Utilisation de Reverse Proxy

Un RP-PEP (Reverse Proxy-Policy Enforcement Point) est une passerelle par laquelle transitent toutes les données entrantes et sortantes d'une application connectée. Contrairement à un pare-feu d'application web (WAF), le RP-PEP ne contrôle pas les données, mais autorise seulement l'accès en utilisant un rôle à gros grain (.ALLOW-role). Intégration d'eIAM avec RP-PEP et gestion des accès

L'intégration standard n'inclut pas l'utilisation d'un RP-PEP, mais utilisera une configuration STS-PEP (ou sans PEP). Seules les intégrations en zone SZ+ et les besoins de protection accrue conformément à Si001 nécessiteront l'utilisation d'un RP-PEP. eIAM distingue différentes forces d'authentification selon . Selon la politique de zone actuelle, eIAM n'autorise que le QoA min. 50 pour le réseau SZ+ et le réseau de l'administration fédérale.

Si001 - Protection informatique de base dans l'administration fédérale

La nécessité de la RP-PEP du point de vue de la Confédération est définie dans la Si001 - Protection informatique de base dans l'administration fédérale (remplace Si002 et Si003. resp. les intègre). 
  • Pour les réseaux SZ+ et BV, un PEP RP doit être placé avant l'application. Le PEP doit assurer l'authentification à la transition de zone.
    • Il n'est pas obligatoire d'avoir un RP-PEP eIAM
    • eIAM distingue différentes forces d'authentification selon . Selon la politique de zone actuelle, eIAM n'autorise que le QoA min. 50 pour le réseau SZ+ et le réseau de l'administration fédérale.
  • Les ressources en ZS (pas en ZS+) doivent pouvoir être exposées sans eIAM RP-PEP.

L'utilisation des RP-PEP d'eIAM doit être minimisée du point de vue d'eIAM pour les raisons suivantes:

.
  • L'intégration et l'exploitation de l'application métier dans eIAM deviennent plus coûteuses et plus compliquées.
    • Augmentation des tests
    • Gestion des releases (PEP et application) 
      • Les mises à jour du PEP eIAM ainsi que les versions de l'application elle-même impliquent toujours le PEP eIAM RP
    • Coordination
      • Pour chaque changement, plusieurs unités organisationnelles doivent être coordonnées (éventuellement par le biais de plusieurs offices et entreprises)
    • Plus de composants sont impliqués, des composants que l'on ne gère pas soi-même.
  • RP-PEP n'augmente guère la sécurité d'une application
    • WAF vient de l'OFIT (il n'y a pas besoin de RP-PEP)

Du point de vue du projet client, la nécessité d'utiliser un RP-PEP pourrait être:

  • SSO Exigences pour les intégrations existantes avec RP-PEP et en réutilisant le même FQDN.
  • L'application doit être intégrée sous un FQDN existant chez eIAM en tant que RP-PEP.
  • Augmentation de la sécurité pour l'application. 
    • LB-WAF est déjà un reverse proxy.
    • eIAM RP-PEP peut filtrer les URL-paths.
    • Elle ne donne pas de traces de pile et de cookies au navigateur.