Table des matières:
- Authentification locale
- LDAP (Lightweight Directory Access Protocol)
- Active Directory (AD)
- Systèmes d'authentification RADIUS et de mot de passe à usage unique
- X. Authentification des certificats 509
- Langage de balisage d'assertion de sécurité
Vidéo: SCCM Current Branch : Création d'un profil VPN 2024
Avant d'autoriser l'accès au réseau d'entreprise à partir de n'importe quel appareil mobile, vous devez d'abord identifier l'utilisateur. Un type de validation d'identité d'utilisateur est l'authentification. L'authentification de l'utilisateur est la validation qu'un utilisateur est vraiment ce qu'elle dit être. En d'autres termes, l'authentification de l'utilisateur prouve que la personne qui tente de se connecter au VPN en tant que SueB est vraiment Sue Berks, et non Joe Hacker.
Comme pour de nombreuses technologies de sécurité, diverses solutions de sécurité sont proposées. Les organisations très soucieuses de la sécurité utilisent généralement une solution d'authentification forte, telle qu'un système de mot de passe à usage unique ou des certificats numériques X. 509. L'utilisation de l'authentification forte est devenue très populaire ces dernières années; C'est une pratique exemplaire pour toutes les organisations. Les organisations moins soucieuses de la sécurité s'en tiennent aux systèmes de nom d'utilisateur et de mot de passe statiques pour l'authentification des utilisateurs à distance.
Authentification locale
L'authentification locale est une base de données embarquée pour l'authentification des utilisateurs. La gestion complète du compte utilisateur et le stockage des enregistrements sont effectués sur l'appliance VPN.
La plupart des fournisseurs de VPN offrent ce type d'authentification, bien qu'il soit principalement utilisé pour l'authentification de l'administrateur ou pour les petites organisations.
LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) est un protocole standard d'interrogation d'une base de données d'annuaire et de mise à jour des enregistrements de base de données. En tant que l'une des interfaces les plus couramment utilisées dans les déploiements VPN, LDAP agit comme le protocole de choix pour l'interrogation de nombreux types de bases de données, y compris Active Directory.
Active Directory (AD)
Active Directory est l'un des principaux serveurs de répertoires, et la plupart des entreprises le déploient, dans une certaine mesure. De nombreux serveurs VPN offrent une interface de serveur d'authentification Active Directory native, mais les déploiements AD peuvent également tirer parti de LDAP / LDAPS (LDAP sur SSL) pour les requêtes et les mises à jour.
Systèmes d'authentification RADIUS et de mot de passe à usage unique
La plupart des systèmes VPN offrent un moyen standard d'interface avec ces systèmes OTP via le protocole RADIUS. Le service d'accès distant d'authentification à distance (RADIUS) fournit des services d'authentification, d'autorisation et de comptabilité; et la plupart des systèmes OTP disponibles sur le marché aujourd'hui prennent en charge RADIUS.
X. Authentification des certificats 509
Ces dernières années, les certificats numériques X. 509 sont devenus plus populaires en tant que méthode d'authentification. Ils sont émis par plusieurs autorités de certification (AC) de confiance auprès des organisations et des utilisateurs finaux.Les déploiements au sein du gouvernement américain ont été un moteur important pour l'adoption des certificats X. 509. En conséquence, le support s'est considérablement amélioré ces dernières années, rendant le déploiement et l'administration continue beaucoup plus simples.
Lorsqu'une appliance VPN prend en charge les certificats numériques X. 509, cette appliance doit effectuer la validation d'un certificat pour s'assurer que le certificat n'a pas été révoqué. Le VPN valide le certificat avec des listes CRL
-
(listes de révocation de certificats): Les listes CRL sont essentiellement des listes de certificats révoqués qui sont distribués par l'émetteur du certificat.
-
OCSP (protocole de statut de certificat en ligne): OCSP est un moyen de contourner certaines des limitations de vérification de la liste de révocation de certificats (telles que la taille des listes) et de vérifier le statut du certificat en temps réel.
En plus de la validation du statut du certificat, le VPN peut également extraire les attributs utilisateur du certificat afin que le système de contrôle d'accès VPN puisse se comparer aux attributs d'un répertoire.
Langage de balisage d'assertion de sécurité
SAML (Security Assertion Markup Language) est une norme d'authentification et d'autorisation des utilisateurs sur différents systèmes. Essentiellement, c'est une technologie SSO (Single Sign-On). Certaines appliances VPN SSL prennent en charge SAML, ce qui permet aux utilisateurs déjà connectés à d'autres systèmes de se connecter de manière transparente au système VPN SSL selon les besoins. Les solutions d'authentification SAML ne sont généralement pas associées aux VPN IPsec.
