Portail
Forum
Devolutions Force
Hub Business
Hub Personal
Devolutions Send
Devolutions Academy
RDM
Workspace
Launcher
Chez Devolutions, les employés ont la permission d'entrer dans le bâtiment pendant les heures de travail — une attente standard pour toute entreprise. Cette autorisation leur permet d'accéder à leur lieu de travail et d'accomplir leurs tâches. En revanche, les membres de la famille, amis et invités n'ont pas cette autorisation, mais ils peuvent recevoir un accès temporaire (les enfants adorent les flippers), ce qui serait considéré comme un privilège.
Dans la vie quotidienne, les différences entre « permission » et « privilège » sont bien comprises. Cependant, dans le contexte des contrôles d'accès, ces termes sont souvent utilisés de manière si proche qu'ils peuvent sembler synonymes. Que penser alors, lorsqu'on rencontre des termes comme « ensembles de permissions » et « ensembles de privilèges », puisque ces deux fonctionnalités existent dans Devolutions Server (DVLS) ? Cet article vise à clarifier leurs fonctions, applications et avantages distincts.
Décodage des ensembles de privilèges
Les ensembles de privilèges ont été introduits dans la version 2024.2 de Devolutions Server + PAM. Cette fonctionnalité améliore la flexibilité et la sécurité de la gestion des comptes privilégiés au sein d'un environnement Active Directory ou Microsoft Entra ID (anciennement Azure Active Directory), en permettant un contrôle plus granulaire sur les appartenances aux groupes et les autorisations.
Ces comptes privilégiés sont des comptes de niveau supérieur disposant de privilèges élevés, comme l'accès à un serveur sensible ou à des données critiques.
Fonctionnalité
Avec les ensembles de privilèges, les administrateurs peuvent désormais ajouter facultativement un compte PAM à un groupe Active Directory ou Entra ID lors d'une vérification. Cette action d'élévation modifie efficacement les autorisations du compte PAM en l'incluant dans le groupe spécifié. Avant cette mise à jour, chaque compte PAM avait accès à tous les groupes disponibles définis dans la configuration initiale (par exemple, "AD Domain Admins").
Personnalisation et contrôle
L'introduction des ensembles de privilèges permet aux administrateurs de créer des ensembles personnalisés de groupes Active Directory ou Entra ID. Ces ensembles peuvent ensuite être affectés à des comptes PAM spécifiques, garantissant que chaque compte n'accède qu'aux groupes pertinents pour son utilisation prévue.
Avantages
Avant la sortie de la version 2024.2, DVLS affichait tous les groupes JAT (juste-à-temps) disponibles à toutes les entrées PAM éligibles. Cette visibilité étendue pouvait entraîner de la confusion et une utilisation incorrecte des groupes, en demandant plus de privilèges que nécessaire ou approprié. La nouvelle fonctionnalité d'ensembles de privilèges résout ce problème en permettant aux administrateurs d'attribuer des ensembles spécifiques de privilèges aux entrées, améliorant ainsi l'organisation et réduisant le risque d'erreurs.
Décodage des ensembles de permissions
Les ensembles de permissions sont une fonctionnalité de Devolutions Server (DVLS) conçue pour simplifier et rationaliser le processus d'attribution des autorisations aux utilisateurs et rôles. Cette fonctionnalité permet aux administrateurs de gérer efficacement les autorisations des utilisateurs en utilisant des ensembles de permissions prédéfinis ou personnalisés, garantissant des contrôles d'accès cohérents et appropriés dans toute l’entreprise.
Rôles par défaut et permissions personnalisées
Devolutions Server (DVLS) comprend plusieurs rôles par défaut, tels que Contributeur, Opérateur et Lecteur. Ces rôles sont accompagnés d'ensembles d'autorisations prédéfinis adaptés aux besoins typiques des utilisateurs. Cependant, dans certaines situations, des permissions personnalisées peuvent être nécessaires pour certains utilisateurs ou rôles. Plutôt que de configurer manuellement ces permissions à chaque fois, les administrateurs peuvent créer un ensemble de permissions personnalisées comprenant les autorisations souhaitées. Les ensembles de permissions peuvent être gérés via Administration > Paramètres système > Gestion des coffres > Ensembles de permissions.
Création et attribution des ensembles de permissions
Un ensemble de permissions est une collection prédéfinie ou personnalisée d'autorisations attribuée à un utilisateur ou à un rôle donné. Les administrateurs peuvent créer des ensembles de permissions pour regrouper les autorisations nécessaires à des tâches ou responsabilités spécifiques, puis attribuer l'ensemble de permissions à des utilisateurs en lots (le bouton "accorder un accès" pour l'octroi en lots se trouve dans les propriétés des entrées, dossiers et coffres sous Sécurité > Permissions).
Avantages
Les ensembles de permissions offrent plusieurs avantages :
- Efficacité : Attribuer un seul ensemble de permissions est plus rapide et moins sujet aux erreurs que la sélection manuelle de chaque permission pour chaque utilisateur.
- Cohérence : Les ensembles de permissions garantissent que les utilisateurs occupant des rôles similaires disposent de niveaux d'accès cohérents, réduisant le risque de mauvaise configuration des autorisations.
- Gestion simplifiée : Les administrateurs peuvent facilement gérer et mettre à jour un ensemble de permissions, qui sert de modèle pouvant être rapidement attribué aux comptes. La modification d'un modèle d'ensemble de permissions n'affectera pas les permissions déjà attribuées.
Dites-nous ce que vous en pensez
Quels autres termes ou fonctionnalités dans Devolutions Server ou nos autres solutions aimeriez-vous que nous clarifions ensuite? Partagez vos idées et aidez-nous à créer du contenu qui répond à vos besoins et à vos questions.
