Authentification et identification / Choix de la méthode d'authentification/identification |
Choisissez votre ou vos méthodes d'authentification dans Olfeo selon les critères ci-dessous, en fonction de vos populations d'utilisateurs et en fonction de vos besoins réels.
Quels critères de choix votre infrastructure impose-t-elle?
Le choix de la méthode d'authentification doit prendre en compte les contraintes liées au mode d'intégration choisi, et les deux sont étroitement liés à votre infrastructure.
Tenez compte :
Souhaitez-vous que vos utilisateurs aient à entrer leur mot de passe ?
On parle parfois d'authentification transparente : l'expression "authentification transparente" s'entend au sens de "transparente pour l'utilisateur". On ne demande jamais à l'utilisateur de saisir son identifiant/mot de passe à la main, l'authentification se fait de façon automatique. Mais par nature une authentification n'est pas transparente pour l'application cliente (le proxy demande toujours explicitement au client de s'authentifier).
Quel niveau de sécurité est nécessaire pour votre organisation?
Il existe plusieurs mécanismes d'authentification, plus ou moins forts, c'est-à-dire avec un niveau de fiabilité plus ou moins élevé.
Mécanismes d'authentification forts proposés par Olfeo : Kerberos, NTLM.
Mécanismes d'authentification faibles proposés par Olfeo : portail captif, authentification LDAP basique, portail public.
Fiabilité des différentes méthodes
Dans tous les cas, gardez à l'esprit qu'aucune méthode ne garantit de façon absolue l'identité de la personne physique ayant effectué la navigation.
Identification, basée sur l'adresse IP | Une adresse IP identifie une machine et non un utilisateur. L'adresse IP n'est pas un critère fiable pour identifier un utilisateur :
|
---|---|
Authentification utilisant directement ou indirectement le couple identifiant/mot de passe | Lorsqu'une authentification est faite ou que l'Olfeo reçoit un identifiant, il voit qu'une personne a utilisé un certain compte utilisateur pour surfer sur tel ou tel
site internet, mais cela ne garantit pas que la personne physique ayant utilisé le
navigateur est bien la personne titulaire de cet identifiant. Par exemple :
|
Quel niveau de contrainte êtes-vous prêts à gérer?
NTLM |
|
---|---|
Kerberos |
|
Si vous êtes dans un environnement contrôlé (typiquement : postes fixes, dont les adresses IP sont attribuées au moment de l'ouverture matinale de la session utilisateur), et que votre besoin est d'appliquer des politiques de filtrage par identifiant, utilisez un portail captif. (Avec NTLM si vous souhaitez que l'utilisateur n'ait pas à entrer son mot de passe.) Cette solution vous permet de vous affranchir des contraintes imposées par les méthodes d'authentification fortes : coût réseau et/ou cryptographique, nombreuses exceptions à gérer au quotidien...
Méthode | Annuaire utilisé pour authentifier/identifier | Transparent pour l’utilisateur ? | Authentification/identification réalisée par ? |
---|---|---|---|
NTLM | AD | Oui (avec fallback explicite) | Proxy |
Kerberos AD | AD | Oui | Proxy |
Kerberos natif | n/a (la méthode ne s'appuie pas sur un annuaire) | Oui | Proxy |
LDAP basique | LDAP, AD, Novell | Non (fenêtre pop-up) | Proxy |
Portail captif | LDAP, AD, Novell | Non (page HTML) | Moteur de filtrage |
Portail captif NTLM | AD | Oui | Moteur de filtrage |
SSO Novell | Novell | Oui | Moteur de filtrage |