Comment pouvons-nous vous aider?

La rotation des identifiants associés aux systèmes Oracle Cloud, SSO (Single Sign-On) ou LDAP (Lightweight Directory Access Protocol) implique généralement une mise à jour sécurisée et procédurale des éléments d’authentification tels que les mots de passe, les clés, les certificats ou les jetons afin de réduire le risque de vol ou d’utilisation abusive des identifiants.

Ce document fournit un guide de base de connaissances prêt pour le client sur les meilleures pratiques de rotation des accréditations dans les environnements Oracle Cloud, SSO et LDAP, y compris les changements de mot de passe.

Processus général de rotation des accréditations

1. Inventaire et classification
   • Identifiez tous les systèmes, applications, services et utilisateurs qui utilisent cette accréditation.
   • Classez les identifiants par type (par exemple, clés API, mots de passe de comptes de service, mots de passe utilisateurs, clés SSH, certificats).
2. Planification des rotations
   • Déterminez si l’accréditation supporte la rotation sans interruption ou si elle cause une interruption de service.
   • Planifiez la rotation pendant des fenêtres à faible impact pour les systèmes qui ne supportent pas un changement fluide.
3. Plan de secours et de retour en arrière
   • Sauvegardez toujours les identifiants actuels dans un coffre-fort sécurisé (par exemple, HashiCorp Vault, AWS Secrets Manager).
   • Définissez les étapes de retour en arrière si la nouvelle certification échoue.
4. Mise à jour de l’accréditation
   • Générez et définissez un nouveau mot de passe/clé/jeton.
   • Remplacez les anciens identifiants partout où ils sont stockés : variables d’environnement, fichiers de configuration, gestionnaires de secrets.

   • Changez les mots de passe associés aux comptes de service, aux comptes administrateur et aux comptes utilisateur.

5. Propagation et validation
   • Redémarrez les services si nécessaire.

   • Validez que les systèmes dépendants peuvent toujours s’authentifier et autoriser comme prévu.

   • Assurez-vous que tous les utilisateurs mettent à jour leurs mots de passe si nécessaire.

6. Désarmement de l’ancienne crédentiale
   • Révoquez ou supprimez les anciennes identifiantes dès que les nouvelles sont vérifiées qu’elles fonctionnent.
   • Enregistrez et auditez l’opération pour la conformité.

Rotation des accréditations Oracle Cloud (OCI)

• Clés de signature API: Faites pivoter les paires de clés API OCI utilisées par les utilisateurs IAM ou les utilisateurs fédérés.
  • Mettez à jour la clé publique dans OCI Console → IAM → les clés utilisateur → API.
  • Remplacez la clé privée dans les scripts/outils.
• Jetons d’authentification: Utilisés pour les intégrations tierces (par exemple, les clients Git).
  • Recréer dans OCI Console → IAM → utilisateur → jetons d’authentification.
• Trusts de fédération (pour l’intégration IDCS / AD):
  • Faites pivoter les certificats SAML ou les métadonnées utilisés pour la fédération.
  • Mettez à jour les métadonnées à la fois dans Oracle IDCS et votre fournisseur d’identité.
• Mots de passe : Changez les mots de passe des comptes de service, des utilisateurs IAM, et de tous les comptes utilisateurs lorsque c’est applicable.

Rotation des accréditations SSO

Cela dépend de l’architecture SSO (par exemple, SAML, OIDC, SSO comme Okta, Azure AD, Oracle IDCS) :

• Certificats SAML:
  • Faites pivoter le certificat de signature X.509 utilisé par l’IdP ou le SP.
  • Mettez à jour les métadonnées des côtés IdP et SP.
  • Validez la chaîne de confiance et l’expiration.
• Secrets clients OIDC:
  • Faire pivoter le secret client utilisé par les applications pour s’authentifier avec l’IDP.
  • Mettez à jour les configurations des applications de façon sécurisée.
• Comptes de services SSO et mots de passe utilisateurs:
  • Faites pivoter les identifiants utilisés par les services qui interrogent l’IdP (par exemple, pour le provisionnement ou la synchronisation JIT).

  • Changez les mots de passe des comptes administratifs et de tous les comptes utilisateurs au besoin.

  • Assurez-vous que les utilisateurs mettent régulièrement à jour leurs mots de passe SSO.

La rotation des accréditations SSO est particulièrement sensible si elle est liée aux systèmes de connexion des employés —une défaillance peut bloquer les utilisateurs.

Rotation des accréditations LDAP

• Liez les mots de passe DN:
  • Réinitialisez le mot de passe dans le serveur LDAP (Active Directory ou OpenLDAP).
  • Mettez à jour tous les services/outils dépendants.
  • Validez la liaison avec des outils comme ldapsearch.
• Certificats TLS:
  • Faites tourner les certificats utilisés dans LDAPS.
  • Validez en utilisant OpenSSL s_client ou des outils similaires.
  •  
• Keytabs Kerberos:
  • Si elle est intégrée à Kerberos, régénérez les principes de service et mettez à jour les keytabs.
• Mots de passe des comptes utilisateur et service :

  • Faire respecter les changements de mot de passe pour tous les comptes utilisateurs et services ayant accès aux services LDAP.

Considérations avancées/proactives

• Utilisez l’automatisation: des outils comme HashiCorp Vault, AWS Secrets Manager, CyberArk ou Thycotic.
• Audit: Assurez-vous que l’utilisation et la rotation des accréditations sont enregistrées.
• Surveillance: Configurez des alertes en cas d’échec ou d’accès anormal.
• Politiques d’expiration: Imposez une rotation de 30/60/90 jours selon la sensibilité des titres.
• Identifiants juste-à-temps (JIT): Limitez la fenêtre d’exposition en délivrant des identifiants limités dans le temps.

• Mises à jour régulières des mots de passe: Assurez-vous que tous les mots de passe des utilisateurs et des comptes de service sont mis à jour conformément aux politiques de sécurité.

• Consultez: NIST SP 800-63b pour les meilleures pratiques en matière d’identité numérique.

Tableau résumé