Skip to content Skip to navigation Skip to footer

Gestion des identités et des accès

Connectez chaque identité à vos ressources de manière sécurisée et bénéficiez d’une gestion simplifiée.

web product icon identity access management

Gestion des identités et des accès (IAM) - Synthèse

Les environnements actuels des entreprises dédiés à la gestion des identités regroupent différents systèmes : équipements réseau, serveur, services d’annuaire et applications cloud. La gestion d’une identité qui est stockée dans ces différents systèmes peut rapidement devenir un vrai défi, avec un impact négatif sur les utilisateurs, les administrateurs et les développeurs applicatifs.

De plus, la majorité des incidents de sécurité les plus graves résulte d'utilisateurs bénéficiant de niveaux d’accès inappropriés ou dont les comptes et mots de passe ont été piratés. Pour maîtriser les incidents de sécurité, il s’agit donc de gérer de manière sécurisée et efficace les données d’authentification et les autorisations pour chaque identité.

 

Présentation des produits de gestion des identités et des accès

Les produits de gestion des identités et des accès (IAM - Identity and Access Management) offrent les services nécessaires pour valider l'identité des utilisateurs accédant au réseau. Avec notre solution robuste, vous contrôlez et identifiez les identités, et vous vous assurez que seuls les utilisateurs légitimes peuvent accéder aux seules ressources dont ils ont besoin.

La solution IAM de Fortinet se structure autour des produits suivants  :

  • FortiAuthenticator neutralise tout accès prohibé aux ressources corporate en proposant des services centralisés d'authentification pour la Security Fabric : services single sign on, gestion des certificats et gestion des invités notamment.
  • FortiToken propose un niveau supplémentaire de validation de l'identité des utilisateurs, en ajoutant un second facteur au processus d'authentification sous la forme de jetons matériels ou applications mobiles.
  • FortiToken Cloud propose l’authentification multifactorielle sous forme de service. Les entreprises gèrent cette authentification multifactorielle à partir du tableau de bord intuitif de la solution.

En associant FortiAuthenticator à FortiToken ou FortiToken Cloud, il devient possible de relever les défis des entreprises en matière de gestion des identités et des accès face à des utilisateurs et dispositifs toujours plus nombreux.

Fonctionnalités et avantages

icon benefits secure authentication

Authentification intuitive et centralisée, et services d'autorisation

S'assure que seules les personnes légitimes accèdent aux données, ressources et applications d’entreprise
icon benefits migration

Authentification multifacteur

Un second facteur de vérification est un moyen supplémentaire de valider avec certitude l’identité des utilisateurs
simple icon

Une authentification SSO pour les ressources web/cloud et de réseau

Fortinet SSO, avec des protocoles d’authentification modernes qui fédèrent les identités pour le SSO (SAML, oAuth, OIDC et API)
icon benefits management

Gestion des invités, du BYOD et des certificats

Portails personnalisables et en self-service
intelligent icon

Déploiement et gestion simplifiées des licences

Différents modes de déploiement (appliances, VM et cloud), avec des options de licences perpétuelles ou à renouveler.
Compliance icon

Intégration avec des annuaires sécurisés

Tire parti des systèmes existants hébergeant les identités, que ce systèmes soient déployés sur site ou dans le cloud.

Modèles et spécifications pour la gestion des accès et des identités

Les produits de gestion des accès et des identités de Fortinet répondent pertinemment aux défis actuels des entreprises en matière de validation de l'identité des utilisateurs et des dispositifs.

FortiAuthenticator propose des services centralisés d'authentification pour la Security Fabric : single sign on, gestion des certificats et gestion des invités notamment.

Appliances matérielles

Nombre total d'utilisateurs
500
Description
4x GE RJ45 ports, 1x 1 TB HDD
Nombre total d'utilisateurs
2,000
Description
4x GE RJ45 ports, 2x 1 TB HDD
Nombre total d'utilisateurs
10,000
Description
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB HDD
Nombre total d'utilisateurs
20,000
Description
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB SAS Drive
Nombre total d'utilisateurs
40,000
Description
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB SAS Drive
Nombre total d'utilisateurs
8,000
Description
4x GE RJ45 ports, 2x GE SFP, 2x 2 TB HDD

Merci de consulter la page produit pour plus d'informations sur les fonctionnalités du produit. 

 

Machines virtuelles

Utilisateurs
100
Description
Base FortiAuthenticator-VM with 100 user license
Utilisateurs
+100
Description
License to add 100 users to base VM
Utilisateurs
+1000
Description
License to add 1000 users to base VM
Utilisateurs
+10000
Description
License to add 10000 users to base VM

FortiToken propose un niveau supplémentaire de validation de l'identité des utilisateurs, en intégrant un second facteur au processus d'authentification, via des jetons matériels ou logiciels.

Description
Two factor authentication application for mobile devices
Description
Standard multi-form factor OATH compliant hardware token
Description
Hardware USB token for X.509 PKI certificates

Pour consulter les fiches techniques, cliquez ici

FortiToken Cloud assure une gestion cloud sécurisée de l'authentification à deux facteurs au sein des environnements FortiGate, du provisioning à la révocation. 

Cliquez ici pour vous connecter au service FortiToken Cloud.

FortiAuthenticator propose le BYOL (bring your own license) pour les clouds publics, via AWS Marketplace et Azure Marketplace.  Pour plus d’informations, merci de cliquer sur les liens ci-dessous :

 

Gestion des identités et des accès (IAM) - Cas d’utilisation

Renforcez votre sécurité et votre productivité, avec un impact minimal sur votre IT

La progression des applications cloud et des dispositifs connectés a modifié nos méthodes de travail. Il en résulte également une surface d’attaque qui s’étend, offrant aux cybercriminels davantage d’opportunités pour mener leurs attaques ciblées. Pour éviter les incidents de sécurité, les entreprises doivent s’assurer que seuls les utilisateurs légitimes accèdent aux ressources qui leur sont autorisées.

Fortinet User Authentication propose des outils pour gérer efficacement l’identité et l’authentification des utilisateurs, des dispositifs, des invités et des partenaires. Il est possible de fédérer les identités pour offrir une expérience optimale aux utilisateurs.

Différentes options de déploiement vous permettent de décider de la meilleure façon de déployer la solution, selon vos besoins. Vous avez le choix entre un matériel sur site et prêt à l’emploi, une machine virtuelle, un cloud managé ou un service SaaS identity-as-a-service (IDaaS). Intégrez rapidement Fortinet IAM avec l’infrastructure d’authentification existante basée sur Active Directory ou LDAP, ou avec de nouveaux services proposés par les fournisseurs cloud. 

 

Sécurisez davantage vos accès avec une authentification multifactorielle

Offrir un accès sécurisé aux applications, aux services ou aux environnements de développement applicatifs présents sur site ou dans le cloud, tout en garantissant une utilisation simple aux utilisateurs finaux, relève d’un vrai défi.

Vous pouvez déjouer les assaillants qui tentent d’accéder à des informations protégées à l’aide de mesures de sécurité complémentaire comment les mots de passes à usage unique (OTP - one-time passcode). L’OTP est une composante de l’authentification multifactorielle, une fonctionnalité de sécurité essentielle des solutions de gestion des accès et des identités (IAM - identity and access management) qui imposent une vérification de multiples identifiants :

  • Des identifiants connus de l’utilisateur : un nom d’utilisateur et un mot de passe.
  • Un élément en possession de l’utilisateur : un mot de passe unique sous la forme d’un jeton ou d’un code. Ce jeton est mis à disposition de l’utilisateur par email ou SMS, via un dispositif matériel qui génère des jetons ou codes, ou via une application d’authentification installée sur le smartphone de l’utilisateur.
  • Un élément spécifique à l’utilisateur : une information biométrique de l’utilisateur de type empreinte digitale.

Ainsi, même si un cybercriminel a su détourner une paire identifiant/mot de passe, il ne peut accéder à un système sans l’autre information.

L’authentification multifactorielle offre un accès simple et sécurisé aux VPN, réseaux Wi-Fi, environnements sur site et applications cloud. Les utilisateurs peuvent s’authentifier rapidement en répondant à une notification push sur leur smartphone lors du processus d’authentification.

En savoir plus

Renforcer la sécurité et simplifier l’accès des utilisateurs grâce au SSO

Une bonne pratique en matière de gestion des accès et des identités IAM consiste à gérer de manière centralisée l’identité des utilisateurs et leurs privilèges d’accès aux ressources corporate. Avec une solution IAM centralisée, les administrateurs IT peuvent déployer une authentification multifactorielle et exiger des utilisateurs qu’ils utilisent des mots de passe forts. De plus, Fortinet IAM renforce l’expérience des utilisateurs qui accèdent aux services IT et applications dans le cloud et sur site.

L’authentification SSO (Single Sign-On) est une composante clé de l’IAM qui permet aux utilisateurs de s’authentifier de manière sécurisée à de multiples applications et sites web, suite à une première et unique authentification. Cependant, toutes les solutions SSO ne se valent pas. Certains fournisseurs proposent une solution SSO pour les applications web, d’autres tirent parti d’une infrastructure de cloud public. Certaines solutions SSO sont néanmoins conçues pour les environnements sur site (applications, stockage de fichiers, serveur et réseaux). Se contenter d’une application SSO web n’offre pas de sécurité efficace des identités : en effet, les infrastructures cloud et les services sur site présentent des besoins SSO différents. Dans ce cas, la gestion des identités resterait décentralisée pour l’essentiel et exigerait des efforts d’intégration entre différentes solutions SSO.

Fortinet FortiAuthenticator propose une approche complète au SSO, avec une gestion centralisée des identités. La solution authentifie les utilisateurs à l’aide des protocoles dédiés aux environnements sur site, mais aussi web et cloud. Les entreprises gardent ainsi la main sur les processus d’authentification. Vous pouvez connecter vos utilisateurs aux ressources dont ils ont besoin de manière sécurisée, que ces ressources soient sur site ou dans le cloud.

En savoir plus

FortiAuthenticator Demo

product demo fortiauthenticator

FortiAuthenticator Demo

This full working demo lets you explore the many capabilities of FortiAuthenticator - for user identification, single sign-on, and/or two-factor authentication. You can see the range of identity sources (integration with directory services), authentication methods (hardware, software, SMS tokens), end user self-service portal, and more. And you'll quickly learn how easy it is to scalably add these capabilities to a FortiGate deployment.

Access the demo

Gestion des identités et des accès - FAQ

Qu’est-ce FortiAuthenticator (FAC) ?
FortiAuthenticator centralise l’ensemble des services d’authentification (authentification à 2 facteurs, single sign-on Fortinet, single sign-on SAML 2.0) et des portails dédiés aux invités et à la gestion du cycle de vie des certificats.

Est-ce que FAC est compatible avec des machines virtuelles ?
Oui. FAC pour les machines virtuelles est évolutif de 100 à plus d’un million d’utilisateurs. La licence est perpétuelle et se rajoute aux autres licences existantes. Elle n’est pas fonction de la puissance CPU ou de la mémoire RAM. FAC se décline en 5 modèles d’appliances. Consultez la fiche produit de FAC pour les spécifications détaillées.

Dispose-t-on d’une haute-disponibilité et d’une répartition des charges avec FAC ?
Oui.

FortiGate de Fortinet propose déjà une authentification à deux facteurs (avec SAML notamment), pourquoi devrais-je investir dans FAC ?
FAC s’impose lorsque l’architecture de sécurité nécessite une plateforme d’authentification centralisée, au-delà de la fonctionnalité d’authentification fournie par une appliance FortiGate. De manière générale, FAC est nécessaire lorsque l’authentification doit être intégrée et que plusieurs FortiGate sont déployés.

Quels sont les protocoles et méthodes d’authentification proposés par FAC ?
De nombreux protocoles web, réseau et d’authentification à un portail sont pris en charge.

  • Les utilisateurs peuvent s’authentifier via un portail web et des widgets.
  • Les utilisateurs de FortiClient Endpoint Security sont automatiquement identifiés via l’agent de mobilité SSO FortiClient.
  • Les utilisateurs qui s’authentifient par rapport à Active Directory sont automatiquement authentifiés.
  • Les paquets RADIUS peuvent être utilisés pour déclencher une authentification FSSO.

Pour plus d’information, téléchargez la fiche produit FAC

Qu’est-ce qu’une authentification à deux facteurs ?
L’authentification à 2 facteurs (A2F) est une méthode pour attribuer l’accès vers une application en ligne, un compte ou un équipement réseau. Cette méthode exige de l’utilisateur deux types d’information. Le premier facteur permet d’indiquer à un service en ligne ou un dispositif réseau que vous êtres bien celui que vous indiquez être. Il s’agit généralement d’une information que vous connaissez, comme une paire nom d’utilisateur/mot de passe. Le second facteur vous permet de prouver votre identité, à l’aide d’un élément qui est en votre possession, comme un jeton.

Les solutions d’authentification à 2 facteurs sont-elles toutes aussi efficaces les unes que les autres ?
L’authentification à 2 facteurs se décline en de multiples approches et formats. Certains sont plus efficaces que d’autres.

  • La méthode traditionnelle A2F repose sur des jetons matériels. Ces jetons ont souvent le format d’une clé électronique avec une interface affichant des mots de passe à utilisation unique (OTP pour One Time Password). Le matériel protège lui-même sa clé interne.
  • Les jetons mobiles fonctionnent comme leurs homologues matériels mais sont fournis sous forme d’une application mobile. Il s’agit de distinguer l’application mobile du jeton pour assurer une sécurité efficace. L’application fait office de générateur OTP et fait le lien vers un jeton installé sur l’application. Lors de l’activation du jeton, une solution efficace proposera le secret partagé (ou seed) du jeton dans un format chiffré, non lisible. Fortinet FortiToken Mobile (FTM) fournit le secret partagé du jeton FTM de manière chiffrée lors de l’activation, et prévient toute activation du jeton de manière simultanée sur plusieurs dispositifs. De plus, FTM avec FortiAuthenticator ou FortiToken Cloud offre un service breveté de transfert de jeton pour FTM et les jetons de tierces parties. Ceci permet un transfert sécurisé des tokens sur différentes plateformes sous iOS ou Android, un avantage que nulle autre application n’offre à ce jour.

Quelles sont les options de jetons qu’offre Fortinet ?
Une gamme intégrale de types de jetons :

  • Matériel, sous différents formats : Format carte de crédit et de clé électronique avec affichage large (format USB pour les jetons PKI)
  • Jeton logiciel compatible à de multiples plateformes mobiles (iOS, Android, Windows)
  • Authentification multifactorielle sur FortiToken Cloud

Qu’est-ce que l’authentification SAML 2.0  ?
Security Assertion Markup Language (SAML) est une norme qui permet d’authentifier les utilisateurs accédant aux applications en ligne via SSO (single sign-on). Il s’agit d’un framework XML d’authentification et d’autorisation entre deux entités : un fournisseur de services (SP pour Service Provider) et un fournisseur d’identité (idP pour Identity Provider). Un SP est une application en ligne à laquelle souhaite accéder l’utilisateur, tandis que l’idP réalise la fonction d’authentification.

L’authentification SAML 2.0 se structure autour de 2 flux utilisateur :

  • Le flux idP est initié par une page au sein de l’idP qui affiche une liste d’applications et de services auxquels un utilisateur peut s’authentifier compte tenu de ses droits d’accès. Le SP fait confiance à l’idP et offre un accès une fois que l’idP a authentifié l’utilisateur.
  • Le flux SP est initié lorsque l’utilisateur ou le navigateur demande l’accès à l’application ou le service qu’offre le SP. Lorsque l’utilisateur tente d’accéder à l’application en ligne, le SP crée une requête SAML, puis redirige l’utilisateur et les informations de la requête vers l’idP à des fins d’authentification. Le SP autorise l’accès une fois que l’utilisateur est vérifié et authentifié par l’idP.

La solution FAC est-elle compatible avec les deux flux SAML 2.0 ?
Oui, FortiAuthenticator propose les deux types de flux SAML (initié par l’idP et initié par le PS) avec authentification forte (2FA). De plus, au sein des environnements plus complexes, la solution FAC offre un proxy idP qui simplifie l’adoption des applications cloud par les entreprises.

Qu’est-ce que le SSO ?
Le SSO est une fonction IAM (gestion des identités et des accès). Elle permet aux utilisateurs de s’authentifier une seule fois et de manière sécurisée à l’aide de ses identifiants, puis d’accéder aux différentes applications pour lesquelles l’utilisateur dispose de droits d’accès.

Qu’est-ce que le FSSO (Fortinet Single Sign-on) ?
Fortinet Single Sign-on, autrefois FortiGate Server Authentication Extension (FSAE), est le protocole d’authentification par lequel les utilisateurs s’authentifient en toute transparence à des plateformes FortiGate, FortiAuthenticator et FortiCache. FAC identifie les utilisateurs suite à une authentification initiale sur un système différent. Les utilisateurs peuvent s’authentifier à l’aide de différentes méthodes, telles que :

  • Les utilisateurs peuvent s’authentifier via un portail web et des widgets.
  • Les utilisateurs de FortiClient Endpoint Security sont automatiquement identifiés via l’agent de mobilité SSO FortiClient.
  • Les utilisateurs qui s’authentifient par rapport à Active Directory sont automatiquement authentifiés.
  • Les paquets RADIUS peuvent être utilisés pour déclencher une authentification FSSO.
  • Les utilisateurs peuvent s’identifier via la RestAPI de FAC. (Pratique pour les intégrations avec les systèmes tiers.)

Qu’est-ce que Fortinet Mobile Single Sign-on Agent ?
Il s’agit d’une fonctionnalité de FortiClient Endpoint Security. L’agent offre automatiquement le nom d’utilisateur et l’adresse IP à FAC pour assurer une authentification transparente. Les changements d’adresses IP, comme lors d’un roaming WiFi, sont automatiquement relayés à FAC. Lorsque l’utilisateur se déconnecte, cette information est transmise à FAC qui annule la session de l’utilisateur.

Quels sont les idP compatibles avec FAC ?
Tout idP utilisant SAML 2.0 est compatible. La majorité des idP SAML 2.0 ne peuvent pas créer d’attributs personnalisés. FAC accepte tout type d’attribut personnalisé de groupe/d’utilisateur. Azure, GSuite et Okta font parti des idP dont la compatibilité a été testée et validée.

L’authentification à 2 facteurs avec O365 est-elle proposée ?
Nous prenons en charge O365 en tant que SP SAML lorsque FAC est utilisé en tant qu’idP, avec un annuaire Active Directory sur site et via une authentification LDAP.

Quels sont les pré-requis pour faire d’O365 un SP lorsque FAC fait office d’idP ?
Nous prenons en charge O365 en tant que SP SAML lorsque FAC est utilisé en tant qu’idP avec un annuaire Active Directory sur site et une authentification LDAP. Sur FAC, il vous suffit d’indiquer qu’O365 est le SP SAML et de créer un lien d’authentification LDAP vers votre annuaire Active Directory sur site.

FAC peut-il mapper un nom de domaine à un idP SAML qui dispose sur du paramètre « UserID » ?
Oui. Chaque idP SAML peut être associé à un domaine.

Quelles sont les versions de FortiOS compatibles avec FortiToken Cloud ?
FortiOS 6.2.x et les versions ultérieures.

Pour l’achat de nouveaux jetons permettant une authentification à deux facteurs depuis le cloud, faut-il s’adresser aux commerciaux Fortinet ou à un partenaire revendeur, ou est-il possible d’acheter directement via l’application ?
Toutes les licences pour FortiToken Cloud sont disponibles en tant que référence produit dans notre grille tarifaire. Seule la référence de base (120 points) est disponible à l’achat via l’application.

L’utilisation de FortiToken Cloud nécessite-t-elle l’achat d’une licence pour FortiToken Mobile ou pour les jetons physiques ?
FortiToken Mobile est inclus dans l’abonnement à FortiToken Cloud. Les jetons physiques FortiToken font l’objet d’un achat distinct.

Les SMS sont-ils possibles avec FortiToken Cloud ?
Les SMS peuvent se substituer aux emails pour acheminer un code d’activation pour FortiToken Mobile via l’application mobile. Les SMS peuvent se substituer à FortiToken pour fournir des mots de passe OTP dans le cadre d’une authentification à 2 facteurs. Cette méthode est néanmoins moins sécurisée et ne doit être utilisée qu’en tant que solution temporaire pour les ressources non-critiques.

Dans mon abonnement à FortiToken Cloud, 1 point est-il équivalent à 1 mois d’utilisation ?
Une fois qu’un utilisateur sous licence est enregistré, vous pouvez utiliser les points FortiToken Cloud. 1 point = 1 utilisateur pour un mois d’utilisation. Les jetons de FortiToken Mobile sont inclus dans l’abonnement à FortiToken Cloud, et les jetons FortiToken Mobile ne sont pas facturés. L’envoi de 250 SMS correspond également à 1 point.

Est-il possible de consulter un guide d’utilisation pour connaître comment activer la fonction Push de FTM ?
Consultez ce document en cliquant ici.

Est possible de consulter un guide d’utilisation pour connaître comment activer la fonction Push de FTM à partir de FAC et sans ouverture de ports ?
Consultez ce document en cliquant ici.

Les solutions FAC et FTC offrent-elles un transfert de tokens entre différents dispositifs sous iOS et Android ?
Oui. Les utilisateurs doivent activer l’option de transfert dans FAC et disposer d’au moins un token FTM installé sur l’application FTM.