Configuration de la pérennité de l’identité

ℹ️

Cette fonctionnalité est actuellement en phase « Bêta ». Pour rejoindre le programme bêta, contactez [email protected].

Grâce à la pérennité de l’identité, Maverics peut gérer avec efficacité les pannes imprévues du fournisseur d’identité, sans temps d’arrêt, en maintenant les charges de travail essentielles à la mission disponibles en permanence et en toute sécurité. Maverics vous donne la possibilité d’activer la pérennité de l’identité pour tous vos services d’identité et fournisseurs d’identité.

Pérennité de l’identité de Maverics

La pérennité de l’identité dans la gestion des identités et des accès fait référence à la garantie de la cohérence et de l’intégrité de l’identité numérique d’un individu à travers divers systèmes, applications et périodes de temps. Cela suppose de conserver une identité d’utilisateur, des autorisations d’accès et des rôles identiques malgré les changements de fonctions, les mises à jour du système ou d’autres changements organisationnels.

Lorsqu’elles sont appliquées à IAM, les différences entre la sauvegarde et la pérennité sont principalement les suivantes :

Sauvegarde de l’identité : dans le cadre de la gestion des identités et des accès, il s’agit de préserver les informations essentielles relatives à l’identité (informations d’identification de l’utilisateur, droits d’accès, attributions de rôles) de manière à pouvoir les restaurer en cas de besoin. Cela permet de récupérer des données perdues ou corrompues.

Pérennité de l’identité : dans le cadre de la gestion des identités et des accès, il s’agit de veiller à ce que les utilisateurs bénéficient d’un accès constant et ininterrompu aux ressources et applications dont ils ont besoin. Cela implique que les changements de rôle des utilisateurs, les mises à jour du système ou les changements organisationnels ne perturbent pas l’accès des utilisateurs.

Dans le cadre de la gestion des identités et des accès, les sauvegardes consistent à créer des copies restaurables des informations relatives aux identités, tandis que la notion de pérennité consiste à garantir un accès ininterrompu et transparent aux systèmes et aux ressources dans la durée.

Maverics prend en charge deux cas d’utilisation principaux pour la pérennité de l’identité :

Du fournisseur d’identité en nuage vers le site
- Vous avez recours à un fournisseur d’identité basé dans le nuage et celui-ci bascule sur votre propre déploiement LDAP ou Active Directory
Du fournisseur d’identité en nuage au fournisseur d’identité en nuage
- Vous avez recours à un fournisseur d’identité en nuage et celui-ci bascule vers un autre fournisseur d’identité en nuage

Dans ce guide, nous vous accompagnerons dans la création de votre configuration de tissu d’identité et de votre instance d’orchestrateur d’identité, ainsi que dans le déploiement de la configuration dans un environnement local destiné à être consommé et exécuté par l’instance de l’orchestrateur. Nous aborderons les étapes suivantes :

Inscription sur Maverics
Connexion à Maverics
Déploiement d’un orchestrateur
Définition des services d’identité primaire et secondaire
- Vérification de l’état de fonctionnement des services d’identité
Création d’une stratégie de pérennité
- Schema Abstraction Layer™
Configuration d’une application
Configuration de votre flux utilisateur
Test de votre stratégie de pérennité

Inscrivez-vous sur Maverics

Vous pouvez vous inscrire à Maverics en utilisant HYPR, Google, Github ou votre compte Microsoft. Nous pouvons également vous aider à mettre en place une procédure d’authentification unique d’entreprise.

Pour vous inscrire avec HYPR, entrez votre adresse électronique et cliquez sur le bouton Continue with HYPR.

Lorsque vous vous inscrivez pour la première fois, il faudra organiser une réunion de présentation avec un collaborateur de Strata. Si vous êtes déjà en contact avec un collaborateur de Strata, vous pouvez le joindre pour obtenir un code d’activation qui vous permettra de vous dispenser de l’étape de présentation.

Se connecter à Maverics

Connectez-vous à l’aide du service d’authentification que vous avez utilisé pour vous inscrire à Maverics.

Une fois la connexion à Maverics effectuée, vous arrivez sur le tableau de bord.

Tableau de bord Maverics

Le tableau de bord fournit un résumé de vos tissus d’identité, applications et flux utilisateurs existants. À partir de là, vous pouvez importer une recette d’orchestration d’identité ou configurer de nouveaux composants à l’aide des boutons Configure dans chaque section ou de la barre de navigation située à gauche.

Déploiement d’un orchestrateur

Avant de télécharger et de déployer un orchestrateur, vous devez créer un environnement. Les environnements définissent des conteneurs de stockage dans le nuage où vous pouvez déployer la configuration du flux utilisateur et les orchestrateurs qui liront cette configuration pour vos applications.

Pour plus d’informations sur la configuration d’un environnement avec différents services de stockage en nuage, reportez-vous à la section Configuration des environnements.

Après avoir créé votre environnement, vous pouvez télécharger et installer l’orchestrateur. Reportez-vous à la section Installer un orchestrateur.

Définition des services d’identité primaire et secondaire

Le tissu d’identité de Maverics comprend un fournisseur d’identité et des fournisseurs d’attributs facultatifs. Les fournisseurs d’identité de Maverics s’intègrent à plusieurs fournisseurs d’identité OIDC et SAML et les utilisent en tant que fournisseurs d’authentification ou d’attributs. Certains systèmes d’accès agissent à la fois en tant que fournisseurs d’authentification et d’attributs.

Pour mettre en place la pérennité des identités, vous devez disposer de plusieurs services d’identité définis dans votre tissu d’identité. Actuellement, il est possible de configurer votre stratégie de pérennité avec les services suivants :

Entra ID OIDC
Okta OIDC
Active Directory/LDAP en tant que fournisseurs d’authentification

(la stratégie de pérennité sera bientôt compatible avec d’autres services d’identité).

À la page suivante, saisissez les informations relatives à votre service d’identité dans les champs correspondants. Les informations requises varient en fonction du service et du protocole sélectionnés.

Pour mettre en place la pérennité des identités, vous devez disposer de plusieurs services d’identité définis dans votre tissu d’identité.

Vérification de l’état de fonctionnement des services d’identité

Lors de la configuration de vos services d’identité, assurez-vous que la vérification de l’état de fonctionnement des services d’identité est activée pour chacun d’entre eux.

Vérification de l’état de fonctionnement des services d’identité

Pour les services d’identité basés sur OIDC, la vérification d’état sollicite les terminaux connus et les serveurs d’autorisation définis. Si la vérification d’état ne parvient pas à atteindre ces terminaux, les journaux de débogage de l’orchestrateur signaleront la chaîne et cela déclenchera un basculement.

Les services d’identité LDAP/AD vérifient l’URL du serveur et tentent d’établir une liaison. Si ces actions n’aboutissent pas, les journaux de l’orchestrateur signaleront la chaîne et cela déclenchera un basculement.

Nouvel événement de journalisation relatif à l’état de fonctionnement de l’identité

Il s’agit d’un nouvel événement de journalisation relatif à la vérification de l’état de fonctionnement de l’identité. Si la vérification d’état échoue, vous verrez le message suivant apparaître dans les journaux.

level=debug msg="idp health check failed: well-known metadata unavailable" error="failed to load OIDC well-known metadata: failed to get OpenID well-known metadata: Get \"https://dev-467635.Okta.com/oauth2/default/.well-known/openid-configuration\": Forbidden" name=Okta status=false

Dans le cadre des tests, il est recommandé de régler la fréquence d’interrogation et le délai d’attente sur 10 secondes.

Création d’une stratégie de pérennité

À présent que vous avez mis en place au moins deux services d’identité, vous pouvez créer une stratégie de pérennité.

Accédez à Identity Fabric et sélectionnez Continuity Strategy.
Saisissez un nom pour votre stratégie de pérennité et cliquez sur la coche.
Sélectionnez les services d’identité primaires et secondaires que vous souhaitez utiliser dans le cadre de votre stratégie de restauration automatique. Le menu affiche la liste des services d’identité que vous avez déjà configurés dans la section précédente. Sélectionnez d’abord votre service d’identité principal, puis sélectionnez votre service d’identité secondaire.

ℹ️

Actuellement, la stratégie de pérennité prend uniquement en charge Entra ID OIDC, Okta OIDC et Active Directory/LDAP en tant que fournisseur d’authentification. Par ailleurs, la vérification de l’état de fonctionnement des services d’identité doit être activée pour tous les services d’identité utilisés.

Stratégie de pérennité

Vous allez ensuite configurer Schema Abstraction Layer™.

Schema Abstraction Layer™

Schema Abstraction Layer™ crée une correspondance entre les attributs requis par les applications dans les flux utilisateurs et les réclamations disponibles dans chaque service d’identité. En cas de basculement, la nouvelle session utilisera cette correspondance pour récupérer les réclamations nécessaires.

Schema Abstraction Layer™

Pour utiliser Schema Abstraction Layer efficacement, il faut commencer par définir les attributs utilisés par votre application et les mettre en correspondance avec les réclamations utilisées par les fournisseurs d’identité concernés par votre stratégie de pérennité.

Configuration de Schema Abstraction Layer™

Après avoir configuré votre application, il vous faudra développer un flux utilisateur pour votre application, en identifiant les réclamations, les en-têtes ou les règles d’autorisation essentielles. Dans ce flux, vous spécifierez les noms des réclamations nécessaires à votre application.

Vous sélectionnerez ensuite une stratégie de pérennité à partir de votre liste de fournisseurs afin de garantir une expérience utilisateur fluide, même en cas de basculement.

Configuration de Schema Abstraction Layer™

Pour finir, vous établirez une correspondance entre ces noms de réclamations et ceux définis dans Schema Abstraction Layer, afin de garantir une gestion cohérente et efficace des attributs de l’utilisateur entre les différents services d’identité. Cette approche permet de rationaliser le processus d’intégration et de garantir la fiabilité des sessions des utilisateurs.

Configuration d’une application

Accédez à la page Applications pour configurer une application qui appliquera la stratégie de pérennité. Maverics prend en charge plusieurs types d’applications, notamment les applications basées sur les en-têtes, les applications OIDC, les applications SAML et le code JSON personnalisé.

Pour plus d’informations sur la création d’une application, reportez-vous à la section Configuration des applications.

Configuration de votre flux utilisateur

Vous allez ensuite créer un flux utilisateur en sélectionnant l’application que vous avez créée.

Dans le tableau de bord, cliquez sur Create user flow. Vous pouvez également cliquer sur User Flows dans la barre latérale, puis sur New. Saisissez un nom à donner au flux utilisateur et sélectionnez l’application à utiliser. Cliquez sur Create.

Pour modifier un flux utilisateur existant, cliquez sur User Flows dans la barre latérale et cliquez sur le nom du flux utilisateur que vous souhaitez modifier.

Le nom du flux utilisateur apparaît en haut de l’écran suivant et peut être modifié. L’application apparaît sous le nom. Vous pouvez cliquer sur l’application pour modifier sa configuration, mais vous ne pouvez pas modifier l’application liée au flux utilisateur.

Pour plus d’informations sur la configuration du flux utilisateur, reportez-vous aux documents suivants :

Le choix de l’emplacement de la stratégie de pérennité dépend du type d’application que vous avez créé. Pour les flux utilisateurs d’applications SAML et OIDC, vous pouvez sélectionner la stratégie de pérennité dans le menu Authentication.

Stratégie de pérennité

Pour les flux utilisateurs d’applications proxy, vous devrez créer une stratégie de contrôle d’accès pour un emplacement de ressource, et sélectionner la stratégie de pérennité en tant que fournisseur d’authentification pour chaque emplacement de ressource configuré.

Stratégie de pérennité

Test de votre stratégie de pérennité

Pour tester le comportement de basculement et Schema Abstraction Layer™, il est nécessaire de modifier votre fichier hosts afin de simuler l’indisponibilité de votre fournisseur d’identité principal. Tout d’abord, vous devez vous connecter à votre application pour vous assurer que le fournisseur d’identité primaire fonctionne normalement et renvoie les réclamations que vous avez définies dans Schema Abstraction Layer.

La deuxième phase de test consiste à simuler le temps d’arrêt de votre fournisseur d’identité principal et à tester le comportement de basculement. Pour ce faire, nous allons modifier le fichier hosts afin de bloquer le trafic en provenance de votre machine pour qu’il n’atteigne pas le fournisseur d’identité primaire.

Les instructions spécifiques au système d’exploitation ci-dessous modifient les conditions de réseau sur votre machine afin de simuler ce temps d’arrêt. Les exemples doivent être modifiés pour correspondre à votre fournisseur d’identité principal.

Windows

Ouvrez le bloc-notes en tant qu’administrateur :
- Appuyez sur Win + S pour ouvrir la barre de recherche.
- Saisissez Notepad.
- Faites un clic droit sur Notepad et sélectionnez Run as administrator.
Ouvrez le fichier hosts :
- Dans le Bloc-notes, accédez à File puis Open.
- Accédez à C:\Windows\System32\drivers\etc.
- Dans la liste déroulante des types de fichiers, sélectionnez All Files pour consulter le fichier hosts.
- Sélectionnez hosts et cliquez sur Open.
Modifier le fichier hosts :
- Pour bloquer un site web, ajoutez une nouvelle ligne à la fin du fichier.
- Saisissez 127.0.0.1 suivi d’un espace et du nom de domaine que vous souhaitez bloquer.
- Par exemple, pour bloquer okta.com, il vous faudra ajouter la ligne suivante :
```
127.0.0.1 okta.com
```
- Vous pouvez ajouter plusieurs entrées pour bloquer plusieurs sites.
Enregistrez le fichier hosts :
- Enregistrez les modifications en accédant à File puis Save.
Videz le cache DNS (facultatif mais recommandé) :
- Ouvrez l’invite de commande en tant qu’administrateur.
- Saisissez ipconfig /flushdns et appuyez sur Entrée.

Linux

Ouvrez un terminal.
Modifier le fichier hosts :
- Utilisez un éditeur de texte tel que nano ou vim pour ouvrir le fichier hosts. Il vous faudra utiliser sudo pour éditer le fichier, car il nécessite des droits d’administrateur.
- Par exemple, avec nano, vous devriez exécuter :
  sudo nano /etc/hosts
- Avec vim, vous devriez exécuter :
  sudo vim /etc/hosts
Ajouter les entrées permettant de bloquer le trafic :
- Pour bloquer un site web, ajoutez une nouvelle ligne à la fin du fichier.
- Saisissez 127.0.0.1 suivi d’un espace et du nom de domaine que vous souhaitez bloquer.
- Par exemple, pour bloquer okta.com, il vous faudra ajouter la ligne suivante :
```
127.0.0.1 okta.com
```
- Vous pouvez ajouter plusieurs entrées pour bloquer plusieurs sites.
Enregistrer et fermer le fichier :
- Si vous utilisez nano, enregistrez le fichier en appuyant sur Ctrl + O, puis appuyez sur Entréeet quittez en appuyant sur Ctrl + X.
- Si vous utilisez vim, enregistrez et quittez en appuyant sur Échap, en saisissant :wq, puis en appuyant sur Entrée.
Vider le cache DNS (si nécessaire) :
- En fonction de votre distribution et de votre configuration Linux, il peut être nécessaire de vider le cache DNS. Voici les commandes pour les configurations communes :
  - Pour systemd-resolved :
    sudo systemctl restart systemd-resolved
  - Pour dnsmasq :
    sudo systemctl restart dnsmasq
  - Pour nscd :
    sudo systemctl restart nscd

Mac

Ouvrir le terminal :
- Vous pouvez accéder à Terminal depuis Applications > Utilities ou en effectuant une recherche à l’aide de Spotlight (Cmd + Espace et saisissez « Terminal »).
Modifier le fichier hosts :
- Utilisez un éditeur de texte tel que nano ou pour ouvrir le fichier hosts. Il vous faudra utiliser sudo pour éditer le fichier, car il nécessite des droits d’administrateur.
- Exécutez la commande suivante :
  sudo nano /etc/hosts
Ajouter les entrées permettant de bloquer le trafic :
- Pour bloquer un site web, ajoutez une nouvelle ligne à la fin du fichier.
- Saisissez 127.0.0.1 suivi d’un espace et du nom de domaine que vous souhaitez bloquer.
- Par exemple, pour bloquer okta.com, il vous faudra ajouter la ligne suivante :
```
127.0.0.1 okta.com
```
- Vous pouvez ajouter plusieurs entrées pour bloquer plusieurs sites.
Enregistrer et fermer le fichier :
- Enregistrez le fichier en appuyant sur Ctrl + O, puis appuyez sur Entrée et quittez en appuyant sur Ctrl + X.
Vider le cache DNS :
- Exécutez la commande suivante pour vider le cache DNS :
  sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

ℹ️

Lorsque les tests sont terminés, assurez-vous que vous avez inversé votre fichier hosts en supprimant les entrées.

Après avoir suivi les étapes décrites dans ce guide, vous avez réussi à configurer une stratégie de pérennité dans Maverics utilisable avec n’importe quelle application, posant ainsi les bases d’un système de gestion des identités robuste et sécurisé. N’oubliez pas que chaque composant joue un rôle crucial dans l’amélioration de la sécurité et de l’efficacité de l’intégration de votre application, en garantissant la résilience et l’adaptabilité du mécanisme de gestion des identités de votre organisation. Avec Maverics, vous êtes maintenant prêt à affronter les complexités de la gestion de l’identité numérique, en offrant à vos utilisateurs un environnement sûr et convivial.

Configuration d’Identity Continuity™Programme bêta de pérennité de l’identité