4 cas d’usages de l’IDaaS qui vous assurent productivité et sécurité
Identity-as-a-Service, ou « l’IDaaS », est un service d’authentification unique basé dans le Cloud, conçu pour simplifier et centraliser l’accès aux applications d’entreprise. Plutôt que de demander aux employés de se souvenir et d’utiliser des logins et des mots de passe pour chaque outil ou plateforme, la solution IDaaS centralise l’accès, permettant aux utilisateurs de se connecter une seule fois et d’accéder à toutes leurs applications sans tracas supplémentaire.
Ce système, le Single Sign-On ou « SSO », vous permet de fournir à l’utilisateur un accès à un nombre quelconque d’applications tout en réduisant au minimum la friction générée par les pages d’authentification et en améliorant considérablement la sécurité des accès.
Dans cet article, nous allons présenter 4 cas clients réelle d’utilisation de la solution WALLIX Trustelem IDaaS SSO, qui diffèrent en termes d’objectifs précis de productivité ou de sécurité.
1. Simplifier l’expérience administrateur et améliorer l’expérience utilisateur
Le client est une entreprise multinationale, qui possède plusieurs marques en B2C. Pour gérer ses utilisateurs, il possède plusieurs annuaires Active Directory différents. Il a également besoin d’offrir des accès à des prestataires qui ne sont pas dans l’AD. Enfin il propose à l’ensemble de ces utilisateurs de nombreuses applications, en fonction de la fonction de ces utilisateurs dans l’entreprise.
Le besoin est d’une part, de simplifier la gestion des nombreux utilisateurs et de leurs accès et d’autre part d’améliorer l’expérience utilisateur en proposant une authentification unique.
Solution mise en place par WALLIX Trustelem
Gestion des utilisateurs :
- Les différents Active Directory sont synchronisés avec Trustelem (identité et champ memberOf).
- Les utilisateurs hors AD sont administrés via une plateforme d’administration déléguée, créées via les APIs, qui ajoute/supprime/met à jour les profils directement sur Trustelem.
Les administrateurs de cette plateforme ne pilotent que les groupes d’utilisateurs mis à leur disposition et non la souscription Trustelem en entier.
Gestion des accès :
- Les accès sont automatiquement créés en fonction des groupes de l’Active Directory.
Un utilisateur ajouté dans l’AD est automatiquement créé sur Trustelem, avec ses groupes AD dont il récupère les permissions.
Les mots de passe ne sont pas synchronisés : lorsqu’un utilisateur AD s’authentifie sur Trustelem le mot de passe est vérifié par l’AD. - Les utilisateurs hors AD bénéficient des permissions des groupes définis par les administrateurs délégués.
Gestion des applications :
- Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
Expérience utilisateur :
- Les utilisateurs s’authentifient au dashboard applicatif de Trustelem qui regroupe toutes les applications accessibles.
- Etant donnée que les applications supportent le SSO, les utilisateurs réalisent une authentification unique lorsqu’ils accèdent à la plateforme.
- Les utilisateurs qui sont présents dans les locaux de l’entreprise sont authentifiés à Trustelem avec leur jeton Kerberos de session Windows (mécanisme Integrated Windows Authentication), ils n’ont donc pas besoin de rentrer de login/mot de passe.
L’administrateur maintient uniquement ses annuaires AD pour les utilisateurs internes et délègues les utilisateurs externes aux administrateurs délégués.
Les utilisateurs ont un portail applicatif auquel ils accèdent par une authentification unique, sécurisée et sans login/mot de passe pour ce qui concerne les utilisateurs internes.
2. Automatiser la création de comptes et des accès aux applications
Le client est une entreprise multinationale, proposant des services dans l’immobilier. Ils ont peu d’applications, mais des utilisateurs qui changent souvent.
Le besoin est donc de gérer automatiquement la création des comptes sur les applications, ainsi que les accès correspondants.
Solution mise en place par WALLIX Trustelem
Gestion des utilisateurs :
- L’annuaire Azure Active Directory de l’entreprise est synchronisé avec Trustelem
L’administrateur choisit de synchroniser en plus de l’identité et des groupes, des attributs spécifiques qui serviront à la gestion des habilitations à l’intérieur des applications.
Comme pour le cas précédent, les mots de passe ne sont pas synchronisés : lorsqu’un utilisateur s’authentifie sur Trustelem le mot de passe est vérifié par Azure AD.
Gestion des accès :
- Les droits d’accès sont basés sur les groupes des utilisateurs.
Comme pour le cas précédent, lorsqu’un utilisateur est ajouté dans Azure AD, il est automatiquement créé sur Trustelem, avec ses groupes Azure AD dont il récupère les permissions.
Gestion des applications :
- Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
- Les applications ajoutées supportent le Just-In-Time provisioning.
Lors de l’authentification de l’utilisateur, Trustelem envoie aux applications les attributs récupérés depuis l’annuaire. Si l’utilisateur n’existe pas il est créé, s’il existe il est mis à jour si nécessaire. Si un utilisateur est supprimé de l’annuaire, il n’est pas supprimé des applications mais il perd ses accès.
L’administrateur a uniquement besoin d’ajouter un utilisateur dans le groupe approprié de son annuaire. Cela entraine sa création sur Trustelem, puis sur les applications de manière automatique. Les droits spécifiques de l’utilisateur à l’intérieur de l’application sont automatiquement transmis à la création ou à la mise à jour de l’utilisateur. Les permissions sont également automatiques, basées sur les groupes de l’annuaire.
3. Renforcer la sécurité des accès pour être en conformité avec les standards de cybersécurité
Le client est une entreprise française, qui propose un service de gestion de l’IT en B2B.
Leur principal client met en place un système de management de la sécurité ISO 27001 et leur a donc demandé de justifier d’une procédure sécurisée de gestion des accès.
Solution mise en place par WALLIX Trustelem
Gestion des utilisateurs :
- L’annuaire Active Directory de l’entreprise est synchronisé sur Trustelem
Gestion des accès :
- Les accès sont basés sur les groupes de l’Active Directory
- Les profils sensibles accèdent à leurs applications avec une authentification multi-facteurs (MFA), le second facteur retenu est la clé USB FIDO.
- Les accès aux VPN se font également avec une authentification multi-facteurs, le second facteur retenu est l’application mobile de WALLIX Trustelem.
- L’ensemble des accès est tracé et auditable sur Trustelem.
Gestion des applications :
- Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
- Le VPN Fortinet est configuré avec un connecteur Trustelem installé chez le client, de manière à pouvoir se service des identités stockés dans le cloud par Trustelem comme d’un serveur Radius.
Les accès sont confiés à WALLIX Trustelem. Ils sont ainsi sécurisés (MFA), et auditables, en conformité avec les exigences correspondantes du référentiel ISO 27001.
4. Créer son propre portail d’accès applicatif sécurisé
Le client est une entreprise de services numériques. Elle gère des consultants qui ont accès à un certain nombre d’applications (gestion des heures, congés, notes de frais…) qui se rajoute aux applications qu’ils utilisent dans les entreprises où ils interviennent.
L’objectif est donc de leur regrouper directement sur le portail d’entreprise l’accès à toutes leurs applications internes.
Solution mise en place par WALLIX Trustelem
Gestion des utilisateurs :
- L’annuaire Cloud-Identity (GSuite) de l’entreprise est synchronisé avec Trustelem.
- Contrairement aux cas précédents, Google ne permet pas de conserver l’utilisation du mot de passe des utilisateurs fédérés. Les utilisateurs ont donc un mot de passe Trustelem qu’ils définissent lorsqu’ils sont créés.
Gestion des accès :
- Les accès sont basés sur les groupes de GSuite Cloud-Identity.
Gestion des applications :
- Le portail de l’entreprise, qui regroupe les news et l’accès aux applications, est fédéré avec GSuite qui est lui-même fédéré avec Trustelem via SAML. Ce premier accès au portail de l’entreprise authentifie l’utilisateur à Trustelem, qui fournit son identité à GSuite. On a donc à la fois une session Trustelem et une session Google actives après cet accès.
- Une partie des applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
- Le reste est configuré pour s’authentifier avec Google et donc bénéficient également du Single-Sign-On puisque l’utilisateur a une session Google active.
L’équipe IT du client a juste à rajouter l’utilisateur sur GSuite, pour qu’il puisse se connecter au portail de l’entreprise et accéder à toutes les applications qui y sont référencées, bénéficiant ainsi d’un gain de productivité significatif.
Simplifier, rationaliser et centraliser avec WALLIX Trustelem Identity-as-a-Service
Dans un contexte commercial de plus en plus numérique et connecté, la gestion des utilisateurs, des applications, de l’efficacité et de la sécurité devient un défi difficile à relever pour les administrateurs informatiques. Pourtant, les organisations de toutes tailles et de tous secteurs cherchent des solutions pour sécuriser l’accès aux applications de l’entreprise et faciliter la productivité de leurs utilisateurs internes et externes.
Grâce aux solutions Identity-as-a-Service, la gestion des utilisateurs et des applications devient simple et sécurisée. WALLIX Trustelem permet de centraliser et d’automatiser la gestion des identités à travers les annuaires d’utilisateurs et les applications d’entreprise, tout en améliorant l’expérience utilisateur et la productivité des utilisateurs.
Est-il temps de simplifier vos processus de gestion des identités et des accès ? Découvrez les 5 éléments clés à prendre en compte pour réussir la mise en œuvre d’une solution IDaaS :