MyQ X fournit un cadre complet de gestion des identités et des accès qui s'intègre de manière transparente aux systèmes d'authentification d'entreprise existants tout en prenant en charge les normes de sécurité modernes. L'architecture IAM garantit une authentification des utilisateurs sécurisée, évolutive et flexible dans divers environnements organisationnels.
Mise en œuvre de l'authentification multifactorielle
MyQ X met en œuvre de solides capacités d'authentification multifactorielle (MFA) qui renforcent considérablement la sécurité en exigeant plusieurs facteurs de vérification :
Authentification par terminal intégré : les méthodes MFA standard comprennent des combinaisons de badge et de code PIN, où les utilisateurs présentent d'abord leur badge physique, puis confirment leur identité à l'aide d'un code PIN. L'authentification par badge et mot de passe offre une sécurité à deux facteurs similaire, avec une vérification par mot de passe au lieu d'un code PIN.
Authentification mobile : le client mobile MyQ X permet une MFA sophistiquée grâce à la lecture de codes QR combinée à une vérification biométrique. Les utilisateurs s'authentifient en scannant un code QR affiché sur le terminal intégré, avec une sécurité supplémentaire fournie par des verrous biométriques (Face ID ou empreinte digitale) sur leurs périphériques mobiles.
Intégration du Desktop Client : les organisations qui utilisent les services Microsoft 365 bénéficient d'une authentification multifactorielle intégrée grâce à l'authentification Entra ID. Les utilisateurs dont l'authentification à deux facteurs est activée dans leur compte Entra ID sont automatiquement invités à vérifier leur identité à l'aide d'applications d'authentification lorsqu'ils accèdent au Desktop Client.
Autorisation d'accès aux périphériques OAuth 2.0
MyQ X prend en charge la norme d'octroi de code d'autorisation OAuth 2.0, ce qui permet une intégration sécurisée avec les fournisseurs d'identité modernes et les applications tierces :
Flux OAuth standard : le système met en œuvre le cadre d'autorisation OAuth 2.0 complet, y compris la présentation de la page de connexion, la génération d'un code d'accès unique et la récupération sécurisée des jetons. Les applications clientes reçoivent des jetons porteurs avec des durées d'expiration et des champs d'application configurables.
Sécurité de l'intégration API : des jetons OAuth doivent être fournis pour tous les accès aux points de terminaison API, afin de garantir que les intégrations tierces maintiennent une authentification appropriée. Le système prend en charge la validation de l'ID client et du secret client avec une correspondance URI de redirection sécurisée.
Gestion des jetons : les jetons d'accès comprennent des contrôles d'expiration (1800 secondes par défaut) et des restrictions de portée, offrant un contrôle granulaire des autorisations d'accès à l'API tout en maintenant la sécurité grâce à la rotation des jetons.
Capacités d'intégration de l'authentification unique
MyQ X offre une intégration complète de l'authentification unique (SSO) qui rationalise l'authentification des utilisateurs dans les environnements d'entreprise :
Intégration Microsoft 365 : l'intégration approfondie avec Microsoft Entra ID permet une authentification unique transparente pour les organisations utilisant les services Microsoft 365. Les utilisateurs peuvent s'authentifier à l'aide de leurs identifiants Microsoft existants, ce qui élimine le besoin de mots de passe MyQ distincts.
Services d'annuaire d'entreprise : les capacités SSO s'étendent à divers serveurs d'authentification, notamment Active Directory, OpenLDAP et Novell eDirectory, permettant aux utilisateurs d'utiliser leurs identifiants d'entreprise existants pour accéder à MyQ.
Authentification multiplateforme : la fonctionnalité SSO fonctionne sur tous les composants MyQ X, y compris Desktop Client, le client mobile et les terminaux intégrés, offrant une expérience d'authentification cohérente quelle que soit la méthode d'accès.
Contrôle d'accès basé sur les rôles (RBAC)
MyQ X met en œuvre un contrôle d'accès basé sur les rôles sophistiqué qui répond aux exigences de sécurité de l'entreprise :
Gestion granulaire des autorisations : le système offre un contrôle détaillé des autorisations des utilisateurs, permettant aux administrateurs de définir des droits d'accès spécifiques en fonction des rôles et des responsabilités au sein de l'organisation.
Administration basée sur les groupes : la mise en œuvre du RBAC prend en charge à la fois les autorisations individuelles des utilisateurs et le contrôle d'accès basé sur les groupes, ce qui permet une gestion efficace d'un grand nombre d'utilisateurs grâce à l'attribution de groupes de sécurité.
Application du principe du moindre privilège : les contrôles d'accès suivent le principe du moindre privilège, garantissant que les utilisateurs ne reçoivent que les autorisations minimales nécessaires à leurs fonctions tout en maintenant l'efficacité opérationnelle.
Prise en charge multi-locataires Entra ID
MyQ X offre une prise en charge robuste des environnements multi-locataires Microsoft Entra ID :
Authentification inter-locataires : le système peut authentifier les utilisateurs sur plusieurs locataires Entra ID, prenant en charge des structures organisationnelles complexes avec plusieurs instances Azure AD.
Isolation des locataires : la prise en charge multi-locataires comprend des mécanismes d'isolation appropriés qui empêchent l'accès aux données entre locataires tout en conservant les capacités de gestion centralisée de MyQ.
Gestion hybride des identités : l'intégration prend en charge à la fois les scénarios d'identité exclusivement cloud et hybrides, s'adaptant aux organisations disposant d'un Active Directory sur site synchronisé avec Entra ID.
Intégration LDAP et Active Directory
MyQ X offre des capacités d'intégration LDAP et Active Directory complètes :
Options de synchronisation flexibles : le système prend en charge plusieurs méthodes de synchronisation, notamment la synchronisation complète, la synchronisation sélective des attributs et la synchronisation conditionnelle basée sur des filtres LDAP. Les administrateurs peuvent choisir entre le remplacement complet, l'ajout uniquement ou les mises à jour conditionnelles pour les propriétés des badges et des codes PIN.
Capacités de filtrage avancées : la synchronisation LDAP comprend des options de filtrage sophistiquées utilisant la syntaxe de filtre LDAP standard, permettant l'importation sélective d'utilisateurs en fonction des unités organisationnelles, des appartenances à des groupes ou des attributs personnalisés.
Importation de la structure des groupes : le système peut importer des structures organisationnelles complètes, y compris des groupes de sécurité, des groupes de distribution et des hiérarchies de groupes imbriqués à partir d'Active Directory, tout en conservant les relations organisationnelles au sein de MyQ.
Authentification sécurisée : toutes les communications LDAP utilisent le cryptage TLS pour protéger les identifiants et les données utilisateur pendant la synchronisation. Le système prend en charge à la fois le LDAP traditionnel sur TLS et les connexions LDAP sécurisées.
Gestion des codes PIN temporaires et politiques de sécurité
MyQ X met en œuvre des politiques complètes de gestion des codes PIN et de sécurité :
Sécurité renforcée des codes PIN : la version 10.2 introduit une sécurité renforcée des codes PIN, notamment une longueur minimale obligatoire de 6 chiffres et la prévention des combinaisons faciles à deviner telles que « 1234 » ou « 1111 ».
Émission de codes PIN temporaires : le système prend en charge les codes PIN temporaires qui peuvent être émis pour des périodes spécifiques ou des scénarios à usage unique, offrant une sécurité supplémentaire pour l'accès des invités ou des employés temporaires.
Application des politiques relatives aux codes PIN : les politiques configurables relatives aux codes PIN permettent aux organisations de définir des exigences en matière de complexité, des périodes d'expiration et des restrictions de réutilisation conformes aux normes de sécurité de l'entreprise.
Protection en cas d'échec de l'authentification : la sécurité renforcée comprend le blocage automatique des tentatives d'authentification après des échecs répétés (par défaut : blocage de 5 minutes après 5 tentatives infructueuses en 60 secondes).
Prise en charge de l'authentification biométrique
MyQ X exploite les capacités modernes d'authentification biométrique grâce à l'intégration des appareils mobiles :
Intégration biométrique mobile : le client mobile MyQ X prend en charge les méthodes d'authentification biométrique, notamment Face ID sur les appareils iOS et la reconnaissance d'empreintes digitales sur les périphériques Android, offrant un contrôle d'accès transparent et sécurisé.
Authentification multimodale : l'authentification biométrique fonctionne en conjonction avec la sécurité basée sur les appareils, créant ainsi un système d'authentification multimodal qui combine quelque chose que l'utilisateur possède (appareil mobile) avec quelque chose qu'il est (caractéristiques biométriques).