Vous pouvez déclarer des comptes ou des groupes Windows dans le système et leur donner des droits d'accès à vos applications.

Vous pouvez créer des groupes et les organiser hiérarchiquement. Chaque groupe peut contenir des sous-groupes, des comptes login/mot de passe ou des comptes Windows. Vous pouvez attribuer un rôle à un groupe. Dans ce cas, tous les utilisateurs de ce groupe et de ses sous-groupes auront ce rôle.

En production, l'utilisateur démarre sa session Windows comme d'habitude. Quand il ouvre une application, Visual Guard utilise le compte Windows actif pour authentifier l'utilisateur avec Active Directory. L'utilisateur n'a pas besoin de fournir ses identifiants pour accéder à l'application.
C'est ce qu'on appelle le Single Sign-On (authentification unique).

Cette fonctionnalité de Visual Guard permet de fournir plusieurs type de compte aux utilisateurs de votre (vos) application(s). Vous pouvez par exemple authentifier des utilisateurs internes avec leurs comptes Windows et des utilisateurs externes avec des comptes login/mot de passe.

Pour plus de sécurité, vous pouvez déclarer des règles que Visual Guard fait appliquer quand un utilisateur définit son mot-de-passe.

Vous pouvez fédérer plusieurs sites web qui peuvent être situés sur des réseaux indépendants ou hébergés par différents sociétés. L'utilisateur ne s'authentifie qu'une seule fois lorsqu'il accède au premier site web. Il peut ensuite passer à un autre site web sans fournir à nouveau ses identifiants.

Vous pouvez fédérer plusieurs Active Directory appartenant à des réseaux ou des sociétés distincts. L'administrateur de chaque Active Directory déclare des comptes ou des groupes Windows dans un référentiel central géré par Visual Guard. Tous les utilisateurs de ces Active Directory peuvent ensuite accéder aux applications sécurisées par Visual Guard. On obtient ainsi un système de sécurité centralisé, bien que les utilisateurs soient répartis sur des domaines Windows totalement indépendants.

Si une application windows (Winform ou WPF) est executée depuis un poste distant (par exemple un PC, connecté à Internet, mais qui n'appartient pas au même Domaine que le compte le compte Windows de l'utilisateur), alors l'utilisateur saisiera ses credentials Windows et Visual Guard l'authentifiera.

S'il utilise une application Winform ou WPF, un utilisateur peut toujours accéder à l'application, même s'il ne peut pas accéder au repository de Visual Guard : Visual Guard fournit un "offline store" qui conserve les permissions de l'utilisateur sur le client et enregistre les opérations réalisées dans l'application. Quand l'application à de nouveau accès au Serveur, le "offline store" est automatiquement synchronisé avec le Repository Visual Guard.

Vous pouvez gérer des permissions pour définir comment un utilisateur accède à et utilise chaque application.
Les permissions sont regroupées en "Permissions Sets". Les Permissions Sets sont attribués à des rôles, qui sont eux mêmes attribués à des utilisateurs ou des groupes.

Chaque permission correspond à une ou plusieurs actions qui activent, désactivent ou modifient les fonctionnalités de l'application.
Avec les permissions statiques, ces actions sont codées dans l'application : l'application interroge Visual Guard pour obtenir les permissions de l'utilisateur et exécute ensuite les actions appropriées pour s'adapter aux privilèges de l'utilisateur.

Chaque permission correspond à une ou plusieurs actions qui activent, désactivent ou modifient les fonctionnalités de l'application.
Avec les permissions dynamiques, ces actions sont définies uniquement dans Visual Guard. Elles seront ensuite appliquées dynamiquement par le run-time de Visual Guard. Cela signifie que le code de l'application reste inchangé et ne contient aucune instruction pour exécuter les actions de sécurité.

Des permissions Visual Guard (statiques ou dynamiques) peuvent cacher ou désactiver des composants de l'interface utilisateur de vos applications. Plus généralement, ces permissions peuvent modifier n'importe quelle propriété d'un composant .Net ou PowerBuilder. Dans le cas de permissions dynamiques, ces modifications sont réalisées dynamiquement par Visual Guard, sans qu'il soit nécessaire de modifier le code de l'application.

Vous pouvez restreindre l'accès de l'utilisateur à un sous-ensemble des données de l'application.
Par exemple, vous pouvez filtrer une liste ou une grille en fonction du profil de l'utilisateur.

Vous pouvez définir un rôle qui regroupe toutes les permissions d'un utilisateur pour une application.

Vous pouvez définir un rôle qui regroupe toutes les permissions d'un utilisateur pour plusieurs applications.

Vous pouvez donner des rôles à tous les utilisateurs qu'ils aient un compte login/mot de passe ou Windows.

Vous pouvez assigner un rôle à un groupe Visual Guard. Dans ce cas, tous les comptes contenus dans ce groupe et dans ses sous-groupes auront ce rôle. Vous pouvez aussi donner un rôle à un groupe Windows. Dans ce cas, tous les comptes Windows associés à ce groupe dans Active Directory auront ce rôle.

Les administrateurs et auditeurs Visual Guard peuvent générer des rapports sur les données de sécurité actuelles (utilisateurs, groupes, rôles, permissions…)

Vous pouvez enregistrer toutes les opérations sensibles réalisées par un utilisateur dans les applications sécurisées par Visual Guard. Vous pouvez ensuite générer des rapports sur ces opérations (qui a fait quoi, quand, etc.)

Vous pouvez enregistrer toutes les opérations réalisées par les administrateurs avec Visual Guard (créer des comptes, donner des permissions, etc.). Vous pourrez ensuite générer des rapports sur ces opérations (qui a fait quoi, quand, etc.)