Un compte break glass dans Devolutions Cloud est un compte administrateur dédié utilisé uniquement lorsque les modes de connexion habituels sont indisponibles, par exemple lors d'une panne SSO, d’un fournisseur d'identité mal configuré, d’une erreur de provisionnement ou d’un incident de sécurité.
Cet article décrit dans quels cas un compte d’urgence (break glass) est requis dans Devolutions Cloud et comment le configurer pour être prêt en cas de besoin.
Utiliser le compte d’urgence pour se connecter lorsque l’IdP n’est pas disponible, à condition que Forcer SSO ne soit pas activé. Si Forcer SSO est activé, utiliser l’identité d’application et la procédure PowerShell pour désactiver Forcer SSO d’abord.
Par exemple, une URL de rappel incorrecte, un mauvais ID client ou secret, une vérification de domaine défaillante, une configuration invalide d’Okta ou d’Entra, ou un secret expiré. Le compte break glass permet à un administrateur de réaccéder à Devolutions Cloud pour modifier, supprimer ou corriger les paramètres SSO, ou utiliser la voie PowerShell documentée si Force SSO bloque la connexion normale.
Force SSO a été activé trop tôt ou lors d'une migration échouée. Il s'agit du cas le plus risqué. Un compte Devolutions standard n'est pas suffisant si Force SSO bloque toutes les connexions hors SSO. Le mécanisme de récupération documenté consiste en une identité d'application disposant des droits de configuration système, combinée au script qui définit ForceSSOLogin = $false.
Si le provisionnement ou le déprovisionnement depuis le fournisseur d'identité supprime des administrateurs ou casse l'attribution des groupes, un compte break glass en dehors du champ de provisionnement peut restaurer les utilisateurs et groupes. Le provisionnement automatise la gestion des utilisateurs et groupes. Les utilisateurs non gérés par le fournisseur d'authentification peuvent être ajoutés uniquement lorsque Force SSO est désactivé pour tous les utilisateurs.
Par exemple, administrateurs qui ont quitté l'entreprise, sont en vacances, ont été désactivés dans l'IdP ou ont perdu l'accès. La propriété de Devolutions Cloud peut être transférée à un autre administrateur. Un seul propriétaire est autorisé et seuls les administrateurs peuvent être désignés comme propriétaires.
Le propriétaire a un statut particulier et ne peut être supprimé. Seuls les administrateurs actuels peuvent être désignés comme propriétaires et il est recommandé de réduire au minimum le nombre de comptes administrateur. Un administrateur break glass offre un moyen contrôlé de rétablir la gouvernance sans surdoter d'administrateurs quotidiens.
Le compte break glass doit avoir une authentification multifacteur indépendante et des codes de récupération stockés. Le compte Devolutions prend en charge la vérification en deux étapes, des méthodes de vérification alternatives et des codes de récupération de connexion. Les codes de récupération sont explicitement décrits comme solution de dernier recours pour accéder au compte.
Lors d’un incident d’identité, il peut être nécessaire d’accéder à Devolutions Cloud sans dépendre de l’IdP compromis. Cela permet de désactiver SSO, de vérifier les utilisateurs, de révoquer les administrateurs compromis, de renouveler les secrets partagés, de consulter les journaux et d’assurer la continuité des activités. Il s’agit du modèle classique d’accès d’urgence (break glass ou firecall) : accès d’urgence à un système sécurisé lorsque l’accès privilégié n’est plus disponible.
La vérification du domaine SSO est obligatoire et dépend des enregistrements DNS TXT. Si la validation DNS ou du domaine échoue, un administrateur break glass peut accéder aux paramètres d'authentification et réparer la configuration.
Garder la clé de récupération Devolutions Cloud en lieu sûr. Une clé de récupération temporaire est envoyée lors de la création de Devolutions Cloud. Après 30 jours, le propriétaire doit régénérer et télécharger une clé permanente, et les propriétaires de Devolutions Cloud doivent aussi valider la clé après six mois.
Si un incident de sécurité nécessite de désactiver des utilisateurs, changer le statut d’administrateur, retirer l’accès au coffre ou restaurer l’accès pour une équipe critique, le compte d’urgence assure un chemin administratif contrôlé. Dans la gestion des utilisateurs Devolutions Cloud, les administrateurs peuvent modifier les habilitations des utilisateurs, assigner des groupes d’utilisateurs, activer ou désactiver des utilisateurs, et définir un statut administrateur.
Ne pas confondre un compte d’urgence Devolutions Cloud avec un compte d’urgence ou « firecall » privilégié PAM. Le module PAM de Devolutions Cloud gère les comptes privilégiés et supporte l’approbation de réservation, la réinitialisation automatique du mot de passe, l’injection d’identifiants sécurisée, les rapports d’administration et les journaux. Ce sont les contrôles appropriés pour un accès d’urgence aux serveurs, Active Directory, comptes Entra, ou autres systèmes cibles.
Un compte break glass est également utile comme filet de sécurité pour tester le déploiement du SSO, les fenêtres de migration SSO ou SCIM, valider les procédures de transfert de propriété, vérifier le stockage de la clé de récupération, tester la documentation sur la récupération de compte et prouver que l'accès d'urgence fonctionne lors d'audits.
Un compte break glass ne doit pas être utilisé pour l'administration quotidienne.
Utiliser un compte dédié tel que cloud-breakglass@company.tld plutôt qu’un compte portant le nom d’un employé. Le rendre administrateur Devolutions Cloud, mais éviter de lui accorder un accès étendu au coffre ou au contenu sauf si la procédure d’urgence l’exige. Ne pas l’attribuer comme propriétaire par défaut sauf si le modèle de gouvernance exige une relève au niveau du propriétaire. S’il doit pouvoir être propriétaire, documenter qui peut le promouvoir et quand.
Configurer l’authentification multifacteur (AMF) avec au moins deux chemins de récupération indépendants, stocker les codes de récupération de connexion hors connexion, conserver la clé de récupération Devolutions Cloud dans un endroit sûr, exclure le compte du déréférencement SCIM quand c’est possible, et tester la connexion chaque trimestre. Si Forcer SSO est activé, aussi créer l’identité d’application et stocker la clé et le secret d’application sous double contrôle, afin que Forcer SSO puisse être désactivé lors d’un verrouillage.
Partagez vos commentaires