L’authentification unique (SSO) de UserLock offre une authentification fédérée aux applications cloud, en utilisant les identités Active Directory (AD) sur site. Avec un seul ensemble d’informations de connexions pour toutes les ressources, cela permet aux entreprises de contrôler fermement les accès des utilisateurs.
L’extension de la SSO de Active Directory
Adopter une solution de SSO devrait être une initiative clé pour chaque entreprise, peu importe sa taille. Elle permet aux utilisateurs de ne s’authentifier qu’une seule fois pour avoir accès à l’ensemble des ressources de l’entreprise. Active Directory (AD) est un bon exemple de solution SSO. Avec AD, toutes les ressources du domaine peuvent être accessibles sans avoir besoin d’une solution d’authentification supplémentaire.
Avec la SSO de UserLock, les entreprises peuvent étendre l’authentification unique de AD pour sécuriser microsoft 365 et autres applications cloud qui dépassent les limites du domaine d'une entreprise. Combinée à une authentification multifacteur granulaire, la SSO de UserLock permet aux employés de continuer d’utiliser leurs identifiants de connexion AD sur site pour accéder aux multiples applications cloud. C’est une solution simple qui ne nécessite pas la création ou la gestion de fournisseur d’identité externes ou centralisés. La SSO de UserLock fonctionne en toute transparence avec le pare-feu de sécurité existant sans avoir à effectuer un changement dans les accès sécurisés aux ressources et applications sur le réseau de l’entreprise.
Les entreprises qui appliquent la SSO à l'aide de comptes Windows AD bénéficient de quatre avantages clés :
- Les utilisateurs disposent d’un seul ensemble d’informations de connexion
- La SSO s’intègre facilement en conservant Active Directory comme fournisseur d’identité
- Les accès SSO sont sécurisés lorsqu’ils sont combinés à une MFA granulaire
- La productivité des employés s’améliore tant sur site qu’à distance
1. Les utilisateurs disposent d’un seul ensemble d’informations de connexion
Les applications cloud offrent la possibilité d’accéder aux ressources par le biais d’une authentification fédérée. Celle-ci fournit une façon sécurisée de passer le processus d’authentification à un système d'authentification distinct et fiable pour vérifier l'accès de l'utilisateur, en utilisant un annuaire distinct (fournisseur d'identité).
La SSO de UserLock a été développé pour être un tel système d'authentification de confiance. Elle permet aux entreprises d’utiliser leur propre référentiel d’identités d’entreprise, comme les identifiants de connexion AD sur site, pour l’authentification fédérée des applications cloud.
SAML (Security Assertion Markup Language) est une norme ouverte qui met en œuvre cette méthode sécurisée de transmission des authentifications et des autorisations des utilisateurs entre le fournisseur d'identité (Active Directory) et les fournisseurs de services (applications cloud). Le SAML a largement été adopté parce qu’il est standardisé, sécurisé et fournit une excellente expérience utilisateur.
UserLock prend en compte le protocole SAML 2.0 pour fournir une authentification fédérée aux applications cloud. Voici son fonctionnement :
- L’utilisateur accède à une application sur laquelle il doit se connecter
- L’application cloud (fournisseur de service SAML) redirige vers la SSO de UserLock avec un message de requête SAML
- L’utilisateur est alors authentifié grâce à ses identifiants Active Directory
- UserLock peut demander à l’utilisateur un second facteur d’authentification, si nécessaire
- Si le processus d’authentification est complété avec succès, l’utilisateur pour alors accéder à l’application cloud
La SSO de UserLock permet aux utilisateurs d’avoir qu’un seul ensemble d’identifiants de connexion pour accéder à tout, de Office 365 au logiciel de CRM. Elle permet d’empêcher la prolifération de différents mots de passe et noms d’utilisateur, due à l’augmentation des applications SaaS situées sur le cloud, tout en réduisant les tentatives réussies de phishing. Enfin, la création d'identités uniques et centralisées pour les utilisateurs garantit l'exactitude des droits, les utilisateurs n'étant autorisés à accéder qu'aux ressources dont ils ont besoin pour faire leur travail.
2. La SSO s’intègre facilement en conservant Active Directory comme fournisseur d’identité
Imaginons qu’une entreprise veuille mettre en place Office 365, Box et Slack. Si les collaborateurs utilisent chaque service indépendamment des autres, ils auront à créer des noms d’utilisateurs et mots de passe différents pour chaque application. Dans cette situation, la SSO de UserLock se révèle être un puissant outil pour une entreprise cherchant à adopter plusieurs solutions cloud.
Toutefois, la SSO ne se limite pas seulement aux applications web. Elle doit également permettre aux utilisateurs finaux d’accéder à des serveurs de fichiers physiques et virtuels ainsi qu’aux applications web et traditionnelles. Cela doit être le cas pour les utilisateurs sur site mais aussi en télétravail, tout en leur permettant d’y accéder depuis différentes machines et appareils.
Avec la SSO de UserLock, les organisations bénéficient d’une solution de SSO non perturbatrice qui s’appuie sur l’investissement de leur Active Directory existant pour sécuriser les accès au réseau de l’entreprise et aux applications cloud. Voici certains de ses principaux avantages :
- Conserve les identités et mots de passe existants dans AD
- Gère les utilisateurs, les applications traditionnelles et les solutions cloud via Active Directory, sans avoir à modifier l’authentification de l’utilisateur
- Applique les politiques pour les comptes, les services, les rôles et les groupes
- Garde l’authentification sur site pour plus de sécurité
- Accède plus rapidement et facilement à de nouvelles applications SaaS
- Évite le développement d'une "informatique fantôme" grâce à la disponibilité d'un accès sécurisé au cloud
3. Les accès SSO sont sécurisés lorsqu’ils sont combinés à une MFA granulaire
La SSO améliore la sécurité car il y a moins d'éparpillement des mots de passe et moins d'identifiants d'utilisateur à risque. Toutefois, la SSO est vulnérable puisqu’elle repose sur un ensemble unique d’identifiants de connexion. Si l’un de ces mots de passe uniques est compromis, alors le pirate pourra avoir accès à l’ensemble des applications utilisant ces informations de connexion.
UserLock permet de combiner facilement la SSO avec sa MFA granulaire pour vaincre la vulnérabilité du mot de passe unique. Les exigences de la MFA peuvent être personnalisables afin de permettre la protection sans empiéter sur la productivité des employés. La MFA peut être demandée, et l'accès accordé, sur des machines distantes déconnectées du réseau d'entreprise et sur des machines sans connexion Internet au sein du réseau d'entreprise.
Supportant à la fois les applications d’authentification et les jetons programmables cliquables tels que les clés Yubikey et Token2, UserLock peut protéger la SSO en mettant en place une MFA pour les types de connexions suivantes :
- Appareils membres de Active Directory et les terminaux de serveurs autonomes
- Protocoles de connexion à distance, y compris les connexions de bureau à distance par portail
- Les connexions à des réseaux privés virtuels qui prennent en charge les serveurs RADIUS ou qui utilisent le service de routage et d'accès à distance de Microsoft
- Microsoft Internet Information Services for Windows Servers pour protéger Outlook sur le Web ou l'accès Web à distance
- Infrastructures de bureau virtuel, telles que Microsoft, Citrix et VMWare
4. La productivité des employés s’améliore tant sur site qu’à distance
L’un des principaux bénéfices de UserLock est la facilité d’utilisation pour l’utilisateur final. En supprimant les différents identifiants des applications cloud et en éliminant la réauthentification, chaque utilisateur passe moins de temps à accéder aux applications et plus de temps à travailler en les utilisant.
Avec la SSO de UserLock, les utilisateurs n’ont pas besoin de s’identifier chaque fois qu’ils souhaitent se connecter à une application cloud. De plus, elle travaille de manière transparente avec les navigateurs web tels que Explorer, Chrome et Edge. Une fois l’utilisateur authentifié au réseau de l’entreprise, il ne sera plus invité à saisir ses identifiants de connexion.
Dans certains cas, un second facteur d’authentification peut être requis. Cependant, la possibilité de combiner la SSO avec une MFA granulaire offre aux administrateurs un équilibre entre sécurité et productivité notamment en spécifiant quand les utilisateurs doivent être invités à renseigner une authentification supplémentaire.
Souvent les utilisateurs travaillent à partir d’appareils et de lieu hors de contrôle du réseau de l’entreprise. La SSO de UserLock permet aux utilisateurs d’accéder de manière sécurisée aux applications cloud de l’entreprise, d’où qu’ils soient, et ce peu importe l’appareil utilisé.
Avec la SSO de UserLock, vous pouvez :
-
Garantir automatiquement l’accès aux utilisateurs déjà authentifiés sur le réseau Windows
La SSO de UserLock confirme et authentifie l’identité de l’utilisateurs dans l’application cloud, sans que l’utilisateur n’ait à se connecter dans l’application directement. C’est le cas peu importe d’où l’utilisateur travaille, qu’il soit sur site ou à distance.
-
Accorder l’accès aux les utilisateurs qui ne sont pas authentifiés sur le réseau Windows
Si un utilisateur n’est pas authentifié au réseau Windows, il est facile de lui accorder l’accès. L’utilisateur commence par rentrer son adresse mail professionnelle dans l’application cloud pour se connecter. La SSO de UserLock demandera à l'utilisateur les informations de connexion au domaine Windows et pourra demander un deuxième facteur d'authentification, s'il est activé.
Une fois que l’utilisateur s’est connecté avec succès, il sera redirigé vers l’application. Ce processus simple fonctionne de la même manière partout, du navigateur d'un smartphone à l'application mobile.
Avec la SSO de UserLock, une fois que le serveur a autorisé la connexion pour une application cloud précise, l’application SaaS va créer un cookie d’ « autorisation » qui sera utilisé à chaque requête. Ce cookie est automatiquement rafraichi, donc il n’y a pas besoin de se réauthentifier.
-
Octroyer automatiquement l’accès aux différentes applications cloud
Une fois l’utilisateur authentifié, il aura immédiatement accès à n’importe quelle autre application dont il a besoin. Pour ajouter une sécurité supplémentaire, l’administrateur peut demander la MFA à chaque connexion.