Passer au mode sans mot de passe avec Remote Desktop Manager et CyberArk

Au cours des derniers mois, vous avez peut-être remarqué un niveau accru de collaboration entre Devolutions et CyberArk. En effet, deux de nos trois types d'entrée ont été actualisés dans la version 2020.2 pour mieux utiliser leurs API améliorées. Notre troisième type est déjà disponible dans Remote Desktop Manager 2020.3 beta, cela complète la série actuelle d'améliorations et permet essentiellement aux organisations de se passer de mot de passe pour leurs workflows quotidiens.

La seule exigence est d'exploiter le Gestionnaire d'Accès aux Applications (AAM) de CyberArk dans le cadre du déploiement de CyberArk par votre organisation. Ce module permet l'authentification par Clé Privée (PK), ce qui signifie que l'ensemble de la phase d'Identification/Authentification est gérée par votre département informatique, rendant les mots de passe complètement inutiles.

Aussi, commençons par préciser que l'aspect sans mot de passe concerne CyberArk, vous devez toujours vous authentifier à Remote Desktop Manager, quel que soit la source de données que vous utilisez.

Aperçu

Un diagramme est nécessaire pour illustrer correctement la solution. !!KB4661

  1. L'utilisateur est authentifié sur Remote Desktop Manager avec un compte de moindre privilège, ce qui lui donne accès au contenu de Remote Desktop Manager conformément aux autorisations définies dans notre contrôle d'accès basé sur les groupes d'utilisateurs.

  2. Lorsque leur compte privilégié est requis pour lancer une technologie prise en charge, Remote Desktop Manager obtiendra la clé privée appropriée du poste de travail, elle doit être détenue dans le magasin de certificats pour l'utilisateur.

  3. La clé privée est utilisée pour authentifier contre le coffre CyberArk. Elle est configurée comme un objet Application qui est essentiellement un proxy utilisateur utilisé pour interroger le coffre.

  4. Remote Desktop Manager obtient les détails d'un compte privilégié, l'important est que l'utilisateur ne connaisse pas le mot de passe de son propre compte privilégié.

  5. Remote Desktop Manager utilise le compte privilégié et lance soit : une connexion PSM ; se connecte au PVWA ; ou même lance une session prise en charge par Remote Desktop Manager, tout en cachant le mot de passe à l'utilisateur.

Configuration du Gestionnaire d'Accès aux Applications (AAM) de CyberArk

Premièrement, émettre des PK pour chacun de vos utilisateurs et les déployer sur leurs postes de travail. La source de vérité pour ces questions est sûrement la documentation de CyberArk, mais nous avons inclus des instructions de base dans notre guide d'intégration. Quant au côté de Remote Desktop Manager, nous prenons à nouveau en charge différentes méthodes de gestion du PK :

  1. Informations PK stockées dans une entrée existant dans le coffre de l'utilisateur. C'est sûrement le plus simple car vous avez une relation un-à-un entre utilisateurs/clés/comptes, mais cela doit être fait par les utilisateurs eux-mêmes.

  2. Information de la clé publique (PK) stockée dans Mes paramètres de comptes : Cette méthode permet aux administrateurs de créer les entrées AAM dans Remote Desktop Manager, tandis que chaque utilisateur configure ses propres détails de PK dans ses paramètres personnels. Étant donné que la détection de compte utilise des mots-clés spécifiés dans l'entrée AAM, cela signifie que vous avez encore quelques options :

    1. Géré dans CyberArk : pour chaque utilisateur, il doit exister un compte privilégié unique, accessible à partir des mêmes mots-clés. La responsabilité incombe à l'administrateur d'isoler ceux-ci dans divers coffres et de s'assurer que le compte de chacun ait les mêmes mots-clés.

    2. Géré dans Remote Desktop Manager : les administrateurs doivent créer une entrée AAM unique par utilisateur avec les mots-clés pour trouver leur Compte Privilégié. Notre Contrôle d'Accès de Base des Groupes d'Utilisateurs doit être utilisé pour assurer que les utilisateurs peuvent voir et utiliser uniquement les entrées appropriées.

Comme toujours avec Remote Desktop Manager, vous pouvez combiner et assortir les approches selon vos propres besoins.

Un nom d'application autre que AIMWebService doit être spécifié dans le champ nom de l'application.

Application name field
Application name field

Configuration de Privilege Session Manager (PSM) CyberArk

Une discussion sur le PSM est sûrement trop vaste pour être abordée dans ce sujet, je me référerai donc à la documentation de CyberArk. Quant à Remote Desktop Manager, dans votre entrée de PSM-Server, utilisez un de nos mécanismes pour faire en sorte que la connexion utilise l'entrée AAM configurée à l'étape précédente.

Si vous avez choisi l'option AAM 1 ci-dessus, vous devez utiliser les Paramètres spécifiques à l'utilisateur dans Remote Desktop Manager pour créer le lien entre l'entrée du serveur PSM et l'entrée AAM qui est stockée dans le coffre de l'utilisateur.

Si vous avez plutôt sélectionné les options 2a ou 2b, je crois que la meilleure option est de définir l'entrée du serveur PSM pour utiliser Dépôt d'identifiants, associé à inviter à la connexion. Cela améliore l'expérience pour les nouveaux utilisateurs, et les utilisateurs expérimentés sauront comment passer aux Paramètres spécifiques à l'utilisateur pour rendre leur choix plus permanent.

Configuration du SDK Webservices CyberArk

Lorsque vous restez dans les limites de votre écosystème CyberArk, vous n'avez généralement pas besoin d'utiliser ce type, mais il a été décidé de vous offrir quand même la capacité. Cela a été récemment modifié et est donc uniquement dans la version 2020.3, qui est actuellement en cycle bêta.

Cela dit, cela permet à votre organisation de donner accès pour récupérer certains mots de passe, chaque fois que le PSM ou l'utilisation de l'injection des identifiants de Remote Desktop Manager n'est pas une option, tout en permettant uniquement l'accès à partir d'un compte privilégié que l'utilisateur ne contrôle pas.

Conclusion

Pour tous les détails, voici la documentation officielle pour chacune de nos intégrations, ainsi que quelques liens vers notre propre documentation sur les fonctionnalités mentionnées dans cet article.

Comme toujours, veuillez contacter notre équipe de support client à service@devolutions.net si vous souhaitez un accompagnement ou si vous avez besoin de clarification sur certains aspects.

Devolutions Forum logo Donnez-nous vos commentaires