Access Gate utilise un modèle de contrôle d'accès basé sur les rôles (RBAC) pour gérer qui peut accéder à l'interface utilisateur et quelles actions sont autorisées. Les rôles définissent la visibilité, les droits de configuration et les capacités d'administration dans l'ensemble du système.
Cela garantit que les utilisateurs ne voient et ne modifient que ce qui relève de leurs responsabilités, conformément au principe du moindre privilège.
Présentation du contrôle d'accès basé sur les rôles
Access Gate propose cinq rôles prédéfinis, regroupés en rôles de contributeur individuel et en rôles de gestion. Les rôles contrôlent l'accès aux éléments suivants :
- Pages de l'interface et tableaux de bord
- Configuration système et réseau
- Gestion des actifs et des enclaves
- Fonctionnalités de conformité et de reporting
- Administration des utilisateurs et des sites
Les rôles sont appliqués de manière cohérente dans toute l'interface et prennent effet immédiatement lors de leur attribution ou modification.
Rôles utilisateur standard
Access Gate est livré avec cinq rôles — trois rôles de contributeur individuel (responsabilités délimitées) et deux rôles de gestion (contrôle étendu). Les rôles de gestion héritent de toutes les permissions des contributeurs.
| Rôle | Catégorie | Périmètre | Permissions clés |
|---|---|---|---|
| Analyste sécurité | Contributeur | Surveillance et réponse aux incidents | Tableaux de bord, alertes, pipelines de collecte |
| Responsable conformité | Contributeur | Conformité et reporting | Évaluations des risques, rapports de conformité |
| Administrateur réseau | Contributeur | Configuration système et réseau | Paramètres réseau, services d'annuaire, intégrations |
| Responsable d'équipe | Gestion | Administration au niveau de l'équipe | Gestion des actifs/enclaves, politiques délimitées |
| Responsable de site | Gestion | Administration à l'échelle de l'organisation | Sites, utilisateurs, rôles, authentification, configuration complète |
Développez un rôle ci-dessous pour afficher l'ensemble complet des permissions.
Analyste sécurité — surveillance et réponse aux incidents
Conçu pour la surveillance et la réponse aux incidents.
- Consultation des tableaux de bord de sécurité
- Surveillance des alertes et des événements
- Configuration et gestion des pipelines de collecte
Responsable conformité — conformité et reporting
Axé sur le suivi de la conformité et le reporting.
- Création et gestion des évaluations des risques
- Accès aux tableaux de bord de conformité
- Génération de rapports et de documentation de conformité
Administrateur réseau — configuration système et réseau
Responsable de la configuration système et réseau.
- Modification des paramètres système
- Gestion de la configuration réseau
- Configuration des services d'annuaire (Active Directory / LDAP)
- Maintenance des paramètres d'intégration
Responsable d'équipe — administration au niveau de l'équipe
Hérite de toutes les permissions des contributeurs, plus :
- Gestion des actifs et des enclaves
- Mise à jour des politiques d'accès dans les périmètres assignés
- Supervision des ressources et des configurations de son périmètre
Responsable de site — administration à l'échelle de l'organisation
Rôle avec les privilèges les plus élevés du système. Hérite de toutes les autres permissions, plus :
- Connexion et gestion des sites
- Accès administratif complet à l'ensemble de l'organisation
- Gestion des utilisateurs, des rôles et des paramètres d'authentification
- Configuration et supervision à l'échelle du système
Gestion des utilisateurs
Les comptes utilisateurs et les accès sont gérés via l'onglet Comptes de l'interface d'administration.
Ajout d'utilisateurs
Pour ajouter un nouvel utilisateur :
- Accédez à Paramètres > Comptes
- Cliquez sur Ajouter un administrateur
- Renseignez le nom, le rôle et le niveau de sécurité
- Si vous utilisez LDAP ou OAuth, vérifiez que l'identifiant externe correspond au fournisseur d'identité
- Si vous utilisez l'authentification locale, définissez un mot de passe initial
- Enregistrez pour créer le compte
Gestion des utilisateurs existants
Blocage des utilisateurs
Bloquer un utilisateur empêche toute connexion sans supprimer le compte. Pour bloquer un utilisateur, cliquez sur le dernier bouton de la colonne Actions.
Les utilisateurs bloqués conservent leur historique de configuration et leurs enregistrements d'audit.
Modification des rôles
Les rôles des utilisateurs peuvent être modifiés à tout moment :
- Sélectionnez l'utilisateur dans la liste des accès
- Mettez à jour les attributions de rôles via le sélecteur de rôle
- Les modifications s'appliquent immédiatement
Méthodes d'authentification
Access Gate prend en charge les mécanismes d'authentification externes et locaux.
Fournisseurs d'identité externes (LDAP / OAuth)
- Les identifiants sont gérés par le fournisseur externe
- Les mots de passe ne peuvent pas être modifiés dans Access Gate
- Les identifiants externes doivent correspondre à la méthode d'authentification configurée
- Recommandé pour les déploiements en entreprise et multi-sites
Authentification locale
- Mots de passe stockés localement sur l'Access Gate
- Le hachage Argon2 est utilisé pour un stockage sécurisé
- Les exigences de complexité des mots de passe sont appliquées
- Les mots de passe sont chiffrés côté client avant transmission
Accès administratif par défaut
Lors de l'installation, un utilisateur admin par défaut est automatiquement créé avec le rôle Responsable de site. Cela garantit un accès immédiat à l'interface pour la configuration initiale et la création des utilisateurs.
Il est recommandé de :
- Créer des comptes administrateur nominatifs
- Limiter l'utilisation du compte admin par défaut
- Revoir régulièrement les accès administratifs
Bonnes pratiques de sécurité
- Attribuer les rôles en fonction des responsabilités opérationnelles
- Limiter l'utilisation des privilèges Responsable de site
- Bloquer les comptes inutilisés ou inactifs plutôt que de les supprimer
- Auditer régulièrement les rôles et les droits d'accès des utilisateurs
- Privilégier les fournisseurs d'identité externes pour une gestion centralisée des identités