Présentation de l'authentification par revendications - Security Center 5.8

Guide de l’administrateur Security Center 5.8

series
Security Center 5.8
revised_modified
2019-08-28

L'authentification par revendications désigne le processus d'authentification d'un utilisateur en fonction d'un ensemble de revendications concernant son identité intégrées dans un jeton de confiance. Ce jeton est souvent émis et signé par une entité capable d'authentifier l'utilisateur par d'autres moyens, et à laquelle l'entité qui effectue l'authentification par revendications fait confiance.

Présentation des revendications

Une revendication est une déclaration énoncée par un sujet à propos de lui-même ou d’un autre sujet. La déclaration peut concerner un nom, une identité, une clé, un groupe, un privilège ou encore une fonctionnalité. Les revendications sont émises par un fournisseur, sont dotées d'une ou plusieurs valeurs, puis sont intégrées dans des jetons de sécurité émis par un émetteur ou service de jeton de sécurité (security token service ou STS).

Avantages des revendications

Les revendications permettent de découpler le processus d'authentification (en vérifiant qu'une entité est bien ce qu'elle dit être) du processus d'autorisation (en établissant les droits dont dispose une entité sur les fonctionnalités et ressources d'un système). L'avantage de ce découplage est qu'il rend possible l'authentification unique (l'utilisation d'une seule authentification de l'utilisateur à l'échelle de plusieurs systèmes informatiques, voire d'organisations). Les revendications ajoutent également du contexte à l'identité de l'utilisateur, vous permettant de configurer des politiques d'accès plus flexibles.

Dans le contexte de Security Center, le processus d'authentification est géré par un STS personnalisé, ou par un serveur Active Directory Federation Services (ADFS) , et le processus d'autorisation est géré par Security Center par l'intermédiaire des partitions et des privilèges.

Quelles méthodes d'authentification de l'utilisateur sont prises en charge par Security Center ?

Security Center prend en charge les méthodes d'authentification des utilisateurs suivantes :
Authentification Security Center native
L'utilisateur fournit un nom d'utilisateur et un mot de passe à l'application cliente pour se connecter à Security Center.
Authentification Active Directory
L'utilisateur clique sur Utiliser la sécurité Windows et se connecte à l'aide de son compte utilisateur Windows (nécessite de configurer l'intégration Active Directory).
Authentification active ADFS
(Protocole WS-Trust) L'application cliente envoie le nom d'utilisateur et le mot de passe à un fournisseur d'identité de confiance (serveur ADFS) pour authentification.
Authentification passive ADFS (ou authentification basée sur le Web)
(Protocole WS-Federation) L'application cliente redirige l'utilisateur vers un formulaire Web géré par un fournisseur d'identité de confiance (serveur ADFS). Le fournisseur d'identité peut demander autant d'identifiants que nécessaire pour authentifier l'utilisateur sans passer par l'application cliente. Authentification à plusieurs facteurs (MFA) peut être implémenté par cette méthode.
REMARQUE : Les utilisateurs fédérés par le biais d'ADFS ne sont créés que lors de la première connexion à Security Center. Contrairement à Active Directory, vous n'avez pas la possibilité de créer tous les utilisateurs importés dans Security Center quand le rôle ADFS se connecte au serveur ADFS.

Configuration requise

Pour utiliser ADFS pour l'authentification, les conditions suivantes doivent être réunies :
  • Le poste client doit être capable de joindre le serveur ADFS.
  • Le poste client doit faire confiance au certificat de chiffrement HTTPS du service ADFS.

Impact sur les performances

  • L'évolutivité du Répertoire n'est pas impactée par cette fonctionnalité.
  • La connexion des utilisateurs avec des identifiants ADFS est légèrement plus longue que la connexion classique, car leur poste client doit se connecter à un ou plusieurs serveurs ADFS distants avant de se connecter au Répertoire.

Rétrocompatibilité

L'authentification active ADFS est prise en charge pour les postes client qui exécutent une ancienne version de Security Desk ou du SDK, à condition que le mot de passe soit saisi par l'utilisateur.