Les environnements actuels des entreprises dédiés à la gestion des identités regroupent différents systèmes : équipements réseau, serveur, services d’annuaire et applications cloud. La gestion d’une identité qui est stockée dans ces différents systèmes peut rapidement devenir un vrai défi, avec un impact négatif sur les utilisateurs, les administrateurs et les développeurs applicatifs.

De plus, la majorité des incidents de sécurité les plus graves résulte d'utilisateurs bénéficiant de niveaux d’accès inappropriés ou dont les comptes et mots de passe ont été piratés. Pour maîtriser les incidents de sécurité, il s’agit donc de gérer de manière sécurisée et efficace les données d’authentification et les autorisations pour chaque identité.

Les produits de gestion des identités et des accès (IAM - Identity and Access Management) offrent les services nécessaires pour valider l'identité des utilisateurs accédant au réseau. Avec notre solution robuste, vous contrôlez et identifiez les identités, et vous vous assurez que seuls les utilisateurs légitimes peuvent accéder aux seules ressources dont ils ont besoin.

La solution IAM de Fortinet se structure autour des produits suivants  :

• FortiAuthenticator neutralise tout accès prohibé aux ressources corporate en proposant des services centralisés d'authentification pour la Security Fabric : services single sign on, gestion des certificats et gestion des invités notamment.
• FortiToken propose un niveau supplémentaire de validation de l'identité des utilisateurs, en ajoutant un second facteur au processus d'authentification sous la forme de jetons matériels ou applications mobiles.
• FortiToken Cloud propose l’authentification multifactorielle sous forme de service. Les entreprises gèrent cette authentification multifactorielle à partir du tableau de bord intuitif de la solution.

En associant FortiAuthenticator à FortiToken ou FortiToken Cloud, il devient possible de relever les défis des entreprises en matière de gestion des identités et des accès face à des utilisateurs et dispositifs toujours plus nombreux.

La progression des applications cloud et des dispositifs connectés a modifié nos méthodes de travail. Il en résulte également une surface d’attaque qui s’étend, offrant aux cybercriminels davantage d’opportunités pour mener leurs attaques ciblées. Pour éviter les incidents de sécurité, les entreprises doivent s’assurer que seuls les utilisateurs légitimes accèdent aux ressources qui leur sont autorisées.

Fortinet User Authentication propose des outils pour gérer efficacement l’identité et l’authentification des utilisateurs, des dispositifs, des invités et des partenaires. Il est possible de fédérer les identités pour offrir une expérience optimale aux utilisateurs.

Différentes options de déploiement vous permettent de décider de la meilleure façon de déployer la solution, selon vos besoins. Vous avez le choix entre un matériel sur site et prêt à l’emploi, une machine virtuelle, un cloud managé ou un service SaaS identity-as-a-service (IDaaS). Intégrez rapidement Fortinet IAM avec l’infrastructure d’authentification existante basée sur Active Directory ou LDAP, ou avec de nouveaux services proposés par les fournisseurs cloud. 

Qu’est-ce FortiAuthenticator (FAC) ?
FortiAuthenticator centralise l’ensemble des services d’authentification (authentification à 2 facteurs, single sign-on Fortinet, single sign-on SAML 2.0) et des portails dédiés aux invités et à la gestion du cycle de vie des certificats.

Est-ce que FAC est compatible avec des machines virtuelles ?
Oui. FAC pour les machines virtuelles est évolutif de 100 à plus d’un million d’utilisateurs. La licence est perpétuelle et se rajoute aux autres licences existantes. Elle n’est pas fonction de la puissance CPU ou de la mémoire RAM. FAC se décline en 5 modèles d’appliances. Consultez la fiche produit de FAC pour les spécifications détaillées.

Dispose-t-on d’une haute-disponibilité et d’une répartition des charges avec FAC ?
Oui.

FortiGate de Fortinet propose déjà une authentification à deux facteurs (avec SAML notamment), pourquoi devrais-je investir dans FAC ?
FAC s’impose lorsque l’architecture de sécurité nécessite une plateforme d’authentification centralisée, au-delà de la fonctionnalité d’authentification fournie par une appliance FortiGate. De manière générale, FAC est nécessaire lorsque l’authentification doit être intégrée et que plusieurs FortiGate sont déployés.

Quels sont les protocoles et méthodes d’authentification proposés par FAC ?
De nombreux protocoles web, réseau et d’authentification à un portail sont pris en charge.

• Les utilisateurs peuvent s’authentifier via un portail web et des widgets.
• Les utilisateurs de FortiClient Endpoint Security sont automatiquement identifiés via l’agent de mobilité SSO FortiClient.
• Les utilisateurs qui s’authentifient par rapport à Active Directory sont automatiquement authentifiés.
• Les paquets RADIUS peuvent être utilisés pour déclencher une authentification FSSO.
  

Pour plus d’information, téléchargez la fiche produit FAC

Qu’est-ce qu’une authentification à deux facteurs ?
L’authentification à 2 facteurs (A2F) est une méthode pour attribuer l’accès vers une application en ligne, un compte ou un équipement réseau. Cette méthode exige de l’utilisateur deux types d’information. Le premier facteur permet d’indiquer à un service en ligne ou un dispositif réseau que vous êtres bien celui que vous indiquez être. Il s’agit généralement d’une information que vous connaissez, comme une paire nom d’utilisateur/mot de passe. Le second facteur vous permet de prouver votre identité, à l’aide d’un élément qui est en votre possession, comme un jeton.

Les solutions d’authentification à 2 facteurs sont-elles toutes aussi efficaces les unes que les autres ?
L’authentification à 2 facteurs se décline en de multiples approches et formats. Certains sont plus efficaces que d’autres.

• La méthode traditionnelle A2F repose sur des jetons matériels. Ces jetons ont souvent le format d’une clé électronique avec une interface affichant des mots de passe à utilisation unique (OTP pour One Time Password). Le matériel protège lui-même sa clé interne.
• Les jetons mobiles fonctionnent comme leurs homologues matériels mais sont fournis sous forme d’une application mobile. Il s’agit de distinguer l’application mobile du jeton pour assurer une sécurité efficace. L’application fait office de générateur OTP et fait le lien vers un jeton installé sur l’application. Lors de l’activation du jeton, une solution efficace proposera le secret partagé (ou seed) du jeton dans un format chiffré, non lisible. Fortinet FortiToken Mobile (FTM) fournit le secret partagé du jeton FTM de manière chiffrée lors de l’activation, et prévient toute activation du jeton de manière simultanée sur plusieurs dispositifs. De plus, FTM avec FortiAuthenticator ou FortiToken Cloud offre un service breveté de transfert de jeton pour FTM et les jetons de tierces parties. Ceci permet un transfert sécurisé des tokens sur différentes plateformes sous iOS ou Android, un avantage que nulle autre application n’offre à ce jour.

Quelles sont les options de jetons qu’offre Fortinet ?
Une gamme intégrale de types de jetons :

• Matériel, sous différents formats : Format carte de crédit et de clé électronique avec affichage large (format USB pour les jetons PKI)
• Jeton logiciel compatible à de multiples plateformes mobiles (iOS, Android, Windows)
• Authentification multifactorielle sur FortiToken Cloud

Qu’est-ce que l’authentification SAML 2.0  ?
Security Assertion Markup Language (SAML) est une norme qui permet d’authentifier les utilisateurs accédant aux applications en ligne via SSO (single sign-on). Il s’agit d’un framework XML d’authentification et d’autorisation entre deux entités : un fournisseur de services (SP pour Service Provider) et un fournisseur d’identité (idP pour Identity Provider). Un SP est une application en ligne à laquelle souhaite accéder l’utilisateur, tandis que l’idP réalise la fonction d’authentification.

L’authentification SAML 2.0 se structure autour de 2 flux utilisateur :

• Le flux idP est initié par une page au sein de l’idP qui affiche une liste d’applications et de services auxquels un utilisateur peut s’authentifier compte tenu de ses droits d’accès. Le SP fait confiance à l’idP et offre un accès une fois que l’idP a authentifié l’utilisateur.
• Le flux SP est initié lorsque l’utilisateur ou le navigateur demande l’accès à l’application ou le service qu’offre le SP. Lorsque l’utilisateur tente d’accéder à l’application en ligne, le SP crée une requête SAML, puis redirige l’utilisateur et les informations de la requête vers l’idP à des fins d’authentification. Le SP autorise l’accès une fois que l’utilisateur est vérifié et authentifié par l’idP.

La solution FAC est-elle compatible avec les deux flux SAML 2.0 ?
Oui, FortiAuthenticator propose les deux types de flux SAML (initié par l’idP et initié par le PS) avec authentification forte (2FA). De plus, au sein des environnements plus complexes, la solution FAC offre un proxy idP qui simplifie l’adoption des applications cloud par les entreprises.

Qu’est-ce que le SSO ?
Le SSO est une fonction IAM (gestion des identités et des accès). Elle permet aux utilisateurs de s’authentifier une seule fois et de manière sécurisée à l’aide de ses identifiants, puis d’accéder aux différentes applications pour lesquelles l’utilisateur dispose de droits d’accès.

Qu’est-ce que le FSSO (Fortinet Single Sign-on) ?
Fortinet Single Sign-on, autrefois FortiGate Server Authentication Extension (FSAE), est le protocole d’authentification par lequel les utilisateurs s’authentifient en toute transparence à des plateformes FortiGate, FortiAuthenticator et FortiCache. FAC identifie les utilisateurs suite à une authentification initiale sur un système différent. Les utilisateurs peuvent s’authentifier à l’aide de différentes méthodes, telles que :

• Les utilisateurs peuvent s’authentifier via un portail web et des widgets.
• Les utilisateurs de FortiClient Endpoint Security sont automatiquement identifiés via l’agent de mobilité SSO FortiClient.
• Les utilisateurs qui s’authentifient par rapport à Active Directory sont automatiquement authentifiés.
• Les paquets RADIUS peuvent être utilisés pour déclencher une authentification FSSO.
• Les utilisateurs peuvent s’identifier via la RestAPI de FAC. (Pratique pour les intégrations avec les systèmes tiers.)

Qu’est-ce que Fortinet Mobile Single Sign-on Agent ?
Il s’agit d’une fonctionnalité de FortiClient Endpoint Security. L’agent offre automatiquement le nom d’utilisateur et l’adresse IP à FAC pour assurer une authentification transparente. Les changements d’adresses IP, comme lors d’un roaming WiFi, sont automatiquement relayés à FAC. Lorsque l’utilisateur se déconnecte, cette information est transmise à FAC qui annule la session de l’utilisateur.

Quels sont les idP compatibles avec FAC ?
Tout idP utilisant SAML 2.0 est compatible. La majorité des idP SAML 2.0 ne peuvent pas créer d’attributs personnalisés. FAC accepte tout type d’attribut personnalisé de groupe/d’utilisateur. Azure, GSuite et Okta font parti des idP dont la compatibilité a été testée et validée.

L’authentification à 2 facteurs avec O365 est-elle proposée ?
Nous prenons en charge O365 en tant que SP SAML lorsque FAC est utilisé en tant qu’idP, avec un annuaire Active Directory sur site et via une authentification LDAP.

Quels sont les pré-requis pour faire d’O365 un SP lorsque FAC fait office d’idP ?
Nous prenons en charge O365 en tant que SP SAML lorsque FAC est utilisé en tant qu’idP avec un annuaire Active Directory sur site et une authentification LDAP. Sur FAC, il vous suffit d’indiquer qu’O365 est le SP SAML et de créer un lien d’authentification LDAP vers votre annuaire Active Directory sur site.

FAC peut-il mapper un nom de domaine à un idP SAML qui dispose sur du paramètre « UserID » ?
Oui. Chaque idP SAML peut être associé à un domaine.

Quelles sont les versions de FortiOS compatibles avec FortiToken Cloud ?
FortiOS 6.2.x et les versions ultérieures.

Pour l’achat de nouveaux jetons permettant une authentification à deux facteurs depuis le cloud, faut-il s’adresser aux commerciaux Fortinet ou à un partenaire revendeur, ou est-il possible d’acheter directement via l’application ?
Toutes les licences pour FortiToken Cloud sont disponibles en tant que référence produit dans notre grille tarifaire. Seule la référence de base (120 points) est disponible à l’achat via l’application.

L’utilisation de FortiToken Cloud nécessite-t-elle l’achat d’une licence pour FortiToken Mobile ou pour les jetons physiques ?
FortiToken Mobile est inclus dans l’abonnement à FortiToken Cloud. Les jetons physiques FortiToken font l’objet d’un achat distinct.

Les SMS sont-ils possibles avec FortiToken Cloud ?
Les SMS peuvent se substituer aux emails pour acheminer un code d’activation pour FortiToken Mobile via l’application mobile. Les SMS peuvent se substituer à FortiToken pour fournir des mots de passe OTP dans le cadre d’une authentification à 2 facteurs. Cette méthode est néanmoins moins sécurisée et ne doit être utilisée qu’en tant que solution temporaire pour les ressources non-critiques.

Dans mon abonnement à FortiToken Cloud, 1 point est-il équivalent à 1 mois d’utilisation ?
Une fois qu’un utilisateur sous licence est enregistré, vous pouvez utiliser les points FortiToken Cloud. 1 point = 1 utilisateur pour un mois d’utilisation. Les jetons de FortiToken Mobile sont inclus dans l’abonnement à FortiToken Cloud, et les jetons FortiToken Mobile ne sont pas facturés. L’envoi de 250 SMS correspond également à 1 point.

Est-il possible de consulter un guide d’utilisation pour connaître comment activer la fonction Push de FTM ?
Consultez ce document en cliquant ici.

Est possible de consulter un guide d’utilisation pour connaître comment activer la fonction Push de FTM à partir de FAC et sans ouverture de ports ?
Consultez ce document en cliquant ici.

Les solutions FAC et FTC offrent-elles un transfert de tokens entre différents dispositifs sous iOS et Android ?
Oui. Les utilisateurs doivent activer l’option de transfert dans FAC et disposer d’au moins un token FTM installé sur l’application FTM.