WALLIX IDaaS : comment le Single-Sign-On permet de réduire la charge de travail des administrateurs IT
Par définition, le principe du Single-Sign-On ou SSO est d’apporter une authentification unique aux utilisateurs.
Si les améliorations en termes de sécurité (une seule authentification forte, maitrisée et tracée, associée à des permissions d’accès applicatives par utilisateur et zone IP) et d’expérience utilisateur sont évidentes, la mise en place d’un tel outil permet également aux administrateurs IT d’économiser beaucoup de temps.
Nous allons détailler dans cet article quatre fonctionnalités de WALLIX IDaaS qui permettent de réduire la charge de travail dans la gestion quotidienne de l’IT.
1. Le Just In Time provisioning
C’est quoi ?
Le Just In Time ou JIT provisioning consiste à créer ou mettre à jour les utilisateurs authentifiés en SSO à une application sur la base des informations transmises par le fournisseur d’identités (WALLIX IDaaS).
Comment cela fonctionne ?
Pour mettre en place le JIT provisioning, il faut commencer par établir la liste des attributs nécessaires à l’application pour créer les nouveaux utilisateurs.
Ensuite WALLIX IDaaS, dans la configuration de l’application, associe les éléments de cette liste avec les attributs des utilisateurs de la souscription.
Par exemple, si l’application demande l’email de l’utilisateur sous la forme emailAddress, WALLIX IDaaS enverra un attribut ainsi nommé auquel il associera la valeur user.email
Ainsi, lorsqu’un utilisateur est authentifié par WALLIX IDaaS, l’application regarde si elle peut mapper cette identité avec sa base de données.
- Si un utilisateur existe, elle va comparer ses caractéristiques aux valeurs des attributs envoyés par WALLIX IDaaS et éventuellement mettre à jour la base de données.
- Si aucun utilisateur n’existe, elle va alors créer une nouvelle entrée sur la base des attributs reçus lors de l’authentification.
Quel est le gain pour l’administrateur ?
Avec un produit comme WALLIX IDaaS, les identités des utilisateurs sont synchronisées avec les annuaires d’entreprise. Si l’administrateur a au préalable créé une règle d’accès associée à un groupe d’annuaire, alors il a uniquement besoin de créer l’utilisateur dans cet annuaire.
- L’utilisateur sera automatiquement importé sur WALLIX IDaaS
- Il aura directement les droits des groupes de l’annuaire auxquels il appartient
- Il pourra s’authentifier aux applications correspondant à ces droits
- Son profil sera automatiquement provisionné en JIT lors de sa première authentification aux applications.
L’administrateur n’a donc plus besoin d’aller créer un nouveau compte sur l’ensemble des applications de l’entreprise. Il pilote la création de comptes pour les applications, en gérant les identités uniquement dans son annuaire grâce à la synchronisation avec WALLIX IDaaS et au JIT provisioning des applications.
2. Le Self-Service Password Reset
C’est quoi ?
Le Self Service Password Reset est une fonctionnalité qui consiste à donner les moyens aux utilisateurs de réinitialiser leur mot de passe unique de manière autonome et sécurisée.
Comment cela fonctionne ?
L’administrateur doit définir dans la politique de mot de passe de WALLIX IDaaS, quelles sont les preuves suffisantes de l’identité de l’utilisateur pour accepter de réinitialiser son mot de passe.
Il va donc choisir un certain nombre de challenges auxquels l’utilisateur devra répondre : utilisation d’une application mobile, code envoyé par SMS, questions secrètes, validation par email…
L’utilisateur pourra ensuite réinitialiser son mot de passe en cliquant sur « mot de passe oublié » dans la page de login, puis en apportant une réponse aux challenges choisis par l’administrateur.
A noter : lorsque WALLIX IDaaS est synchronisé avec un annuaire Active Directory, le mot de passe utilisé par les utilisateurs pour s’authentifier est le mot de passe Active Directory. Pour autoriser WALLIX IDaaS à faire la réinitialisation de ces mots de passe, il faut donner le droit nécessaire au compte de service en charge de la synchronisation.
Quel est le gain pour l’administrateur ?
Il existe de nombreuses circonstances qui amènent les utilisateurs à oublier leurs mots de passe : campagne de renouvellement de mots de passe, congés, absence prolongée, fatigue…
Mettre en place le Self Service Password Reset permet de rendre les utilisateurs autonomes dans la réinitialisation de leur mot de passe et donc d’éviter qu’ils ne sollicitent l’aide des équipes IT.
3. Connecteur LDAP/Radius
C’est quoi ?
Le connecteur LDAP / Radius ou IDaaS Connect permet de rendre compatible les applications qui ne supportent que l’authentification ou le provisioning LDAP / Radius avec WALLIX IDaaS .
Comment cela fonctionne ?
Trustelem Connect est un service à installer sur l’infrastructure du client.
L’application enverra ses requêtes à Trustelem Connect en LDAP / Radius et ce connecteur transmettra les demandes aux services admin de WALLIX IDaaS en https.
Si l’utilisateur existe sur WALLIX IDaaS et a le droit d’accéder à l’application, la demande sera validée par WALLIX Trustelm et Trustelem Connect transformera cette réponse en LDAP / Radius pour l’application.
Le paramétrage du connecteur se fait sur la plateforme d’administration WALLIX IDaaS et permet de définir toutes les informations à fournir pour faire la configuration du LDAP / Radius côté application.
Il est possible de compléter ces authentifications par du MFA.
Quel est le gain pour l’administrateur ?
Les gains sont multiples :
- La gestion des accès passe par une simple permission WALLIX IDaaS
- Il n’y a plus besoin d’avoir de nombreux comptes de service pour les authentifications LDAP
- Il n’y a plus besoin d’installer et maintenir un serveur Radius pour faire du MFA
- Tout est auditable sur la même plateforme en quelques clics (accès de l’application à l’annuaire et accès des utilisateurs à l’application)
4. Utilisation des APIs WALLIX IDaaS
WALLIX IDaaS dispose d’APIs permettant de piloter sa souscription.
Les administrateurs de l’IT peuvent donc se créer leurs propres outils en fonction de leur besoin.
Par exemple :
- On peut extraire l’ensemble des logs liés aux accès et construire un outil personnalisé de détection de comportements malveillants ou se brancher à un SIEM.
- On peut faire vivre une base d’utilisateurs Trustelem en s’interfaçant avec des sources d’identités hors annuaire, pour gérer des partenaires avec leurs accès.
Le paramétrage de WALLIX IDaaS a pour objectif de donner les moyens d’authentifier les utilisateurs à un maximum d’applications via un seul outil.
L’utilisation des APIs va donc permettre de remplacer certaines actions qui devaient se faire manuellement pour accéder à / auditer toutes ces applications, par des scripts qui vont les automatiser.