Académique Documents
Professionnel Documents
Culture Documents
Cela est d’autant plus important que, de nos jours, la plupart des applications
web utilisent la messagerie pour transmettre ou réinitialiser leurs mots de passe.
Mal protégée, la messagerie devient donc un maillon faible du système
d’information.
-3-
Qu’est-ce que Microsoft Outlook Web App et Microsoft
ActiveSync ?
Microsoft propose deux solutions principales pour accéder à Microsoft
Exchange hors de l’écosystème Windows. L’une permet la consultation de sa
boîte mail par un navigateur web, l’autre connecte directement un lecteur de
mail natif au serveur Microsoft Exchange.
Microsoft Outlook Web App (OWA) est l’interface web d’accès aux
boîtes mail Microsoft Exchange. L’ergonomie est différente selon que le
navigateur soit Internet Explorer (qui supporte ActiveX) ou Firefox ou
Chrome (qui ne supportent pas ActiveX).
Microsoft ActiveSync est le protocole permettant de synchroniser une
boîte mail Microsoft Exchange sur un téléphone portable ou un
équipement mobile de type tablette. Ce protocole s’appuie sur OWA
et IIS1 ; il utilise une portion du protocole HTTP.
Elle peut être utilisée seule ou en coopération avec Evidian Enterprise SSO,
Cette dernière solution s’appuie sur un client Windows local et peut aussi
donner accès aux applications non-web. Dans ce cas, Evidian Enterprise SSO
et Evidian Web Access Manager partagent les informations sur les comptes
d’utilisateurs des applications web, et sur le login à Windows.
Ce document s’appuie sur Evidian Web Access Manager pour illustrer des cas
d’usage d’accès web à Microsoft Outlook par des mécanismes
d’authentification unique.
1
Microsoft Internet Information Services
-4-
Cas d’usage de single sign-on vers Microsoft Outlook
Outlook Web App et ActiveSync sont des applications Web qui peuvent être
contrôlées par une solution de single sign-on web telle qu’Evidian Web Access
Manager.
Evidian Web Access Manager peut contrôler les accès à Outlook Web
App comme il le ferait avec une application Web classique.
Evidian Web Access Manager peut aussi contrôler les accès faits par
les postes mobiles à leur messagerie en utilisant le protocole
ActiveSync.
Mais l’utilisateur ne connaît pas forcément son mot de passe Windows que
réclame Outlook Web App :
Dans ce cas, Evidian Web Access Manager utilise le mot de passe Windows
connu par Evidian Enterprise SSO pour réaliser l’authentification vers le serveur
OWA.
Le résultat : une fois logué sur Evidian Web Access Manager l’utilisateur
accède à OWA depuis son navigateur, sans aucun mot de passe
supplémentaire.
-5-
Cas d’usage avec ActiveSync
Depuis un téléphone portable (iPhone, Android, Windows Phone) ou une
tablette (iPad, Android,..), l’utilisateur synchronise ses mails et son agenda
avec son compte mail OWA par Wi-Fi ou en 3G. L’application cliente
ActiveSync doit pouvoir s’authentifier et accéder aux ressources OWA en
utilisant le protocole ActiveSync.
Mais, nous l’avons vu, l’utilisateur ne connaît pas forcément son mot de passe
Windows. Il ne peut donc pas l’utiliser pour configurer l’application cliente
ActiveSync.
-6-
Principes d’architecture avec Outlook Web App
La figure ci-dessous présente une architecture typique pour accéder, depuis
Internet, à des boîtes mail sous Outlook Web App (OWA).
Evidian Web Access Manager peut obtenir auprès d’Evidian Enterprise SSO,
s’il est présent, les mots de passes des applications de l’utilisateur, ainsi que
son mot de passe Windows.
Le mot de passe Windows est ainsi utilisé pour l’authentification vers les
serveurs OWA. Cette authentification peut être de type « authentification
Microsoft intégrée » (NTLMv2), « authentification par formulaire »
ou « authentification HTTP basique ».
-7-
Principes et architecture avec Microsoft ActiveSync
Le protocole ActiveSync est une réduction du protocole HTTP ; il ne supporte
pas :
Les redirections 301 et 302
Les ports HTTP/HTTPS autres que 80 et 443
Dans l’architecture proposée, les mots de passe primaires sont stockés dans un
annuaire LDAP différent de l’annuaire Active Directory. Ce dernier contient les
vrais utilisateurs/mots de passe.
-8-
L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel
Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce
dernier injectera le mot de passe réel dans le flux de données échangées avec
le serveur ActiveSync.
L’utilisateur va utiliser un mot de passe qui n’est pas son mot de passe réel
Windows, mais qui va être contrôlé par Evidian Web Access Manager. Ce
dernier injectera le mot de passe réel dans le flux de données échangées avec
le serveur ActiveSync.
-9-
Evidian Web Access Manager intercepte l’identifiant utilisateur pour
réaliser :
- (1) L’identification de l’utilisateur : il s’agit de déterminer quel est son
annuaire d’origine.
Ces règles s’appliquent aux connexions ActiveSync comme sur toutes autres
connexions transitant au travers d’Evidian Web Access Manager.
Des groupes statiques ou dynamiques peuvent ainsi être constitués pour
autoriser l’accès aux boîtes de messagerie sur téléphone portable en fonction
des fonctions des utilisateurs.
- 10 -
Changement de mots de passe pour ActiveSync
Les mots de passe utilisés par les téléphones portables sont indépendants des
mots de passe Windows. Ils peuvent donc être changés indépendamment :
Par un outil de provisionnement (tel que Evidian Identity & Access
Manager,ou Evidian ID Synchronization) qui modifie des mots de
passe dans l’annuaire LDAP. Les nouveaux mots de passe doivent alors
être distribués aux utilisateurs pour qu’ils puissent configurer leurs
téléphones portables.
Par les utilisateurs eux-mêmes, qui utilisent Web Access Manager pour
modifier leurs propres mots de passe.
Evidian Web Access Manager est compatible avec les outils d'analyse de trafic
web tel que Webtrends. Cela simplifie l'analyse des rapports d'audit de
sécurité.
Des événements d’audit sont émis vers la base d’audit centralisé Evidian
Identity & Access Manager, lors de chaque authentification et émission de mot
de passe.
- 11 -
Chiffrer les données confidentielles
Avec Evidian Web Access Manager, toutes les communications d’OWA et
ActiveSync peuvent être chiffrées. La passerelle Evidian Web Access Manager
effectue elle-même ce chiffrement par SSL.
La passerelle Evidian Web Access Manager peut masquer l'adresse réelle des
ressources Web. Elle modifie l'URL des applications Web et empêche ainsi les
pirates de connaître la topologie du réseau.
Evidian Web Access Manager contrôle les entrées pour tous les accès Web.
Cela facilite la protection des applications Web contre les attaques provenant
d'Internet.
- 12 -
Pour plus d’information, visitez notre site web : www.evidian.fr
Email: info@evidian.com
© 2012-2014 Evidian
Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de
marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations passé la
39 F2 22LY 01
date de publication.
Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT.
Cette brochure est imprimée sur un papier composé de 40 % de fibres éco-certifiées, issues d'une gestion forestière durable, et de 60 % de fibres recyclées, en application des règles
environnementales (ISO 14001).