Visual Guard Architecture – Fédération d'Identité

Comment combiner les fonctionnalités de fédération d’identité et le contrôle d’accès basé sur les permissions.

Les fonctionnalités de Fédération d’identité de Visual Guard permettent à des organisations indépendantes d’accéder à un même système, tout en utilisant leurs comptes Windows pour authentifier leurs utilisateurs :

  • Chaque organisation gère ses comptes Windows, stockés dans son Active Directory.
  • Dans chaque organisation, un administrateur sélectionne les comptes Windows qui peuvent accéder au système sécurisé par Visual Guard.
  • Les utilisateurs fournissent leur credentials windows pour accéder au système.

Note

Habituellement, le concept de fédération d’identité se limite à l’authentification des utilisateurs.
Dans le cas de Visual Guard, la fédération d’identité inclut aussi la gestion des rôles et des permissions, ainsi que l’audit des actions réalisées par les utilisateurs et administrateurs :

  • Lorsqu’un utilisateur distant est authentifié, Visual Guard applique ses permissions pour contrôler son accès aux fonctionnalités de l’application.
  • Toutes les opérations réalisées par les utilisateurs sont loggées dans le repository de Visual Guard.
  • De même, toutes les opérations réalisées par les administrateurs pour déclarer des comptes ou leur donner des rôles et permissions sont loggées dans le repository de Visual Guard.
  • Les auditeurs peuvent ensuite passer en revue toutes ces opérations.

Web Front-end

Comment authentifier des utilisateurs avec leurs comptes Windows définis dans un Active Directory indépendant ?

Identity federation in web applications with Visual Guard
  1. L’administrateur utilise le VG Federation Client pour parcourir l’Active Directory local et sélectionne le compte Windows qui accèdera à l’application.
  2. Le VG Federation Client appelle le VG serveur pour déclarer ces comptes dans le VG Repository.
  3. L’administrateur accorde les rôles aux utilisateurs avec la console Web d’administration de VG.
  4. Quand l’utilisateur se logge à l’application, VG l’authentifie en utilisant l’ID Store distant.
  5. Après le processus de logon, VG récupère les permissions des utilisateurs pour le Front-End et les applique.
  6. Quand le Front-End appelle une application Web Services, VG vérifie que l’utilisateur a accès à ce Service Web, récupère les permissions de l’utilisateur pour ce Web Service et les applique.

Win Front-end

Comment authentifier les utilisateurs avec des comptes Windows définis dans un Active Directory indépendant ?

Identity Federation in Windows Applications with Visual Guard
  1. L’administrateur utilise le VG Federation Client pour parcourir l’Active Directory local et sélectionnent le compte Windows qui accèdera à l’application.
  2. Le VG Federation Client appelle le VG serveur pour déclarer ces comptes dans le VG Repository.
  3. L’administrateur accorde les rôles aux utilisateurs avec la console Web d’administration de VG.
  4. Quand l’utilisateur se logge à l’application, VG l’authentifiera en utilisant l’ID Store distant.
  5. Après le processus de logon, VG récupère les permissions des utilisateurs pour le Windows Front-End et les applique.
  6. Si le Front-End appelle une application Web Services, VG vérifie que l’utilisateur a accès à ce Web Service, récupère les permissions de l’utilisateur pour ce Web Service et les applique.