
utilisation de postes en mode kiosque, de existant de l’entreprise est donc une
données d’applications associées aux
serveurs de présentation, d’appareils solution à la fois simple, facile à maintenir et
utilisateurs déclarés dans l’Active Directory.
mobiles à l’extérieur de l’entreprise. rapidement déployée.
Dans le cas de Microsoft Active Directory, il
Sur le marché du SSO d’entreprise, nous n’y a donc aucun serveur ni appliance à
rencontrons principalement trois installer, dans celui de Microsoft AD-LDS on MES CRITERES
architectures permettant de rendre pourra facilement utiliser ou mapper les
disponibles les informations de SSO telles serveurs sur ceux de Microsoft Active
qu’identifiants, mots de passe et droits Directory déjà présents. Vos postes sont `` La solution de SSO impose-t-elle de
d’accès. déjà configurés pour accéder aux déployer de nouveaux serveurs ou
informations, puisqu’ils accèdent déjà à des appliances dans mon entreprise ?
Serveur de SSO : les informations
1 sont stockées sur un serveur, par l’annuaire. `` Est-ce un problème si mes utilisateurs
exemple Novell ou Unix, qu’il faut Les coûts de mise en œuvre, haute sont référencés dans plusieurs bases,
généralement dédier à cette tâche. Le client disponibilité, continuité d’activité de cette fichiers et annuaires ?
sur le PC interroge donc le serveur quand architecture sont considérablement réduits.
c’est nécessaire. Ce serveur est souvent C’est aussi le cas pour l’évolution dans le Pour une grande entreprise disposant
répliqué en plusieurs instances pour une temps de la solution qui peut facilement d’entités ayant chacune son propre
plus grande disponibilité et capacité, même suivre celle des composants de annuaire et sans relation d’approbation, le
si des mécanismes de cache sur le PC l’infrastructure Active Directory. service de SSO commun à toutes les entités
permettent de pallier une indisponibilité peut être déployé sans remettre en cause
temporaire. Des coûts de démarrage et Dans une telle architecture, l’annuaire est ce principe de gouvernance. Cette
d’opération doivent donc être pris en généralement complété par quelques architecture est basée sur la mise en place
compte : serveurs, installation du logiciel, postes d’administration et une base abritant d’un annuaire commun facilement déployé.
synchronisations périodiques de sa base de l’historique des actions (pour l’audit et les Chaque utilisateur s’authentifie dans le
compte utilisateurs avec l’annuaire en place rapports). Cette base peut être une base domaine de sa propre entité et bénéfice du
dans l’entreprise. Dans une entreprise relationnelle déjà présente dans le système service de SSO mis à disposition à partir de
étendue, le nombre de ces serveurs peut d’information. Les stations et la base ne sont l’annuaire commun.
être important, les synchronisations de pas utilisées lors de l’authentification ou des
comptes complexes présentant un risque accès de l’utilisateur aux applications, et
de cohérence pour la gestion des droits donc ne sont pas un point de passage
d’accès. obligé et critique pour le fonctionnement de MES CRITERES
l’ensemble. Il n’y a donc pas de SPOF dans
« Appliance » de SSO : il s’agit d’une cette architecture dite « Annuaire »,
2 variante de la solution précédente. contrairement aux architectures « serveur » `` La solution de SSO impose-t-elle de
Matériels et logiciels sont livrés et « Appliance ». déployer des solutions d’approbation
ensemble. Les coûts de mise en place du entre les domaines de mon
logiciel peuvent paraître réduits. Par contre, Evidian Enterprise SSO utilise une entreprise ?
il n’est pas possible d’installer le logiciel sur architecture basée sur l’annuaire de
un serveur existant, ce qui peut augmenter l’entreprise, permettant des montées en `` Pour bénéficier d’un SSO partagé par
les coûts de mise en place. Enfin, il est charge sans interruption. Notre expérience toutes mes entités, est-ce un problème
souvent impossible d’ajouter mémoire et dans le domaine démontre que cette si mes utilisateurs s’authentifient dans
disque sur une « appliance », contrairement solution est la plus simple et la plus rapide à leur domaine et si ces domaines ne
à un serveur. La solution « appliance » a une mettre en œuvre, en gardant le niveau de disposent pas de relations
capacité limitée, elle nécessite plusieurs sécurité le plus élevé. d’approbation ?
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 7Une gestion qui devient naturelle
Un SSO pour que la sécurité quel groupe d’utilisateurs a accès à quel Cela est possible car toutes les opérations
devienne naturelle groupe d’applications, et éventuellement à se passent sous le contrôle du SSO. En
partir de quelles stations. conséquence les mots de passe peuvent
Avec un Single Sign-On d’entreprise bien être différents pour chaque application. Des
conçu, votre politique de sécurité n’est plus Par exemple : exceptions sont possibles et certaines
une contrainte pour vos utilisateurs. Ils `` Les applications de back-office ne doivent applications peuvent, sans difficulté, être
lancent les applications auxquelles ils ont jamais être utilisées depuis une station de déclarées comme utilisant le mot de passe
droit, sans avoir à retenir ni gérer leurs mots trading. de la session Windows de l’utilisateur.
de passe. Ainsi, les employés obéissent
naturellement à la politique de sécurité. `` Les stations de R&D ne sont accessibles Mais que se passe-t-il si un employé
qu’après une authentification souhaite qu’un collègue le remplace
Le SSO se charge de l’ensemble des biométrique. pendant une absence ? Auparavant, il lui
opérations concernant les mots de passe. Il révélait son identifiant et son mot de passe,
peut même les changer automatiquement, `` L’application SAGE ne peut être utilisée avec tous les risques en termes de sécurité
sans que l’utilisateur intervienne. Vous que par le département finance. et d’audit que cela comporte.
pouvez faire en sorte que l’utilisateur ignore
le mot de passe d’une application sensible : Au contraire, Evidian Enterprise SSO permet
il lui sera donc impossible de révéler ce mot MES CRITERES à un employé de déléguer l’accès de façon
de passe, de le dévoiler à un tiers ou de temporaire à un collègue. Il ne peut bien sûr
l’utiliser frauduleusement en-dehors de le faire que si vous avez autorisé cette
`` Peut-on restreindre l’accès à une éventualité. L’historique des accès est
l’entreprise. application en fonction du métier de également conservé, ce qui permet de
Le SSO vous permet d’exiger une nouvelle l’utilisateur, mais aussi de l’endroit où distinguer quelles opérations ont été
l’application est lancée ?
authentification par l’utilisateur afin effectuées par quelle personne.
d’autoriser l’accès à une application
spécifique. Gérer les mots de passe
À partir d’une console de gestion centrale, naturellement MES CRITERES
vous décidez qui a accès à quelle Avec Evidian Enterprise SSO, vous pouvez
application. faire respecter une politique de mots de `` La solution de SSO permet-elle à un
Bien sûr, avec des milliers d’employés et des passe stricte (par exemple au moins deux employé de déléguer lui-même l’accès
centaines d’applications, il n’est pas question chiffres dont un en tête, plus de dix à une application de façon temporaire,
d’attribuer des accès un par un ! De façon caractères etc.). Cette politique est différente par exemple pendant un congé ?
bien plus simple, l’administrateur indique pour chaque application, même si
l’application elle-même est plus permissive.
8Renforcer la sécurité : l’authentification forte
La combinaison nom d’utilisateur/mot de Par exemple : `` Postes de vidéo surveillance et d’accès à
passe est la méthode d’accès la plus des données personnelles
courante, en particulier dans les `` Stations de travail du top management
environnements Microsoft. Toutefois, ce `` Opérateur disposant de droits d’accès
`` Stations de travail des conseillers aux « fadettes », « tickets d’appel » chez
« sésame ouvre-toi » universel n’est souvent clientèle en agence
pas suffisant pour la protection de un opérateur télécom
ressources sensibles. Un mot de passe `` Accès par des médecins aux dossiers des `` Personnel soignant se déplaçant et
prouve-t-il que la personne qui se connecte patients accédant aux PCs en mode kiosque en
est vraiment la personne qu’elle prétend `` Ouverture de session sur les postes présentant son badge sans contact et
être ? kiosque pour les infirmières retrouvant sa session de travail dans l’état
C’est pourquoi l’on choisit parfois de où il l’avait laissée
`` PCs portables sensibles de commerciaux
renforcer le Single Sign-On avec des et de la R&D `` Trader du « front office » ouvrant
méthodes d’authentification forte. simultanément toutes les sessions
`` PCs portables de cabinet d’audit très Windows sur ses stations de travail avec
Celles-ci peuvent être déployées sur tout ou mobiles
partie des postes de travail. Il est courant de un seul dispositif matériel
protéger certains postes et certaines `` Session des postes kiosques sur les d’authentification sur la grappe de
applications sensibles. chaînes de fabrication avec carte à stations.
certificat
Ainsi, Evidian rencontre couramment les types
d’authentification forte suivants :
EXEMPLES
TYPE EXEMPLE DE SOLUTIONS
D’UTILISATEURS
ÌÌ Hôpitaux Cartes de santé CPS (France), NHS (UK) ou UZI-pas (Pays-Bas)
Carte ou Token USB avec certificats provenant d’une ÌÌ Industrie Carte agents local, fédéral, gouvernemental ou (PIV, EAS-ECC,…)
infrastructure à clés publiques locale ou nationale ÌÌ Finances Badge Corporate
ÌÌ Gouvernement
Carte d’identité eID (Belgique)
ÌÌ Ministères
ÌÌ Hôpitaux Lecteur d’empreintes digitales
Biométrie ÌÌ Industries Biométrie veineuse
ÌÌ Finances
ÌÌ Assurances Calculette
Mot de passe à usage unique ÌÌ Banques Token logiciel sur téléphone ou smartphone
ÌÌ Industries
Carte «confidentiel défense» ÌÌ Défense Carte sécurisée multifonction
Badges sans contact ÌÌ Hôpitaux Technologie RFID
Badge radio ÌÌ Distribution
ÌÌ Hôpitaux Cartes de santé CPS (France), NHS (UK) ou UZI-pas (Pays-Bas)
Badge bi technologies « contact et sans contact » Carte agents gouvernemental ou fédéral (PIV, EAS-ECC, … )
Badge Corporate
Carte d’identité eID (Belgique)
Objet connecté ÌÌ Industrie Bracelet bluetooth
Evidian Enterprise SSO est compatible avec
la grande variété des méthodes MES CRITERES
d’authentification forte présentées ci-dessus.
Les solutions d’Evidian permettent de gérer
ces équipements sur toute une entreprise : `` La solution de SSO est-elle compatible avec l’authentification forte que j’ai choisie ?
attribution de cartes à puce et tokens USB, `` Puis-je interdire à une application d’être exécutée sur un poste qui n’est pas protégé
prêts, mise en liste noire, personnalisation par l’authentification forte ?
de badges, etc. La sécurité des accès est
ainsi renforcée pour certaines catégories `` Est-il possible de supporter simultanément plusieurs méthodes d’authentification en
d’utilisateurs. fonction des profils d’utilisateurs ou des postes de travail ?
`` L’authentification et le SSO couvrent-t-ils bien les cas d’usage propres à mes métiers ?
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 9La continuité de service réduit les coûts
d’exploitation
Un outil de SSO bien conçu permet de Grace au module SSPR d’Evidian, Evidian QRentry est le complément idéal
réduire les coûts d’exploitation. Certains de l’entreprise peut choisir d’utiliser la des déploiements d’authentification, qui
ces coûts sont difficiles à évaluer, puisqu’ils procédure adaptée à son besoin. Par génèrent des appels « mot de passe
touchent à la productivité des utilisateurs. exemple, le module SSPR peut être oublié », « carte perdue » ou « biométrie
Néanmoins, d’autres économies sont plus configuré de manière à ce que l’utilisateur inopérante ». Le nombre d’appels au help
facilement mesurables : elles concernent la réponde à trois questions au lancement desk baisse drastiquement – il n’y a rien à
charge du help desk. initial du SSO sur son poste. S’il oublie son mémoriser. Un utilisateur peut débloquer
mot de passe ou perd sa carte d’accès, il lui-même son accès à Windows, même si le
Evidian Enterprise SSO prend en charge la répondra aux questions prédéfinies et help desk est injoignable.
contrainte des mots de passe applicatifs, réinitialisera son mot de passe. Ainsi, un
évitant ainsi les oublis ou blocages de accès perdu ne bloque pas l’utilisateur.
comptes. Les appels au help desk de ce
type baissent jusqu’à 30%, car les Evidian propose également QRentry, un
utilisateurs n’ont plus besoin de retenir les mode de secours sans Questions -
mots de passe des applications. Réponses avec une authentification forte MES CRITERES
toujours disponible.
Cependant, il reste à traiter les oublis de
mot de passe ou les pertes de carte d’accès. Avec Evidian QRentry, les utilisateurs se `` Mes utilisateurs pourront-ils réinitialiser
Par exemple, que se passe-t-il si un connectent à leurs sessions Windows en leur mot de passe sans appeler le help
commercial constate dans un hôtel que sa scannant un QR Code avec leur desk ?
carte à puce ne fonctionne plus ? Evidian smartphone et en entrant le code fourni par
Enterprise SSO, avec son module Self- le smartphone. Cet accès est toujours `` Est-il possible de réinitialiser un mot de
Service Password Request (SSPR), permet disponible en mode connecté et non passe sans être connecté au réseau ?
de débloquer son accès. Il est inutile pour connecté même avec un smartphone sans `` La solution SSO assure-t-elle la
cela d’être connecté au réseau. connexion réseau. Ainsi l’utilisateur dispose continuité des accès des utilisateurs
d’un générateur de mot de passe à usage en cas de défaillance de
unique (OTP) à partir de son smartphone. l’authentification forte ?
Comment intégrer une de vos applications
au SSO ?
Le SSO se substitue à l’utilisateur et `` Applications mainframe en mode passe » etc. Par la suite, l’application sera
renseigne ses identifiants et mots de passe « émulation de terminal » reconnue partout dans l’entreprise. Des
à sa place. Pour cela, le logiciel de SSO doit versions d’applications Lotus Notes, SAP ou
reconnaître la fenêtre de login du logiciel, `` Packages avec particularités d’interface navigateurs sont traitées nativement et un
mais aussi celle de changement de mot de telles que OWA, Office 365, SAP et Notes outil graphique de scripts est disponible.
passe, ou d’annonce de mot de passe `` Applications ou applettes Java
incorrect. Ce travail d’apprentissage est
réalisé une fois pour toutes dans l’entreprise, `` Sites et portails web à travers Internet
puis répercuté sur les PCs et stations Explorer, Chrome ou Firefox.
mobiles des employés à travers l’annuaire Comment vous assurer que le logiciel de
d’entreprise. SSO saura intégrer vos applications, même
Il est généralement facile d’effectuer ce les plus « exotiques » ? Il est souvent
travail pour les applications Windows qui prudent de demander un essai de la
ont été « développées » suivant les solution sur votre site, accompagné de
MES CRITERES
recommandations de Microsoft. Cependant, l’intégration des applications les plus
il ne faut pas oublier vos applications moins critiques.
classiques : `` La solution de SSO permettra-elle
Evidian Enterprise SSO permet d’intégrer la d’intégrer simplement mes
`` Applications internes développées il y a plupart des applications en quelques clics. applications, ou nécessite-t-elle de la
de très nombreuses années Vous lancez l’application et pointez la souris programmation ?
sur les champs « identifiant », « mot de
10L’administration du SSO au quotidien
Si la solution de SSO permet de réelles évaluation sur site. Pendant quelques jours, `` Des rôles d’administration couvrent les
économies, elle ne doit pas à l’inverse vous pourrez tester des scénarios applications, les cartes, les mots de passe,
générer autant de coûts d’administration ! d’administration. Vous vous rendrez compte l’audit etc.
Ainsi, quand on dépasse plusieurs dizaines si les profils des personnes choisies sont
d’utilisateurs, il n’est plus question d’attribuer adéquats, et vous estimerez le volume de `` Quand un administrateur change de
des droits individuellement. Il doit être travail. fonction, ses droits sont facilement
extrêmement facile de gérer les droits d’un Evidian a incorporé dans Enterprise SSO de transférés ou délégués.
utilisateur arrivant, changeant de fonction et nombreuses facilités d’administration. Fruits `` Si nécessaire, les équipes applicatives
quittant l’entreprise. de plus de quinze ans d’expérience, peuvent disposer d’un outil de simulation
l’ergonomie et les fonctions ont été affinées et de diagnostic qui leur permettent de
De même, si des applications sont pour rendre les administrateurs efficaces
‘découvertes’ dans l’entreprise pendant le valider le bon fonctionnement de la
dans cette tâche. Par exemple : configuration établie avec leur
déploiement, il faudra les intégrer
rapidement elles aussi. Et comme `` Lorsque l’utilisateur s’absente, il délègue application.
l’utilisateur peut ignorer les mots de passe lui-même ses accès à son remplaçant
de ses applications critiques, comment fait-il avant son départ, sans dévoiler ses mots
pour déléguer ses accès sans encombrer le de passe.
help desk en période de vacances ? MES CRITERES
`` Des gestionnaires locaux intègrent leurs
Pour se rendre compte de la charge propres applications et gèrent les accès
d’administration quotidienne d’un outil de de leurs équipes. `` Quelle sera la charge quotidienne de
SSO, le mieux est de demander une gestion de la solution de SSO ?
Votre informatique s’ouvre sans risque
L’ouverture aux usages des L’ouverture au monde extérieur A l’inverse, Evidian Enterprise SSO partage
appareils mobiles en toute sécurité les mêmes informations
Quand un de vos employés se déplace à protégées, quel que soit le mode d’accès.
Quand les usages imposent l’utilisation l’extérieur, est-il obligé d’utiliser un PC
d’appareils mobiles iOS ou Android, en spécialement configuré pour utiliser les
parallèle ou en remplacement des PCs pour applications intranet ? Pourtant, des
fonctions de SSO peuvent lui permettre MES CRITERES
accéder aux applications intranet ou dans le
Cloud, comment disposer de ses mots de d’accéder à ses applications web internes,
passe et notes personnelles ? de n’importe quel navigateur (cybercafé, `` Si le SSO du poste de travail a changé
site client par exemple) et en toute sécurité. le mot de passe d’une application à
Les fonctions de SSO doivent permettre l’insu de l’utilisateur, ce dernier y
d’accéder à ses applications, de n’importe Cela est souvent extrêmement utile. Des accédera-t-il toujours normalement de
quel terminal (PC, tablettes, smartphone, clients d’Evidian utilisent cette fonction pour l’extérieur avec un simple navigateur et
client léger, poste virtualisé) en toute rendre leurs employés réellement de façon sécurisée ?
sécurité. autonomes : commerciaux en déplacement,
policiers en mission, ingénieurs sur un `` Dans ce cas, comment ne pas propager
Evidian met à disposition de ses clients chantier à l’étranger etc. des mots de passe internes à mon
Entreprise SSO pour les mobiles, celui-ci organisation entre son navigateur
partage en toute sécurité les mêmes Certaines solutions de SSO considèrent les externe et la passerelle d’accès sécurisé
informations protégées, mots de passe ou accès web comme un ajout peu intégré : les de mon système d’information ?
notes personnelles, quel que soit le terminal parties « web » et « intranet » échangent
utilisé. donc mal certaines informations de SSO. `` Si mes partenaires doivent accéder
avec un simple navigateur à mon
service unifié de prise de commandes,
MES CRITERES comptes clients, offres spéciales, alors
comment l’authentifier par un mot de
passe à usage unique et comment lui
`` Si le SSO du poste de travail a changé
donner cette vue unifiée et sécurisée ?
le mot de passe d’une application à
l’insu de l’utilisateur, ce dernier y
accédera-t-il toujours à partir de sa
tablette iOS ou Android ?
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 11La montée en charge
Pour le moment, vous souhaitez équiper Pour certains produits de SSO capables de basée sur l’annuaire de l’entreprise, est
uniquement votre service ou un seul site de satisfaire quelques centaines d’utilisateurs, la utilisée pour des clients de quelques
votre entreprise avec un SSO. Il est toutefois montée en charge est une vraie question. centaines ou de plusieurs dizaines de
prudent d’anticiper le moment où le SSO Comment partager les données pour que milliers d’utilisateurs.
sera étendu au reste de votre entreprise, les utilisateurs soient mobiles sur plusieurs
même si cette échéance est encore pays ? Faut-il former un administrateur par
lointaine. Il vous faut donc choisir un SSO site, voire par service ? La technologie de
capable de monter en charge, sous peine base change-t-elle ? Doit-on installer des
MES CRITERES
de devoir changer de solution le moment matériels dédiés à de nombreux endroits ?
venu, avec les difficultés de migration de
mots de passe que cela impose. Evidian Enterprise SSO a été déployé dans `` La solution de SSO a-t-elle démontré
des entreprises avec plus de 100,000 qu’elle pouvait être déployée sur des
utilisateurs. La solution peut être facilement dizaines de milliers d’utilisateurs ?
étendue : la même technologie simple,
Intégration avec la gestion des identités et
des accès
Evidian a constaté que le SSO est souvent mis à jour automatiquement dans les des identités de l’entreprise, un module de
un prélude à une gestion plus ambitieuse applications, l’utilisateur étant ainsi provisionnement ou un workflow peuvent
des identités et des accès. En effet, la immédiatement opérationnel. synchroniser les comptes applicatifs avec le
politique d’accès pourra être définie de SSO.
façon rigoureuse, validée selon un Evidian Enterprise SSO fait partie de la
processus strict et régulièrement auditée. solution de gestion des identités et des
Elle sera ensuite respectée naturellement accès IAM Suite d’Evidian. Ainsi, il peut être
par les employés grâce aux mécanismes de connecté à Evidian Identity & Access
SSO existant. Manager pour automatiser la gestion des MES CRITERES
mots de passe, ou transmettre la liste des
Et ce n’est pas tout : puisque le SSO fournit accès réels pour auditer et affiner la
des informations sur l’usage réel des politique de sécurité. `` La solution de SSO pourra-t-elle être
applications, il est possible d’auditer en étendue par la suite, en intégrant la
permanence le respect de la politique de Ne distribuez plus les mots de passe aux gestion des accès par les rôles ou le
sécurité. Enfin, les comptes peuvent être utilisateurs : en coordination avec la gestion provisionnement ?
12Evidian : ensemble des fonctions de gestion
des accès
Evidian Enterprise SSO permet de déployer Gestion de l’authentification Windows et privée et clé publique. C’est la solution
rapidement une solution efficace de l’authentification forte, Authentication idéale pour disposer d’un accès
d’authentification unique. Les utilisateurs Manager simplifie l’utilisation des d’urgence à la session Windows sans
accèdent à leurs applications plus méthodes d’authentification de utiliser les mécanismes de questions/
facilement et avec une sécurité accrue. Sur l’utilisateur pour accéder à sa session réponses. En mode connecté, l’utilisateur
cette base, vous pouvez ajouter des outils Windows avec le niveau de sécurité a juste à valider une notification pour
afin d’obtenir une authentification forte et attendu. Ces méthodes sont : les cartes s’authentifier.
des fonctions complémentaires cryptographiques avec ou sans PKI au
d’administration : format badge et clés USB, l’utilisation des `` Mode cluster pour ouvrir N sessions
certificats, les badges sans contact simultanément
`` Accès rapide à l’authentification unique « RFID », la biométrie, les mots de passe à
avec une connexion directe sur les Avec le mode Cluster, les employés
usage unique (OTP) générés par des peuvent utiliser plusieurs PCs
applications, disponible sur PC, tablettes mécanismes logiciels et matériels.
et smartphones. simultanément (par exemple les traders
`` Accès d’urgence à la session Windows et en salle de marchés ou l’équipe de
Les clients Enterprise SSO pour Windows à la gestion de son mot de passe surveillance d’usine). Une seule
et pour Mobiles offrent des fonctions authentification débloque l’ensemble des
d’authentification unique telles que Avec le Self-Service Password Request, les PCs d’un utilisateur. Les mécanismes de
l’administration des règles d’accès et de utilisateurs gèrent eux-mêmes les délégation et de détachement de PCs
mots de passe, la délégation, la procédures d’accès de secours à leur entre utilisateurs sont nativement gérés
réauthentification, l’authentification multi- session : la réinitialisation de leur mot de par ce mode.
niveaux, la révélation des mots de passe, passe du domaine, le déblocage de leur
la gestion d’un coffre-fort électronique et PIN, l’ouverture de la session Windows `` Reporting
la collecte d’audits. sans changement du mot de passe du Enfin des outils de reporting génèrent
Accès SSO depuis Internet avec un client domaine. Cette procédure est basée sur des rapports sur les événements
léger ou une tablette équipée un mécanisme de questions/réponses, d’administration, d’authentification et de
uniquement d’un navigateur standard. elle est utilisable à partir de la fenêtre de connexion aux applications cibles.
Mobile E-SSO permet aux utilisateurs de login Windows du poste de travail de
se connecter via un serveur SSO à leurs l’utilisateur et à partir d’une page Web du
applications à partir de n’importe quel portail mis à disposition pour le
navigateur Internet, en toute sécurité. changement du mot de passe du
Dans un grand nombre de cas, Mobile domaine et le déblocage du compte.
E-SSO permet de s’authentifier avec un
mot de passe à usage unique (OTP) sans `` Mode kiosque sur une station de travail
que l’utilisateur ne saisisse le mot de Le module Session Management permet
passe du domaine Windows et sans que à des employés de partager une station
les mots de passe internes à l’entreprise de travail en mode kiosque sans
ne transitent entre la station de redémarrer la session Windows. Ce
l’utilisateur et le point d’accès au réseau module sait parquer la session en cours
interne à l’entreprise. d’un premier utilisateur et démarrer ou
`` Accès aux procédures de continuité reprendre la session d’un second
d’activité utilisateur. Le changement d’utilisateur se
fait donc en quelques secondes.
Enterprise SSO Web portal permet à votre
organisation, en cas de nécessité, de `` Authentification forte par l’application
disposer de procédures de délégation et Evidian QRentry
de révélation des mots de passe depuis QRentry permet à l’utilisateur de
un portail web. transformer son smartphone en moyen
`` Accès au plan blanc, Enterprise SSO Web d’authentification forte protégé par le PIN
portal permet à votre organisation, en cas de l’appareil. Cette application permet de
de nécessité, de transmettre par email gérer et d’authentifier le smartphone
leurs informations d’authentification aux comme un point d’accès protégé par un
applications et mots de passe. certificat avec un mécanisme de clé
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 13Environnements supportés `` Le client de SSO est disponible pour des versions supportées d’iOS, Android, Windows, Mac OS, Citrix, VMware et Terminal Server. `` La plupart des applications Windows, HTML ou Java sont configurées par simple « glisser-déplacer ». Les particularités de certaines applications sont supportées en standard ou par configuration graphique. `` L’annuaire contenant les utilisateurs et la politique de sécurité peut être situé sur des versions supportées d’Active Directory ou d’autres annuaires LDAP. `` Les événements d’audit sont stockés dans une base relationnelle. `` Les rapports sont générés dans différents formats dont PDF. 14
La suite logicielle d’Evidian
Notre solution IAM est reconnue par les clients et les analystes pour sa complétude. En
effet, elle offre les composants suivants, pouvant être déployés indépendamment ou
intégrés nativement :
`` Evidian Identity & Access Manager
permet la gouvernance des autorisations et une gestion
complète du cycle de vie des identités et des accès aux
services, pilotée par une politique de sécurité et ses workflows
d’approbation.
`` Evidian Web Access Manager
fédère des accès aux applications web, sécurise l’accès des
utilisateurs mobiles et remplace l’ensemble des mots de passe
des utilisateurs par un mode d’authentification unique et forte.
`` Evidian Enterprise SSO
gère l’accès aux applications d’entreprise et personnelles sur
les postes de travail ainsi que sur les terminaux mobiles, évite à
l’utilisateur de mémoriser et saisir les mots de passe.
`` Evidian Authentication Manager
offre l’authentification forte sur les postes de travail et
terminaux mobiles : carte ou token avec certificat, carte sans
contact, biométrie, mot de passe à usage unique.
`` Evidian SafeKit
apporte la haute disponibilité et le partage de charge aux
applications.
16/02/2018 : Visa de sécurité ANSSI (CSPN) pour Evidian Enterprise SSO v. 8.06PL5 b5386.30
(https://www.ssi.gouv.fr/entreprise/certification_cspn/evidian-enterprise-sso-v-8-06pl5-b5386-30/)
Authentification unique (SSO) d’entreprise mobilité, sécurité et simplicité 15À propos
d’Atos
Atos est un leader international de la
transformation digitale avec environ
100 000 collaborateurs dans 73 pays et un
chiffre d’affaires annuel de l’ordre de 12
milliards d’euros. Numéro un européen du Big
Data, de la Cybersécurité, des
supercalculateurs et de l’environnement de
travail connecté, le Groupe fournit des
services Cloud, solutions d’infrastructure et
gestion de données, applications et
plateformes métiers, ainsi que des services
transactionnels par l’intermédiaire de
Worldline, le leader européen des services de
paiement. Grâce à ses technologies de pointe
et son expertise digitale & sectorielle, Atos
accompagne la transformation digitale de ses
clients dans les secteurs Défense, Finance,
Santé, Industrie, Médias, Énergie & Utilities,
Secteur Public, Distribution, Télécoms, et
Transports. Partenaire informatique mondial
des Jeux Olympiques et Paralympiques, le
Groupe exerce ses activités sous les marques
Atos, Atos Consulting, Atos Worldgrid, Bull,
Canopy, Unify et Worldline. Atos SE (Societas
Europea) est une entreprise cotée sur
Euronext Paris et fait partie de l’indice CAC 40.
Pour plus d’informations
fr.atos.net
CT_180622_EM_WP-AUTHENTIFICATION-UNIQUE-SSO-ENTERPRISE-FR
For more information: Evidian.com
All trademarks are the property of their respective owners. Atos, the Atos logo, Atos Codex, Atos Consulting, Atos Worldgrid, Bull, Canopy,
equensWorldline, Unify, Worldline and Zero Email are registered trademarks of the Atos group. Atos reserves the right to modify this document at
any time without notice. Some offerings or parts of offerings described in this document may not be available locally. Please contact your local
Atos office for information regarding the offerings available in your country. This document does not represent a contractual commitment.
June 2018. © 2018 AtosVous pouvez aussi lire
