La MFA et la SSO de UserLock
comme alternative à ADFS

La SSO et la MFA fonctionnant avec les comptes Microsoft AD sur site

SSO Applications Cloud UserLock

La proposition de valeur de UserLock est relativement simple : elle permet de sécuriser les comptes Windows AD Server tout en offrant un contrôle granulaire de l’authentification multifacteur (MFA), de l’authentification unique (SSO) et plus encore.

Les administrateurs peuvent appliquer ces politiques à tout type de connexion, y compris sur celles utilisant le SAML (Security Assertion Markup Language), cela signifie que tous les utilisateurs peuvent accéder facilement et de manière sécurisée aux applications cloud grâce à leurs identifiants de connexion Windows AD.

Les principaux avantages de la SSO pour les administrateurs informatiques :

Réduire la complexité
Continuez d’utiliser Windows Server AD comme répertoire d’autorité de l’utilisateur

  • Pas besoin de créer un nouveau répertoire pour les identifiants des utilisateurs
  • Adaptez sans effort la SSO à l’ensemble des utilisateurs AD
  • Facilitez l’accès aux ressources du cloud pour améliorer la productivité des utilisateurs

Augmenter la sécurité
Stoppez la prolifération de mots de passe à travers différentes applications cloud
  • Combinez-la facilement avec une authentification multifacteur abordable
  • Tirez parti de votre investissement existant dans la sécurité de AD
  • L'authentification est toujours effectuée sur site, même pour l'accès des utilisateurs distants

Pourquoi UserLock plutôt que ADFS ?

Microsoft ADFS, bien qu’assez populaire, a un grand nombre de dépendances qui l’aident à travailler convenablement. Assembler correctement l’ensemble de ces dépendances peut s’avérer compliqué.

En commençant par le certificat SSL, qui permet de traiter les requêtes HTTPS vers le service de fédération. Vous avez également besoin d'un certificat de signature par jeton, d'un certificat de chiffrement/déchiffrement, de contrôleurs de domaine ADFS, d'une base de données de configuration (base de données interne Windows ou serveur SQL), d'un serveur DNS ainsi que d'un équilibreur de charge.

De plus, toute interruption d’un seul de ces services peut paralyser les fonctions principales du service ADFS.

Par exemple, chaque application utilisant ADFS a besoin de ces clés et certificats de signature pour que ADFS leur fasse confiance. Microsoft insiste sur le fait que tout utilisateur qui gère lui-même son certificat doit veiller à les sauvegarder et à les rendre disponibles de manière indépendante. Dans le cas contraire, ADFS peut devenir instable. Plus généralement, une interruption de la connexion client-serveur peut avoir un impact sur l’accès des utilisateurs.

Selon Microsoft, voici quelques zones de dépannage courant de ADFS :

  • Enregistrement des évènements et audit
  • Certificats
  • Connectivité SQL
  • Authentification Windows intégrée
  • Intégration avec Azure AD (devenu Microsoft Entra ID)

En complément, les services tiers peuvent rencontrer des problèmes avec la fonctionnalité d’authentification unique (SSO) intégrée à ADFS, ce qui peut être problématique. Il convient également de noter que ADFS est un complément non essentiel à Azure AD dans de nombreux cas. Microsoft l'a principalement lancé pour s'attaquer aux protocoles d'authentification plus récents.

Ceci dit, certains ont rencontré des problèmes de latence avec leurs serveurs proxy lorsqu'ils utilisaient ADFS avec des protocoles d'authentification plus anciens. Par conséquent, ceux qui utilisent des solutions héritées peuvent chercher ailleurs.

Enfin, la communication du service ADFS avec les contrôleurs de domaine entraîne un coût notable en termes de ressources. ADFS introduit une charge supplémentaire dans AD lui-même, ce qui peut empêcher le traitement d'autre demande.

UserLock améliore l’authentification

Il est plus facile pour UserLock de garantir une disponibilité sans faille.

UserLock a ses dépendances qui gèrent la connectivité à Active Directory. Après tout, AD n'est pas un service uniquement local. Cependant, il y a moins de composants qui peuvent tomber en panne.

De plus, UserLock offre des fonctionnalités étendues au-delà de celles proposées par ADFS.

UserLock a été pensé pour s’intégrer dès le départ dans Active Directory, garantissant que des fonctionnalités telles que l’authentification multifacteur (MFA), la SSO et autre gestion d’accès contextuelle fonctionnent de manière transparente.

UserLock supporte l’ensemble des applications d’authentification TOTP (ex : Google, Microsoft, LastPass, etc.), les jetons programmables tels que YubiKey ou Token2, les mots de passe à usage unique basés sur le temps ou sur HMAC (protocole utilisé pour les messages d'authentification).

Les entreprises peuvent déployer la méthode de contrôle d’accès de leur choix sans sacrifier le contrôle ou la commodité.

Avec UserLock, les administrateurs obtiennent tous les contrôles d'accès pertinents dans une interface graphique conviviale.

C’est intrinsèquement plus accessible que les modules de PowerShell, cela demande moins de connaissances spécialisées et c’est hautement efficace. Des menus déroulants, des cases à cocher et des champs permettent de sélectionner facilement des ensembles de configurations par défaut ou d'ajouter un niveau supplémentaire de granularité à votre processus de gestion des accès.

Authentification multifacteur (MFA)

UserLock suit les utilisateurs peu importe leur système d’exploitation ou leur protocole d’accès. La présentation sous forme de liste est codée par couleurs, riche en icônes et facile à parcourir rapidement.

Exemple des connexions SSO sur le cloud :

Exemple des connexions SSO sur le cloud

La mise en place de la MFA de UserLock est également unique, dans le sens où elle peut fonctionner hors ligne.

Si vous hébergez sur site, vous n’avez pas besoin d’une connexion internet active. Au contraire, les utilisateurs bénéficient de leur propre solution appelée UserLock Anywhere. Cette fonction demande à votre/vos machine(s) de se soumettre à la MFA sans exiger qu'elles soient sur le réseau de l'entreprise. UserLock propose également la MFA pour Microsoft 365 et les passerelles RD(P).

Un examen plus approfondi de la gestion des accès avec UserLock

Il s’agit d’un autre domaine où la flexibilité de UserLock est supérieure à celle de ADFS. Les administrateurs peuvent contrôler l’accès via plusieurs dispositifs :

En prenant compte du contexte, UserLock autorisera, refusera ou limitera intelligemment l’accès des utilisateurs après l’authentification.

  • Basé sur la machine et l’appareil : dicte comment les utilisateurs AD se connectent selon leur adresse IP, leur emplacement, leur service, ou selon le système d’exploitation de leur station de travail
  • Basé sur les horaires : en fonction de la durée totale de la session, des quotas de temps et des heures d'ouverture de l'entreprise
  • Basé sur le type de session : y compris les sessions de terminaux, celles utilisant RADIUS ou RRAS, ou IIS
  • Basé sur les limites de sessions simultanées ou sur les points d’accès initiaux

Cela se fait automatiquement sans intervention manuelle, bien que UserLock laisse aux administrateurs la possibilité de faire des changements granulaires si besoin.

En plus de contrôler toutes les tentatives de connexion à vos domaines Windows AD, vous pouvez également auditer ou signaler cette activité si nécessaire.

Vous souhaitez savoir qui est connecté à quel service ? Le tableau de bord de UserLock facilite cela en affichant toutes les sessions des utilisateurs en un clin d’œil. Cependant, il peut y avoir des moments où l’activité des utilisateurs déclenche des signaux d’alarme. Dans de telles situations, vous pouvez configurer UserLock de sorte à alerter des membres clés d’un comportement suspect. Il sera donc possible de bloquer rapidement les accès afin de prévenir les violations.

Une mise en route simple

Paramétrer UserLock est possible sur n’importe quel Windows Server à partir de 2003, qu’il soit physique ou virtuel. Il est ensuite facile à déployer sur des machines sélectionnées via un agent utilisateur. Ces configurations sont disponibles avec l’application, ce qui permet de cliquer et d'activer facilement la fonctionnalité sur tous les appareils de votre réseau. Une console puissante est disponible pour le contrôle d'accès au sein du réseau. Vous pouvez même protéger les comptes des utilisateurs, de groupes ou d'unités organisationnelle selon les besoins.

UserLock est une solution complète

UserLock offre une protection contre la plupart des menaces de sécurité communes tant pour les accès sur site que pour ceux à distance. Selon une étude réalisée en 2020, plus de 40 millions d’utilisateurs Windows réutilisent activement les mots de passe, 50% des professionnels de l’informatique réutilisent leurs mots de passe sur le lieu de travail et 49% les partagent avec leurs collègues.

Donc, si vous cherchez à faire évoluer en toute sécurité l'authentification unique et à relancer la productivité, UserLock est un choix évident. Oubliez la création de nouveaux répertoires pour les identités des utilisateurs. La combinaison de la SSO et de la MFA offre une protection inégalée contre les accès indésirables, sans confusion.

En tant que plateforme complète pour la gestion des accès Windows AD, UserLock offre une multitude de fonctionnalités aux utilisateurs expérimentés comme aux novices, sans avoir à franchir les obstacles techniques complexes qui précèdent la mise en place du service ADFS. UserLock est une alternative formidable qui permettra d'atteindre davantage d’appareils et de satisfaire les exigences informatiques de nombreuses entreprises.

Télécharger ce livre blanc en PDF

Version PDF - 270 KB

Découvrez par vous-même la facilité avec laquelle fonctionne la SSO.

Téléchargez un essai gratuit Planifiez une démo