Password Manager Pro sert de référentiel pour les mots de passe sensibles. Le contrôle des accès doit être le plus fin possible afin de sécuriser au maximum l'utilisation de l'application. A cet effet, PMP propose un contrôle des accès basé sur des rôles.
Dans la pratique, les informations stockées dans PMP seront partagées entre plusieurs utilisateurs. Par défaut, Password Manager Pro définit quatre rôles principaux :
- Les administrateurs paramètrent, configurent et gèrent l'application, et peuvent effectuer toutes les opérations possibles sur les ressources et les mots de passe. Cependant, ils ne peuvent afficher que les ressources et les mots de passe qu’ils ont créé et qui ont été partagés avec eux.
- Les administrateurs de mot de passe peuvent effectuer toutes les opérations possibles sur les ressources et les mots de passe. Cependant, ils ne peuvent afficher que les ressources et les mots de passe qu’ils ont créé et qui ont été partagés avec eux.
- Un administrateur/administrateur de mot de passe peut être défini comme "super-administrateur" par d'autres administrateurs (mais pas par lui-même). Un super-administrateur aura tous les droits pour gérer toutes les ressources ajoutées au système par l'ensemble des utilisateurs.
- Les utilisateurs de mot de passe ne peuvent voir que les mots de passe partagés avec eux par les les administrateurs ou les administrateurs de mot de passe. Ils peuvent éventuellement modifier les mots de passe si les permissions de partage le leur permettent.
- Les auditeurs de mot de passe ont les mêmes droits que les utilisateurs de mot de passe, et peuvent également accéder aux documents et rapports d'audit
| Rôle | Opérations | |||||
| Gérer les utilisateurs |
Gérer les ressources |
Gérer les mots de passe |
Visualiser les mots de passe |
Gérer les mots de passe personnels |
Consulter documents et rapport s d'audit |
|
| Administrateur |  |
|
|
|
|
|
| Administrateur de mots de passe |  |
|
|
|
|
|
| Utilisateur de mot de passe | |
|
|
|
|
|
| Auditeur de mot de passe | |
|
|
|
|
|
Quel que soit le rôle, les mots de passe personnels restent la propriété de l'utilisateur et les autres utilisateurs n’ont aucun contrôle dessus.
Vous pouvez créer autant d'utilisateurs que vous le souhaitez et leur attribuer les rôles appropriés pour chacun d’eux.
Ajouter de nouveaux utilisateurs
Remarque : l’ajout d’un utilisateur ne peut être réalisé que par un administrateur.
Depuis l’onglet Utilisateurs, les administrateurs peuvent :
- Voir tous les utilisateurs existants dans PMP
- Créer de nouveaux utilisateurs
- Modifier les rôles des utilisateurs
- Activer l’authentification à deux-facteurs
- Lorsque RSA SecurID est utilisé comme second facteur d'authentification, vous devez vous assurer que le nom d'utilisateur dans RSA Authentication Manager et celui dans PMP sont les mêmes. Dans le cas où les noms d'utilisateur sont différents dans PMP et RSA Authentication Manager, vous pouvez faire une correspondance entre les noms utilisés dans PMP et RSA Authentication Manager au lieu de modifier le nom dans RSA. Cela peut être fait à partir du "RSA SecurID UserName". Supposons le scénario où vous avez importé dans PMP un utilisateur à partir d'Active Directory avec pour nom d'utilisateur ADVENTNET\rob. Dans RSA Authentication Manager, supposons que le nom d'utilisateur enregistré est 'rob'. Normalement, il ne devrait pas y avoir de correspondance entre les deux noms d’utilisateurs. Pour éviter cela, vous pouvez faire un mappage dans PMP pour que ADVENTNET\rob corresponde à rob dans RSA Authentication Manager.
De nouveaux utilisateurs peuvent être ajoutés de quatre façon différentes :
- Ajouter des utilisateurs manuellement
- Importer des utilisateurs depuis Active Directory
- Importer des utilisateurs depuis un annuaire LDAP
- Importer des utilisateurs depuis un fichier CSV
Par défaut, PMP enregistre toutes les données utilisateurs dans la base de données MySQL et effectue une authentification en réalisant des recherches dans la base de données. Lorsque vous intégrez AD/LDAP comme système d'authentification, l'authentification par défaut de PMP sera remplacée par une authentification AD ou LDAP. PMP ne peut utiliser qu’un seul mode d'authentification à la fois.
Interdire la création de Super-Administrateurs par les administrateurs
Les super-administrateurs dans PMP possèdent les droits pour voir tous les mots de passe stockés dans le système. Les organisations souhaitent généralement conserver le rôle de super-administrateur comme un compte à n’utiliser qu’en cas d'urgence. Par défaut, tout administrateur peut déclarer un autre administrateur (à part lui-même) en tant que super-administrateur.
PMP offre maintenant la possibilité d’interdire les administrateurs de créer des super-administrateurs. Cela peut être paramétré par un super-administrateur dans le menu Admin >> Super Administrateur >> Refuser les administrateurs de créer des super-administrateurs (Admin >> Super Administrator >> Deny Administrators from Creating Super Administrators).
Les bonnes pratiques
Si votre organisation requiert que le compte super-administrateur soit utilisé uniquement comme compte ‘brise glace’, voici les bonnes pratiques à suivre :
- Créer un nouveau compte administrateur dans PMP
- Définir le nouveau compte comme super-administrateur
- Le nouveau super-administrateur va s’identifier et appliquer l'option ci-dessus pour empêcher d'autres administrateurs de créer des super-administrateurs
- Les informations de connexion de ce super-administrateur seront scellées et conservées dans un coffre-fort pour être ouvert uniquement en cas d'urgence
Les conséquences
- Une fois que vous aurez appliqué cette option, aucun autre super-administrateur ne pourra être créé par les administrateurs
- Les super-administrateurs existants ne seront pas affectés par cette option. Ils continueront à posséder des droits de super-administrateurs
- Les comptes super-administrateurs ainsi que les comptes ‘brise glace’ auront le droit de créer de nouveaux super-administrateurs