Installation et configuration de l’agent HelloID
HelloID est une solution moderne et sécurisée de gestion des identités et des accès (GIA) basée sur le cloud. Pour permettre à HelloID de communiquer avec des ressources locales telles qu’Active Directory ou une base de données, cette communication se fait via un agent HelloID. Dans ce blog, nous explorons l’installation et la configuration des agents pour HelloID, en montrant à quel point ce processus est simple.
In this article
Qu’est-ce qu’HelloID ?
La transition des systèmes locaux vers le cloud présente des défis. Comment, par exemple, gérer efficacement l’identification des utilisateurs et le contrôle d’accès à vos systèmes ? Et comment aborder cela en tenant compte de la réglementation de plus en plus stricte dans ce domaine ? HelloID vous aide dans ces démarches. La solution cloud répond à toutes vos questions concernant la gestion des identités et des accès.
HelloID automatise la gestion des utilisateurs et des autorisations en se basant sur un système source. La solution de GIA propose également une interface graphique homme/machine en self-service (délégué) pour les demandes exceptionnelles et un accès simple et sécurisé à toutes les applications.
Quel est le rôle de l’agent HelloID ?
HelloID fonctionne normalement entièrement sur le cloud avec une configuration standard en cloud-to-cloud. Si votre infrastructure est entièrement dans le cloud et souhaitez utiliser HelloID de manière standard dans votre environnement cloud, aucun agent n’est nécessaire pour la solution de GIA. Cependant, si vous souhaitez qu’HelloID communique avec des ressources locales telles que des contrôleurs de domaine, des serveurs de fichiers, un système RH on premises, etc., un agent est requis.
L’agent HelloID se compose de trois services Windows qui fonctionnent au sein du réseau de votre propre organisation. Il s’agit de l’Agent Directory, l’Agent Provisioning et l’Agent Service Automation. Ces trois services Windows permettent la communication avec les différents modules HelloID : HelloID Access Management, HelloID Provisioning et HelloID Service Automation. De plus, un Agent Cloud est disponible pour certaines applications spécifiques en cloud-to-cloud.
Rôles spécifiques des agents HelloID
Chaque agent HelloID remplit une fonction spécifique. Examinons de plus près les différents agents et leurs rôles.
Agent Directory
L’Agent HelloID Directory gère les services directory de la solution. Responsable des tâches on-premises liées au module de Gestion des Accès, cet agent facilite l’authentification des utilisateurs dans HelloID, avec Active Directory comme fournisseur d’identité. Il synchronise également les comptes utilisateurs d’Active Directory avec HelloID.
Agent Provisioning
L’Agent HelloID Provisioning exécute les tâches on-premises associées au module de Provisioning d’HelloID. Il interagit principalement avec les systèmes sources, tels que les systèmes RH et les applications SIS, pour la collecte des données. Ces informations sont ensuite utilisées pour la création et la gestion des comptes utilisateurs et de leurs droits dans des systèmes tels qu’Active Directory, Google Suite, Exchange, O365, etc.
Agent Service Automation
L’Agent HelloID Service Automation est la troisième composante des agents HelloID. Il gère les actions liées au module Service Automation d’HelloID. Cet agent prend en charge la lecture et la modification des sources de données PowerShell, l’importation de ressources de Service Automation depuis GitHub, et l’exécution de scripts PowerShell via des formulaires délégués. Ces derniers simplifient les tâches pour les utilisateurs et minimisent les permissions nécessaires à leur exécution. L’Agent Service Automation est compatible avec les modules PowerShell 64 bits, ce qui permet de charger des modules comme Azure et Exchange Online.
Agent Cloud
L’Agent Cloud HelloID est une évolution de l’agent standard HelloID, répondant aux besoins des entreprises qui opèrent entièrement dans le cloud et nécessitent l’utilisation spécifique d’actions PowerShell. Ce composant distinct, opérant directement depuis les serveurs de Tools4ever, offre une flexibilité accrue pour l’exécution d’actions PowerShell adaptées à l’environnement cloud de votre entreprise.
Concrètement, cet agent facilite l’exécution d’actions PowerShell via des interfaces simplifiées, telles que des formulaires délégués, et permet un accès direct aux sources de données PowerShell. Conçu principalement pour interagir avec des services web cloud via des appels API, l’Agent Cloud HelloID se distingue par sa capacité à intégrer des actions personnalisées dans votre infrastructure cloud.
Il est important de noter que, pour des raisons de sécurité et de conformité, certaines actions PowerShell disponibles dans un environnement on-premises ne sont pas exécutables via l’Agent Cloud. De même, cet agent ne prend pas en charge l’exécution d’actions dans des environnements locaux, se concentrant exclusivement sur les interactions cloud. Ainsi, l’Agent Cloud HelloID s’inscrit comme un outil complémentaire et spécifique pour les entreprises privilégiant une infrastructure cloud.
Création d’un pool d’agents HelloID
Utiliser plusieurs agents du même type simultanément présente plusieurs avantages, notamment pour l’équilibrage de charge et la séparation des tâches spécifiques. Pour ce faire, il est judicieux de regrouper ces agents dans ce qu’on appelle un « Pool d’agents ». Lorsqu’une tâche on-premises est lancée, le pool d’agents reçoit la requête et détermine quel agent est disponible et le plus apte à accomplir la tâche.
Cette approche offre plusieurs avantages, particulièrement si vous utilisez Active Directory comme fournisseur d’identité pour HelloID. La disponibilité des données d’Active Directory est essentielle pour l’accès des utilisateurs aux services et systèmes. Un pool d’agents améliore cette disponibilité, surtout si un agent particulier est occupé ou inopinément indisponible.
La création d’un pool d’agents est un processus simple. Dans le tableau de bord HelloID, accédez à la section « Agents », puis cliquez sur « Add new pool ». Nommez le pool et créez-le.
Installation et gestion d’un agent
Chaque pool d’agents doit contenir au moins un agent HelloID pour être opérationnel. L’installation d’un agent se fait via l’option « Install agent » dans le tableau de bord sous « Agents ». Un assistant d’installation vous guide à travers le processus. Vous recevrez un fichier d’installation à exécuter sur le serveur où l’agent doit être installé. L’assistant rend l’installation intuitive et facile à suivre.
Également, le tableau de bord HelloID offre des fonctionnalités pour gérer l’agent. Vous avez la possibilité de redémarrer, gérer ou supprimer l’agent directement depuis le tableau de bord, vous offrant ainsi une flexibilité et un contrôle accrus sur vos ressources HelloID.
Puis-je connecter HelloID à mon environnement local en toute sécurité ?
L’agent HelloID agit comme un intermédiaire pour l’échange de données et l’exécution d’actions locales. La communication se fait via Internet, ce qui soulève des questions de sécurité importantes. Pour cette raison, la communication s’effectue toujours via HTTPS, en utilisant le protocole TLS 1.2 et le chiffrement AES256 pour assurer une sécurité optimale.
Un processus de vérification garantit que seules les instances appropriées de l’agent sont approuvées. Par exemple, lors de l’installation de l’agent, HelloID génère un OTP (One-Time Password) utilisable une seule fois et valable uniquement pendant dix minutes après sa création. HelloID utilise la combinaison de l’OTP, de l’URL du portail et de l’identifiant GUID de l’agent pour créer un certificat partagé. Ce certificat est nécessaire pour valider toute tentative de communication entre HelloID et l’agent. Sans certificat valide, la communication est impossible.
HelloID emploie également une communication unidirectionnelle. Les données ne peuvent être transmises que du réseau local vers le portail HelloID, et jamais dans l’autre sens. HelloID peut uniquement exécuter des actions préparées par le portail HelloID et ne peut pas envoyer de commandes au portail. D’ailleurs, l’agent exécute seulement les requêtes provenant de la même adresse IP utilisée lors de la vérification. Il n’est pas nécessaire d’ouvrir un port dans le pare-feu ou de configurer spécialement votre zone démilitarisée (DMZ).
Vous aimeriez avoir plus d’informations sur la sécurité numérique de HelloID ?
Lancez-vous
Si vous souhaitez utiliser HelloID et les agents HelloID, nos experts sont là pour vous aider. Ils peuvent vous conseiller sur les agents les mieux adaptés à vos besoins et applications spécifiques, la configuration des « pools » d’agents et l’utilisation de l’Agent Cloud HelloID. Vous êtes curieux de connaître les possibilités ou avez des questions ? N’hésitez pas à nous contacter pour plus d’informations.