Moderniser la sécurité PowerBuilder avec l'Authentification Windows

Le paysage actuel de l'authentification d'entreprise

Dans les environnements informatiques complexes, l'authentification et la gestion des identités présentent des défis majeurs pour les organisations de toutes tailles. Selon le rapport d'enquête 2022 de Verizon sur les violations de données, environ 80% des impliquent des identifiants compromis, soulignant l'importance cruciale de systèmes d'authentification robustes.

Le défi des portefeuilles d'applications mixtes

Les entreprises maintiennent généralement un portefeuille d'applications hétérogène qui comprend :

• Des applications héritées développées avec des technologies comme PowerBuilder
• Des applications web modernes utilisant des frameworks contemporains
• Des solutions commerciales tierces prêtes à l'emploi (COTS)
• Des applications SaaS basées sur le cloud

Cette diversité engendre des défis majeurs pour les services informatiques, notamment en matière d'authentification et de gouvernance de la sécurité. Les utilisateurs finaux sont contraints de jongler entre différents systèmes d'authentification, pendant que les équipes informatiques peinent à assurer la cohérence des politiques de sécurité à travers des plateformes hétérogènes.

Le problème des mots de passe

Exigences croissantes en matière de conformité et de sécurité

Comprendre AD on-premise vs. Entra ID

Il est important de distinguer Active Directory (AD) sur site et Entra ID (anciennement Azure AD). Bien que les deux fassent partie des offres d'identité de Microsoft, l'AD sur site s'appuie généralement sur Kerberos/NTLM pour l'authentification Windows intégrée, tandis qu'Entra ID prend en charge les protocoles modernes tels que OAuth 2.0, OpenID Connect et SAML.

Les entreprises fonctionnent souvent selon un modèle hybride, où Entra ID et AD on-premise coexistent. Cela peut inclure des scénarios où les utilisateurs se connectent via l'authentification Windows intégrée sur les appareils du réseau local, tandis que les utilisateurs distants ou cloud-based s'appuient sur des méthodes basées sur des jetons (par exemple, OAuth 2.0) via Entra ID..

Défis d'authentification PowerBuilder

Les applications PowerBuilder, bien que robustes et fiables pour les opérations métier, présentent des défis d'authentification spécifiques dans les environnements modernes :

Limitations techniques

Les applications PowerBuilder traditionnelles reposent souvent sur des méthodes d'authentification propriétaires qui ne s'interfacent pas naturellement avec les fournisseurs d'identité modernes. Cette discontinuité engendre plusieurs défis :

• L'intégration native avec les fournisseurs d'identité modernes nécessite des modifications significatives du code
• Les approches standard de l'authentification Windows peuvent exiger des middlewares complexes ou un développement personnalisé
• L'implémentation de protocoles modernes comme OAuth 2.0 nécessite un effort de programmation considérable
• Les mises à jour de sécurité et les correctifs doivent être gérés séparément pour chaque système d'authentification.

Répercussions opérationnelles

Ces limitations techniques ont des répercussions concrètes pour l'entreprise :

• Coûts opérationnels plus élevés pour maintenir des systèmes d'authentification séparés
• Incohérences de sécurité entre les applications modernes et héritées
• Mauvaise expérience utilisateur avec de multiples exigences de connexion
• Lacunes de conformité dans les politiques d'authentification conduisant à des constats d'audit

Complexité d'intégration

La valeur stratégique de l'authentification Windows pour PowerBuilder

Gestion unifiée des identités

L'intégration de PowerBuilder avec l'authentification Windows présente plusieurs avantages stratégiques qui répondent aux enjeux métier fondamentaux :

• Infrastructure d'identité consolidée : Valorisation des investissements existants dans les plateformes d'identité Microsoft, qu'il s'agisse d'Active Directory ou d'Entra ID.
• Expérience utilisateur fluide : Mise en œuvre d'une authentification transparente sans identifiants supplémentaires.
• Sécurité renforcée : Application de politiques de sécurité cohérentes sur l'ensemble des applications.
• Optimisation des coûts administratifs : Centralisation de la gestion et du provisionnement des utilisateurs.

Bénéfices pour l'entreprise

Les organisations qui déploient l'authentification Windows pour les applications PowerBuilder observent généralement :

• Une diminution notable des demandes d'assistance liées aux mots de passe
• Une hausse de la satisfaction utilisateur concernant l'accès aux applications
• Une réduction des risques de sécurité associés à la gestion des identifiants
• Une simplification des processus de certification de conformité

Exigences techniques pour l'authentification moderne avec PowerBuilder

La mise en œuvre réussie de l'authentification Windows pour les applications PowerBuilder nécessite de relever plusieurs défis techniques grâce à une approche globale :

Visual Guard : Passerelle entre PowerBuilder et l'authentification moderne

Visual Guard propose une solution complète aux défis d'intégration des applications PowerBuilder avec l'authentification Windows, que ce soit avec Active Directory ou Entra ID, offrant une approche clé en main qui réduit considérablement l'effort de développement."

Intégration transparente avec les plateformes d'identité Microsoft

Visual Guard permet aux développeurs PowerBuilder d'implémenter facilement :

• L'authentification Windows intégrée avec Active Directory On-Premise (utilisant Kerberos/NTLM)
• L'authentification moderne basée sur des jetons avec Entra ID (anciennement Azure AD)
• Des scénarios d'authentification hybrides pour les organisations en transition entre Active Directory et les services Cloud
• Une configuration flexible ne nécessitant pas de modification du code

Authentification unifiée à travers les portefeuilles d'applications

Un atout majeur de Visual Guard réside dans sa capacité à harmoniser l'authentification au sein d'environnements applicatifs hétérogènes :

• Expérience d'authentification homogène entre PowerBuilder et les applications modernes
• Politiques de sécurité unifiées indépendamment de la technologie de l'application
• Gestion centralisée des identités et des permissions des utilisateurs
• Intégration des systèmes hérités avec les standards de sécurité modernes

Implémentation technique : Solution Plug & Play

L'un des atouts les plus convaincants de Visual Guard est qu'il encapsule la complexité de connexion de PowerBuilder aux fournisseurs d'identité modernes ou traditionnels. Plutôt que d'exiger un développement personnalisé conséquent, Visual Guard s'appuie généralement sur :

• Des composants préconçus : Adaptateurs et bibliothèques spécifiquement conçus pour PowerBuilder, limitant le besoin de middleware personnalisé.
• Une approche déclarative : De nombreux flux d'authentification et processus de gestion des jetons sont configurés plutôt que codés en dur.
• La récupération de contexte : Visual Guard peut extraire le contexte utilisateur authentifié (qu'il s'agisse d'un jeton Windows ou d'un jeton OAuth/OpenID) et le transmettre à l'application PowerBuilder.
• La synchronisation groupe/rôle : Association automatique des groupes Windows ou des groupes/rôles Entra ID aux habilitations au niveau de l'application sans nécessiter de refactorisation majeure du code PowerBuilder.

Cette approche clé en main réduit considérablement la charge de développement et facilite la maintenance continue, car les mises à jour de sécurité sont gérées au sein du framework Visual Guard plutôt que dans chaque application individuellement.

Une approche hybride pour la transition d'Active Directory vers Entra ID

L'utilisation d'une architecture hybride (AD + Entra ID) est particulièrement pertinente lorsqu'une organisation :

• Dispose déjà d'un AD on-premise pour la gestion des comptes et des postes Windows (Kerberos/NTLM),
• Souhaite bénéficier des services Entra ID (anciennement Azure AD) pour une authentification modernisée (OAuth 2.0, OpenID Connect, MFA) et/ou pour l'accès aux applications cloud,
• Est en phase de migration : il n'est pas possible, ou pas souhaité, de basculer toutes les applications vers Entra ID en une seule fois (pour des raisons fonctionnelles, réglementaires ou de compatibilité).

Fonctionnement de l'authentification hybride

Concrètement, Azure AD Connect est généralement utilisé pour synchroniser (ou fédérer) les comptes AD on-premise vers Entra ID. Ainsi, l'organisation conserve un référentiel unique de comptes (principalement dans AD), tout en bénéficiant des fonctionnalités cloud (SSO pour SaaS, MFA, etc.).

Les utilisateurs internes continuent de s'authentifier sur Windows via AD, tandis que les utilisateurs externes peuvent utiliser Entra ID (souvent via des jetons OAuth ou OpenID)."

Le rôle de Visual Guard dans l'architecture hybride

Dans une telle configuration, Visual Guard s'intègre pour gérer l'authentification et l'autorisation dans les applications PowerBuilder (et éventuellement d'autres applications) de manière uniforme :

• Si l'utilisateur est sur le réseau local, l'application peut valider son identité via le ticket Kerberos/NTLM d'AD.
• Si l'utilisateur est hors du réseau local, l'application peut s'appuyer sur Entra ID et un jeton OAuth/OpenID.
• Le tout en restant synchronisé grâce à Azure AD Connect ou un mécanisme équivalent, jusqu'à ce que l'organisation ait complètement migré vers Entra ID, si elle le souhaite.

Exemple d'architecture hybride

1. Authentification utilisateur :
• Poste de travail sur site : L'utilisateur se connecte à Windows, recevant un ticket Kerberos/NTLM du contrôleur de domaine.
• Accès distant/cloud : L'utilisateur accède à l'application depuis l'extérieur du réseau d'entreprise, s'authentifiant avec Entra ID (jeton OAuth/OpenID Connect).
2. Intégration Visual Guard :
• PowerBuilder appelle un composant Visual Guard au démarrage pour vérifier les identifiants ou jetons de l'utilisateur.
• Visual Guard valide soit le ticket Windows auprès d'AD, soit échange le jeton OAuth avec Entra ID.
3. Correspondance des permissions :
• Visual Guard associe les groupes Windows/Entra ID ou les rôles de l'utilisateur à des permissions d'application spécifiques.
4. Persistance de session :
• Pour une expérience SSO, Visual Guard gère les jetons de session ou les cookies (dans les scénarios basés sur le web) pour éviter les connexions répétées.
5. Accès à l'application :
• L'utilisateur utilise les fonctionnalités PowerBuilder normalement, avec Visual Guard appliquant la sécurité basée sur les rôles en arrière-plan.

Au-delà de l'authentification : Sécurité applicative complète

Visual Guard va au-delà de l'authentification de base pour aider les organisations à maintenir une posture de sécurité robuste alignée sur les normes modernes, tout en rationalisant les tâches administratives et en réduisant les frais généraux.

Conclusion

Dans l'écosystème complexe de la sécurité actuelle, les organisations doivent concilier une sécurité robuste avec l'expérience utilisateur à travers leur portefeuille applicatif. Les applications PowerBuilder, bien que fiables et essentielles à l'activité, doivent évoluer pour répondre aux exigences d'authentification modernes sans nécessiter de refonte majeure.

En déployant l'authentification Windows via Visual Guard, les organisations peuvent moderniser leurs applications PowerBuilder avec un minimum de perturbation, tout en garantissant des mécanismes de sécurité cohérents à travers les infrastructures AD on-premise et Entra ID cloud. Cette approche stratégique renforce non seulement la sécurité et la conformité, mais améliore également la satisfaction utilisateur et l'efficacité opérationnelle.

Alors que Microsoft continue de faire évoluer ses plateformes d'identité sous l'égide d'Entra ID, les organisations disposant d'applications PowerBuilder peuvent avancer sereinement, assurées que leur infrastructure d'authentification saura s'adapter aux évolutions futures tout en préservant leurs investissements existants.