La gestion des accès privilégiés dans Access Gate repose sur un schéma d'accès distant par navigateur : un DBA, un intégrateur ou un ingénieur support ouvre une URL, s'authentifie et obtient une session mandatée vers un système spécifique. Pas de tunnel VPN, pas d'identifiant permanent, pas de clés SSH distribuées à l'avance. Chaque session est associée à une personne nommée, limitée dans le temps et enregistrée.
Ce que couvre le schéma d'accès distant
Le schéma achemine les protocoles d'administration via Access Gate, de sorte que le poste client ne touche jamais directement le réseau cible :
| Protocole | Cible typique | Surface client |
|---|---|---|
| RDP | Serveurs Windows, postes de travail d'ingénierie | Navigateur — rendu HTML5 |
| SSH | Hôtes Linux/Unix, équipements réseau, hôtes de rebond | Navigateur — terminal intégré |
| VNC | Panneaux HMI, postes de travail legacy | Navigateur — rendu HTML5 |
| HTTPS | Interfaces d'administration web, historiens, tableaux de bord BMS | Navigateur — iframe / redirection |
Le système cible voit une connexion provenant d'Access Gate. L'utilisateur voit un onglet de navigateur. Les deux ne partagent jamais de chemin IP.
Pourquoi les sessions mandatées sont importantes pour les réseaux OT et hybrides
| Approche traditionnelle | Problème engendré | Réponse apportée par la session mandatée |
|---|---|---|
| Comptes d'administration partagés | Aucune correspondance identité-action lors des investigations | Chaque action est liée à un utilisateur IdP |
| Clés SSH distribuées | Prolifération des clés, absence de révocation | Aucune clé ne quitte Access Gate |
| Hôte de rebond avec VPN | Un seul identifiant, rayon d'impact étendu | Périmètre par enclave et par protocole |
| Partage d'écran pour les fournisseurs | Aucune trace d'audit | Journal de session complet + chronologie |
Expérience utilisateur
- L'utilisateur ouvre une URL que vous publiez (par exemple
acme.tr-sec.net/connect). - Il s'authentifie via votre fournisseur d'identité (OIDC ou SAML) ou via un utilisateur temporaire créé dans Access Gate.
- Access Gate n'affiche que les systèmes accessibles selon son rôle — par enclave.
- Il clique sur un système ; le navigateur ouvre une session RDP, SSH, VNC ou HTTPS vers ce système.
- À la fin de la session (déconnexion explicite, expiration ou fin de session déclenchée par un opérateur), la connexion est coupée.
Aucun logiciel client. Aucun identifiant transmis à l'utilisateur distant. Aucune route privée vers le réseau.
Contrôles PAM
Pour les sessions à fort impact, le même chemin intègre les comportements PAM standard :
- Sessions liées à l'identité — chaque action est attribuée à une personne nommée, jamais à un compte partagé.
- Accès en juste-à-temps — accordez un rôle pour une fenêtre définie ; il est révoqué automatiquement.
- Expiration par session — délai d'inactivité et durée maximale de session, configurables par enclave.
- Fin de session par l'opérateur — toute session active peut être interrompue depuis l'interface d'administration.
- Piste d'audit complète — la connexion, la cible, le principal, les protocoles et le résultat sont consignés dans l'historique des modifications de l'enclave et dans le pipeline de journalisation.
Configuration
1. Configurer le schéma d'accès distant pour votre ressource
- Accédez à Assets → [Votre ressource] →
- Cliquez sur l'icône crayon, puis sur Edit network.
- Spécifiez le schéma d'accès distant et les informations de connexion à utiliser.
- Enregistrez.
Les informations sont stockées dans Access Gate et chiffrées au repos et en transit. Vous évitez ainsi de partager des identifiants pour vous connecter à un système donné.
2. Activer le schéma d'accès distant sur une enclave
- Accédez à Enclaves → [Votre enclave] → le flux que vous souhaitez soumettre au PAM.
- Activez Remote Access Scheme.
- Enregistrez.
Seuls les protocoles sélectionnés ici sont accessibles via le proxy. Les autres ports du système cible restent invisibles depuis une session.
3. Accorder un accès en juste-à-temps (optionnel)
- Sélectionnez un Access Agreement qui authentifiera le visiteur.
- Cet écran d'accès est configuré pour accorder l'accès pendant une durée déterminée et pour s'appuyer sur un annuaire spécifique.
- Enregistrez.
À l'heure limite, l'entrée est désactivée automatiquement, sans intervention de l'opérateur.
Enregistrement et consultation des sessions
Chaque session mandatée est consignée dans l'historique des modifications de l'enclave avec :
- Le principal (utilisateur IdP)
- La ressource cible
- Le protocole et les horodatages
- Le résultat de la session (fermeture normale, expiration, fin par l'opérateur)
Le pipeline de journalisation transmet les mêmes événements à votre SIEM si vous avez configuré le transfert de journaux — les enquêteurs peuvent ainsi relier une alerte de détection à une session précise sans avoir à accéder à l'interface d'Access Gate.
Quand utiliser cette fonctionnalité plutôt que l'accès Zero Trust distant
| Scénario | Utiliser |
|---|---|
| Un ingénieur distant a besoin d'un accès HTTPS/Modbus/OPC à un ensemble de systèmes enclaves | Accès Zero Trust distant |
| Un fournisseur a besoin d'un accès RDP ponctuel sur un serveur Windows | Gestion des accès privilégiés (cette page) |
| SSH sur un équipement industriel pour le dépannage | Gestion des accès privilégiés (cette page) |
| Trafic applicatif courant depuis un ordinateur portable distant | Accès Zero Trust distant |
Les deux flux coexistent — vous pouvez activer les deux sur la même enclave et laisser le rôle de chaque utilisateur déterminer lequel s'applique.