Visual Guard
Architecture – Fédération d'Identité
Comment combiner les fonctionnalités
de fédération d’identité et le contrôle
d’accès basé sur les permissions.
Les fonctionnalités de Fédération d’identité
de Visual Guard permettent à des organisations indépendantes
d’accéder à un même système, tout en
utilisant leurs comptes Windows pour authentifier leurs utilisateurs :
- Chaque organisation gère ses comptes Windows, stockés
dans son Active Directory.
- Dans chaque organisation, un administrateur sélectionne les
comptes Windows qui peuvent accéder au système sécurisé
par Visual Guard.
- Les utilisateurs fournissent leur credentials windows pour accéder
au système.
Note
Habituellement, le concept de fédération
d’identité se limite à l’authentification
des utilisateurs.
Dans le cas de Visual Guard, la fédération d’identité
inclut aussi la gestion des rôles et des permissions, ainsi
que l’audit des actions réalisées par les utilisateurs
et administrateurs :
- Lorsqu’un utilisateur distant est authentifié,
Visual Guard applique ses permissions pour contrôler son
accès aux fonctionnalités de l’application.
- Toutes les opérations réalisées par les
utilisateurs sont loggées dans le repository de Visual
Guard.
- De même, toutes les opérations réalisées
par les administrateurs pour déclarer des comptes ou leur
donner des rôles et permissions sont loggées dans le repository
de Visual Guard.
- Les auditeurs peuvent ensuite passer en revue toutes ces opérations.
Web Front-end
Comment authentifier des utilisateurs avec leurs comptes
Windows définis dans un Active Directory indépendant ?
- L’administrateur utilise le VG Federation
Client pour parcourir l’Active Directory local et sélectionne
le compte Windows qui accèdera à l’application.
- Le VG Federation Client appelle le VG serveur
pour déclarer ces comptes dans le VG Repository.
- L’administrateur accorde les rôles
aux utilisateurs avec la console Web d’administration
de VG.
- Quand l’utilisateur se logge à
l’application, VG l’authentifie en utilisant l’ID
Store distant.
- Après le processus de logon, VG récupère
les permissions des utilisateurs pour le Front-End et les applique.
- Quand le Front-End appelle une application Web
Services, VG vérifie que l’utilisateur a accès
à ce Service Web, récupère les permissions
de l’utilisateur pour ce Web Service et les applique.
Win Front-end
Comment authentifier les utilisateurs avec des
comptes Windows définis dans un Active Directory indépendant
?
- L’administrateur utilise le VG Federation
Client pour parcourir l’Active Directory local et sélectionnent
le compte Windows qui accèdera à l’application.
- Le VG Federation Client appelle le VG serveur pour
déclarer ces comptes dans le VG Repository.
- L’administrateur accorde les rôles
aux utilisateurs avec la console Web d’administration
de VG.
- Quand l’utilisateur se logge à l’application,
VG l’authentifiera en utilisant l’ID Store distant.
- Après le processus de logon, VG récupère
les permissions des utilisateurs pour le Windows Front-End et
les applique.
- Si le Front-End appelle une application Web Services,
VG vérifie que l’utilisateur a accès à
ce Web Service, récupère les permissions de l’utilisateur
pour ce Web Service et les applique.