CyberArk est une entreprise de sécurité de l'information cotée en bourse proposant une sécurité des comptes privilégiés. CyberArk offre la solution la plus complète de l'industrie pour réduire le risque créé par les identifiants et les secrets privilégiés. La société est reconnue par les principales organisations du monde, y compris plus de 50 % des entreprises du classement Fortune 500, pour se protéger contre les attaquants externes et les initiés malveillants.
Aperçu de la solution d'authentification Hideez
Hideez SAML Identity Provider (Hideez IdP) implémente le profil SSO basé sur navigateur Web SAML 2.0, fournissant une authentification unique entre domaines pour les applications prenant en charge SAML.
SAML (Security Assertion Markup Language) est une norme d'échange de données d'authentification et d'autorisation entre domaines de sécurité. SAML 2.0 est un protocole basé sur XML qui utilise des jetons de sécurité contenant des assertions pour transmettre des informations sur un principal (généralement un utilisateur final) entre une autorité SAML, appelée fournisseur d'identité (IdP), et un consommateur SAML appelé fournisseur de service (SP).
Hideez IdP et Hideez Enterprise Server permettent ensemble la méthode d'authentification Hideez pour l'accès Web à la voûte de mots de passe CyberArk (PVWA), qui appartient à des SP conformes à SAML 2.0.
La méthode d'authentification Hideez est une solution MFA légère et élégante. La solution est basée sur l'authentificateur sans fil Hideez Key - un produit phare de Hideez qui implémente le concept de système sur puce. Parmi les principales capacités, on trouve le transport sans fil Bluetooth 4.0, un stockage de certificats matériel, un gestionnaire de mots de passe avec reconnaissance dynamique des ressources, le verrouillage/déverrouillage de PC Windows basé sur la proximité Bluetooth, la livraison sans fil distante centralisée de certificats à une instance Hideez Key, 112 bits de sécurité pour les données au repos et en transit. De plus, Hideez Key fournit un jeton RFID comme facteur supplémentaire d'identification de l'utilisateur, qui peut être utilisé dans une large gamme de cas d'utilisation, de l'accès à un espace de travail à la participation à des algorithmes d'authentification.
Hideez IdP est construit sur Shibboleth IdP v.3 disponible sous la licence de logiciel open source Apache 2.0. Shibboleth est l'une des solutions d'identité fédérée les plus largement déployées au monde, connectant les utilisateurs aux applications à la fois au sein et entre les organisations. Hideez IdP complète la puissance d'authentification intégrée dans Shibboleth avec sa propre méthode d'authentification.
Avantages de la solution d'authentification Hideez
● Hideez résout le problème des ordinateurs non surveillés et élimine la possibilité de violations de données et d'attaques internes ;
● Hideez fournit un moyen d'identification utilisateur unique et d'authentification multi-facteurs permettant de se conformer à différentes réglementations ;
● Hideez résout le problème d'accès non autorisé en ajoutant une couche d'identification supplémentaire dans les processus d'authentification de l'utilisateur ;
● Hideez résout le problème des points d'extrémité multi-utilisateurs lorsque l'on doit garantir que l'utilisateur qui a déverrouillé un ordinateur et l'utilisateur qui signe la transaction sont la même personne.
● Hideez permet une authentification sans contact et résout le problème des zones de travail avec un climat ou des contrôles d'infection spécifiques en place ;
● Hideez résout le problème des délais courts avant le verrouillage d'un ordinateur ;
● Hideez combine un moyen d'accès logique et physique en un seul appareil, rendant la solution plus pratique en excluant la duplication ;
● Le gestionnaire de mots de passe Hideez fournit des certificats à la fois aux cibles locales et distantes
Avantages clés de l'intégration (Hideez & CyberArk PVWA)
● Une solution MFA légère et complète pour CyberArk PVWA ;
● Une couche de sécurité supplémentaire pour les utilisateurs privilégiés de CyberArk en raison de la nature système-sur-puce - tous les certificats toujours avec l'utilisateur sur sa Hideez Key dans sa poche ;
● Base pour étendre les concepts SSO et de fédération entre les composants de l'écosystème de gestion des accès privilégiés
Diagramme de Hideez SAML IDP et description de l'intégration
Hideez et intégration avec CyberArk PVWA
La solution d'authentification Hideez consolide différentes méthodes d'authentification, approches, fonctionnalités et les rend disponibles avec Hideez Key. La solution comprend des instances de Hideez Key, un agent local Hideez Safe et un serveur d'entreprise Hideez.
Le serveur d'entreprise Hideez fournit un référentiel d'identité et est responsable de la gestion centralisée des certificats, y compris la livraison sans fil distante de certificats vers le périphérique Hideez Key de l'utilisateur.
Hideez SAML IdP transforme le serveur d'entreprise Hideez en une autorité d'authentification et de SSO. Hideez fournit cette fonctionnalité comme moyen pratique d'activer le MFA pour CyberArk PVWA. L'intégration SAML entre CyberArk PVWA et Hideez IdP nécessite des interventions minimales dans la configuration de CyberArk.
Cas d'utilisation
Un utilisateur possède une instance de Hideez Key. Il l'utilise pour stocker des certificats séparément de tout environnement opérationnel. Il y a authentification à différents services Web et applications parmi les activités quotidiennes. La nouvelle réglementation exige une authentification à deux facteurs pour accéder aux systèmes de gestion d'accès privilégiés, y compris CyberArk PVWA. La configuration actuelle ne satisfait pas aux nouvelles exigences.
Un administrateur sait que Hideez prend en charge le MFA. Il met en place une intégration entre CyberArk PVWA et Hideez en utilisant la fonctionnalité Hideez SAML IdP et l'option d'authentification SAML prise en charge par CyberArk PVWA.
La configuration résultante satisfait aux exigences de la réglementation sur le MFA.
Prérequis et dépendances
1. Hideez SAML IdP et Hideez Enterprise Server doivent être configurés et disponibles ;
2. Hideez Key et le logiciel client local Hideez Safe doivent être configurés sur le poste de travail de l'utilisateur ;
3. L'intégration entre CyberArk PVWA et Hideez IdP nécessite que les deux soient disponibles pour un navigateur Web de l'utilisateur via les noms de domaine appropriés via une connexion HTTPS. Ce document suppose que PVWA est disponible via https://pvwa.hicorps.com/PasswordVault/v10/, Hideez IdP est disponible via https://idp.hicorps.com/idp/ ;
4. Bien que la configuration de l'intégration nécessite des interventions minimales dans l'environnement CyberArk, les droits administratifs appropriés pour modifier la configuration de CyberArk PVWA sont encore nécessaires ;
5. Les utilisateurs qui seront mappés doivent exister à la fois sur les côtés HES et PVWA.
Le serveur d'entreprise Hideez et Hideez SAML IdP peuvent être obtenus sur demande en utilisant n'importe quel contact en bas de ce document. Vous pouvez également demander notre démo sur le fonctionnement de la solution d'authentification Hideez, y compris IdP.
