Gestion des Identites et Acces (IAM)

Architecture

La gestion des identites s'appuie sur une architecture hybride combinant :

  • FreeIPA : environnements Linux
  • Active Directory durci : environnements Windows
  • Microsoft Entra ID : federation SSO (SAML 2.0 / OpenID Connect)

Cette dualite permet de repondre aux besoins specifiques de chaque ecosysteme tout en maintenant une coherence globale.

Active Directory - Durcissement

L'Active Directory est durci selon les recommandations ANSSI et CIS Benchmark niveau 2 :

  • Modele de tiering (Tier 0/1/2) avec des PAW (Privileged Access Workstations) dediees pour l'administration des composants critiques
  • LAPS pour la gestion des mots de passe administrateurs locaux avec rotation automatique
  • Protocoles obsoletes desactives : NTLMv1, SMBv1, LLMNR, NetBIOS

FreeIPA

FreeIPA centralise l'authentification des serveurs Linux avec :

  • Regles SUDO granulaires par groupe et commande
  • Politiques SELinux mappees aux utilisateurs
  • Regles HBAC (Host-Based Access Control) limitant l'acces aux serveurs selon les profils metier
  • PKI integree fournissant les certificats pour l'authentification mutuelle des services

Bastion Apache Guacamole

Le bastion Apache Guacamole offre un acces securise HTML5 aux serveurs (SSH, RDP, VNC) sans necessiter de client lourd :

  • Toutes les sessions sont enregistrees pour audit
  • L'authentification passe par le SSO (Microsoft Entra ID) avec MFA obligatoire
  • Controle fin des droits d'acces aux differents environnements
  • Remplace les acces directs SSH/RDP

Flux d'authentification

  1. Utilisateur/Admin se connecte au portail Guacamole (HTTPS)
  2. Authentification deleguee vers Microsoft Entra ID (SAML/OIDC)
  3. Token MFA valide
  4. Session SSH ou RDP enregistree vers le serveur cible
  5. Ecosysteme Linux : FreeIPA (HBAC / Certs / SUDO)
  6. Ecosysteme Windows : Active Directory (GPO / Kerberos / LAPS)