Un compte break glass dans Devolutions Hub Business est un compte administrateur dédié, utilisé uniquement lorsque les méthodes de connexion habituelles sont indisponibles, par exemple lors d'une panne SSO, d'un fournisseur d'identité mal configuré, d'une erreur de provisionnement ou d'un incident lié à la sécurité.
Cet article décrit quand un compte break glass est requis dans Devolutions Hub Business et comment en configurer un pour être prêt en cas de besoin.
Utiliser le compte break glass pour se connecter lorsque le fournisseur d'identité est indisponible, si Force SSO n'est pas activé. Si Force SSO est activé, utiliser l'identité d'application et la procédure PowerShell pour désactiver Force SSO en premier.
Des exemples incluent une mauvaise URL de rappel, un mauvais ID client ou secret, une vérification de domaine cassée, une configuration Okta ou Entra invalide, ou un secret expiré. Le compte break glass permet à un administrateur de revenir dans Devolutions Hub Business pour éditer, supprimer ou corriger les paramètres SSO, ou utiliser le chemin PowerShell documenté si Force SSO bloque la connexion normale.
Force SSO a été activé trop tôt ou lors d'une migration échouée. Il s'agit du cas le plus risqué. Un compte Devolutions standard n'est pas suffisant si Force SSO bloque toutes les connexions hors SSO. Le mécanisme de récupération documenté consiste en une identité d'application disposant des droits de configuration système, combinée au script qui définit ForceSSOLogin = $false.
Si le provisionnement ou le déprovisionnement depuis le fournisseur d'identité supprime des administrateurs ou casse l'attribution des groupes, un compte break glass en dehors du champ de provisionnement peut restaurer les utilisateurs et groupes. Le provisionnement automatise la gestion des utilisateurs et groupes. Les utilisateurs non gérés par le fournisseur d'authentification peuvent être ajoutés uniquement lorsque Force SSO est désactivé pour tous les utilisateurs.
Des exemples incluent les administrateurs ayant quitté l'entreprise, étant en vacances, ayant été désactivés dans le fournisseur d'identité ou ayant perdu l'accès. La propriété du Devolutions Hub Business peut être transférée à un autre administrateur. Un seul propriétaire est autorisé, et seuls les administrateurs peuvent être affectés comme propriétaires.
Le propriétaire a un statut particulier et ne peut être supprimé. Seuls les administrateurs actuels peuvent être désignés comme propriétaires et il est recommandé de réduire au minimum le nombre de comptes administrateur. Un administrateur break glass offre un moyen contrôlé de rétablir la gouvernance sans surdoter d'administrateurs quotidiens.
Le compte break glass doit avoir une authentification multifacteur indépendante et des codes de récupération stockés. Le compte Devolutions prend en charge la vérification en deux étapes, des méthodes de vérification alternatives et des codes de récupération de connexion. Les codes de récupération sont explicitement décrits comme solution de dernier recours pour accéder au compte.
Lors d'un incident lié à l'identité, il peut être nécessaire d'avoir un accès Devolutions Hub Business ne dépendant pas du fournisseur d'identité compromis. Ceci permet de désactiver le SSO, de revoir les utilisateurs, de supprimer les administrateurs compromis, de renouveler les secrets partagés, de consulter les journaux et d'assurer la continuité des activités. Il s'agit du schéma classique break glass ou firecall : accès d'urgence à un système sécurisé lorsque l'accès privilégié n'est pas disponible.
La vérification du domaine SSO est obligatoire et dépend des enregistrements DNS TXT. Si la validation DNS ou du domaine échoue, un administrateur break glass peut accéder aux paramètres d'authentification et réparer la configuration.
Conserver la clé de récupération Devolutions Hub Business dans un endroit sûr. Une clé de récupération temporaire est envoyée lors de la création de Devolutions Hub Business. Après 30 jours, le propriétaire doit régénérer et télécharger une clé non expirante, et les propriétaires de Devolutions Hub Business reçoivent également une demande de validation de la clé après six mois.
Si un incident de sécurité nécessite de désactiver des utilisateurs, de modifier le statut administrateur, de supprimer l'accès au coffre ou de rétablir l'accès pour une équipe critique, le compte break glass fournit une voie d'administration contrôlée. Dans la gestion des utilisateurs de Devolutions Hub Business, les administrateurs peuvent modifier ce que les utilisateurs peuvent faire, affecter des groupes d'utilisateurs, activer ou désactiver des utilisateurs et définir le statut administrateur.
Ne pas confondre un compte break glass Devolutions Hub Business avec un compte break glass ou firecall de gestion PAM. Le module PAM de Devolutions Hub Business gère les comptes privilégiés et prend en charge l'approbation des demandes de réservation, la réinitialisation automatique du mot de passe, l'injection sécurisée de mot de passe, les rapports d'administration et les journaux. Ce sont les contrôles appropriés pour l'accès d'urgence aux serveurs, Active Directory, comptes Entra ou autres systèmes cibles.
Un compte break glass est également utile comme filet de sécurité pour tester le déploiement du SSO, les fenêtres de migration SSO ou SCIM, valider les procédures de transfert de propriété, vérifier le stockage de la clé de récupération, tester la documentation sur la récupération de compte et prouver que l'accès d'urgence fonctionne lors d'audits.
Un compte break glass ne doit pas être utilisé pour l'administration quotidienne.
Utiliser un compte dédié tel que hub-breakglass@company.tld plutôt qu'un compte d'employé nommé. Le rendre administrateur Devolutions Hub Business, mais éviter de lui attribuer un accès large au coffre ou au contenu, sauf si le dossier d'exploitation d'urgence l'exige. Ne pas l'attribuer par défaut comme propriétaire, sauf si votre modèle de gouvernance impose une solution de secours à ce niveau. Si le compte doit pouvoir être propriétaire, documenter qui peut le promouvoir et quand.
Configurer l'AMF avec au moins deux méthodes de récupération indépendantes, stocker les codes de récupération de connexion hors ligne, conserver la clé de récupération Devolutions Hub Business dans un endroit sûr, exclure le compte du déprovisionnement SCIM si possible, et tester la connexion chaque trimestre. Si Force SSO est activé, également créer l'identité d'application et stocker la clé et le secret de l'application sous double contrôle, afin de pouvoir désactiver Force SSO pendant un verrouillage.
Partagez vos commentaires