Comment sécuriser l’accès client aux applications RD Web personnalisées

Pour les développeurs de logiciels qui exécutent des applications spécialisées via RD Web basé sur IIS, sécuriser l’accès client avec une authentification forte et des contrôles d’accès peut rapidement devenir complexe. Si vous cherchez un moyen d’ajouter une couche de sécurité efficace à l’accès à des applications personnalisées, il existe une option plus simple. Voici comment UserLock peut vous aider.

Le problème central est que, comme IIS lui-même, RD Web (anciennement Terminal Services Web Access) est une application héritée datant du début des années 2000, bien avant que des mesures de sécurité comme l’authentification multifacteur (MFA) ne deviennent la norme.

Bien que RD Web fournisse un accès distant fiable aux applications on-premises via un navigateur, il n’intègre pas de MFA native.

En 2019, Microsoft a introduit Azure Virtual Desktop (AVD) comme successeur cloud de RD Web. Mais malgré les prédictions annonçant son déclin, RD Web reste largement utilisé, en particulier pour des applications spécialisées ou héritées et des cas d’usage difficiles à migrer vers le cloud.

Les développeurs et les équipes IT sont donc confrontés à un défi : comment sécuriser l’accès à RD Web sans ajouter de coûts ou de complexité inutiles ?

Voici quelques cas d’usage récents de clients utilisant RD Web qui illustrent son importance continue :

• Un éditeur de logiciels pour le secteur de la construction avait besoin d’un moyen simple d’ajouter la MFA afin de sécuriser les connexions clients à son application personnalisée fournie via RD Web.

• Une application de location de voitures distribuée via RD Web nécessitait des contrôles d’authentification plus robustes pour l’accès client.

• Un éditeur de logiciels médicaux avait besoin d’une MFA rentable pour des milliers d’utilisateurs d’applications personnalisées répartis sur plusieurs domaines Active Directory.

Ces exemples montrent que RD Web reste pertinent, des petites installations aux environnements relativement vastes et multi-domaines.

C’est un autre exemple de la manière dont de nombreuses organisations fonctionnent aujourd’hui selon un modèle hybride. Les solutions SaaS et Microsoft 365 peuvent s’exécuter dans le cloud, tandis que les applications spécialisées restent souvent on-premises.

Pour beaucoup, en particulier les petits éditeurs de logiciels, passer à un modèle d’abonnement cloud par utilisateur n’a pas de sens financièrement pour une application spécialisée.

RD Web leur permet de centraliser la sécurité et les licences tout en prenant en charge des applications complexes ou héritées qui ne sont pas nécessairement prêtes pour le cloud. Ces applications peuvent être difficiles à gérer ou non prises en charge par certains systèmes d’exploitation.

Il est important de noter que de nombreuses organisations utilisent RD Web parce qu’elles souhaitent garder un contrôle accru sur leur infrastructure. Le maintien des systèmes et des données applicatives on-premises permet également de répondre aux exigences de souveraineté et de conformité, puisque l’organisation conserve un contrôle total.

Une connexion RD Web est accessible via une URL simple, par exemple :
https://hostname.domain/rdweb

Cependant, comme les utilisateurs accèdent à RD Web via une URL publique, celui-ci est exposé à Internet. Cela rend indispensables une authentification forte et des contrôles d’accès robustes.

Une option consiste à utiliser un fournisseur d’identité cloud (IdP). Mais cela introduit souvent des coûts d’abonnement supplémentaires, des efforts d’intégration, et une dépendance vis-à-vis d’un service d’authentification externe.

Pour les organisations qui ont choisi RD Web afin de conserver leur infrastructure en interne, l’ajout d’une authentification cloud peut réintroduire de la complexité.

UserLock fournit une MFA pour IIS et RD Web. Comme UserLock est conçu pour les environnements sur site et hybrides, vous n’avez pas besoin de reconfigurer votre architecture d’identité ni de gérer un IdP cloud supplémentaire.

UserLock s’intègre à votre AD, ce qui permet aux administrateurs de définir des règles d’accès sur les utilisateurs, groupes et unités organisationnelles (OU) AD existants.

L’IT peut également contrôler de manière granulaire la fréquence des demandes de MFA en fonction du type de connexion et de session.

Le seul prérequis est l’installation de l’agent IIS UserLock sur le serveur IIS RDWeb.

UserLock permet également aux administrateurs d’appliquer la MFA directement dans les applications publiées, au lieu de demander aux utilisateurs de s’authentifier via RD Web puis, séparément, via RD Gateway en installant l’agent desktop sur chaque hôte publié dans le service.

Si votre organisation utilise RD Web pour fournir un accès distant à des applications personnalisées, UserLock ajoute des contrôles d’accès robustes sans augmenter la complexité.

UserLock sécurise les connexions RDP et VPN via plusieurs méthodes d'authentification multifacteur :

• Notifications push (application UserLock Push)

• Applications d’authentification (Microsoft, Google)

• Jetons matériels et clés (YubiKey, Token2)

Les administrateurs peuvent également appliquer :

• Des limites de sessions simultanées afin de définir des contrôles granulaires sur le nombre (le cas échéant) de connexions concurrentes et de sessions simultanées autorisées.

• Des restrictions d’accès basées sur le contexte, fonctionnant en arrière-plan pour limiter l’accès selon le poste de travail, la plage d’adresses IP, le type de connexion et l’heure.

Il est important de noter que UserLock permet à l’IT de surveiller en temps réel les sessions connectées via RD Web. Les administrateurs peuvent à distance fermer la session, verrouiller ou déconnecter des sessions suspectes.

Pour répondre aux exigences de conformité, l’IT peut créer et exporter des rapports sur les événements MFA, les connexions utilisateurs et les actions administrateur.