Web Access Manager : Cas d'usage

Evidian Web Access Manager est la clé de voûte pour sécuriser de nombreuses applications, de nombreux portails , ... Evidian présente plusieurs cas d'usage réussis et déployés dans de grandes sociétés ou de grands organismes.

Evidian Web Access Manager apporte son propre portail d’accueil et d’authentification des utilisateurs. Ce portail est personnalisable pour respecter la charte graphique de l’entreprise. Mais il est aussi possible d’utiliser une page web d’un serveur web protégé par Evidian Web Access Manager comme portail d’accueil des utilisateurs.

Evidan Web Access Manager permet de modifier dynamiquement les pages web des applications protégées. Cette fonctionnalité unique offre la possibilité d’utiliser n’importe quelle page d’un serveur protégé comme bannière d’authentification pour les services à accès restreints.

Voici un exemple d’une page web d’un serveur dans sa version originelle.

Lorsque la page sera protégée par Evidian Web Access Manager, cette page recevra un nouveau formulaire d’authentification des utilisateurs. Cette page est en zone « publique » accessible à tous, elle servira de portail pour les services protégés demandant une authentification.

Le formulaire d’authentification, et un lien vers le service de récupération de mot de passe ont été dynamiquement insérés sans modification du serveur web.

Les utilisateurs peuvent alors s’authentifier pour accéder à leurs services privés.

Dynamiquement, un nouveau menu a été inséré dans la page. Il contient des liens vers les services privés des utilisateurs. Même si l’utilisateur conserve des bookmarks vers les services privés, et qu’il n’est pas authentifié, une demande d’authentification sera automatiquement déclenchée.

La personnalisation du formulaire d’authentification, et des informations affichées après authentification, se réalise au travers de portions de code HTML et peut donc prendre toutes les apparences possibles.

Cette fonctionnalité permet de transformer n’importe quelle page web ou serveur web, en portail d’accueil des utilisateurs et facilite l’intégration transparente de Evidian Web Access Manager dans l’identité graphique de l’entreprise.

A aucun moment les pages web du serveur d’origine ne sont modifiées sur le serveur.

Evidian Web Access Manager supporte SAML 2.0 en tant que Service Provider ou Identity Provider. Lorsque des utilisateurs du domaine de l’entreprise veulent accéder aux applications « Google Apps » de l’entreprise, Evidian Web Access Manager sera utilisé en tant qu’Identity Manager.

Lorsque les utilisateurs se connectent aux applications Google grâce aux URLs telles que https://mail.google.com/d/domain.com ou https://calendar.google.com/d/domain.com ou au travers du hub d’authentification Google https://www.google.com/apps , ils seront redirigés vers la page d’authentification de l’entreprise.

L’Identity Provider de Evidian Web Access Manager supporte tous les types d’authentification, et les utilisateurs qui sont par exemple déjà authentifiés en Kerberos dans l’entreprise ne verront  aucune mire d’authentification. Le Single Sign On est fédéré entre les applications cloud de Google et les applications internes de l’entreprise.

Voici un exemple de scénario d’accès aux applications Google. Un utilisateur « Werner » tente de se connecter à son compte Google Calendar au travers de l’URL dédiée à son entreprise : https://calendar.google.com/a/anon.frec.bull.fr. Il est instantanément redirigé vers l’URL de l’Identity Provider :

L’authentification de l’utilisateur est donc maîtrisée par l’IDP, la gestion de la robustesse de l’authentification et des moyens d’authentification sont décidés par l’entreprise. Chaque authentification produira des logs et des événements d’Audit.

Une fois correctement identifié, l’utilisateur est automatiquement redirigé vers la page du service Google.

L’ensemble des services Google est accessible.

Les utilisateurs peuvent être provisionnés manuellement dans Google Apps ou automatiquement en utilisant Google Apps Directory Sync.

La configuration IDP est nativement supportée dans Evidian Web Access Manager sans licence ou logiciel supplémentaire. N’importe quelle configuration protégeant des applications web internes permet de rapidement devenir Identity Provider pour des services Cloud.

Le Cloud transforme la façon dont les gens travaillent avec leurs applications d'entreprise. Les utilisateurs métiers utilisent de plus en plus des logiciels disponibles en mode SaaS pour mener à bien leur activité. Salesforce par exemple, apporte toutes les fonctionnalités d’un CRM aux commerciaux qui l’utilisent, Google Apps permet à ses utilisateurs d’être plus productifs. Par contre, les questions soulevées paraîtront peut-être évidentes :

• Qu’en est-il de la sécurité ?
• Comment effectuer un contrôle d’accès efficace ?
• Comment aider les utilisateurs à s’en sortir avec la multiplication des URLs des services en mode SaaS, des logins, des mots de passe qui changent constamment ?

Evidian utilise les standards de Fédérations d’identité pour fournir du Single Sign On aux applications du Cloud.

Evidian a également développé des outils propriétaires pour protéger et fournir du SSO aux applications en mode SaaS spécifiques qui n’implémentent pas les standards. Evidian aborde la sécurité du Cloud avec les cas d’utilisation suivants:

1. Les sociétés qui utilisent les applications disponibles en mode SaaS
2. Les entreprises qui utilisent leur propre Cloud privé
3. Les fournisseurs de service Cloud qui souhaitent protéger les services qu’ils proposent

Problématique

Un constructeur de camions souhaitait mettre à disposition de ses concessionnaires un accès aux services qui leur sont dédiés (documentation technique, catalogue, reporting, etc…). L’objectif du constructeur était de simplifier l’accès des concessionnaires tout en minimisant les tâches d’administration liées à la gestion des comptes utilisateurs.

Notre solution

Dans la mesure où les utilisateurs peuvent se trouver n’importe où, nous avons proposé de faire du Social Login. Les utilisateurs des concessions vont alors utiliser leur compte LinkedIn pour accéder aux services du concessionnaire.

Evidian Web Access Manager intègre un module d’authentification qui permet d’externaliser l’authentification d’un utilisateur vers un fournisseur d’identité externe. L’implémentation des protocoles comme SAML, OpenID et OAuth permettent de déléguer l’authentification à un très grand nombre de fournisseurs d’identité.