Portail Portail Forum Forum Devolutions Force Devolutions Force Hub Business Hub Business Hub Personal Hub Personal Devolutions Send Devolutions Send Devolutions Academy Devolutions Academy Téléchargement RDM RDM Workspace Workspace Launcher Launcher
Produits

Dans les coulisses du flux de travail AnyIdentity : Battement de cœur (de l’anglais « heartbeat »)

Anyidentity workflow devolutions heartbeat

L'action de battement de cœur (Heartbeat) d'AnyIdentity vérifie régulièrement si les mots de passe des comptes privilégiés sont synchronisés avec les identifiants actuels, détectant toute modification non autorisée et déclenchant la rotation des mots de passe si nécessaire, assurant ainsi une gestion continue et sécurisée des accès.

Adam Bertram
Adam Bertram

Adam Bertram est un vétéran de plus de 20 ans dans le domaine de l'informatique et un professionnel expérimenté dans les affaires en ligne. Il est un blogueur accompli, consultant, 6 fois Microsoft MVP, formateur, auteur publié et rédacteur indépendant pour des dizaines de publications. Retrouvez Adam sur adamtheautomator.com pour des tutoriels techniques pratiques, connectez-vous avec lui sur LinkedIn, ou suivez-le sur X à @adbertram.

Afficher plus d'articles

Le flux de travail d’AnyIdentity repose sur trois actions fondamentales harmonisées pour garantir une gestion robuste des accès privilégiés : la détection de comptes, le battement de cœur et la rotation des mots de passe. Chacune de ces actions joue un rôle crucial dans le maintien de la sécurité et de l’intégrité de votre système.

Aujourd’hui, nous allons explorer l’action de battement de cœur — l’étape intermédiaire vitale qui fait le lien entre la phase initiale de découverte et le processus final de rotation. Ce composant central est essentiel pour maintenir un environnement d’accès privilégié à jour et sécurisé, agissant comme un gardien constant contre les changements non autorisés et les potentielles failles de sécurité.

Le flux de travail d’AnyIdentity

Avant de plonger dans les détails de chaque étape, examinons à un niveau global le flux de travail en trois étapes d’AnyIdentity. Ce processus assure une gestion complète des accès privilégiés.

  1. Détection de compte : Trouve et catalogue les comptes privilégiés.
  2. Battement de cœur : Vérifie si les mots de passe stockés correspondent aux mots de passe actuels.
  3. Rotation des mots de passe : Met à jour les mots de passe si nécessaire.
  4. Propagation : Met à jour les services et hôtes externes avec les identifiants stockés.

L’action de battement de cœur est l’élément crucial de comparaison qui sert d’intermédiaire entre la détection de compte et la rotation des mots de passe.

Que fait l’action de battement de cœur?

Au cœur de l'action de heartbeat, le principe est remarquablement simple. Elle compare le mot de passe stocké dans PAM avec le mot de passe actuel sur le fournisseur d'identité.

Décomposons cela avec un pseudocode :


# Simplified representation of the heartbeat action
$storedPassword = Get-StoredPassword -Account $accountName
$currentPassword = Get-CurrentPassword -Account $accountName
if ($storedPassword -ne $currentPassword) {
  Write-Host "Passwords do not match"
}

Comme toutes les autres actions d’AnyIdentity, l’action de battement de cœur est écrite en PowerShell et peut être mise à jour à tout moment, laissant ainsi l’utilisateur aux commandes.

L'importance cruciale du battement de cœur

Bien que beaucoup supposent que la fonction principale du battement de cœur est de vérifier si les identifiants sont synchronisés, son rôle est bien plus critique. L’action de battement de cœur sert de mesure de sécurité essentielle, garantissant qu’aucun identifiant n’a été modifié par une source externe. Il ne s’agit pas seulement de synchronisation, mais de vérifier que le système gère et contrôle les identifiants.

Cette surveillance continue est cruciale pour plusieurs raisons :

  1. Détecter les modifications non autorisées : Le battement de cœur surveille les identifiants pour toute modification non autorisée, qu’elle soit involontaire ou malveillante. Cela garantit que l’intégrité des accès est maintenue en permanence.
  2. Prévenir les violations de sécurité : En identifiant rapidement toute anomalie, l’action de battement de cœur contribue à prévenir les potentielles violations de sécurité qui pourraient survenir si les identifiants étaient modifiés sans que le système en soit informé.
  3. Maintenir le contrôle du système : Elle vérifie que le système PAM conserve le contrôle des identifiants, garantissant que tous les changements de mots de passe passent par les canaux appropriés et sont correctement enregistrés.

L’action de battement de cœur agit donc comme un gardien continu de votre système de gestion des accès privilégiés, veillant à ce que vos identifiants restent sécurisés, synchronisés et sous le contrôle du système à tout moment.

Le battement de cœur en action

Voyons comment cela fonctionne en pratique à travers un scénario typique :

  1. La détection de compte trouve un compte privilégié, « sysadmin01 », et enregistre son mot de passe dans le PAM.
  2. L’action de battement de cœur s’exécute à intervalles réguliers (par exemple, toutes les 4 heures).

Nous examinons ici une version simplifiée du script de battement de cœur pour les identifiants SQL Server.


function Compare-SqlLoginPassword {
    param (
        [string]$Server,
        [string]$UserName,
        [string]$StoredPasswordHash
    )

    $query = "SELECT password_hash FROM sys.sql_logins WHERE name = '$UserName'"
    $result = Invoke-SqlCmd -ServerInstance $Server -Query $query

    $currentPasswordHash = $result.password_hash -join ''

    return $currentPasswordHash -eq $StoredPasswordHash
}

  1. Lors de cette vérification, il a été constaté que le mot de passe stocké pour « sysadmin01 » ne correspondait pas au mot de passe actuel.
  2. L'action heartbeat retourne une valeur booléenne $false.

Configuration du battement de cœur

Bien que l’action de battement de cœur soit simple, son efficacité repose sur une configuration adéquate. L’action comporte deux zones à configurer (si vous créez votre propre fournisseur) :

  • Les paramètres pour définir le fournisseur d'identité auquel se connecter;
  • Les paramètres spécifiques au compte tels que Nom d'utilisateur et Secret, comme illustré ci-dessous.

Exemple de paramètres de l’action Battement de cœur d’AnyIdentity
Exemple de paramètres de l’action Battement de cœur d’AnyIdentity


Les actions de battement de cœur consistent également en un script PowerShell qui se connecte au fournisseur d'identité et effectue la comparaison.


Script PowerShell de l’action Battement de cœur d’AnyIdentity
Script PowerShell de l’action Battement de cœur d’AnyIdentity


Notez que ces deux zones ne s'appliquent que si vous créez votre fournisseur AnyIdentity via un modèle. Si vous utilisez un modèle pré-créé, vous devez fournir des valeurs pour chaque paramètre obligatoire.

Simple en concept, mais essentiel pour sécuriser la rotation des mots de passe

Bien que simple en concept, l’action de battement de cœur joue un rôle essentiel dans le flux de travail de gestion des accès privilégiés d’AnyIdentity. En vérifiant régulièrement l’intégrité des mots de passe, elle garantit que votre solution PAM reste synchronisée avec vos fournisseurs d'identité. Plus important encore, elle agit comme une mesure de sécurité cruciale, surveillant en continu toute modification non autorisée et maintenant le contrôle du système sur les identifiants privilégiés.

Lorsque vous mettez en place ou affinez votre configuration AnyIdentity et que vous avez besoin d’aide pour l’action de battement de cœur, n'hésitez pas à consulter notre documentation sur les scripts d’action de battement de cœur, qui vous donnera des idées sur la manière de mettre en œuvre vos propres scripts d’action de battement de cœur.

Table des matières
Articles similaires

Lire plus d'articles dans la section Produits