Authentification des clients

Infineon Security Platform

Infineon Security Platform Solution

Authentification des clients

Jusqu'à récemment, les réseaux informatiques ont utilisé une base de données centralisée des comptes pour gérer les utilisateurs, leurs privilèges et leurs contrôles d'accès. Cette technique est simple et efficace pour les réseaux de petite taille. Toutefois dans la situation actuelle, où les très grands réseaux avec des milliers d'utilisateurs sont monnaie courante, cette forme de contrôle centralisé devient difficile à administrer. Ce type de système est confronté à toute une gamme de problèmes allant de la difficulté de vérifier un compte par rapport à une base de données résidant sur Internet jusqu'à la gestion de listes interminables d'utilisateurs. Qui plus est, l'arrivée d'Internet a confronté les réseaux informatiques à d'éventuelles attaques provenant d'entités externes.

Utilisation du certificat

Les certificats de clé publique offrent une solution qui facilite sensiblement l'administration d'un grand nombre d'utilisateurs dans les réseaux de grande taille tout en réduisant le risque d'attaques sur les ID / mots de passe. Ces certificats peuvent être distribués à grande échelle, émis par de nombreuses autorités et vérifiés par un simple examen, sans devoir en référer à une base de données centralisée.

Les certificats peuvent être utilisés pour la sécurisation des communications et l'authentification utilisateur entre clients et serveurs sur le web. Ils permettent aux clients d'établir l'identité d'un serveur, car celui-ci présente un certificat d'authentification de serveur révélant sa source. Si vous connectez à un site web doté d'un certificat de serveur émis par une autorité de certification, vous pouvez être sûr que le serveur est vraiment géré par la personne ou société identifiée par le certificat. De la même manière, les certificats permettent aux serveurs de déterminer votre identité. Lorsque vous connectez à un site web, le serveur peut être sûr de votre identité s'il reçoit votre certificat de client. Le certificat utilisé pour authentifier l'identité d'un serveur s'appelle un certificat de serveur et la procédure de vérification de l'identité d'un serveur Authentification serveur. De même, le certificat utilisé pour authentifier l'identité d'un client s'appelle un certificat de client et la procédure de vérification de l'identité d'un client Authentification client.

Par exemple, si un serveur web veut restreindre l'accès aux informations ou services à des utilisateurs ou clients spécifiques, il demandera un certificat client au cours de l'établissement de la connexion sécurisée (par ex. SSL).

Alors que l'authentification serveur assure une transmission sécurisée des données, l'authentification client augmente la sécurité de telles transactions en ligne.

Assignation de certificats à des comptes utilisateurs

La technologie de clé publique a apporté des solutions à bon nombre de problèmes de sécurité des réseaux de grande taille. Des certificats peuvent être utilisés pour garantir l'identité d'une entité et vérifier son authenticité sans avoir besoin de grandes bases de données ainsi que de listes des comptes utilisateurs et de leurs privilèges d'accès.

Toutefois, les systèmes d'exploitation et outils d'administration existants sont équipés pour travailler uniquement avec des comptes utilisateurs et non pas avec des certificats. La meilleure solution pour conserver les avantages à la fois des certificats et des comptes utilisateurs est d'assigner (ou mapper) un certificat à un compte utilisateur. Cette procédure permet au système d'exploitation de continuer à utiliser les comptes tandis que le système (dans le sens plus large) et l'utilisateur font appel à des certificats.

Dans ce modèle, un certificat qui a été émis pour un utilisateur sera assigné au compte réseau de cet utilisateur. Lorsqu'un utilisateur présente son certificat, le système interroge le mappage (assignations) et détermine quel compte doit être connecté.

La présente documentation de mise en route présente des approches différentes sur ce thème. Elle explique comment ISS et Active Directory peuvent être préparés pour l'authentification client ainsi que l'utilisation de l'authentification client avec Internet Explorer.

Pour un environnement PKCS #11 avec Mozilla Firefox, l'assignation du certificat utilisateur et l'authentification client sont également traitées.

 


©Infineon Technologies AG