> Tech > Publier des applications ADFS dans UAG

Publier des applications ADFS dans UAG

Tech - Par iTPro - Publié le 22 septembre 2011
email


L’objectif de la publication d’applications (et de données) est dans un premier temps de rendre un service (souvent lié à une activité commerciale) à un utilisateur, mais on souhaite en retour le faire de façon sécurisée. Il est donc important d’identifier l’utilisateur, de gérer ses permissions, mais

aussi sécuriser le flux d’informations de bout en bout.

Forefront UAG est développée pour cela, avec par exemple une grosse capacité d’autoriser (ou refuser) l’accès à des applications ou « sous parties d’applications » non seulement sur la base de droits (dans notre exemple les assertions) mais aussi de conformité du poste.

Ainsi un utilisateur sur son PC d’entreprise sera vu à risque bas (OS à jour, antivirus à jour, bitlocker installé, Poste managé en temps réel grâce à DirectAccess, …), alors que ce même utilisateur quelques minutes plus tard sera vu comme à risque élevé car il se connecte depuis son ordinateur familial (PC partagé, non managé, .. malware, keyloggers). UAG détectera la bonne santé du PC, et en fonction des risques que chaque application va « autoriser/bloquer » en fonction de règle de gestion que vous aurez indiqué.

H1N1, conditions climatiques, volcan en Island, … autant d’exemples qui montrent pourquoi la stratégie d’accès distant est stratégique pour une entreprise, que ce soit pour les collaborateurs, les partenaires ou les clients finaux.

Coupler UAG à la fédération d’identité donne une très grande souplesse en particulier sur la gestion des identités. Dans l’exemple ci-dessous, on peut voir que cette application développée sur le framework ADFS (à titre de démonstration) est en mesure de lire directement ce jeton SAML. On y retrouve mon identité, mais également les « assertions ».Dans cette démonstration, je suis membre du groupe « Application1Group », je suis donc en mesure de la lancer à travers UAG. Le fait d’avoir un rôle de type « TSP/EMEA », a validé la commande de mon nouveau Téléphone Windows. Voir figure 5.

Conclusion

Il existe de nombreux scénarios où votre entreprise doit permettre l’accès à des applications et des données internes, mais où les utilisateurs ne sont pas vos propres collaborateurs.

C’est en effet le cas des architectures permettant à des partenaires de se connecter (B2B), mais également le cas lorsque ce sont des « clients » qui tentent de s’y connecter (B2C). On peut prendre l’exemple d’une banque, permettant à son client de se connecter à son compte bancaire.  Très récents également, des portails permettant aux citoyens (d’une ville, d’une région..) d’utiliser le réseau internet pour s’informer mais aussi obtenir des services administratifs.

« L’identité » est alors un point clé dans ce dispositif, et nous vous avons montré brièvement comment ADFS et UAG peuvent collaborer dans ce domaine, à la fois sur l’angle de la sécurité (pour plus de détails sur cet aspect : http://blogs.technet.com/fesnouf) mais également sur la fédération d’identité.

Notez également que UAG et ADFS ne sont qu’une partie des briques que propose Microsoft dans ce domaine. Nous avons brièvement parlé ici des offres « Cloud » (Azure, BPOS, Office 365), mais il est important également de nommer un autre produit de la gamme dont le nom est « Forefront Identity Manager (FIM) », qui va permettre d’automatiser sur la base de règles de gestion les identités internes et externes de tous « utilisateurs ». Rendez-vous aux « Microsoft TechDays » au mois de février pour toutes les démonstrations !
 

Téléchargez gratuitement cette ressource

Guide de Cloud Privé Hébergé

Guide de Cloud Privé Hébergé

Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.

Tech - Par iTPro - Publié le 22 septembre 2011