Authentification des utilisateurs d'appareils mobiles de l'entreprise VPN

Avant d'autoriser l'accès au réseau d'entreprise à partir de n'importe quel appareil mobile, vous devez d'abord identifier l'utilisateur. Un type de validation d'identité d'utilisateur est l'authentification. L'authentification des utilisateurs est la validation que l'utilisateur est vraiment qui elle dit qu'elle est. En d'autres termes, l'authentification de l'utilisateur prouve que la personne qui tente de se connecter au VPN comme Sueb est vraiment Sue Berks, et non pas Joe Hacker.

Sommaire

Comme avec beaucoup de technologies de sécurité, une gamme de forces de sécurité sont offerts par ces différentes solutions. Les organisations qui sont très conscients de la sécurité utilisent généralement une solution d'authentification forte comme un système de mot de passe d'un temps ou les certificats numériques X.509. L'utilisation de l'authentification forte est devenue très populaire ces dernières années-, il est une bonne pratique pour toutes les organisations. Organisations soucieuses de la sécurité Moins collent avec les systèmes de nom d'utilisateur et mot de passe statique pour l'authentification de l'utilisateur distant.

L'authentification locale

L'authentification locale est une base de données embarquée pour l'authentification des utilisateurs. Le stockage de gestion de compte d'utilisateur et le dossier complet est effectué sur l'appareil VPN.

La plupart des fournisseurs VPN offrent ce type d'authentification, mais il est principalement utilisé pour l'authentification d'administrateur ou pour les petites organisations.

Lightweight Directory Access Protocol (LDAP)

LDAP (Lightweight Directory Access Protocol) est un protocole standard pour interroger une base de données d'annuaire et à jour des enregistrements de base de données. Comme l'une des interfaces les plus couramment utilisés dans les déploiements VPN, LDAP agit comme le protocole de choix pour l'interrogation de nombreux types de bases de données, y compris Active Directory.

Active Directory (AD)

Active Directory est l'un des principaux serveurs d'annuaire, et la plupart des organisations déployer, dans une certaine mesure. Beaucoup de serveurs VPN offrent une interface native de serveur d'authentification Active Directory, mais déploiements AD peuvent également tirer parti de LDAP / LDAPS (LDAP sur SSL) pour les requêtes et mises à jour.

Systèmes de mot de passe d'authentification RADIUS et ponctuels

La plupart des systèmes VPN fournissent un moyen standard de l'interface avec ces systèmes OTP via le protocole RADIUS. Authentication Dial-In User Service RADIUS (Remote) fournit une authentification, d'autorisation et de comptabilité et de services-systèmes les plus OTP disponibles sur le marché aujourd'hui, support RADIUS.

L'authentification de certificat X.509

Au cours des dernières années, les certificats numériques X.509 sont devenus plus populaires en tant que méthode d'authentification. Ils sont émis par plusieurs autorités de certification (AC) de confiance aux organisations et aux utilisateurs finaux. Les déploiements au sein du gouvernement des États-Unis ont été un énorme pilote pour l'adoption de certificats X.509. En conséquence, le soutien a amélioré de manière significative au cours des dernières années, ce qui rend le déploiement et l'administration continue beaucoup plus simple.


Quand un appareil de VPN prend en charge les certificats numériques X.509, cet appareil doit effectuer la validation d'un certificat pour assurer que le certificat n'a pas été révoqué. Le VPN valide le certificat soit avec

  • CRL (listes de révocation de certificats): CRL sont essentiellement des listes de certificats révoqués qui sont distribués par l'émetteur du certificat.

  • OCSP (protocole Online Certificate Status): OCSP est un moyen de contourner certaines des limitations de la liste de révocation de contrôle (tels que la taille de la liste), et elle spécifie un moyen pour vérifier le statut de certificat en temps réel.

En plus de la validation du statut du certificat, le VPN peut également récupérer des attributs utilisateur du certificat ainsi que le système de contrôle d'accès VPN peut comparer à des attributs dans un répertoire.

Security Assertion Markup Language

Security Assertion Markup Language (SAML) est une norme pour authentifier et autoriser les utilisateurs à travers différents systèmes. Essentiellement, il est un Sign-On (SSO) la technologie unique. Certains appareils VPN SSL offrent un soutien pour SAML, permettant aux utilisateurs qui sont déjà connectés à d'autres systèmes, la possibilité de se connecter de manière transparente au système SSL VPN que nécessaire. Des solutions d'authentification SAML sont généralement pas associées à des VPN IPSec.


» » » » Authentification des utilisateurs d'appareils mobiles de l'entreprise VPN