Comment MobileIron appréhende l’authentification sans mot de passe
L’approche « zero sign-on » de MobileIron s’appuie sur le téléphone pour assurer l’authentification lors de l’accès aux applications SaaS depuis des appareils non administrés.
À l’occasion de sa conférence utilisateurs, en mai, MobileIron a annoncé un grand effort autour de l’authentification et de l’ouverture de session sans mot de passe. Et cela repose naturellement sur MobileIron Access. Lancé en 2016, celui-ci se comporte comme un proxy pour connexions SAML. Il communique avec la plateforme UEM de MobileIron (en cloud ou local) et MobileIron Mobile Threat Defense pour vérifier la conformité des appareils par rapport aux politiques de gestion et de sécurité.
De quoi mettre en place un contrôle d’accès conditionnel. Il est possible d’utiliser Tunnel et Sentry, les produits de connectivité sécurisée de MobileIron, pour obtenir encore plus de granularité et s’assurer que l’utilisateur provient de la bonne instance administrée d’une application. Cela fonctionne avec les périphériques administrés, mais également ceux qui ne le sont pas, grâce à AppConnect, le SDK MAM de l’éditeur.
Access peut également fonctionner avec des postes de travail, soit en les enrôlant dans la plateforme d’UEM, soit en utilisant un agent de confiance MobileIron lorsqu’ils sont administrés par un autre système. Access supporte également un modèle délégué, laissant au fournisseur d’identités habituel (Okta, Ping, ADFS, etc.) le soin de prendre en charge les demandes d’authentification provenant des postes de travail, tandis que les appareils mobiles seront redirigés vers Access.
Pour l’authentification à proprement parler, sur les terminaux mobiles, beaucoup d’entreprises utilisent des certificats, de sorte que l’authentification mobile au quotidien devrait déjà être assez facile. MobileIron propose également sa propre application d’authentification pour accompagner la pile. Mais puisque l’authentification mobile se fait sans mot de passe, qu’apporte le zero sign-on ? L’éditeur décrit le processus dans un billet de blog.
Un utilisateur, qui est configuré avec Access sur son appareil mobile, se connecte à une application web d’entreprise sur un poste de travail non administré. Access jouera le rôle de fournisseur d’identité pour cette application. Pour cela, il présentera, à l’ouverture de session, une page web affichant un code QR. L’utilisateur doit alors se saisir de son terminal mobile et présenter ce code à l’application MobileIron. C’est l’étape de validation de l’identité de l’utilisateur qui va lui permettre d’accéder à son application web. Et le tout sans avoir à saisir de nom d’utilisateur ni de mot de passe. Ce mécanisme est pleinement supporté sur iPhone depuis le 16 juillet ; Android suivra prochainement.
MobileIron n’entend pas s’arrêter en si bon chemin. L’éditeur prévoit ainsi d’intégrer, avec un partenaire, le déport de rendu web, afin de permettre à ses clients d’ajouter une couche de sécurité et de prévention des fuites de données (DLP) autour des applications web corporate sur les postes non administrés. À cela devra également s’ajouter le support de Fido au sein d’Access.
MobileIron prévoit également d’intégrer la vérification d’identité – via un partenaire – pour simplifier le processus d’enrôlement des utilisateurs, ou encore l’extension des capacités analytiques d’Access afin d’augmenter les possibilités de gestion conditionnelle des accès.