WALLIX Trustelem : comment le Single-Sign-On permet de réduire la charge de travail des administrateurs IT

Par définition, le principe du Single-Sign-On ou SSO est d’apporter une authentification unique aux utilisateurs.

Si les améliorations en termes de sécurité (une seule authentification forte, maitrisée et tracée, associée à des permissions d’accès applicatives par utilisateur et zone IP) et d’expérience utilisateur sont évidentes, la mise en place d’un tel outil permet également aux administrateurs IT d’économiser beaucoup de temps.

Nous allons détailler dans cet article quatre fonctionnalités de WALLIX Trustelem qui permettent de réduire la charge de travail dans la gestion quotidienne de l’IT.

1. Le Just In Time provisioning

C’est quoi ?

Le Just In Time ou JIT provisioning consiste à créer ou mettre à jour les utilisateurs authentifiés en SSO à une application sur la base des informations transmises par le fournisseur d’identités (WALLIX Trustelem).

Comment cela fonctionne ?

Pour mettre en place le JIT provisioning, il faut commencer par établir la liste des attributs nécessaires à l’application pour créer les nouveaux utilisateurs.

Ensuite WALLIX Trustelem, dans la configuration de l’application, associe les éléments de cette liste avec les attributs des utilisateurs de la souscription.

Par exemple, si l’application demande l’email de l’utilisateur sous la forme emailAddress, WALLIX Trustelem enverra un attribut ainsi nommé auquel il associera la valeur user.email

Ainsi, lorsqu’un utilisateur est authentifié par WALLIX Trustelem, l’application regarde si elle peut mapper cette identité avec sa base de données.

Si un utilisateur existe, elle va comparer ses caractéristiques aux valeurs des attributs envoyés par WALLIX Trustelem et éventuellement mettre à jour la base de données.
Si aucun utilisateur n’existe, elle va alors créer une nouvelle entrée sur la base des attributs reçus lors de l’authentification.

Quel est le gain pour l’administrateur ?

Avec un produit comme WALLIX Trustelem, les identités des utilisateurs sont synchronisées avec les annuaires d’entreprise. Si l’administrateur a au préalable créé une règle d’accès associée à un groupe d’annuaire, alors il a uniquement besoin de créer l’utilisateur dans cet annuaire.

L’utilisateur sera automatiquement importé sur WALLIX Trustelem
Il aura directement les droits des groupes de l’annuaire auxquels il appartient
Il pourra s’authentifier aux applications correspondant à ces droits
Son profil sera automatiquement provisionné en JIT lors de sa première authentification aux applications.

L’administrateur n’a donc plus besoin d’aller créer un nouveau compte sur l’ensemble des applications de l’entreprise. Il pilote la création de comptes pour les applications, en gérant les identités uniquement dans son annuaire grâce à la synchronisation avec WALLIX Trustelem et au JIT provisioning des applications.

2. Le Self-Service Password Reset

C’est quoi ?

Le Self Service Password Reset est une fonctionnalité qui consiste à donner les moyens aux utilisateurs de réinitialiser leur mot de passe unique de manière autonome et sécurisée.

Comment cela fonctionne ?

L’administrateur doit définir dans la politique de mot de passe de WALLIX Trustelem, quelles sont les preuves suffisantes de l’identité de l’utilisateur pour accepter de réinitialiser son mot de passe.

Il va donc choisir un certain nombre de challenges auxquels l’utilisateur devra répondre : utilisation d’une application mobile, code envoyé par SMS, questions secrètes, validation par email…

L’utilisateur pourra ensuite réinitialiser son mot de passe en cliquant sur « mot de passe oublié » dans la page de login, puis en apportant une réponse aux challenges choisis par l’administrateur.

A noter : lorsque WALLIX Trustelem est synchronisé avec un annuaire Active Directory, le mot de passe utilisé par les utilisateurs pour s’authentifier est le mot de passe Active Directory. Pour autoriser WALLIX Trustelem à faire la réinitialisation de ces mots de passe, il faut donner le droit nécessaire au compte de service en charge de la synchronisation.

Quel est le gain pour l’administrateur ?

Il existe de nombreuses circonstances qui amènent les utilisateurs à oublier leurs mots de passe : campagne de renouvellement de mots de passe, congés, absence prolongée, fatigue…

Mettre en place le Self Service Password Reset permet de rendre les utilisateurs autonomes dans la réinitialisation de leur mot de passe et donc d’éviter qu’ils ne sollicitent l’aide des équipes IT.

3. Connecteur LDAP/Radius

C’est quoi ?

Le connecteur LDAP / Radius ou Trustelem Connect permet de rendre compatible les applications qui ne supportent que l’authentification ou le provisioning LDAP / Radius avec WALLIX Trustelem.

Comment cela fonctionne ?

Trustelem Connect est un service à installer sur l’infrastructure du client.

L’application enverra ses requêtes à Trustelem Connect en LDAP / Radius et ce connecteur transmettra les demandes aux services admin de WALLIX Trustelem en https.

Si l’utilisateur existe sur WALLIX Trustelem et a le droit d’accéder à l’application, la demande sera validée par WALLIX Trustelm et Trustelem Connect transformera cette réponse en LDAP / Radius pour l’application.

Le paramétrage du connecteur se fait sur la plateforme d’administration WALLIX Trustelem et permet de définir toutes les informations à fournir pour faire la configuration du LDAP / Radius côté application.

Il est possible de compléter ces authentifications par du MFA.

Quel est le gain pour l’administrateur ?

Les gains sont multiples :

La gestion des accès passe par une simple permission WALLIX Trustelem
Il n’y a plus besoin d’avoir de nombreux comptes de service pour les authentifications LDAP
Il n’y a plus besoin d’installer et maintenir un serveur Radius pour faire du MFA
Tout est auditable sur la même plateforme en quelques clics (accès de l’application à l’annuaire et accès des utilisateurs à l’application)

4. Utilisation des APIs WALLIX Trustelem

WALLIX Trustelem dispose d’APIs permettant de piloter sa souscription.

Les administrateurs de l’IT peuvent donc se créer leurs propres outils en fonction de leur besoin.

Par exemple :

On peut extraire l’ensemble des logs liés aux accès et construire un outil personnalisé de détection de comportements malveillants ou se brancher à un SIEM.
On peut faire vivre une base d’utilisateurs Trustelem en s’interfaçant avec des sources d’identités hors annuaire, pour gérer des partenaires avec leurs accès.

Le paramétrage de WALLIX Trustelem a pour objectif de donner les moyens d’authentifier les utilisateurs à un maximum d’applications via un seul outil.

L’utilisation des APIs va donc permettre de remplacer certaines actions qui devaient se faire manuellement pour accéder à / auditer toutes ces applications, par des scripts qui vont les automatiser.

Avec la bonne solution de Single Sign-On comme WALLIX Trustelem, les équipes informatiques peuvent réduire leur charge de travail et améliorer l’efficacité des utilisateurs à la fois, grâce à une fédération des identités vers les applications de l’entreprise simplifiée, centralisée et automatisée.

contenus associés

Décembre 26, 2023

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

WALLIX Trustelem : comment le Single-Sign-On permet de réduire la charge de travail des administrateurs IT

1. Le Just In Time provisioning

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

2. Le Self-Service Password Reset

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

3. Connecteur LDAP/Radius

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

4. Utilisation des APIs WALLIX Trustelem

contenus associés

Le RGPD existe depuis un an

Tensions internationales : comment gérer en urgence la mise en œuvre de mesures de cybersécurité adaptées ?

Garantir la conformité aux normes de sécurité grâce à la gestion des accès à privilèges (PAM)

Le guide du RSSI pour la conformité aux exigences de sécurité (avec une solution de PAM)

La rentrée en toute sécurité : les cyberattaques dans le secteur de l’éducation

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS

WALLIX Trustelem : comment le Single-Sign-On permet de réduire la charge de travail des administrateurs IT

1. Le Just In Time provisioning

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

2. Le Self-Service Password Reset

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

3. Connecteur LDAP/Radius

C’est quoi ?

Comment cela fonctionne ?

Quel est le gain pour l’administrateur ?

4. Utilisation des APIs WALLIX Trustelem

Partager cet article

contenus associés

ressources associées

PRODUITS

RESSOURCES

SUPPORT

À PROPOS

SUIVEZ-NOUS