Un environnement de plus en plus menaçant et la hausse du télétravail ont ramené l’identité au premier plan. Tandis que les collaborateurs ne sont plus dans des structures traditionnelles et que le travail est de plus en plus réalisé en dehors de l’enceinte des entreprises, celles-ci abandonnent le concept de périmètre du réseau et s’appuient sur l’identité comme nouveau levier de contrôle de la sécurité. Ces dynamiques changeantes incitent également à la migration vers le Zero Trust alors que les entreprises cherchent des manières agiles de vérifier l’identité de n’importe quel utilisateur, utilisant n’importe quelle application, accédant à n’importe quelles données, sur n’importe quel appareil.

La gestion des identités et des accès (IAM) est capitale pour lutter contre la hausse des attaques. Elle vous aide à faire face à la croissance exponentielle des applications, notamment mobiles et SaaS, tout en gérant les applications existantes qui hébergent toujours des données et des charges de travail essentielles. L’IAM joue un rôle tout aussi important pour procurer des expériences transparentes, ce qui vous permet de fournir une connexion et un accès fluides à différents types d’utilisateurs.

Mais toutes les solutions ne se valent pas. Pour faire face à un environnement en constante évolution, vous avez besoin d’une solution qui soit conçue sur mesure pour répondre aux exigences de vos collaborateurs et de vos cas d’usage. PingOne for Workforce fournit un service d‘authentification centralisée et d’autorisation adapté à vos besoins.

En étant compatible avec les standards communément adoptés et grâce à ses intégrations prêtes à l’emploi, PingOne for Workforce vous donne les outils et la technologie nécessaires pour intégrer tout votre environnement informatique et éliminer les silos, dans l’optique d’offrir une expérience fluide à vos collaborateurs. Vous pouvez ainsi authentifier l’ensemble des utilisateurs et appareils, quel que soit l’endroit, l’appareil ou l’application, grâce à une autorité d’authentification qui rend votre organisation plus productive, sécurisée et agile.

Les services d’authentification centralisée de PingOne for Workforce s’intègrent à diverses applications et ressources dans les environnements informatiques hybrides. Grâce aux standards ouverts, aux kits d’intégration, aux adaptateurs, aux générateurs de jetons et à d’autres outils, Ping prend en charge un large éventail d’intégrations, couvrant les applications, une authentification forte, les data stores et les écosystèmes.

Poursuivez votre lecture pour découvrir comment PingOne for Workforce peut vous aider à :

• Authentifier l’ensemble des utilisateurs et appareils en travaillant avec plusieurs silos.
• Proposer des expériences sécurisées et cohérentes à vos collaborateurs.
• Utiliser une autorité d’authentification des collaborateurs basée sur l’identité, pour être plus productifs, plus sécurisés et plus agiles.
• Créer une base d’identité solide pour pouvoir accélérer la transformation numérique.

Les grandes entreprises, plus que n’importe quel autre segment, ont besoin d’un IAM incluant des fonctionnalités d’intégration avancées pour prendre en charge un portefeuille d’applications à la fois large et varié, ainsi que des cas d’usage complexes et personnalisés. Elles ont besoin d’une solution qui soit assez flexible pour supporter plusieurs méthodes d’intégration afin de garantir leur sécurité. En même temps, la solution doit pouvoir intégrer un large éventail de types d’applications pour garantir que les utilisateurs obtiennent un accès pratique aux ressources dont ils ont besoin. PingOne for Workforce excelle dans l’un comme dans l’autre.

Intégrer en toute sécurité

PingOne for Workforce permet de prendre en charge des standards ouverts tels que SAML, OAuth et OpenID Connect (OIDC) pour que vous réalisiez des intégrations rapides, efficaces et intuitives pour les développeurs. Pour les applications qui ne sont pas compatibles avec une authentification basée sur des standards, vous pouvez utiliser les kits d’intégration personnalisés et préconçus de Ping, qui nécessitent en général 15 lignes de codes à changer ou moins. PingOne for Workforce prend également en charge des exigences d’applications sur mesure de grande ampleur via une sécurité à accès centralisé, avec un moteur de politiques complet pour les intégrations réalisées en dernière étape.

Pour réaliser l’intégration la plus sécurisée qui soit, vous devriez utiliser la fédération basée sur les standards lorsque cela est possible, et éviter les méthodes telles que l’archivage des mots de passe, lorsque les identifiants sont stockés sur un serveur. Souvent qualifiées d’authentification Web sécurisée ou de gestionnaires de mots de passe, les solutions qui utilisent l’archivage ou la redirection des mots de passe sont découragées car elles n’offrent pas le même niveau de sécurité professionnelle que le SSO via la fédération.

Donner aux utilisateurs un accès en un clic aux applications

Une intégration réussie implique de donner à vos collaborateurs un accès pratique à toutes leurs applications, mais aussi de donner à vos administrateurs la possibilité de facilement intégrer des applications et gérer les autorisations. Avec PingOne for Workforce, vos utilisateurs peuvent utiliser le SSO pour chacune de leurs applis, y compris les applis SaaS, mobiles, existantes et monopages s’appuyant sur des API. En même temps, vos administrateurs peuvent accéder à une administration unifiée depuis laquelle ils peuvent déléguer des responsabilités et activer le libre-service pour les développeurs et les unités professionnelles par le biais de politiques et de modèles.

Applications SaaS

Les applications SaaS sont créées sur SAML ou OIDC, que Ping prend nativement en charge. Elles sont donc les candidates les plus rapides et les plus faciles pour l’intégration ainsi qu’une première étape naturelle. En commençant votre intégration avec les applications SaaS, vous pouvez efficacement créer de la valeur dès le premier jour.

PingOne for Workforce intègre les applications SaaS par le biais d’un catalogue d’applications et par le biais de connexions SAML ou OIDC.

• Un catalogue d’applications fournit une connexion pré-configurée aux applis SaaS populaires telles que Google, Microsoft Office 365, Salesforce et d’autres encore.
• Les connexions SAML ou OIDC peuvent être utilisées pour ajouter des applis qui ne figurent pas sur le catalogue d’applications mais sont compatibles avec SAML ou OIDC, ce qui les rend disponibles par SSO aux utilisateurs en quelques minutes par le biais du portail d’administration.
   

Applications mobiles

Les applis mobiles fonctionnent assez différemment et nécessitent une approche plus sophistiquée. Elles consistent en un client communiquant avec les API et pouvant fonctionner dans ce contexte. De même, un sandbox est typiquement utilisé pour les appareils mobiles, ce qui rend plus difficile le partage d’identifiants et de sessions entre applis et les rend plus susceptibles d’être volés.

Les deux standards pour intégrer des applications mobiles sont OIDC et OAuth. OAuth est utilisé par les développeurs d’applications pour obtenir le jeton d’accès pour l’autorisation aux API back-end. OIDC fournit la couche d’identité pour l’application même afin que l’utilisateur puisse être identifié en plus de OAuth.

Compatible avec OIDC et OAuth, PingOne for Workforce simplifie l’intégration d’applis mobiles et de leurs API correspondantes avec SSO. En éliminant les mots de passe de cette équation, vos applis sont plus sécurisées et vos utilisateurs sont plus productifs. En réduisant simultanément la complexité de l’authentification, les développeurs peuvent davantage se focaliser sur des caractéristiques des applications et passer moins de temps à s’inquiéter des exigences d’authentification et d’installation.

Applications existantes

La plupart des entreprises s’appuient toujours sur plusieurs applications existantes, qu’il s’agisse de produits internes ou de produits informatiques standards (COTS), qui gèrent des charges de travail fondamentales. L’intégration d’applications existantes peut typiquement être accomplie par le biais de trois types de kits d’intégration.

1. Kits sans agent : les kits d’intégration sans agent sont la méthode préférée pour intégrer les applications existantes avec simplicité et en souplesse. Ils utilisent d’autres canaux pour échanger les attributs utilisateur-session avec PingOne for Workforce par le biais d’API RESTful. C’est idéal pour les développeurs car ils doivent moins s’appuyer sur l’architecture de l’application cible, et les kits sont compatibles avec n’importe quel langage d’application.
2. Kits de langue : lorsqu’un accès à un serveur Web ou d’application est limité ou inexistant, il est possible d’utiliser des kits d’intégration aux applications personnalisés. Ils sont compatibles avec plusieurs langages informatiques existants, y compris Java, NET et PHP.
3. Kits d’agent serveur : si vous avez accès au serveur Web ou d’application, les kits d’intégration d’agent de serveur permettent d’ajouter l’application au SSO par SAML. Les systèmes courants pour ce scénario incluent les IIS (Internet Information Services), Apache, NetWeaver et WebSphere.

Autres applications existantes

L’authentification centralisée fournit plusieurs approches pratiques pour permettre le SSO mais certaines applis pourraient ne pas nativement prendre en charge les standards de fédération tels que SAML, OAuth et OIDC, tandis que d’autres pourraient être protégés par des agents de WAM existants (web access management).

Avec PingOne for Workforce, il est facile d’ajouter le SSO à toutes les applications via une injection d’en-tête HTTP, des jetons JWT et même une médiation de jetons pour les applications protégées par des agents WAM déjà existants. Le partenariat de Ping avec Microsoft apporte l’avantage supplémentaire dans le but de maintenir le SSO pour toutes vos applications sur site.

API ou applications monopages

Les applications monopages (SPA) s’appuient sur des technologies web telles que HTML, JavaScript et HTTP ainsi que les API basées sur WebSocket. Les SPA sont uniques car l’utilisateur ne quitte jamais la page HTML initiale. Au lieu de cela, le JavaScript exécuté localement depuis cette première page fournit au navigateur le comportement à suivre pour gérer les demandes de l’utilisateur.

PingOne for Workforce s’appuie sur un code local pour définir l’expérience utilisateur et la logique pour récupérer et manipuler les données par le biais de terminaux API. Compte tenu de l’utilisation de technologies Web et du besoin d’accès aux API, les SPA et leurs API correspondantes peuvent être intégrées par OAuth et OIDC. Les traducteurs de jetons peuvent également faire le pont avec les SPA vers une infrastructure WAM existante.

La capacité à prendre des décisions d’authentification en s’appuyant sur plusieurs indicateurs de sécurité et de risque est fondamentale pour les entreprises. De la même manière, toute gestion doit maximiser l’expérience utilisateur et la productivité de celui-ci. Vous pouvez y parvenir avec une authentification forte et intelligente.

PingOne for Workforce vous permet d’utiliser des investissements qui existent déjà dans la sécurité et de créer des politiques strictes et réutilisables pouvant être appliquées à plusieurs cas d’usage. Les administrateurs peuvent incorporer des données depuis plusieurs sources, qu’il s’agisse d’indicateurs de risque ou de données utilisateur depuis plusieurs annuaires, à l’échelle dont votre entreprise a besoin. Lorsque vous êtes en mesure de mettre ces renseignements en pratique en coulisses, vous êtes encore plus sûr que les utilisateurs sont bien ceux qu’ils prétendent être, tout en leur donnant un accès plus rapide aux ressources.

Authentification multifacteur (MFA)

L’authentification multifacteur est une forme courante d’authentification forte pour les entreprises qui veulent limiter leur dépendance aux politiques de mots de passe et réduire le risque de vol d’identifiants. Mais il peut être difficile d’ajouter la MFA à un portefeuille d’applications qui évolue et change en permanence.

Lorsque vous pouvez vous appuyer sur une autorité d’authentification, vous ne devez pas passer par la procédure laborieuse d’intégrer la MFA individuellement à chaque application. Vous ne souffrez plus des limites que posent les protocoles d’authentification et pouvez utiliser plusieurs fournisseurs de MFA si nécessaire. C’est un cas couramment rencontré après une fusion ou une acquisition.

PingOne for Workforce inclut PingID, notre MFA sur cloud de qualité professionnelle, dans le cadre de cette solution. En plus de s’intégrer aux systèmes PKI par le biais de certificats X.509 basés sur un logiciel ou de smartcards, Ping s’intègre à tous les fournisseurs de MFA courants.

Réseaux privés virtuels (VPN)

Les VPN constituent un moyen populaire de permettre un accès à distance sécurisé. En utilisant les intégrations de Ping, les entreprises peuvent renforcer la sécurité des VPN en ajoutant la MFA et les politiques strictes de groupe. Ces intégrations permettent aussi à la gestion des utilisateurs et l’accès aux VPN d’être contrôlés par l’autorité d’authentification.

PingOne for Workforce peut s’intégrer aux VPN basés sur SAML. Lorsque PingID est utilisé, les VPN peuvent également être ajoutés par RADIUS. Ping est officiellement certifié par les fournisseurs suivants :

Gestion de terminaux mobiles (MDM)

Que vous assuriez le provisioning des appareils mobiles ou que vous souteniez un modèle BYOD, la gestion des appareils mobiles est fondamentale pour garantir une authentification sécurisée. PingOne for Workforce s’intègre aux logiciels de MDM pour appliquer des politiques de sécurité basées sur des attributs au niveau de l’appareil, par exemple : établir un SE minimum, éviter les appareils jailbreakés/rootés, exiger des critères pour les mots de passe ou désactiver certains types d’appareils.

Ping peut s’intégrer à n’importe quel MDM et il est officiellement certifié par les fournisseurs suivants :

Politiques adaptatives et contextuelles

En incorporant des politiques adaptatives et contextuelles, vous pouvez mettre en place une authentification professionnelle sans interrompre la productivité de vos collaborateurs. Cette approche fournit une sécurité renforcée en évaluant l’appareil d’un utilisateur, son comportement et d’autres éléments de contexte au-delà des mots de passe pour évaluer dynamiquement le risque et renforcer ou diminuer les exigences d’authentification en fonction de cela.

Limiter la MFA et les méthodes d’authentification à des groupes, des adresses IP ou des applications spécifiques. :

• Limiter la MFA et les méthodes d’authentification à des groupes, des adresses IP ou des applications spécifiques.
• Utiliser la géolocalisation pour ignorer les exigences de MFA si l’appareil de confiance demande l’accès depuis un endroit ou un réseau « sécurisé ».
• Empêcher les utilisateurs de partager des dispositifs d’authentification et d’utiliser des appareils rootés ou débridés à travers la détection de root.
• Définir des sessions évitant aux utilisateurs de passer par la MFA s’ils sont authentifiés pendant un temps prédéfini (heures, minutes, jours, etc.).

Associés à la MFA qui peut s’étendre n’importe où, les indicateurs de contexte et de risque sont un élément essentiel d’une authentification intelligente et fluide. En utilisant les politiques de l’autorité d’authentification, ils assurent la sécurité pour n’importe quel cas d’usage. Ping s’intègre aux fournisseurs de signaux de risque suivants :

Afin de proposer une expérience de connexion cohérente, les services d’authentification centralisés doivent pouvoir s’intégrer à divers fournisseurs d’identité (IdP). L’IdP professionnel le plus courant est Active Directory, bien que les entreprises aient également adopté des annuaires plus modernes provenant de fournisseurs de cloud tels qu’Amazon et Google. De nombreuses entreprises conservent également des magasins de données sur site comme annuaires d’utilisateurs principaux.

L’authentification requiert typiquement d’extraire des attributs utilisateur depuis plusieurs annuaires en temps réel. Peu d’entre eux parviennent à égaler les fonctionnalités de Ping à cet égard. En prenant en charge plusieurs IdP et magasins de données existants, PingOne for Workforce vous permet de valider, récupérer et envoyer les attributs de l’utilisateur et de l’appareil pendant le provisioning. Vous pouvez connecter l’ensemble de vos utilisateurs à n’importe quelle application dont ils auraient besoin, mais aussi centraliser la validation des identifiants pour améliorer l’expérience utilisateur.

Magasins de données existants

Avec PingOne for Workforce, vous pouvez étendre les fonctionnalités des magasins de données existants à n’importe quelle appli et n’importe quel appareil. Ping s’intègre à :

• Microsoft Active Directory
• Microsoft SQL
• Oracle DSEE
• Oracle Unified Directory
• Oracle DB 12c
• Oracle MySQL
• PostgreSQL

Cloud

Les intégrations à l’annuaire cloud de Ping permettent au service cloud d’être le fournisseur d’identité pour certaines applications en utilisant l’API cloud pour authentifier les utilisateurs et renvoyer les informations de l’utilisateur. Ping propose des intégrations aux services cloud et aux fournisseurs d’identité sociale, notamment :

Une autorité d’authentification doit pouvoir s’intégrer à un écosystème d’identité plus large, à savoir l’administration et la gouvernance des identités (IGA) et la gestion des accès privilégiés (PAM). Tandis que Ping apporte le provisioning de base, nous intégrons SailPoint et CyberArk afin de fournir les meilleures solutions qui existent pour ces fonctionnalités. Les fonctionnalités de l’autorité d’authentification de PingOne for Workforce fournissent aussi une base solide pour un écosystème Zero Trust.

Gouvernance et administration des identités

Vous pouvez prendre en charge les environnements les plus sophistiqués lorsqu’il s’agit de gérer l’utilisateur et son cycle de vie en combinant une plateforme IGA dédiée et une autorité d’authentification. L’intégration Ping + SailPoint vous permet de donner le bon accès aux bons employés sur n’importe quelle appli et n’importe quel annuaire, dans n’importe quel environnement. En même temps, vous renforcez le contrôle des procédures telles que le provisioning, la gestion des mots de passe ainsi que les demandes et certifications d’accès.

Gestion des accès privilégiés

Lorsque la gestion des accès privilégiés est intégrée à une autorité d’authentification, chaque technologie protège l’autre. L’intégration Ping + CyberArk confère aux administrateurs qui se connectent à CyberArk une couche de sécurité supplémentaire fournie par les fonctionnalités de MFA et de SSO de PingID et PingFederate. À l’inverse, les comptes administrateurs de Ping sont protégés par la solution de gestion des accès privilégiés de CyberArk, qui est la meilleure du marché.

Zero Trust

Alors que de plus en plus d’entreprises adoptent des technologies cloud et permettent de travailler en dehors de l’enceinte de l’entreprise, la notion de sécurité par périmètres réseau a laissé place à la structure Zero Trust. Le Zero Trust considère qu’on ne peut faire confiance à aucun trafic réseau et que tout doit être vérifié. Au cœur de cela se trouvent l’identification et une autorité d’authentification qui doit avant tout demander aux utilisateurs de prouver leur identité.

L’autorité d’authentification est centrale pour le Zero Trust, elle vous permet d’appliquer un périmètre de ressources au lieu d’un périmètre réseau et de remplacer la confiance fondée sur le réseau par une plus grande assurance et une plus grande confiance dans le fait que les utilisateurs sont bien qui ils prétendent être. PingOne for Workforce fournit une base solide sur laquelle construire votre structure Zero Trust, en s’intégrant ou en étant compatible avec des technologies complémentaires, et en fournissant le moteur de gestion nécessaire pour garantir une expérience utilisateur optimale.

Pour en savoir plus sur l’utilisation d’une autorité d’authentification pour créer la base du Zero Trust, lisez le livre blanc.

Vous devez fournir une expérience cohérente à vos utilisateurs, peu importe l’endroit où ils se trouvent ou l’appareil qu’ils utilisent. Une autorité d’authentification capable d’intégrer l’ensemble des utilisateurs et appareils est plus importante que jamais pour les entreprises. Avec PingOne for Workforce, vous obtenez l’autorité d’authentification globale dont vous avez besoin pour proposer des expériences sécurisées et cohérentes à vos collaborateurs, ce qui rend votre organisation plus productive, sécurisée et agile.

• Authentifier l’ensemble des utilisateurs et appareils en travaillant avec plusieurs silos.
• Proposer des expériences sécurisées et cohérentes à vos collaborateurs.
• Utiliser une autorité d’authentification des collaborateurs basée sur l’identité, pour être plus productifs, plus sécurisés et plus agiles.
• Créer une base d’identité solide pour pouvoir accélérer la transformation numérique.

Pour en savoir plus sur PingOne for Workforce, rendez-nous visite.

À propos de Ping Identity Ping Identity est la solution d’identité intelligente pour les entreprises. Nous permettons aux entreprises de mettre en oeuvre une sécurité Zero Trust définie par l’identité ainsi que des expériences utilisateur plus personnalisées et rationalisées. La plateforme Ping Intelligent Identity™ permet aux clients, aux collaborateurs et aux partenaires d’accéder à des applications cloud, mobiles, SaaS et sur site sur tous les environnements hybrides de l’entreprise. Plus de la moitié des entreprises classées au Fortune 100 font confiance à notre expertise en matière d’identité, de standards ouverts et à nos partenariats avec des sociétés comme Microsoft et Amazon. Nous fournissons des solutions flexibles d’identité qui accélèrent les initiatives numériques des entreprises, sont appréciées par nos clients et qui sécurisent les entreprises grâce à l’authentification multifacteur, au Single Sign-On, à la gestion des accès, à la sécurisation intelligente des API, à notre annuaire et aux fonctionnalités de gouvernance des données. Pour en savoir plus, rendez-vous sur www.pingidentity.com.

#3500 | 07.21 | v09