Password Manager Pro stocke les mots de passe administratifs sensibles sous forme cryptée dans la base de données. L'accès aux données est limité par un seul niveau d'authentification - l'authentification locale de PMP ou l'authentification des magasins d'identité tierce partie comme Active Directory ou LDAP. Pour introduire un niveau de sécurité supplémentaire, PMP propose une authentification à deux facteurs. Les utilisateurs devront s'authentifier via deux étapes successives pour accéder à l'interface web PMP. Alors que la première authentification se fera par l'authentification native habituelle ou AD/LDAP, le deuxième niveau d'authentification pourrait être l'un des éléments suivants :

• PhoneFactor - un service d'authentification par téléphone
• Un mot de passe unique généré de façon aléatoire envoyé par PMP et par email à l'utilisateur
• Token unique RSA SecurID, qui change toutes les soixante secondes

Pour l'authentification par téléphone, ManageEngine a établi un partenariat avec PhoneFactor, le leader mondial de l'authentification à deux facteurs par téléphone, pour permettre une authentification à deux facteurs simple et efficace avec Password Manager Pro.

Pour la partie RSA, PMP a conclu un partenariat technologique avec le système d'authentification à deux facteurs RSA SecurID®.

PMP doit gérer des mots de passe sensibles et par conséquent, il est important que toutes les opérations effectuées à l'aide de l'application soient enregistrées. Toutes les opérations effectuées par les utilisateurs, y compris la récupération de mot de passe, les opérations de copie doivent être vérifiées. PMP vous donne des informations sur «qui» a réalisé «quoi» comme opération et «quand». Toutes les opérations effectuées par les utilisateurs sur l'interface utilisateur sont vérifiées avec la date et l'adresse IP d'où ils ont accédé à l'application.

Il existe trois types de vérifications avec PMP :

• Audit des ressources - toutes les opérations se rapportant aux ressources, aux groupes de ressources, aux comptes, aux mots de passe, et aux politiques
• Audit des utilisateurs - toutes les opérations effectuées dans PMP par un "utilisateur PMP" sont capturées sous la rubrique "User Audit" ("Audit des utilisateurs")
• Audit des tâches - enregistrement des différentes tâches planifiées créées

PMP propose une vérification complète et presque toutes les actions sont vérifiées. Il peut y avoir des exigences d'audit que pour certaines opérations spécifiques. Pour faciliter cela, au sein de chaque type d'audit, PMP offre la souplesse nécessaire pour vérifier seulement les opérations requises. Il y a aussi une option pour envoyer des notifications à certains destinataires chaque fois qu'un événement choisi (piste d'audit de votre choix) se produit dans PMP.

Les mots de passe des systèmes distants, des applications et des sites web sont stockés dans PMP. Normalement, pour se connecter à des systèmes et des applications, vous devez copier le mot de passe à partir de PMP et le coller dans le système cible. PMP fournit une option pour se connecter automatiquement à des systèmes cibles et des applications directement à partir de l'interface web de PMP, éliminant le besoin de copier/coller des mots de passe.

PMP propose trois types de mécanismes de connexion automatique :

• Passerelle de connexion automatique pour le lancement de sessions Windows RDP, SSH et Telnet : PMP est livré avec des gateways de session RDP, SSH et Telnet. Cela permet aux utilisateurs de lancer des sessions de terminal à distance tunnelées, à partir de leur navigateur via le serveur PMP. Les sessions sont émulées à l'écran du navigateur. Il n'est donc pas nécessaire d'installer un plug-in ou un agent. Cette fonctionnalité est extrêmement sécurisée puisque les mots de passe pour les sessions à distance ne sont même pas dans le navigateur.
• Scripts de connexion automatique pour le lancement de programmes personnalisés à partir du navigateur de l'utilisateur : Cela peut être activé en configurant des scripts d'assistance qui seront invoqués par le navigateur, sur la machine de l'utilisateur. Le script n'est rien d'autre qu'une commande spécifique au système d'exploitation, que les utilisateurs utilisent habituellement pour se connecter à des systèmes cibles (par exemple telnet, rdp, mastic, etc.) En raison des restrictions de sécurité inhérentes aux navigateurs, les utilisateurs doivent télécharger et installer des plug-ins spécifiques pour être en mesure de lancer des commandes du système d'exploitation.
• Connexion à des applications web en un clic : Vous pouvez configurer PMP pour remplir automatiquement la page de connexion d'applications web avec le nom d'utilisateur/mot de passe approprié, pour permettre aux utilisateurs de se connecter aux applications en quelques clics, au lieu d'entrer manuellement les informations. Ceci est possible pour les utilisateurs qui installent le bookmarklet de PMP dans leurs navigateurs. Un signet (ou favoris) de navigateur contient généralement une URL statique et cliquer sur le signet ouvre l'URL. Un bookmarklet est semblable à un signet de navigateur, mais il contient en plus un morceau de script. Cliquer sur le bookmarklet non seulement ouvre l'URL, mais exécute le script qui peut être utilisé pour effectuer quelques tâches sur l'URL ouverte. Un bookmarklet est un mécanisme sécurisé pour apporter du dynamisme aux signets du navigateur. Pour utiliser la connexion automatique, l'utilisateur doit cliquer sur la bonne paire resource-name/account-name, puis sur le bookmarklet de PMP dans la barre des signets. Ce bookmarklet ouvre d'abord l'URL de l'application Web, puis exécute un script qui accède au serveur web de PMP, récupère le nom d'utilisateur/mot de passe pour l'application Web demandée, remplit les champs dans la page de connexion de l'application web et soumet la page pour l'authentification.

Éliminer les mots de passe codés en dur

Pour les communications Application-to-Application ou Application-to-Database qui se produisent sans intervention humaine, normalement, les entreprises définissent les autorisations d'accès dans une application (par exemple l'application 'A') et codent en dur les mots de passe pour accéder à l'application 'A' dans les scripts ou les incorporent dans l'application appelée (par exemple l'application 'B').

Ces mots de passe codés en dur posent un problème de sécurité majeur car les utilisateurs malveillants pourraient facilement les déchiffrer et provoquer un désastre.

Password Manager Pro offre des moyens efficaces pour éliminer les mots de passe codés en dur. Si vous avez des applications dans votre infrastructure qui nécessitent la connexion à d'autres applications en utilisant un mot de passe, elles peuvent interroger PMP pour récupérer le mot de passe. Une application (par exemple l'application A) prendrait contact avec PMP pour le mot de passe qui permet d'accéder à une autre application (par exemple l'application B). Après obtention du mot de passe, 'A' contacterait 'B' et tout cela sans intervention humaine.

De cette façon, les mots de passe application-to-application (A-to-A) peuvent également suivre les bonnes pratiques de gestion de mot de passe comme la rotation périodique, sans avoir à faire les mises à jour manuellement. La même procédure peut être utilisée pour la gestion des mots de passe d'application à base de données (A-to-DB).

PMP fournit des APIs de gestion des mots de passe avec lesquelles toute application d'entreprise ou script en ligne de commande peut interroger PMP et récupérer des mots de passe pour se connecter avec d'autres applications ou bases de données.