La couche de contrôle de l'accès d'entreprise
TR7 AAM regroupe SSO, MFA, authentification par application, VPN et accès distant clientless sur une seule plateforme. Quel que soit le point de connexion de l'utilisateur, chaque demande d'accès est évaluée selon l'identité, le contexte de session et les politiques de service — sans produits fragmentés, règles dispersées ou ouverture réseau inutile.
Chaque requête passe d'abord par l'identité
Avant que l'application ne soit visible, que la session ne commence et que le trafic du service ne soit ouvert, TR7 AAM entre en action. Il authentifie l'identité, applique le MFA et les conditions d'accès, protège la session et conduit l'utilisateur uniquement vers l'application pour laquelle il est autorisé.
Le VPN amène l'utilisateur dans le réseau. TR7 AAM, en revanche, conduit l'utilisateur uniquement vers l'application pour laquelle il est autorisé. Chaque demande d'accès est contrôlée selon l'identité, la session et le contexte du service ; SSO, MFA, VPN et accès clientless convergent sur une seule plateforme. Résultat : moins d'ouverture réseau, politique plus claire, accès d'entreprise plus sécurisé.
Le modèle d'accès traditionnel suppose un périmètre réseau : si l'utilisateur est à l'intérieur il est considéré comme fiable, s'il est à l'extérieur il est admis par VPN. Lorsque le travail hybride, l'accès des prestataires et partenaires, les applications d'entreprise héritées et les sessions distantes privilégiées entrent en jeu, ce modèle ouvre plus de surface que nécessaire. L'accès moderne ne consiste plus à amener l'utilisateur dans le réseau, mais à admettre le bon utilisateur dans les bonnes conditions pour chaque application.
TR7 AAM est conçu pour cette approche. Avec l'authentification par service, vous pouvez placer une couche SSO et MFA devant une seule application ; avec le portail d'accès aux applications, l'utilisateur ne voit que les services pour lesquels il est autorisé. Les infrastructures d'identité OAuth2, OIDC, SAML, LDAP, RADIUS et TACACS+ fonctionnent sous la même politique d'accès ; SSL VPN, IKEv2 et accès clientless RDP/VNC/SSH sont gérés depuis la même plateforme.
Ainsi, l'architecture d'accès ne se réduit pas à un seul type de produit. Les applications héritées, les services web, les bureaux distants, les terminaux SSH, les portails de partenaires et les scénarios d'utilisateurs hybrides s'unifient dans une couche d'accès centralisée. L'authentification, le MFA, la protection de session, le verrouillage, la protection contre les bots et les contrôles CAPTCHA entrent en action avant que le trafic de l'application ne commence.
Toutes les applications ne suivent pas le même modèle d'accès. TR7 AAM prend en charge à la fois la mise en place d'une couche d'identité devant une seule application et la construction d'un portail multi-applications — dans la même installation, avec les mêmes fournisseurs d'identité, avec les mêmes politiques MFA et de session.
Ajoute une couche d'authentification devant une application HTTP existante. L'application reste où elle est ; TR7 l'enveloppe avec login, SSO et MFA. Une fois l'utilisateur authentifié avec succès, il accède directement à l'application correspondante.
Idéal pour : applications héritées sans support d'identité moderne, outils internes auxquels SSO doit être ajouté sans toucher au code de l'application, scénarios de publication sécurisée ciblés sur une seule application.
Un portail indépendant et avec marque fonctionne sur un vService. L'utilisateur se connecte une fois au portail ; il ne voit que les applications pour lesquelles il est autorisé. Lorsqu'il clique sur une application, TR7 ouvre un tunnel sécurisé vers le service backend correspondant — qu'il s'agisse de HTTP, RDP, VNC ou SSH.
Idéal pour : accès des prestataires et partenaires, écran de démarrage des applications pour main-d'œuvre hybride, sessions RDP/SSH privilégiées, accès scoped à durée limitée et auditable.
Les deux modèles partagent les mêmes fournisseurs d'identité, méthodes MFA, formulaires de login, modèles de page et protection d'accès. Vous pouvez déplacer des charges de travail entre le modèle par service et le modèle de portail sans reconstruire l'infrastructure d'identité.
OAuth2, OIDC, SAML, LDAP, RADIUS, TACACS+ et la base de données utilisateurs locale convergent sur la même plateforme d'accès. Aucun plugin par protocole, package premium de connecteurs ou seconde couche d'identité requis.
Fédération moderne avec des fournisseurs d'identité conformes aux normes. Sessions basées sur token, gestion du refresh et mappage de claims avec des flux SSO d'entreprise.
Flux SAML initiés par SP et IdP, mappage d'attributs, assertions signées/chiffrées et support SLO.
Bind LDAP direct avec Active Directory, 389 Directory Server ou OpenLDAP. Recherche de groupes, mappage d'attributs et support multi-domaine.
Support RADIUS d'entreprise pour les flux d'authentification VPN, accès réseau et administrateurs ; accounting inclus.
Accounting au niveau commande et authentification centralisée pour les administrateurs réseau. Piste d'accès traçable pour les audits de conformité.
TOTP, SMS OTP, email OTP et MFA basé sur certificat. Appliquer par politique, appliquer une élévation par contexte.
Gestion d'utilisateurs intégrée lorsqu'aucun fournisseur d'identité externe n'est disponible. Liaison de rôle, politique de mot de passe, flux de récupération et logs d'audit.
Écrans de login avec marque, textes multilingues et conceptions par portail. Gérez l'expérience utilisateur sans toucher au code de l'application d'entreprise.
Certaines charges de travail nécessitent un VPN L3 complet ; pour d'autres, installer un client est un risque et une charge opérationnelle inutiles. TR7 AAM offre un accès distant classique avec des tunnels SSL VPN et IKEv2 ; et un accès privilégié basé sur navigateur avec clientless RDP, VNC et SSH sous la même politique d'identité et MFA.
Fournissez un accès distant L3 complet avec SSL VPN et IPsec IKEv2. Utilisez SSL VPN dans les réseaux restreints et IKEv2 avec les clients natifs du système d'exploitation. Les deux modèles fonctionnent avec l'identité, le MFA, la protection de session et les politiques d'accès de TR7 AAM.
Services VPNOuvrez des sessions RDP, VNC et SSH via le navigateur sans installer de client sur l'appareil de l'utilisateur. Les bureaux Windows, les sessions graphiques Linux et les terminaux SSH deviennent liés à l'identité, auditables et gérables de manière centralisée.
Accès clientlessLes bots, le credential stuffing, les tentatives de force brute et les tentatives de détournement de session ne ciblent souvent pas l'application, mais la porte d'entrée. TR7 AAM affronte ces menaces sur la couche d'accès ; prend le contrôle des modèles de login échoués, des changements de session suspects et du comportement d'attaque automatisé avant qu'ils n'atteignent votre infrastructure d'identité.
Détectez les tentatives d'authentification échouées, les modèles de credential stuffing et les attaques de force brute au point d'accès. Définissez des politiques de seuil, de verrouillage et d'action par portail, application et fournisseur d'identité.
DétailAssociez les sessions à des signaux contextuels tels que IP, user-agent et empreinte TLS. Demandez une réauthentification ou arrêtez l'accès lorsque le contexte change pendant la session.
DétailAppliquez un CAPTCHA local sur les écrans de connexion sans utiliser de JavaScript tiers. Conservez la validation utilisateur dans votre propre infrastructure ; réduisez la sortie de données et établissez un modèle plus adapté aux attentes de conformité GDPR et PCI DSS 4.0.
DétailLes produits d'accès classiques vérifient l'appareil au moment de la connexion et prennent leur décision. Les risques modernes changent également après le début de la session. TR7 ETM transforme la confiance de l'appareil en signal vivant : la mesure pendant la session, l'alimente dans les politiques AAM et prend des actions sur le endpoint lorsque cela est nécessaire.
TR7 ADC publie l'application. TR7 WAAP la protège. TR7 AAM détermine qui peut accéder. TR7 GTM achemine le trafic vers la bonne région. Quatre produits, une plateforme, une interface opérateur et un pool de backends partagé travaillent ensemble.
Chaque pilier est un produit indépendant avec une licence séparée. Ils partagent la même interface opérateur, les définitions de pool de backends, le magasin de certificats et le plan de reporting. C'est pourquoi opérer ensemble les couches d'accès, de livraison, de protection et de routage prend des minutes, pas des semaines.
Pour chaque capacité, il existe des pages de référence techniques séparées qui expliquent le comportement réel du produit ; ouvrez le titre correspondant pour les détails.
Démontrons ensemble votre infrastructure d'identité, vos applications héritées, vos besoins VPN et vos exigences de conformité les plus strictes sur TR7 AAM. Montrons comment centraliser l'accès dans votre propre infrastructure sans être forcé vers un service ZTNA cloud uniquement.