4 cas d’usages de l’IDaaS qui vous assurent productivité et sécurité

Identity-as-a-Service, ou « l’IDaaS », est un service d’authentification unique basé dans le Cloud, conçu pour simplifier et centraliser l’accès aux applications d’entreprise. Plutôt que de demander aux employés de se souvenir et d’utiliser des logins et des mots de passe pour chaque outil ou plateforme, la solution IDaaS centralise l’accès, permettant aux utilisateurs de se connecter une seule fois et d’accéder à toutes leurs applications sans tracas supplémentaire.

Ce système, le Single Sign-On ou « SSO », vous permet de fournir à l’utilisateur un accès à un nombre quelconque d’applications tout en réduisant au minimum la friction générée par les pages d’authentification et en améliorant considérablement la sécurité des accès.

Dans cet article, nous allons présenter 4 cas clients réelle d’utilisation de la solution WALLIX Trustelem IDaaS SSO, qui diffèrent en termes d’objectifs précis de productivité ou de sécurité.

1. Simplifier l’expérience administrateur et améliorer l’expérience utilisateur

Le client est une entreprise multinationale, qui possède plusieurs marques en B2C. Pour gérer ses utilisateurs, il possède plusieurs annuaires Active Directory différents. Il a également besoin d’offrir des accès à des prestataires qui ne sont pas dans l’AD. Enfin il propose à l’ensemble de ces utilisateurs de nombreuses applications, en fonction de la fonction de ces utilisateurs dans l’entreprise.

Le besoin est d’une part, de simplifier la gestion des nombreux utilisateurs et de leurs accès et d’autre part d’améliorer l’expérience utilisateur en proposant une authentification unique.

Solution mise en place par WALLIX Trustelem

Gestion des utilisateurs :

Les différents Active Directory sont synchronisés avec Trustelem (identité et champ memberOf).
Les utilisateurs hors AD sont administrés via une plateforme d’administration déléguée, créées via les APIs, qui ajoute/supprime/met à jour les profils directement sur Trustelem.
Les administrateurs de cette plateforme ne pilotent que les groupes d’utilisateurs mis à leur disposition et non la souscription Trustelem en entier.

Gestion des accès :

Les accès sont automatiquement créés en fonction des groupes de l’Active Directory.
Un utilisateur ajouté dans l’AD est automatiquement créé sur Trustelem, avec ses groupes AD dont il récupère les permissions.
Les mots de passe ne sont pas synchronisés : lorsqu’un utilisateur AD s’authentifie sur Trustelem le mot de passe est vérifié par l’AD.
Les utilisateurs hors AD bénéficient des permissions des groupes définis par les administrateurs délégués.

Gestion des applications :

Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.

Expérience utilisateur :

Les utilisateurs s’authentifient au dashboard applicatif de Trustelem qui regroupe toutes les applications accessibles.
Etant donnée que les applications supportent le SSO, les utilisateurs réalisent une authentification unique lorsqu’ils accèdent à la plateforme.
Les utilisateurs qui sont présents dans les locaux de l’entreprise sont authentifiés à Trustelem avec leur jeton Kerberos de session Windows (mécanisme Integrated Windows Authentication), ils n’ont donc pas besoin de rentrer de login/mot de passe.

L’administrateur maintient uniquement ses annuaires AD pour les utilisateurs internes et délègues les utilisateurs externes aux administrateurs délégués.

Les utilisateurs ont un portail applicatif auquel ils accèdent par une authentification unique, sécurisée et sans login/mot de passe pour ce qui concerne les utilisateurs internes.

2. Automatiser la création de comptes et des accès aux applications

Le client est une entreprise multinationale, proposant des services dans l’immobilier. Ils ont peu d’applications, mais des utilisateurs qui changent souvent.

Le besoin est donc de gérer automatiquement la création des comptes sur les applications, ainsi que les accès correspondants.

Solution mise en place par WALLIX Trustelem

Gestion des utilisateurs :

L’annuaire Azure Active Directory de l’entreprise est synchronisé avec Trustelem

L’administrateur choisit de synchroniser en plus de l’identité et des groupes, des attributs spécifiques qui serviront à la gestion des habilitations à l’intérieur des applications.
Comme pour le cas précédent, les mots de passe ne sont pas synchronisés : lorsqu’un utilisateur s’authentifie sur Trustelem le mot de passe est vérifié par Azure AD.

Gestion des accès :

Les droits d’accès sont basés sur les groupes des utilisateurs.
Comme pour le cas précédent, lorsqu’un utilisateur est ajouté dans Azure AD, il est automatiquement créé sur Trustelem, avec ses groupes Azure AD dont il récupère les permissions.

Gestion des applications :

Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
Les applications ajoutées supportent le Just-In-Time provisioning.
Lors de l’authentification de l’utilisateur, Trustelem envoie aux applications les attributs récupérés depuis l’annuaire. Si l’utilisateur n’existe pas il est créé, s’il existe il est mis à jour si nécessaire. Si un utilisateur est supprimé de l’annuaire, il n’est pas supprimé des applications mais il perd ses accès.

L’administrateur a uniquement besoin d’ajouter un utilisateur dans le groupe approprié de son annuaire. Cela entraine sa création sur Trustelem, puis sur les applications de manière automatique. Les droits spécifiques de l’utilisateur à l’intérieur de l’application sont automatiquement transmis à la création ou à la mise à jour de l’utilisateur. Les permissions sont également automatiques, basées sur les groupes de l’annuaire.

3. Renforcer la sécurité des accès pour être en conformité avec les standards de cybersécurité

Le client est une entreprise française, qui propose un service de gestion de l’IT en B2B.

Leur principal client met en place un système de management de la sécurité ISO 27001 et leur a donc demandé de justifier d’une procédure sécurisée de gestion des accès.

Solution mise en place par WALLIX Trustelem

Gestion des utilisateurs :

L’annuaire Active Directory de l’entreprise est synchronisé sur Trustelem

Gestion des accès :

Les accès sont basés sur les groupes de l’Active Directory
Les profils sensibles accèdent à leurs applications avec une authentification multi-facteurs (MFA), le second facteur retenu est la clé USB FIDO.
Les accès aux VPN se font également avec une authentification multi-facteurs, le second facteur retenu est l’application mobile de WALLIX Trustelem.
L’ensemble des accès est tracé et auditable sur Trustelem.

Gestion des applications :

Les applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
Le VPN Fortinet est configuré avec un connecteur Trustelem installé chez le client, de manière à pouvoir se service des identités stockés dans le cloud par Trustelem comme d’un serveur Radius.

Les accès sont confiés à WALLIX Trustelem. Ils sont ainsi sécurisés (MFA), et auditables, en conformité avec les exigences correspondantes du référentiel ISO 27001.

4. Créer son propre portail d’accès applicatif sécurisé

Le client est une entreprise de services numériques. Elle gère des consultants qui ont accès à un certain nombre d’applications (gestion des heures, congés, notes de frais…) qui se rajoute aux applications qu’ils utilisent dans les entreprises où ils interviennent.

L’objectif est donc de leur regrouper directement sur le portail d’entreprise l’accès à toutes leurs applications internes.

Solution mise en place par WALLIX Trustelem

Gestion des utilisateurs :

L’annuaire Cloud-Identity (GSuite) de l’entreprise est synchronisé avec Trustelem.
Contrairement aux cas précédents, Google ne permet pas de conserver l’utilisation du mot de passe des utilisateurs fédérés. Les utilisateurs ont donc un mot de passe Trustelem qu’ils définissent lorsqu’ils sont créés.

Gestion des accès :

Les accès sont basés sur les groupes de GSuite Cloud-Identity.

Gestion des applications :

Le portail de l’entreprise, qui regroupe les news et l’accès aux applications, est fédéré avec GSuite qui est lui-même fédéré avec Trustelem via SAML. Ce premier accès au portail de l’entreprise authentifie l’utilisateur à Trustelem, qui fournit son identité à GSuite. On a donc à la fois une session Trustelem et une session Google actives après cet accès.

Une partie des applications ajoutées supportent le protocole SAML ou OpenID Connect et permettent donc l’authentification en Single-Sign-On.
Le reste est configuré pour s’authentifier avec Google et donc bénéficient également du Single-Sign-On puisque l’utilisateur a une session Google active.

L’équipe IT du client a juste à rajouter l’utilisateur sur GSuite, pour qu’il puisse se connecter au portail de l’entreprise et accéder à toutes les applications qui y sont référencées, bénéficiant ainsi d’un gain de productivité significatif.

Simplifier, rationaliser et centraliser avec WALLIX Trustelem Identity-as-a-Service

Dans un contexte commercial de plus en plus numérique et connecté, la gestion des utilisateurs, des applications, de l’efficacité et de la sécurité devient un défi difficile à relever pour les administrateurs informatiques. Pourtant, les organisations de toutes tailles et de tous secteurs cherchent des solutions pour sécuriser l’accès aux applications de l’entreprise et faciliter la productivité de leurs utilisateurs internes et externes.

Grâce aux solutions Identity-as-a-Service, la gestion des utilisateurs et des applications devient simple et sécurisée. WALLIX Trustelem permet de centraliser et d’automatiser la gestion des identités à travers les annuaires d’utilisateurs et les applications d’entreprise, tout en améliorant l’expérience utilisateur et la productivité des utilisateurs.

Est-il temps de simplifier vos processus de gestion des identités et des accès ? Découvrez les 5 éléments clés à prendre en compte pour réussir la mise en œuvre d’une solution IDaaS :

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

4 cas d’usages de l’IDaaS qui vous assurent productivité et sécurité

1. Simplifier l’expérience administrateur et améliorer l’expérience utilisateur

2. Automatiser la création de comptes et des accès aux applications

3. Renforcer la sécurité des accès pour être en conformité avec les standards de cybersécurité

4. Créer son propre portail d’accès applicatif sécurisé

Simplifier, rationaliser et centraliser avec WALLIX Trustelem Identity-as-a-Service

contenus associés

Le RGPD existe depuis un an

Comment WALLIX Bastion sécurise l’Active Directory ?