Sergey Nivens - Fotolia
Comment Okta avance vers le contrôle d'accès conditionnel
Okta se concentre pour faire fonctionner SSO sur applications mobiles et contrôle d'accès conditionnel avec tous les éditeurs d'EMM. Mais l'éditeur a aussi d'autres cartes dans sa manche.
A l’heure de la mobilité, du Cloud, et du BYOD, le contrôle d’accès conditionnel et le SSO constituent des composants essentiels de l’informatique de l’utilisateur final. Mais tous deux restent complexes, et il existe de nombreuses approches. C’est dans cette perspective qu’Okta a récemment souligné sa stratégie mobilité dans un billet de blog. Mais le n’est pas un sujet nouveau pour l’éditeur.
Okta s’est lancé dans la mobilité en 2014, en misant sur les scénarios d’usage bureautiques et SaaS. Le tout en offrant gestion des terminaux et des applications en s’appuyant sur les capacités natives d’iOS et Android. Il y a environ 18 mois, l’éditeur a annoncé le support du programme d’enrôlement de terminaux d’Apple (DEP).
Mais depuis, Okta a muri et ses priorités pour la mobilité ont changé, s’adaptant notamment aux besoins de clients entreprises de grande taille, souvent déjà équipés MobileIron ou AirWatch. En outre, la question de la gestion conditionnelle des accès n’a que récemment émergé. Pour cela, l’éditeur s’est concentré sur le support des fonctionnalités de gestion conditionnelle des accès offertes par tous les éditeurs d’EMM. Et de parler là de « confiance dans le terminal ».
Les difficultés de la gestion conditionnelle des accès
Il y a plusieurs manières de gérer de façon conditionnelle les accès sur des terminaux mobiles. Et faire fonctionner le SSO avec les applications iOS et Android native présente aussi ses défis.
L’idée générale, avec la gestion conditionnelle des accès, pour les applications et terminaux modernes, est que les décisions d’autorisation et d’interdiction doivent tenir compte d’un contexte élargi. Par exemple, cela implique d’évaluer la posture de sécurité de l’appareil, de vérifier si elle est conforme à la politique interne de l’entreprise.
Mais la plupart des applications mobiles clients natives pour les services SaaS utilisent un navigateur Web pour l’authentification – ou plutôt une implémentation spécifique d’un composant de navigation Web : les cookies de session et les certificats sont partagés par les applications et le navigateur du système.
Les certificats sont pratiques, parce qu’ils peuvent être utilisés pour l’authentification auprès d’un fournisseur d’identité comme Okta. Et s’ils sont distribués par une solution de MDM, associés aux politiques appropriées, ils peuvent confirmer que le terminal est enrôlé et conforme. La question est alors réglée.
Mais de nombreuses applications d’entreprise continue de s’appuyer sur la méthode patrimoniale des webviews pour gérer leur processus d’ouverture de session. Et là, pas question de partager l’état du navigateur ou des certificats avec d’autres applications : les utilisateurs n’ont qu’une expérience très réductrice du SSO.
Confiance dans le terminal
Sous iOS, la fonctionnalité de confiance d’Okta répond à la question de l’accès conditionnel et du SSO avec les authentifications via webview en s’appuyant sur son application mobile et sur le MDM.
Lorsqu’un utilisateur s’identifie dans une application avec webview, cette dernière est redirigée vers la page d’authentification corporate Okta, comme pour n’importe quelle application utilisant la fédération d’identité. De là, l’utilisateur est renvoyé vers l’application mobile Okta. Celle-ci contient un secret partagé, fourni par la solution de MDM. Si le secret est absent ou si le terminal n’est pas enrôlé, l’utilisateur est redirigé vers le portail approprié pour corriger cela. C’est le secret partagé qui permet de s’assurer que le terminal est administré et conforme à la politique interne : lorsqu’il est présent, l’utilisateur est autorisé à retourner à son application.
Avec Office 365, Okta propose une expérience transparente, sans saisie de mot de passe. Et l’éditeur prévoir de l’étendre ultérieurement à d’autres applications.
Pour les autres terminaux, Okta adopte des approches diverses. Les appareils iOS non administrés peuvent bénéficier de différentes formes d’attestation. Pour Windows, un MSI peut être distribué via différents outils d’administration de terminaux, avec à la clé installation de certificats. Les ordinateurs sous macOS peuvent être gérés de manière comparable, en s’appuyant sur les outils de Jamf.
La gestion conditionnelle des accès, application par application, peut être mise en œuvre avec MobileIron Access, VMware Workspace One, ou des VPN tiers. Le support de l’accès conditionnel sous Android est attendu plus tard cette année. Et il nécessitera une approche technique différente.