Sign&go est une solution de Single sign-on (authentification unique) de l’éditeur français ILEX. Sa nouvelle version, Sign&go 5.2, sortie le 12 septembre 2013 est une réponse de sécurité unique sur le marché, qui unifie l’authentification forte, le Web SSO, la fédération d’identités et le eSSO (ou « Enterprise Single Sign-On »).

Intéressons-nous aux nouveautés que cette nouvelle version propose.

1) Authentification hors bande

Un nouveau type d’authentification apparaît avec la sortie de cette nouvelle version dans le but d’éviter toute usurpation d’identité. L’authentification se présente en plusieurs étapes : tout d’abord l’utilisateur s’authentifie avec son moyen d’authentification habituel (login / mot de passe, carte RFID, carte CPS…), puis dans un second temps un OTP (One Time Password) lui est transmis soit par mail, soit par SMS afin de finaliser son authentification. Cette méthode permet de se protéger des attaques de type « Man in the Middle » ; en effet, pour transmettre le jeton OTP lors de la deuxième phase d’authentification, un canal de communication différent de la première est utilisé.

authent-hors-bande-SnG

2) Améliorations de Sign&go Mobility Center

Arrivée avec la version 5.1 de Sign&go, la fonctionnalité « Mobility Center » a évolué et propose désormais plusieurs innovations :
Ajout de l’authentification par certificat client
Une API d’authentification est maintenant disponible pour Android et iOS
Support de la web interface Citrix
Ajout de la fonctionnalité de SSO sur les applications Web

3) Evolution des agents Web

Evolution des agents web Apache pour supporter un accès aux serveurs de sécurité par adresse IP virtuelle (VIP : Virtual IP Address). Les agents bénéficient ainsi d’une gestion plus simple de la répartition de charge apportée par la présence d’une VIP.

4) Web SSO

  • Évolutions dans la console d’administration
        – Les accès aux différentes applications destinées aux administrateurs et au helpdesk sont maintenant filtrés en fonction du profil de l’utilisateur.
      Possibilité de créer des « profils administrateurs » afin d’affiner les accès des différents administrateurs de la solution

Profils-admin-sng

      – Ajout d’un magasin de certificats administrable. Cette fonctionnalité permet de s’assurer que les différents serveurs de sécurité possèdent bien tous la même configuration. Ces certificats permettent d’établir des connexions SSL vers les différents serveurs utilisés par Sign&go (annuaires, serveurs web…)
      – Possibilité d’insérer des actions par scripting aux différentes étapes de traitement d’un formulaire afin de gérer les cas les plus complexes. Il est maintenant possible de modifier les données qui devront être transmises (par exemple mettre le login en majuscules, etc…) et de gérer les différents cas d’erreurs.
        – Possibilité de définir un script partagé : Ce script sera partagé par tous les autres scripts. Si vous avez un bout de code, une fonction par exemple, qui est utilisée dans la plupart de vos scripts, il est maintenant possible de ne la définir qu’une fois et d’appeler cette fonction dans vos différents scripts

.

        – Au niveau de l’onglet Habilitations, une nouvelle branche appelée « Applications » fait son apparition. Cette branche va permettre de déclarer des applications web, mais surtout de définir un ensemble d’URLs relatives à cette application afin d’en faciliter l’administration

.

      – Ajout d’un éditeur de texte avec coloration syntaxique pour les éditions de scripts de la configuration WSS en mode avancé
  • Gestion du multi-compte sur les applications Web.
      Propose à l’utilisateur de choisir un compte applicatif pour se connecter parmi les différents comptes qu’il possède. L’utilisateur a la possibilité de choisir d’utiliser automatiquement ce compte le temps de sa session Sign&go, sans qu’on lui repropose les différents comptes.
    • Il est maintenant possible de forcer un utilisateur à se réauthentifier sur des applications dîtes sensibles s’il n’a pas accéder à l’application depuis un certain temps (paramétrable), et ceux même si son jeton est toujours valide

.

  • L’inter-opérabilité avec la solution Meibo Role Manager (MRM) d’ILEX a été accrue. La gestion des droits d’accès aux ressources peut maintenant être gérée directement par MRM.

5) Configuration générale

Support de l’authentification mutuelle SSL pour les connexions du serveur de sécurité vers les différents annuaires.

6) Support de la JRE 7

7) Fédération

Support de la fédération sur Office 365 et Google Apps
Ajout d’une possibilité d’export des métadonnées au format XML afin de simplifier la mise en place de la configuration entre les différents partenaires
SAML, la localisation des tables de fédération est rendue paramétrable

8) Agent d’authentification

Ce dernier a fusionné avec le « sélecteur utilisateur »
Ajout d’une action « Attendre » afin de positionner des délais
Ajout de l’action « Verrouillage avec un écran transparent » et de l’événement « Échec d’authentification »

9) eSSO

– Support de Windows 8.1
– Support du navigateur Google Chrome
– Les accréditations secondaires saisies en mode déconnecté seront remontées à Sign&go dès qu’il repassera en mode connecté
– Stratégie de mot de passe : possibilité de définir une liste de caractères interdits
– Ajout de la possibilité de définir des actions sur une page spécifique pour mieux gérer le changement de mot de passe lorsque celui-ci expire
– Ajout d’une section permettant de surveiller qu’une fenêtre est bien détectée
– Possibilité de faire un Import / Export pour un modèle d’application particulier

10) Changement de version du Tomcat : 7.0.39

11) Amélioration de l’application de gestion des comptes applicatifs (ssomanager.jsp).

On peut maintenant accéder à la visualisation des accréditations d’un compte applicatif.

12) HookAD

Remise à niveau de l’agent API embarqué dans le Hook AD. Le paramétrage de l’agent API est maintenant centralisé pour les nouvelles versions du Hook livré avec la version 5.2 de Sign&go. Il est donc nécessaire de créer un profil poste spécifique pour le hook et de télécharger la configuration associée au profil via l’outil de configuration Sign&go (CfgTools).

Voici donc l’ensemble des nouveautés que propose cette nouvelle version de Sign&go qui apportera un confort certain aux administrateurs ainsi qu’une multitude de nouvelles fonctionnalités appréciables.

Toutes ces informations sont disponibles dans la Release Notes de la solution.

Damien

Consultant Sécurité