Publier des applications ADFS dans UAG

Il est donc important d’identifier l’utilisateur, de gérer ses permissions, mais aussi sécuriser le flux d’informations de bout en bout.

Comment utiliser Forefront UAG

Forefront UAG est développée pour cela, avec par exemple une grosse capacité d’autoriser (ou refuser) l’accès à des applications ou « sous parties d’applications » non seulement sur la base de droits (dans notre exemple les assertions) mais aussi de conformité du poste.

Ainsi un utilisateur sur son PC d’entreprise sera vu à risque bas (OS à jour, antivirus à jour, bitlocker installé, Poste managé en temps réel grâce à DirectAccess, …), alors que ce même utilisateur quelques minutes plus tard sera vu comme à risque élevé car il se connecte depuis son ordinateur familial (PC partagé, non managé, .. malware, keyloggers). UAG détectera la bonne santé du PC, et en fonction des risques que chaque application va « autoriser/bloquer » en fonction de règle de gestion que vous aurez indiqué.

H1N1, conditions climatiques, volcan en Island, … autant d’exemples qui montrent pourquoi la stratégie d’accès distant est stratégique pour une entreprise, que ce soit pour les collaborateurs, les partenaires ou les clients finaux.

Coupler UAG à la fédération d’identité donne une très grande souplesse en particulier sur la gestion des identités. Dans l’exemple ci-dessous, on peut voir que cette application développée sur le framework ADFS (à titre de démonstration) est en mesure de lire directement ce jeton SAML. On y retrouve mon identité, mais également les « assertions ».Dans cette démonstration, je suis membre du groupe « Application1Group », je suis donc en mesure de la lancer à travers UAG. Le fait d’avoir un rôle de type « TSP/EMEA », a validé la commande de mon nouveau Téléphone Windows. Voir figure 5.

Conclusion

Il existe de nombreux scénarios où votre entreprise doit permettre l’accès à des applications et des données internes, mais où les utilisateurs ne sont pas vos propres collaborateurs.

C’est en effet le cas des architectures permettant à des partenaires de se connecter (B2B), mais également le cas lorsque ce sont des « clients » qui tentent de s’y connecter (B2C). On peut prendre l’exemple d’une banque, permettant à son client de se connecter à son compte bancaire.  Très récents également, des portails permettant aux citoyens (d’une ville, d’une région..) d’utiliser le réseau internet pour s’informer mais aussi obtenir des services administratifs.

« L’identité » est alors un point clé dans ce dispositif, et nous vous avons montré brièvement comment ADFS et UAG peuvent collaborer dans ce domaine, à la fois sur l’angle de la sécurité (pour plus de détails sur cet aspect : http://blogs.technet.com/fesnouf) mais également sur la fédération d’identité.

Notez également que UAG et ADFS ne sont qu’une partie des briques que propose Microsoft dans ce domaine. Nous avons brièvement parlé ici des offres « Cloud » (Azure, BPOS, Office 365), mais il est important également de nommer un autre produit de la gamme dont le nom est « Forefront Identity Manager (FIM) », qui va permettre d’automatiser sur la base de règles de gestion les identités internes et externes de tous « utilisateurs ». Rendez-vous aux « Microsoft TechDays » au mois de février pour toutes les démonstrations !