Comment gérer plusieurs moyens d’authentification avec un seul tenant ?

Dans son offre My-Access, Memority propose un ensemble de mécanismes pour organiser et personnaliser l’authentification des utilisateurs aux applications fédérées en fonction de leur identité, de l’appareil et du réseau utilisés, et de l’application à laquelle ils souhaitent accéder. Avec Memority on s’adapte !

Posons le décor

Pour mieux comprendre comment gérer plusieurs moyens d’identification avec un seul tenant, imaginons une société, que nous allons appellerons myCompany. Chez myCompany, nous avons, bien sûr, des employés internes, mais également des prestataires. Les employés de myCompany ont à leur disposition le matériel fourni par la société – PC et carte à puce par exemple – , leur permettant d’accéder aux applications du SI. Les prestataires, cependant, viennent chez myCompany en utilisant leur propre matériel (fourni par leur société prestataire). Ces derniers doivent tout de même pouvoir accéder à des applications du SI de myCompany pour effectuer correctement leur mission. Voyons comment.

Le cas des employés internes 

Pour les employés internes, afin de rendre l’authentification la plus fluide possible, Memority est en mesure de leur proposer divers moyens, tels que l’authentification Kerberos, Windows Hello ou la carte à puce, et, en complément, de mettre en place des règles d’authentification adaptative en fonction du contexte. Par exemple, il est possible de déclencher l’authentification Kerberos automatiquement et directement si l’utilisateur n’est pas sur un mobile. Si celle-ci est valide, alors l’authentification est totalement transparente pour l’utilisateur. En revanche, si celle-ci échoue (car l’utilisateur ne se trouve pas sur le réseau de myCompany et/ou pas sur un PC fourni par myCompany), alors les autres modes d’authentification disponibles en fonction du contexte peuvent être proposés, tels que la carte à puce, si celle-ci est détectée sur le poste, ou Windows Hello, si un enrôlement Windows Hello du poste de myCompany a été effectué auparavant par l’utilisateur. Mais que se passe-t-il si un employé a besoin d’accéder à certaines applications depuis un mobile ? Les moyens d’authentification précédents étant limités au PC, il est possible d’ajouter un autre moyen, par exemple par login / mot de passe, qui serait alors disponible uniquement pour les employés, et uniquement sur un appareil mobile. Les employés de myCompany disposent alors de 4 moyens d’authentification différents pour accéder aux applications du SI. Quel choix !

 

Déclenchement automatique de Windows Hello sur un PC

 

Déclenchement automatique de l’authentification par login/mot de passe sur un mobile

Le cas plus sensible des prestataires

Mais qu’en est-il des prestataires ? N’ayant pas de matériel fourni par myCompany, ils ne peuvent utiliser ni Kerberos, ni Windows Hello, ni une carte à puce. Pourquoi ne pas leur proposer des moyens de double facteur d’authentification proposés par l’offre My-Keys de Memority ? Sur un PC, le prestataire pourrait enrôler un navigateur. L’authentification Memority serait alors possible uniquement sur ce navigateur, et en particulier sur ce poste. Le prestataire peut également utiliser l’application mobile Memority disponible sur les app store Android et iOS afin de recevoir des notifications push à valider lors de l’authentification. Si le prestataire n’a pas de mobile fourni par sa propre société et ne souhaite pas installer d’application sur son mobile personnel, l’envoi d’un OTP par SMS ou mail peut également être proposé. L’offre My-Keys permet la gestion de ces différents seconds facteurs : elle détermine qui peut en bénéficier, quel est le process d’activation associé, quelles actions sont disponibles en self-service, etc. Et donc, bien sûr, seuls les moyens d’authentification activés pour/par l’utilisateur lui seront proposés à l’authentification. Ainsi, les prestataires disposent également de 4 moyens d’authentification pour accéder aux applications du SI de myCompany. Egalité, pas de jaloux

Moyens d’authentification proposés aux prestataires

L’application accédée

À tous ces critères basés sur l’identité, l’appareil et le réseau, s’ajoute enfin l’application accédée. Pour chaque moyen d’authentification défini chez myCompany, un niveau de sensibilité est défini. Il en va de même pour chaque application fédérée à Memority. Ainsi, lors de l’accès à une application, que l’on soit employé ou prestataire, sur un PC ou sur mobile, en interne ou externe au réseau de la société, seuls les moyens d’authentification dont le niveau de sensibilité est égal ou supérieur à celui de l’application sont possibles et donc proposés lors de l’authentification (en combinaison des critères définis précédemment).

… et bien plus encore !

Tout ceci est bien sûr un exemple. La personnalisation de l’authentification adaptative Memority peut très bien être simplifiée ou, au contraire, étendue à d’autres moyens d’authentification à disposition, à d’autres critères de l’identité, etc. Avec Memority, tout devient possible !

 

Élodie Mazuel
Professional Services - Memority