Discussion :

[akli2008]

Pour mon projet d’ingénieur je développe une application E-Administration appliquée aux assurances avec Asp.Net.
Un enseignant à vu mon application ,très satisfait mais des questions m’ont été posées sans que je sache répondre,les fameuses questions sont :
1) Pour quoi vous avez choisi la même interface d’accès que l’administrateur, le client et les autres rôles ?
2) Pensez vous que c’est plus vulnérable vue que le username et le mot de passe permettent d’accéder à l’interface administrateur ?

Sachant que j’ai fait une authentification avec gestion des rôles .

Y a-t-il une autre idée pour l’authentification et la sécurité et comment a votre avis les grandes entreprises sécurisent leurs accès .Merci à tous.

[lutecefalco]

J'ai pas compris les questions.

[neptune]

1) Pour quoi vous avez choisi la même interface d’accès que l’administrateur, le client et les autres rôles ?

Ca dépend si l'application est critique. Ici, on parle d'assurance, donc information sensible, j'aurais déjà séparé deux interface: l'une pour les utilisateurs courants (client?), une autre pour l'administration (backoffice?).

2) Pensez vous que c’est plus vulnérable vue que le username et le mot de passe permettent d’accéder à l’interface administrateur ?

Oui. A nouveau, vu le domaine d'application, j'aurais probablement poussé un autre type d'authentification pour les administrateurs (token, SSO, etc...)

[akli2008]

1) Merci neptune mais pour séparer les deux interfaces on a toujours le meme raisonnement c.a.d c'est juste l'url qui change et si on a l'URL alors c'est comme si on a la meme interface.

2) token, SSO etc.. puis je les faire?.

[neptune]

Quand je dit deux interfaces, ce n'est pas deux pages différentes mais bien deux applications.

[akli2008]

1) Merci neptune mais pour séparer les deux interfaces on a toujours le meme raisonnement c.a.d c'est juste l'url qui change et si on a l'URL alors c'est comme si on a la meme interface.

2) token, SSO etc.. puis je les faire?.

[Avatarr]

Salut,

En fait pour répondre à ta question moi j'ai fait une appli de gestion pour être utiliser en Intranet.

Les utilisateurs de cette appli peuvent être de trois rôles (Admin, Gestionnaire ou Consultant).

Pour l'authentification, j'ai opté pour l'authentification par le login Windows.
Cela permet d'éviter de stocker des mot de passe dans une table de la BDD et permet aux utilisateurs une connexion plus rapide à l'application.

Après je ne connais pas tes configurations... Moi j'ai travaillé avec VS 2003.

@+

[akli2008]

Merci à tous pour votre participation,moi je developpe une application E-administration j'utilise l'authentification par formulaire avec vs2005,donc une application internet.
Une idée me vient à la tete c'est de faire une double authentification,comment faire ? je ne sais pas ?
Avez vous mieux à me suggerer ? Merci.

[Nap01]

Typiquement,

Il faut que l'interface publique et admin soit différentes et que l'interface admin soit sur un autre port que le 80 ou 443. Toujours crypter les données d'admin. Souvent, l'inferface d'admin ne peut être utilisé que si l'adresse IP source est parfaitement identifiée (règle FW). C'est une problème applicatif mais aussi d'architecture S&R

[akli2008]

Merci à tous pour votre participation,avez vous des liens concernant l'architecture S&R et des tutoriaux sur les changements de port et la detection de l'adresse IP.