L'art de SAML/SSO et MFA
Security Assertion Markup Language ou SAML est bien connu par sa fonction et pas nécessairement par son nom ou son surnom. Les responsables informatiques l'utilisent un jour donné, éventuellement plusieurs fois. Avec SAML, la gestion multi-appareils devient plus facile et moins stressante et fastidieuse. En termes simples, vous pouvez vous connecter à un ordinateur et accéder et exécuter des fonctions de sécurité sur d'autres ordinateurs. Dans ce climat actuel de soucis d'intégrité des données et de prévention des fuites de données, il est essentiel de pouvoir authentifier et autoriser les informations d'identification. SAML facilite la gestion de la sécurité du réseau.
SSO ou Single Sign On est ce que tout cadre ou personnel de première ligne souhaite et a besoin pour une collaboration facile, un flux de travail rationalisé et des opérations fluides alors que davantage de personnel travaille à distance. Par exemple, si votre base de données principale de gestion des stocks est basée sur le cloud et que votre point de vente au détail dispose d'un serveur local, mais qu'ils disposent d'une API qui les fait communiquer entre eux, ainsi qu'un tableau de bord qui communique avec un serveur de fichiers sur site avec des données financières et que vous disposez d'un une authentification unique pour toutes les connexions, vous n'avez pas constamment à vous souvenir des mots de passe ou à créer des noms d'utilisateur et des connexions sécurisées pour chaque point de contact de votre entreprise où se trouvent les opérations et les mesures de performance.
Certains experts en sécurité frémissent à l'idée qu'un PDG garde un post-it dans un tiroir avec des mots de passe, mais avant de ricaner, rappelez-vous simplement que de nombreux professionnels de la sécurité réseau n'utilisent pas toujours un protecteur de mot de passe ou un authentificateur et sont enclins à perdre des téléphones portables lors de salons professionnels. Vous avez une clé de votre porte d'entrée et cela vous permet d'entrer à chaque fois. Ne compliquez pas les choses.
Imaginez-vous dans un aéroport assis avec votre ordinateur portable avec du temps à tuer avant d'embarquer sur votre vol d'affaires. Sur votre ordinateur portable, vous avez une icône sur laquelle vous cliquez pour ouvrir sur laquelle vous entrez vos identifiants de connexion unique et bingo, vous êtes instantanément dans votre lecteur personnel au bureau et sur le serveur au colo. Vous travaillez à la vitesse de la lumière et ne manquez pas un battement concernant le dernier rapport qui vient d'être mis à jour et enregistré sur le serveur dans le dossier marqué des rapports de vente. Avoir un client Web dav et pouvoir accéder instantanément, en toute sécurité et à distance à vos fichiers change la donne. Vous pouvez rester agile, productif et efficace avec votre temps. Inutile d'envoyer un SMS au support informatique au siège pour savoir qui a soudainement changé de mot de passe ou pourquoi vous êtes bloqué en ce moment.
Il existe une authentification en duo que la plupart des utilisateurs de gmail connaissent en entrant un numéro de téléphone pour obtenir un texte avec un code que vous entrez afin que vous puissiez ajouter une autre couche de protection à la connexion à votre compte de messagerie. MFA ou Multi Factor Authentication ajoute encore plus de couches et de protections supplémentaires, en particulier si les données que vous partagez sont critiques, classifiées et/ou réservées à certains yeux. De nombreux entrepreneurs du secteur gouvernemental ainsi que des soins de santé et de la recherche et développement sont bien conscients de l'AMF, tout comme dans le secteur bancaire où vous avez un coffre-fort verrouillé dans un coffre-fort derrière les portes fermées d'une banque qui a également un agent de sécurité armé à la porte. Les banques et les institutions financières utilisent tout le temps l'AMF.
Vous pouvez vivre dangereusement et avoir toutes vos connexions enregistrées sur votre navigateur, mais que se passe-t-il si vous perdez votre ordinateur portable ou si vous cliquez sur un lien ouvert dans un e-mail qui rend votre machine kaput et doit être retirée du réseau immédiatement… et alors ? Vous devriez prendre l'habitude de vider votre cache, de supprimer les cookies, de mettre à jour les identifiants et de les stocker en toute sécurité quelque part dans votre propre coffre-fort, qu'il s'agisse d'une plate-forme comme LassPass ou tout en faisant en sorte que l'architecture réseau de votre entreprise et le protocole de sécurité des données incluent SSO. Vous ne voulez pas que les membres du personnel soient les maîtres de votre univers. Ne faites pas perdre le sommeil à votre service informatique toutes les nuits en lui faisant rechercher chaque membre du personnel pour obtenir des identifiants de connexion mis à jour. Cela devrait être géré de haut en bas. Ils peuvent avoir leurs propres mots de passe, mais chaque plate-forme et logiciel utilisé doit avoir un compte administrateur principal qui peut accéder à tout et que SAML et SSO doivent vivre avec l'informatique et la direction générale. Le licenciement d'un employé ne doit pas être un exercice d'incendie pour récupérer votre réseau ou s'inquiéter de qui a encore accès à quoi. Active Director intégré à Partages de serveur de fichiers Windows doivent être gérés simultanément, et l'intégration ou la nomination du personnel doit avoir le même protocole cohérent à chaque fois. Vous devez être en mesure de débrancher la prise pour ainsi dire sur toutes les connexions à tous les points de contact avec le système en fonction du niveau ou de l'habilitation de l'employé. Si vous l'avez lié aux autorisations SSL ou NTFS, ce n'est pas un cauchemar à gérer. L'ajout d'une autre couche de MFA que vous pouvez contrôler en interne est également une protection essentielle.
D'un côté, vous avez une facilité d'utilisation pour l'employé et de l'autre, vous avez une facilité de contrôle du côté de la direction. Votre base d'utilisateurs sera très heureuse de pouvoir se connecter à tous les aspects des opérations avec un seul identifiant, même si cela signifie qu'ils doivent entrer un code qui est généré sur leur téléphone portable avec une alerte texte lors de la connexion. Encore une fois, cela le niveau de sécurité dépend de ce qui est consulté et de la permission accordée au membre du personnel.
Qu'est-ce qu'un arrêt de travail ? Quelqu'un ne peut pas obtenir son e-mail? Ce n'est pas pratique, mais ce n'est pas une raison pour croiser les bras sur vos genoux et prévoir de prendre le train de bonne heure pour rentrer chez vous. Avec SAML et/ou SSO, tout ce dont vous avez besoin est un navigateur et vous êtes de retour dans les affaires en accédant aux informations dont vous avez besoin. C'est toujours un bon protocole et une bonne politique d'avoir une sorte d'authentification multifacteur sur votre téléphone et vos appareils mobiles comme les tablettes, etc. Pensez-y un peu comme un compte Apple ID. Vous avez cette couche supplémentaire d'avoir à utiliser votre empreinte digitale lors du téléchargement d'une application, puis pour acheter et configurer un compte, vous devez toujours entrer votre identifiant Apple. Vous voulez des couches entre vous et quelqu'un d'autre essayant de voler votre identité, de pirater votre réseau ou de corrompre vos fichiers. Vous voulez également qu'il soit facile et rapide d'accéder à vos fichiers. Utiliser MyWorkDrive avec n'importe quel SAML conforme solution avec configuration simplifiée de AD Azure, Okta et Onelogin. Ajoutez MFA ou DUO selon vos besoins et commencez à travailler où que vous soyez !