SSO pour les applications hébergées

oneloginJe suis tombé par hasard sur le site de OneLogin [ www.onelogin.com ] qui propose une offre qui me semble intéressante pour les utilisateurs d’applications hébergées nécessitant une authentification web. Le principe est relativement simple, l’utilisateur se connecte une fois sur la page de OneLogin, et il peut ensuite accéder à toutes les autres applications hébergées. Oui, je sais, ca existe déjà, mais il me semble que le nombre d’applications gérées nativement ( 1200+ ) et l’intégration possible avec un annuaire d’entreprise ( LDAP ou Active Directory ) me semble faire sortir cette offre du lot… A tester. Je suis intéressé par vos tests, retours et commentaires sur le sujet !

LDAP Synchronization Connector Project

LCS_project Lors d’un projet chez un client, j’ai re-découvert un projet Open Source permettant de réaliser des synchronisations simples en mode point à point entre deux annuaires LDAP ou entre une base de données et un annuaire LDAP. Attention, bien sur ce projet n’est PAS un méta-annuaire, ce n’est QUE de la synchronisation point à point. Néanmoins, sur des besoins de migration ou sur des besoins relativement simplistes de synchronisation, LSC sera une solution adaptée, tant que le client accepte d’utiliser des solutions Open Source sans support officiel autre que les forums de Source Forge.

A noter que la dernière version de LSC intègre des fonctions spécifiques à la gestion des identités et à la connexion avec Active Directory telles que la changement de mot de passe, le statut du compte ou la gestion de l’attribut “last logon”.

Donc malgré ses limitations inhérentes à un modèle de synchronisation point à point, LSC peut rendre des services sur des petits projets IAM ou de migration d’annuaires. Plus d’informations [ ici ]

SAP avale Secude pour sécuriser ses solutions

SAP-Secude SAP vient de faire l’acquisition de la société Secude, qui est un éditeur de logiciels Suisse spécialisé sur les solutions de sécurité autour des technologies SAP.

Secude en tant que pure-player des solutions SAP, propose des solutions autour des domaines suivants:

  • Endpoint Security
  • Identity and Access Management
  • Governance, Risk and Compliance

Globalement, les solutions de Secude améliorent la sécurisation des authentifications sur les solutions SAP. Cette acquisition prouve la progression sécuritaire des solutions SAP et la prise de conscience autour des problématiques de gestion des identités dans les solutions SAP.

Reste à savoir quel sera le niveau d’intégration à moyen terme avec les solutions NetWeaver. Rappelons que  Netweaver est  une plateforme technique SOA contenant un EAI pour toutes les nouvelles applications SAP, il est évident que la gestion des identités et la gestion des authentifications sont des éléments déterminants dans l’évolution des solutions SAP.

Mot de passe: le maillon faible de la sécurité en ligne…

Multi_password_recoveryUne étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit “faible” pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire  😉

Bref, “ça fait flipper” – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer “By Design” des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de “vérifier” la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Un nouveau portail de référence sur l’univers de la biométrie: www.planetbiometrics.com

planet_biometricsUn nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. Malgré les nombreux sponsors, les thèmes sont abordés avec beaucoup d’indépendance et de profondeur. L’approche à la fois technique et business permet de découvrir progressivement l’univers quelques fois abscons de la biométrie. Les WhitePaper sont particulièrement bien réussis. Bonne lecture sur www.planetbiometrics.com