Comprendre l'appartenance à un tenant

L'appartenance à un tenant représente un lien unidirectionnel entre deux types d'assets au sein de l'écosystème d'un fournisseur d'identité :

  1. Un asset du fournisseur d'identité, comme un compte utilisateur, un groupe ou une ressource.

  2. L'asset « tenant », qui représente l'entité ou le domaine plus large englobant l'asset. La nature du « tenant » dépend du fournisseur d'identité spécifique.

Cette appartenance permet d'identifier les relations entre les assets et leurs tenants, offrant ainsi un aperçu de l'organisation et de la hiérarchie des assets.

Lier des assets à un tenant

Dans le cas d'Active Directory (AD), les assets sont liés à leur tenant (domaine AD) à l'aide du nom distinctif (DN) de l'asset. Le DN fournit des informations hiérarchiques sur l'emplacement de l'asset au sein de la structure d'annuaire qui sont utilisées pour déterminer le tenant.

Identification du tenant

Lorsqu'un asset correspond à un objet AD (par exemple, un utilisateur ou un groupe), son tenant est identifié à l'aide des étapes suivantes :

  • Extraction du nom distinctif de l'asset.

  • Identification du tenant à partir des entrées de composant de domaine (DC) dans le DN.

Exemple

  • DN de l'asset : CN=UserA,CN=Users,DC=tenable,DC=corp

  • Tenant : DC=tenable,DC=corp (représentant le domaine AD).

Cas spéciaux : compréhension des liens de domaines racines de forêt

Dans certains cas, la relation entre un asset Active Directory (AD) et son tenant (domaine) peut ne pas suivre la structure attendue en raison de la façon dont AD gère certains objets. Cette section explique ces « cas spéciaux » plus en détail pour plus de clarté.

Que sont les domaines racines de forêt ?

Les forêts Active Directory sont constituées d'un ou plusieurs domaines organisés hiérarchiquement. Le domaine racine de forêt est le domaine le plus élevé de cette hiérarchie ; il englobe tous les autres domaines de la forêt. Certains objets au sein d'AD font référence au domaine racine de forêt dans leurs noms distinctifs, même s'ils appartiennent à un domaine différent. Ce comportement peut affecter l'identification des tenants.

Comment les cas spéciaux se produisent-ils ?

Lors de l'identification d'un tenant à partir du nom distinctif (DN) d'un asset, les composants de domaine (DC=...) indiquent généralement le domaine de l'asset. Cependant, il existe des exceptions :

  1. Objets de configuration à l'échelle de la forêt

    • Certains objets AD sont liés à des configurations ou à des paramètres qui s'appliquent à l'ensemble de la forêt plutôt qu'à un domaine spécifique.

    • Ces objets ont des noms distinctifs se terminant par :

      • CN=Configuration,DC=...

    • De tels objets sont liés au domaine racine de forêt et non à leur domaine « réel ».

Exemple

  • DN : CN=Configuration,DC=forestRoot,DC=com

  • Tenant : le domaine racine de forêt (DC=forestRoot,DC=com).

  1. Zones DNS de forêt

    • Certains objets gèrent des zones DNS partagées sur l'ensemble de la forêt. Leurs noms distinctifs se terminent par :

      • DC=ForestDnsZones,DC=...

    • Ces objets sont associés au domaine racine de forêt, et non à leur domaine spécifique.

Exemple

  • DN : DC=ForestDnsZones,DC=forestRoot,DC=com

  • Tenant : le domaine racine de forêt (DC=forestRoot,DC=com).

Pourquoi c'est important

Il est essentiel de comprendre ces cas spéciaux pour interpréter avec précision l'appartenance à un tenant. Les implications sont multiples :

  1. Le tenant identifié peut être différent de celui attendu

    • Un objet semblant appartenir à un domaine spécifique peut en fait être lié au domaine racine de forêt.

    • Les objets dans les contextes d'attribution de noms « Configuration » ou « ForestDnsZones » sont liés au domaine racine de forêt en raison de leur portée à l'échelle de la forêt.

  2. Clarifications de la hiérarchie et de la portée

    • Les objets liés au domaine racine de forêt ont généralement un champ d'application plus vaste, car ils gèrent ou représentent les paramètres au niveau de la forêt.

  3. Utilisation dans la résolution des problèmes et l'audit

    • Une mauvaise interprétation de ces cas peut conduire à des erreurs lors de l'audit des structures de domaine ou de la résolution des problèmes liés à l'identité.

En comprenant ces nuances, vous pouvez interpréter en toute confiance les détections et garantir la précision des tâches d'audit et de résolution des problèmes.

Pourquoi Tenable Identity Explorer a choisi « tenant » comme nom de conteneur racine

Ce nom générique et non spécifique à l'IdP désigne le conteneur racine de chaque fournisseur d'identité (IdP). Il est conçu pour fonctionner sur différents systèmes, tels que les « tenants Entra » et les « domaines AD ».

Le terme « tenant » a été choisi car il est largement intelligible dans le contexte de la gestion des identités, neutre sur toutes les plateformes et déjà aligné sur des normes existantes telles que Microsoft Entra. Cela garantit la clarté, la cohérence et la flexibilité de la gestion de diverses implémentations d'IdP.