Explorer l’accès zéro confiance

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • L’accès zéro confiance (ZTA) est un modèle de sécurité qui suppose qu’aucun utilisateur ou appareil n’est approuvé par défaut.

    ZTA garantit que tous les accès aux applications et aux données sont accordés sur la base d’un moindre privilège, uniquement après la vérification de l’identité de l’utilisateur et l’évaluation des risques.

    Zero Trust - Accès à la session basé sur des politiques

    ServiceNow Zero Trust - Accès à la session basé sur des politiques (Session Access) permet aux organisations de réduire dynamiquement les privilèges de l’utilisateur dans une session Web en fonction de divers facteurs, notamment l’adresse IP, l’emplacement, la méthode d’authentification, le rôle de l’utilisateur, le groupe, l’utilisateur disposant d’une MFA et les attributs partagés par le fournisseur d’identité (IdP). Cela peut aider à protéger les organisations contre les accès non autorisés et les violations de données, même lorsque les utilisateurs avec des privilèges élevés accèdent aux applications à partir d’appareils ou d’emplacements non approuvés.

    Elle permet aux administrateurs de sécurité de réduire ou de limiter l’accès des utilisateurs dans une session en fonction de l’adresse IP, de l’emplacement, des attributs du fournisseur d’identité et des attributs de l’utilisateur à l’aide de politiques d’authentification adaptative.

    Accès zéro confiance et authentification adaptative
    Remarque :
    • Les configurations d’accès à la session ne peuvent être effectuées qu’avec security_admin rôle. Vous devez élever votre rôle à security_admin.
    • L’accès à la session ne prend pas en charge les intégrations.
    • L’accès à la session n’a aucun impact si le rôle réduit ou limité n’est pas affecté à un utilisateur. Dans ce cas, il n’y a aucun changement à la session connectée. L’utilisateur continue d’accéder à l’instance avec les privilèges affectés.
    • L’accès à la session n’a aucun impact tant que l’utilisateur est déjà connecté à l’instance et que l’administrateur configure simultanément la politique. L’utilisateur doit se déconnecter de la session pour que la politique soit efficace.
    • L’accès à la session n’a aucun impact lorsque l’utilisateur se trouve dans un réseau de confiance et passe ensuite à un VPN (changement d’emplacement ou de réseau) au cours d’une session.
    • L’accès à la session est appliqué au moment de la connexion. Tout changement apporté aux paramètres de risque pendant la session n’entraînera pas de réduction de l’accès. Par exemple, le passage d’un utilisateur du réseau d’entreprise à un réseau non approuvé après l’établissement de la session n’entraînera pas de réduction de l’accès, sauf s’il se déconnecte et se reconnecte.
    • Session Access (Zero Trust Access - ZTA), les rôles tels que snc_internal et snc_external ne peuvent pas être supprimés.
    • La fonctionnalité d’accès à la session (Accès zéro confiance : ZTA) ne supprime pas un rôle de la table d’appartenance au sys_user_has_role ou au groupe d’utilisateurs. Basé sur la politique ZTA, il établit la session utilisateur avec des rôles réduits ou limités.
    • Les scripts exécutés dans le contexte du système ne respecteront pas les rôles de session ZTA.

    Cas d'utilisation

    Voici quelques-uns des cas d’utilisation de l’accès Zero Trust :

    • Réduisez les privilèges en fonction du risque associé à la session. Par exemple, un utilisateur avec le rôle de prestataire qui se connecte depuis l’extérieur du réseau approuvé peut être configuré pour n’avoir que le rôle de demandeur pour la session.
    • Réduisez l’accès en fonction de la réponse IdP pour une session utilisateur, si l’utilisateur utilise un appareil non approuvé. Pour plus d'informations, consultez Configurer l’attribut IdP pour l’accès à la session.

    Cette relégation de rôle garantit que l’utilisateur ne dispose d’aucun autre privilège existant dans une session. Lorsque l’utilisateur se connecte à partir d’un réseau de confiance, tous les privilèges existants sont affectés pour une session.

    Plusieurs conditions d’adresses IP et plusieurs affectations de rôles ou de groupes peuvent être définies dans le cadre de la politique.

    Accès zéro confiance : mobile

    Vous pouvez utiliser la stratégie Accès zéro confiance - Accès à la session dans le cadre de la politique d’authentification adaptative pour réduire les rôles ou les privilèges d’une session spécifique sur mobile.

    Accès zéro confiance : Accès à la session mobile peut être activé en activant glide.authenticate.session_access.mobile.enabled dans la table des propriétés système.

    Pour utiliser l’accès zéro confiance : Session Access mobile avec les attributs IdP, vous pouvez configurer le champ glide.authenticate.session_access.mobile.refresh_token_interval . Cela permet aux administrateurs de contrôler efficacement l’accès à la session en fonction du jeton d’actualisation.

    Pour plus d'informations, consultez Configure Zero Trust Access for mobile.