u2f
RCDevs & Yubico
OTP/U2F pour les entreprises
2 leaders du marché multifactoriel ont uni leurs forces
Au premier trimestre 2015, RCDevs (http://www.rcdevs.com) et Yubico (http://www.yubico.com), deux leaders sur le marché de l'authentification multifacteur, ont uni leurs forces pour offrir à leurs clients les solution 2FA la plus avancée disponible sur le marché de l'authentification forte.
La solution repose sur la technologie OpenOTP de RCDevs combinée aux authentificateurs d'utilisateurs OTP/U2F et aux dispositifs HSM de Yubico. Il regroupe également le meilleur des deux mondes : RCDevs spécialisé dans l'intégration OTP/U2F Enterprise avec son back-end de sécurité flexible et complet prenant en charge une grande variété d'authentificateurs d'utilisateurs. Yubico s'est concentré sur l'expérience utilisateur, la convivialité et des concepts de sécurité renforcés avec sa famille de produits YubiKey et ses appareils HSM économiques.
Les clients du monde entier reconnaissent RCDevs et Yubico comme des pionniers sur le marché de la sécurité, fournissant des technologies de pointe et des produits de haute qualité. La solution RCDevs/Yubico est bien conçue, adaptée aux besoins des clients modernes, extrêmement robuste et évolutive des PME aux grandes entreprises. Il est déjà utilisé par des milliers de clients dans le monde, dont des sociétés Fortune 500.
RCDevs & Yubico vous aide à
Mettre en œuvre OTP/U2F pour les entreprises
La solution repose sur la technologie OpenOTP de RCDevs combinée aux authentificateurs d'utilisateurs OTP/U2F et aux dispositifs HSM de Yubico. Il regroupe également le meilleur des deux mondes : RCDevs spécialisé dans l'intégration OTP/U2F Enterprise avec son back-end de sécurité flexible et complet prenant en charge une grande variété d'authentificateurs d'utilisateurs. Yubico s'est concentré sur l'expérience utilisateur, la convivialité et des concepts de sécurité renforcés avec sa famille de produits YubiKey et ses appareils HSM économiques.
Les clients du monde entier reconnaissent RCDevs et Yubico comme des pionniers sur le marché de la sécurité, fournissant des technologies de pointe et des produits de haute qualité. La solution RCDevs/Yubico est bien conçue, adaptée aux besoins des clients modernes, extrêmement robuste et évolutive des PME aux grandes entreprises. Il est déjà utilisé par des milliers de clients dans le monde, dont des sociétés Fortune 500.
Les clients du monde entier reconnaissent RCDevs et Yubico comme des pionniers sur le marché de la sécurité, fournissant des technologies de pointe et des produits de haute qualité. La solution RCDevs/Yubico est bien conçue, adaptée aux besoins des clients modernes, extrêmement robuste et évolutive des PME aux grandes entreprises. Il est déjà utilisé par des milliers de clients dans le monde, dont des sociétés Fortune 500.
Universal Second Factor (U2F) devient rapidement la nouvelle norme en matière d'authentification à 2 facteurs, les entreprises sont prêtes à tirer parti de cette nouvelle méthode mais ont besoin d'une transition en douceur depuis leurs solutions OTP existantes. Dans ce document, nous décrirons notre solution d'authentification OTP et U2F de pointe proposée par Yubico et RCDevs et comment cette solution peut être déployée sans perturber vos utilisateurs finaux et la sécurité de votre entreprise.
Une nouvelle norme pour Authentification à deux facteurs
Le protocole U2F va au-delà des solutions traditionnelles à mot de passe unique (OTP), en s'appuyant sur des secrets partagés avec des tiers de validation. Au lieu de cela, il apporte une véritable authentification à 2e facteur en appuyant simplement sur un bouton, en utilisant la cryptographie à clé publique pour valider les identités en ligne. En supprimant le besoin d'un tiers de validation, U2F protège contre le phishing, le piratage de session, l'homme du milieu et les attaques de logiciels malveillants tout en simplifiant le processus d'authentification pour utiliser le périphérique U2F et le serveur U2F.
U2F Caractéristiques
U2F a été créé par Google et Yubico, avec des contributions de NXP, et est aujourd'hui hébergé par le consortium industriel de l'authentification ouverte, FIDO Alliance. Les spécifications techniques ont été lancées fin 2014, y compris le support natif dans les comptes Google et Chrome, et ont depuis donné lieu à un écosystème florissant de fournisseurs de matériel, de logiciels et de services.
OpenOTP est la solution d'authentification multifacteur de RCDev. Il fournit une authentification sécurisée et fiable des utilisateurs aux applications et services en ligne, accès intranet et extranet, transaction sécurisée, etc. OpenOTP s'appuie sur des technologies éprouvées et des normes ouvertes telles que OATH (l'initiative pour l'authentification ouverte) et FIDO-U2F (seconde -facteur). OpenOTP est un serveur d'authentification de niveau entreprise qui prend en charge les méthodes d'authentification à un facteur et à plusieurs facteurs polyvalentes en utilisant :
Mots de passe de domaine LDAP/AD
YubiKeys de Yubico (Standard, Neo, Nano, Edge)
Clé de sécurité de Google et Yubico (U2F)
Jetons matériels (basés sur des événements, basés sur le temps et basés sur des défis)
Jetons mobiles/logiciels (Google Authenticator et tout client compatible OATH)
Jetons SMS (avec Clickatel, Plivo, AQL, SMSC personnalisés et tout fournisseur SMMP)
Mail et Secure Mail Tokens (NIP mailer)
Listes OTP pré-générées, OTP d'urgence, etc…
Les politiques de sécurité dans OpenOTP sont extrêmement puissantes et prennent en charge la concaténation des mots de passe, le mode défi-réponse, les configurations flexibles basées sur le domaine/réseau/application, la prise en charge des groupes LDAP, les géolocalisations…
L'architecture OpenOTP est modulaire et hautement évolutive, avec des serveurs proxy pouvant être exposés dans la DMZ et un serveur principal doté de capacités de basculement et d'équilibrage de charge.
OpenOTP et la plupart des plugins d'intégration RCDevs prennent en charge l'authentification à deux facteurs avec OTP et U2F via un ensemble d'API complètes, une gestion fine des identités et des accès (IAM), de puissantes capacités d'audit, Web SSO avec services OpenID / SAML intégrés, prise en charge avancée de RADIUS .
L'architecture OpenOTP est modulaire et hautement évolutive, avec des serveurs proxy pouvant être exposés dans la DMZ et un serveur principal doté de capacités de basculement et d'équilibrage de charge.
OpenOTP et la plupart des plugins d'intégration RCDevs prennent en charge l'authentification à deux facteurs avec OTP et U2F via un ensemble d'API complètes, une gestion fine des identités et des accès (IAM), de puissantes capacités d'audit, Web SSO avec services OpenID / SAML intégrés, prise en charge avancée de RADIUS .
Intégrations
OpenOTP prend en charge une large gamme d'intégration, notamment les VPN (F5, Juniper, Cisco, Checkpoint, Palo-Alto…), Microsoft (ADFS, Exchange, Sharepoint, connexion Windows, RDP…), Citrix, les services UNIX/Linux, les logiciels OpenSource (CRM , WebMail, eCommerce…), Google Apps et bien plus encore. Consultez notre matrice de compatibilité dans les pages suivantes pour plus de détails.
OpenOTP et la plupart des plugins d'intégration RCDevs prennent en charge l'authentification à deux facteurs avec OTP et U2F via un ensemble d'API complètes, une gestion fine des identités et des accès (IAM), de puissantes capacités d'audit, Web SSO avec services OpenID / SAML intégrés, prise en charge avancée de RADIUS .
OpenOTP et la plupart des plugins d'intégration RCDevs prennent en charge l'authentification à deux facteurs avec OTP et U2F via un ensemble d'API complètes, une gestion fine des identités et des accès (IAM), de puissantes capacités d'audit, Web SSO avec services OpenID / SAML intégrés, prise en charge avancée de RADIUS .
Ce qui suit décrit un exemple de cas d'utilisation afin que vous puissiez comprendre comment YubiKey NEO et OpenOTP peuvent fonctionner ensemble.
ACME a mis en place le YubiKey NEO pour ses employés et utilise OpenOTP pour fournir une authentification pour leurs systèmes internes.
L'utilisateur ACME insère sa YubiKey NEO, qui a une double capacité U2F/OTP, dans un port USB de son PC. Le PC est protégé par un nom d'utilisateur et un mot de passe Windows et un défi U2F à une touche. L'utilisateur entre son nom d'utilisateur et son mot de passe de domaine, et touche sa YubiKey NEO pour confirmer l'authentification U2F. Ses informations d'identification sont validées et il est connecté à son environnement Windows.
ACME a mis en place le YubiKey NEO pour ses employés et utilise OpenOTP pour fournir une authentification pour leurs systèmes internes.
L'utilisateur ACME insère sa YubiKey NEO, qui a une double capacité U2F/OTP, dans un port USB de son PC. Le PC est protégé par un nom d'utilisateur et un mot de passe Windows et un défi U2F à une touche. L'utilisateur entre son nom d'utilisateur et son mot de passe de domaine, et touche sa YubiKey NEO pour confirmer l'authentification U2F. Ses informations d'identification sont validées et il est connecté à son environnement Windows.
Contrôler l'accès à Ressources Web Microsoft
U2F contrôle également l'accès aux ressources Web Microsoft, telles que SharePoint ou Outlook Web Access, ainsi que les services hébergés tels que les applications Google. Chaque fois que l'on demande à l'utilisateur l'authentification à deuxième facteur, il lui suffit de toucher l'appareil YubiKey NEO.
Depuis l'application OpenOTP, cet utilisateur ACME peut lancer toutes ses applications cloud SAML, y compris Salesforce ou Jive, après une seule authentification U2F. Pour l'accès VPN, cet utilisateur ACME utilisera la même YubiKey, en utilisant une seule touche pour générer un mot de passe à usage unique.
Les administrateurs ACME utiliseront également leur propre YubiKey NEO pour s'authentifier auprès de leurs comptes UNIX privilégiés via SSH en utilisant le mode OTP.
Pour accéder aux applications cloud sur leurs appareils Android, les administrateurs et les utilisateurs tirent parti de la capacité NFC de la YubiKey NEO et, une fois de plus, ils bénéficient d'une expérience en une seule touche. En tant que méthode de secours, OpenOTP offrira un simple OTP via SMSField Communications.
Depuis l'application OpenOTP, cet utilisateur ACME peut lancer toutes ses applications cloud SAML, y compris Salesforce ou Jive, après une seule authentification U2F. Pour l'accès VPN, cet utilisateur ACME utilisera la même YubiKey, en utilisant une seule touche pour générer un mot de passe à usage unique.
Les administrateurs ACME utiliseront également leur propre YubiKey NEO pour s'authentifier auprès de leurs comptes UNIX privilégiés via SSH en utilisant le mode OTP.
Pour accéder aux applications cloud sur leurs appareils Android, les administrateurs et les utilisateurs tirent parti de la capacité NFC de la YubiKey NEO et, une fois de plus, ils bénéficient d'une expérience en une seule touche. En tant que méthode de secours, OpenOTP offrira un simple OTP via SMSField Communications.
Matériel Yubico OTP / U2F
OpenOTP 100% prend en charge tous les dispositifs d'authentification et facteurs de forme Yubico. Cela inclut les appareils YubiKey fonctionnant en modes Yubico OTP et OATH ainsi que les nouveaux appareils U2F disponibles auprès de Google et Yubico. Le service de validation en ligne YubiCloud est pris en charge en option par OpenOTP. Les clients ont également le choix d'utiliser le stockage de semences sécurisé interne OpenOTP ou de s'appuyer sur les services Cloud haute disponibilité de Yubico.
Pour un utilisateur final, l'activation d'une YubiKey en mode OTP ou U2F consiste simplement à appuyer sur la YubiKey dans une application en libre-service. Les appareils YubiKey OTP peuvent être importés dans l'inventaire des appareils OpenOTP, ce qui permet de déployer des milliers de YubiKeys rapidement et avec peu ou pas d'actions d'administrateur.
Avec les API OpenOTP avancées, les authentifications YubiKey OTP et U2F peuvent être utilisées simultanément. Les utilisateurs bénéficieront d'une authentification signée avec FIDO-U2F chaque fois que la ressource cible est compatible et continue de fonctionner en mode YubiKey OTP pour leurs VPN. Les nouvelles YubiKeys (comme YubiKey Edge et YubiKey NEO) prennent en charge les modes de fonctionnement OTP et U2F et les appareils choisissent automatiquement le bon mécanisme d'authentification.
Avec les API OpenOTP avancées, les authentifications YubiKey OTP et U2F peuvent être utilisées simultanément. Les utilisateurs bénéficieront d'une authentification signée avec FIDO-U2F chaque fois que la ressource cible est compatible et continue de fonctionner en mode YubiKey OTP pour leurs VPN. Les nouvelles YubiKeys (comme YubiKey Edge et YubiKey NEO) prennent en charge les modes de fonctionnement OTP et U2F et les appareils choisissent automatiquement le bon mécanisme d'authentification.
HSM Yubico
OpenOTP prend en charge le cryptage matériel et la véritable génération aléatoire avec les modules YubiHSM économiques de Yubico. Les YubiHSM fournissent un stockage chiffré AES-256-CBC pour les métadonnées utilisateur sensibles et les inventaires de jetons. Dans OpenOTP, les HSM sont enfichables à chaud et fonctionnent en mode haute disponibilité. Plusieurs YubiHSM peuvent être utilisés en parallèle, ce qui permet un chemin de mise à niveau simple et direct.
Dans OpenOTP, les YubiHSM sont utilisés pour :
Stockage sécurisé des graines secrètes de YubiKey et des jetons OATH.
Stockage sécurisé des mots de passe, du code PIN et d'autres informations utilisateur / système critiques.
Génération OTP aléatoire pour SMS, Mail OTP et listes OTP imprimées.
Défis U2F aléatoires.
Matrice de compatibilité des produits
| Produit | Intégrer | YubiKey OTP | YubiKey U2F | Jeton SERMENT | Jetons mobiles | SMS/courrier OTP |
|---|---|---|---|---|---|---|
| VPN (Juniper, Cisco, F5, Checkpoint, Palo-Alto…) | RAYON | Oui | Non | Oui | Oui | Oui |
| "Citrix Netscaler, passerelle" | RAYON | Oui | Non | Oui | Oui | Oui |
| Connexion MS Windows, RDP, services de terminaux | Fournisseur d'identifiants OpenOTP | Oui | Oui | Oui | Oui | Oui |
| Connexion hors ligne MS Windows | Fournisseur d'identifiants OpenOTP | Non | Oui | Non | Non | Non |
| MS Reverse-Proxies (UAG, TMG) | RAYON | Oui | Non | Oui | Oui | Oui |
| Applications Web MS (Exchange, Sharepoint) | OpenOTP ADFS | Oui | Oui | Oui | Oui | Oui |
| MS Office 365 | OpenOTP ADFS | Oui | Oui | Oui | Oui | Oui |
| Google Apps | OpenOTP SAML/OpenID | Oui | Oui | Oui | Oui | Oui |
| Produits et services cloud (SalesForce, Zimbra, SugarCRM, Jive…) | OpenOTP SAML | Oui | Oui | Oui | Oui | Oui |
| Produits Web (Joomla, WordPress, Magento, Roundcube, Drupal, OwnCloud…) | Plugin OpenOTP | Oui | Oui | Oui | Oui | Oui |
| Services Linux/UNIX | OpenOTP PAM | Oui | Non | Oui | Oui | Oui |
| Connexion et services Mac OSX | OpenOTP PAM | Oui | Non | Oui | Oui | Non |
| Applications Web faites maison | API OpenOTP | Oui | Oui | Oui | Oui | Oui |
| C, C++, Java, .NET | API OpenOTP et SDK | Oui | Oui | Oui | Oui | Oui |
Cette liste n'est pas exhaustive! Et à mesure que les fournisseurs intègrent leur technologie à la norme Fido Alliance, cette matrice de compatibilité évoluera. Pour une matrice de compatibilité à jour, veuillez vous référer à http://www.rcdevs.com/openotp/.
Migrer depuis un solution OTP tierce
Alors que certains clients doivent passer à l'authentification multifacteur en raison de la gestion des risques ou de la réglementation, d'autres souhaitent migrer vers une solution d'authentification plus récente, moins chère et la mieux adaptée. La migration est un processus difficile et coûteux qui nécessite souvent des efforts non négligeables. Grâce aux options de migration avancées d'OpenOTP, le passage d'une solution OTP tierce telle que RSA, Vasco, HID ou SafeNet vers RCDevs & Yubico est facilité et fluide, sans même perturber votre production.
Il existe de nombreux scénarios possibles pour implémenter une migration vers RCDevs & Yubico. Une option courante consiste à installer et à configurer OpenOTP au-dessus de votre domaine Active Directory, côte à côte avec une solution OTP existante. Dans ce cas, la migration consiste simplement à implémenter une installation OpenOTP autonome et à basculer vers le nouveau système lorsqu'il est prêt pour la production. Dans de nombreux cas, cette approche est l'option la plus simple, mais dans certaines circonstances, vous devez faire fonctionner le(s) serveur(s) OpenOTP avec le(s) serveur(s) OTP existants, au moins pendant un certain temps. Cette deuxième option est requise lorsque :
Il existe de nombreux scénarios possibles pour implémenter une migration vers RCDevs & Yubico. Une option courante consiste à installer et à configurer OpenOTP au-dessus de votre domaine Active Directory, côte à côte avec une solution OTP existante. Dans ce cas, la migration consiste simplement à implémenter une installation OpenOTP autonome et à basculer vers le nouveau système lorsqu'il est prêt pour la production. Dans de nombreux cas, cette approche est l'option la plus simple, mais dans certaines circonstances, vous devez faire fonctionner le(s) serveur(s) OpenOTP avec le(s) serveur(s) OTP existants, au moins pendant un certain temps. Cette deuxième option est requise lorsque :
De nombreux utilisateurs sont impliqués et vous devez progressivement réinscrire les utilisateurs avec d'autres appareils ou logiciels OTP (par exemple, vous passez de RSA Tokens à YubiKeys).
Vous devez conserver le ou les serveurs OTP existants pendant un certain temps, car certaines intégrations ont été personnalisées pour des API de serveur spécifiques. Vous devez également mettre à jour ces intégrations personnalisées pour OpenOTP. Par exemple, le processus de connexion de vos applications Web faites maison doit être adapté pour utiliser les API Web OpenOTP.
Vous souhaitez conserver les jetons matériels existants pour les utilisateurs jusqu'à leur expiration et inscrire sporadiquement de nouveaux jetons matériels (ex. YubiKeys) un par un.
La mise en œuvre d'OpenOTP à deux facteurs pour vos VPN et/ou applications est possible pour toutes les intégrations prises en charge en suivant les recommandations et la documentation de RCDevs. Vous pouvez consulter le site Web de RCDevs à l'adressehttp://www.rcdevs.com/products/openotp/ pour plus d'informations sur les produits et les API pris en charge. Notez que ces intégrations OpenOTP et leurs exigences ne sont pas couvertes par ce document.
Processus de migration
Par « migration », nous entendons déployer des serveurs OpenOTP et maintenir vos serveurs OTP existants en cours d'exécution tout en migrant/transférant des utilisateurs et des applications. Lorsque finalement tout fonctionne correctement sur OpenOTP, vous pouvez supprimer en toute sécurité tous les serveurs OTP hérités. Nous considérerons un exemple d'environnement composé de :
Un serveur OTP d'un fournisseur tiers qui fournit une interface RADIUS RFC-2865.
Un serveur VPN en tant qu'application cliente consommant le service de validation RADIUS OTP.
Un pool d'utilisateurs enregistrés dans un LDAP MS Active Directory.
Migration Conditions
Un processus de migration tel que décrit dans la section 3.1 n'est possible que sous certaines conditions préalables :
LDAP
OpenOTP nécessite que les utilisateurs soient stockés dans LDAP ou Active Directory. Selon la technologie de serveur OTP existante, les utilisateurs et les Tokens peuvent être stockés directement dans le LDAP (AD) ou dans un magasin d'utilisateurs dédié (ex. base de données SQL). Dans les deux cas, nous supposons que les identités des utilisateurs existent dans LDAP ou AD. Cela signifie que même si le serveur OTP utilise ses propres objets pour gérer les jetons d'utilisateur, ces objets correspondent aux identités d'utilisateur AD existantes.
RADUIS
OpenOTP devra utiliser le serveur OTP existant comme serveur de validation principal. Cela signifie qu'il agira comme un proxy et transmettra les demandes de validation OTP au serveur OTP existant. Le mécanisme de transfert de requête utilise le protocole RADIUS. Le serveur OTP existant doit également fournir un service RADIUS dans notre exemple de scénario de migration.
Étapes de migration
Marcher 1
Dans un premier temps, une nouvelle plate-forme OpenOTP est déployée sur la même infrastructure que le système OTP existant. OpenOTP sera connecté aux mêmes annuaires LDAP/AD. Dans LDAP, tous les utilisateurs sont activés pour une utilisation avec OpenOTP et configurés en mode « OTP Proxy ». La fonctionnalité OpenOTP Proxy est configurée pour se connecter au serveur RADIUS déjà en place. L'authentification Proxy peut être testée via les interfaces d'administration OpenOTP.
Marcher 2
Dans un deuxième temps, les VPN et toute autre intégration sont reconfigurés un par un pour utiliser le serveur RADIUS inclus dans OpenOTP. Et le plugin d'intégration de RCDevs est déployé sur d'autres applications n'utilisant pas RADIUS. À ce stade, toute demande d'authentification va d'abord à OpenOTP et les validations OTP sont transmises aux serveurs OTP hérités.
Marcher 3
La troisième étape consiste à inscrire de nouveaux Tokens (ex. YubiKeys) sur vos utilisateurs LDAP via les outils d'administration OpenOTP ou les self-services. Une fois inscrits, les utilisateurs ne comptent plus sur les serveurs OTP hérités. Cette étape peut être groupée et automatisée pour des milliers d'utilisateurs avec une inscription par e-mail par exemple, ou effectuée sur les utilisateurs un par un.
Marcher 4
Dans la dernière étape, vous supprimez le système OTP hérité et OpenOTP devient la seule plate-forme multi-facteurs de votre infrastructure.
En savoir plus sur les produits associés
Informations Complémentaires
Pour plus d'informations, vous pouvez cliquer sur l'un des liens ci-dessous
Alliance Fido
Vous trouverez plus d'informations et de spécifications sur FIDO-U2F sous la rubrique Site de l'Alliance FIDO
Tokens
Pour toute question concernant l'intégration U2F avec OpenOTP, veuillez contacter Prise en charge des RCDev
Yubico
Pour toute question concernant l'utilisation de YubiKeys et YubiHSM, veuillez contacter Soutien Yubico
Pour demander une démo en ligne, il vous suffit de créer votre compte ou de nous contacter.
Des démos en ligne sont disponibles gratuitement pour vous permettre d'essayer le multi-facteur de RCDevs en 5 minutes et de vous authentifier avec votre mobile ou Yubikey.
