Cette section couvre l'utilisation des restrictions d'en-tête SaaS dans Cloud Web Security pour limiter l'accès des locataires aux applications SaaS (Software as a Service) spécifiées, telles qu'Office 365 et G Suite. Elle inclut également une présentation, un workflow de configuration d'une règle de restriction d'en-tête SaaS et conclut par des ressources supplémentaires sur cette rubrique.
Présentation
Traditionnellement, les sociétés restreignent les noms de domaine ou les adresses IP lorsqu'elles souhaitent gérer l'accès. Cette approche échoue dans un monde dans lequel les applications SaaS (Software as a Service) sont hébergées dans un cloud public et s'exécutent sur des noms de domaine partagés. Par exemple, si une entreprise utilise Office 365, elle a recours à des noms de domaine, tels qu'outlook.office.com
et login.microsoftonline.com
. Dans l'exemple Microsoft, le blocage de ces adresses empêcherait les utilisateurs d'accéder entièrement à Outlook sur le Web, au lieu de les limiter simplement à des identités et des ressources approuvées.
La solution à ce problème consiste à limiter l'accès des locataires, et Cloud Web Security le fait à l'aide de la fonctionnalité Restriction d'en-tête SaaS (SaaS Header Restriction). Cette fonctionnalité permet aux administrateurs d'appliquer des stratégies de restriction de locataires dans les services SaaS, tels qu'Office 365 et G Suite. Par exemple, vous souhaiterez peut-être autoriser tous les employés à accéder au compte d'entreprise Office 365, mais leur interdire d'accéder aux comptes personnels. Ces restrictions sont autorisées via l'insertion d'en-têtes HTTP qui spécifient les locataires autorisés.
Configuration d'une restriction d'en-tête SaaS
- Accédez à .
- Dans l'écran Restrictions d'en-tête SaaS (SaaS Header Restrictions), cliquez sur + AJOUTER UNE RÈGLE (+ ADD RULE) pour configurer une règle de restriction d'en-tête SaaS.
L'écran
s'affiche. - Dans l'écran Source, choisissez Tous les utilisateurs et groupes (All Users and Groups) pour que la règle d'en-tête SaaS s'applique à tous les membres de l'entreprise. Cette option est cochée par défaut. Décochez cette option et choisissez Spécifier un ou plusieurs utilisateurs [Specify User(s)] et Spécifier un ou plusieurs groupes [Specify Group(s)] pour spécifier un ou plusieurs utilisateurs et/ou groupes auxquels la règle s'applique.
Cliquez sur Suivant (Next), l'écran Destination s'affiche.
- Dans l'écran Application de destination (Destination Application), un utilisateur dispose de deux chemins : Prédéfini (Predefined ) ou Personnalisé (Custom).
- Application de destination prédéfinie (Predefined Destination Application) : sélectionnez parmi l'une des six applications prédéfinies : Office 365 - Entreprise, Office 365 - Consommateur, G Suite, Slack, YouTube et Dropbox. Chaque application préconfigurée inclut les domaines et les en-têtes restreints pour ces applications. Selon l'application, un utilisateur devra peut-être configurer manuellement des informations supplémentaires, comme indiqué ci-dessous :
- Office 365 - Entreprise présente deux paramètres supplémentaires qui doivent être configurés pour terminer la règle :
- En-tête 1 : Restrict-Access-To-Tenants : entrez une liste de locataires autorisés. Cloud Web Security bloque tout ce qui n'est pas répertorié comme étant autorisé.
- En-tête 2 : Restrict-Access-Context : entrez l'ID de locataire du service utilisé par votre entreprise. L'utilisateur doit configurer l'ID de locataire pour son abonnement à Office 365. Cloud Web Security bloque tout ID de locataire non répertorié.
- Office 365 - Consommateur : contraste avec la version d'entreprise en ne nécessitant aucune configuration supplémentaire, car la valeur restrict-msa est transmise à l'en-tête sec-Restrict-Tenant-Access-Policy.
- G Suite : entrez le domaine enregistré dans Google Workspace avec tous les domaines secondaires que vous avez ajoutés.
- Slack présente deux champs supplémentaires que vous devez configurer pour terminer la règle :
- En-tête 1: X-Slack-Allowed-Workspaces-Requester : entrez la valeur de l'ID d'espace de travail ou d'organisation représentant votre compte Business ou Enterprise Grid. Cloud Web Security bloque tout ce qui n'est pas répertorié comme étant autorisé.
- En-tête 2 : X-Slack-Allowed-Workspaces : entrez une liste d'ID d'espaces de travail et/ou d'organisations autorisés. Cloud Web Security bloque tout ID non répertorié.
- YouTube : pour terminer la règle, vous devez spécifier si le Mode de restriction (Restrict Mode) de YouTube doit être Strict ou Modéré (Moderate). Conformément à la documentation de YouTube Gérer les paramètres YouTube de votre organisation, les modes de restriction sont définis comme suit :
- Restriction d'accès à YouTube stricte (Strict Restricted YouTube access) : ce paramètre est le plus restrictif, mais ne bloque pas toutes les vidéos. Le mode restreint strict exclut de nombreuses vidéos en fonction d'un système automatisé, tout en laissant certaines vidéos disponibles pour le visionnage.
- Restriction d'accès à YouTube modérée (Moderate Restricted YouTube access) : ce paramètre est semblable à Mode restreint strict (Strict Restricted Mode), mais permet une collection beaucoup plus grande de vidéos disponibles.
- Dropbox : entrez la valeur de l'ID d'équipe du compte professionnel, car il s'agit du seul ID autorisé par Cloud Web Security.
Note : Pour toute application prédéfinie, si une configuration supplémentaire est requise et que vous n'est pas certain de ces valeurs, contactez le conseiller du service clientèle pour cette application. - Office 365 - Entreprise présente deux paramètres supplémentaires qui doivent être configurés pour terminer la règle :
- Application de destination personnalisée (Custom Destination Application) : vous oblige à entrer les domaines d'application SaaS, ainsi que toutes les valeurs d'en-têtes associées à l'application. Comme il s'agit d'une application personnalisée, vous devrez consulter le site Web de cette application et/ou contacter le conseiller du service clientèle pour confirmer au préalable que la restriction du locataire via l'utilisation d'en-têtes est prise en charge, puis localiser les domaines et les valeurs d'en-têtes pour vous assurer que cette règle est correctement configurée.
Note : Les applications SaaS ne prennent pas toutes en charge la restriction du locataire via l'utilisation d'en-têtes. Il est donc important lors de la configuration d'une application personnalisée de confirmer que cette fonctionnalité est prise en charge pour l'application que vous souhaitez restreindre. Seules les applications prédéfinies répertoriées précédemment sont confirmées comme étant compatibles avec la restriction d'en-tête SaaS.
Cliquez sur Suivant (Next), l'écran Nom, motifs et balises (Name, Reasons, and Tags) s'affiche.
- Application de destination prédéfinie (Predefined Destination Application) : sélectionnez parmi l'une des six applications prédéfinies : Office 365 - Entreprise, Office 365 - Consommateur, G Suite, Slack, YouTube et Dropbox. Chaque application préconfigurée inclut les domaines et les en-têtes restreints pour ces applications. Selon l'application, un utilisateur devra peut-être configurer manuellement des informations supplémentaires, comme indiqué ci-dessous :
- Dans l'écran Nom, motif et balises (Name, Reason, and Tags), configurez un nom de règle unique (requis), un motif (si nécessaire), des balises (si utilisées), et une position pour la règle dans la liste des règles de filtrage d'URL [les options sont « Haut de la liste » (Top of the List) ou « Bas de la liste » (Bottom of the List)].
- Cliquez sur Terminer (Finish) et la règle récemment créée s'affiche dans la liste Restriction d'en-tête SaaS (SaaS Header Restriction) et est appliquée.
Ressources supplémentaires pour les applications prédéfinies
- Microsoft Office 365
- G Suite
- Slack
- YouTube
- Dropbox