Constats: ¼ des utilisateurs gèrent plus de 13 mots de passe. La plupart des utilisateurs stockent leurs mots de passe dans un fichier sur leur disque dur. 4% des utilisateurs écrivent leurs mots de passe sur un post-it collé à leur écran. 70% des utilisateurs utilisent toujours le même login/mot de passe pour toutes les applications. Principe de fonctionnement: PlugSSO est une solution de Web SSO centralisée et sécurisée. Comme les autres modules de la gamme PlugSuit, PlugSSO agit en coeur de réseau en traitant les flux web à la volée. Les utilisateurs n’ont à mémoriser qu’un seul login./password. Ce login/password peut être leur login/password Active Directory ou un autre. Si un utilisateur envoie une requête web vers un site du «cercle de confiance»2, PlugSSO va chercher à l’authentifier. Plusieurs modes d’authentification sont supportés : NTLM (Active Directory), Kerberos, LDAP, radius, X509, RSA, authentification via un formulaire web, … En pratique, l’authentification est généralement assurée directement par le proxy (qui transmet ensuite l’identifiant utilisateur à PlugSSO). Mais elle peut également être assurée directement par PlugSSO. Lorsque l’authentification SSO est correcte, PlugSSO retrouve le login/mot de passe à utiliser pour le site web demandé et génère la séquence de requêtes d’authentification vers ce site. Le client est donc authentifié sur le site de façon transparente. Cette opération de connexion masquée de PlugSSO vers les sites partenaires est réitérée pour chaque première requête vers un site du "cercle de confiance". Le principe des modules PlugSuit est de fournir des services à tous les utilisateurs d’une entreprise sans rien installer ni sur les postes clients ni sur les serveurs. Les modules PlugSuit s’appuient sur le protocole ICAP qui permet de dialoguer avec un proxy implémentant lui aussi ce protocole. Les modules sont compatibles avec les proxies BlueCoat, Network Appliance, Cisco, NetAsq. Si vous ne disposez pas de proxies, le module ProxyPlug est un proxy supportant les flux http et https ainsi que le protocole ICAP et l’authentification NTLM (active directory) des utilisateurs. Sinon, PlugSuit s’intègre facilement à votre architecture sans modification majeure en s’appuyant sur vos proxys existants. Le module ProxyPlug peut être installé sur la même appliance qu’un des modules de service de la gamme ou sur une appliance séparée suivant les besoins de performance attendus. Les mots de passe SSO et ceux à utiliser vers les sites du cercle de confiance sont stockés dans une base LDAP centralisée installée sur le serveur PlugSSO ou sur un serveur distant dans l’entreprise. Dans une première phase, le produit peut être positionné en mode « apprentissage automatique ». Dans ce cas, PlugSSO alimente sa base des mots de passe en interceptant les login/password saisis par l’utilisateur lorsqu’il se connecte à un site du cercle de confiance. Dès lors, le login/password pour ce site est connu de PlugSSO et le produit est en mesure de rejouer les login/password automatiquement à la place de l’utilisateur. L’initialisation du système est donc nettement simplifiée car l’administrateur ne doit pas forcément initialiser lui-même la base LDAP des mots de passe. Une solution centralisée et sécurisée: Le produit est livré sous la forme d’une appliance pré-configurée. Le paramétrage de l’appliance est fait en 7 étapes via une IHM sécurisée. Il n’y a rien à installer sur les postes clients ou sur les serveurs. Le déploiement et, a posteriori, l’administration sont extrêmement simplifiés puisque tout est géré en central. Vos coûts d’exploitation sont donc réduits au minimum. Le stockage centralisé et sécurisé des mots de passe des utilisateurs est un gain important en terme de sécurité. Le stockage de mots de passe sur les disques durs de vos utilisateurs ouvre la porte à une récupération de ces mots de passe par des programmes malveillants. A l’inverse, avec PlugSSO, les mots de passe sont stockés en un point unique de votre réseau dans une base accessible de PlugSSO seulement. Tous les accès LDAP sont effectués dans un tunnel SSL. De plus, si PlugSSO est installé sur une appliance séparée du proxy, il est possible de ne la rendre visible que du proxy lui-même via un VLAN distinct. La machine ne pourra donc pas être vue par les utilisateurs. Le piratage des mots de passe de vos utilisateurs est donc rendu impossible. Une gestion des mots de passe renforçant la sécurité: Pour une sécurité optimale, il faut éviter qu’un utilisateur utilise toujours le même mot de passe pour accéder à toutes les applications. Avec PlugSSO, avoir une signature unique ne signifie pas avoir le même mot de passe répliqué pour toutes les applications du cercle de confiance. L’utilisateur n’utilise qu’un mot de passe pour être authentifié par PlugSSO mais PlugSSO rejoue des logins/passwords différents vers les différents sites du cercle de confiance. Si l’administrateur l’autorise, un utilisateur peut accéder à la liste de ses mots de passe via une IHM sécurisée et les modifier. L’administrateur peut également programmer un changement régulier de ces mots de passe automatiquement avec une périodicité prédéfinie. Dans ce cas, les mots de passe sont générés aléatoirement et modifiés de façon transparente pour l’utilisateur. De même, on peut forcer l’utilisateur à modifier son login/mot de passe SSO régulièrement en l’imposant via Active Directory, ou via une fonctionnalité particulière du produit. Le déploiement des solutions PlugSuit se fait en mode proxy ou en dialoguant avec un proxy installé sur une machine distincte. Les proxies actuellement compatible avec nos appliances sont tous les proxies supportant le protocole ICAP. Le fonctionnement des produits PlugSuit est certifié avec les proxies : - ProxyPlug - Cisco - BlueCoat - NetAsq - Network Appliance - Squid Si vous ne disposez pas d’un proxy compatible ICAP, nous pouvons vous proposer un proxy ProxyPlug ou un proxy Bluecoat suivant la configuration de vos besoins. Dans les entreprises composées de plusieurs sites ou plusieurs réseaux nécessitant plusieurs proxies, plusieurs architectures sont possibles. On peut associer une appliance PlugSSO à chaque proxy ou mutualiser une appliance PlugSSO entre plusieurs proxy (cf. schéma ci-dessus). Dans le cas d’architectures complexes, une communication entre les boîtiers PlugSSO peut être mise en oeuvre en définissant un PlugSSO maître et un PlugSSO esclave. La gamme PlugSuit comporte aujourd’hui les modules : - PlugSSO : Solution d’authentification unifiée web. - PlugFilter : Filtrage d’URL basé sur les listes qualifiées par notre partenaire Olféo, leader français du filtrage d’URL. - PlugCBS : outil de cobrowsing (navigation partagée sur les mêmes pages) - PlugForm : outil de fusion de Systèmes d’information web - PlugZipper : outil de compression de flux web (pour alléger votre bande passante) - ProxyPlug : proxy cache http/https/ICAP/NTLM Sur une même appliance, nous pouvons activer un module complémentaire sur simple demande (en saisissant un numéro de licence). Il s’agit donc d’une gamme de modules « à la carte ». ---> Pour une présentation de la solution, ou plus d'informations, veuillez nous <---contacter grâce à notre formulaire.