Ouvrir un seul tunnel VPN vers le réseau d'entreprise suffisait autrefois. Plus aujourd'hui. Les utilisateurs se connectent de partout, les applications sont partout — au data center, dans le cloud, en SaaS — et un seul tunnel VPN donne trop d'accès à quiconque s'y connecte. Les sous-traitants ont besoin d'un accès temporaire à des applications spécifiques. Le help desk doit atteindre des cibles RDP ou SSH internes sans déployer de client. Les équipes sécurité veulent voir qui accède à quoi et révoquer l'accès au niveau de l'application, pas du réseau.
La réponse moderne du secteur est devenue le Zero Trust Access. Mais les deux voies ont un coût. La plupart des plateformes ZTNA pure-play sont cloud-only — votre trafic et vos décisions d'identité migrent vers l'edge de quelqu'un d'autre. Les fabricants d'ADC on-prem traditionnels, eux, proposent le ZTA comme un module séparé et coûteux ajouté par-dessus l'équilibreur de charge : son propre moteur de politiques, sa propre courbe d'apprentissage, sa propre licence.
TR7 place l'accès sur la plateforme qui livre et protège déjà vos applications. Le même modèle vService, la même console d'opérateur, la même piste d'audit ; par-dessus, deux modes d'opération nommés, des protocoles de gateway depuis le navigateur et un VPN basé sur les standards. Aucun module licencié séparément, aucun tiers réseau sur le chemin de votre flux de connexion.
Chacun apporte de la valeur seul. Ensemble, ils définissent ce qu'est un accès zero trust qui ne dépend pas du cloud d'un tiers et n'apparaît pas comme une ligne séparée sur la facture.
La plupart des plateformes ZTA modernes sont SaaS. Vos décisions d'identité, votre trafic de session et vos journaux d'audit vivent sur leur réseau. TR7 s'exécute sur votre propre hardware. Logins, contrôles de posture, sessions et journaux restent là où votre politique de sécurité s'applique déjà.
Mode A — Per-Service Authentication : login et SSO sont attachés à une application existante. Un seul service, un seul wrapper d'authentification ; après connexion, l'utilisateur va directement à l'application. Mode B — Portail d'Accès Brandé : un portail autonome en marque blanche avec son propre listener. L'utilisateur se connecte une fois et voit dans le launchpad chaque application à laquelle il est autorisé. Chaque mode a sa propre interface ; choisissez celui qui convient au déploiement, ou exécutez les deux ensemble.
Les équipes internes atteignent les cibles RDP, SSH et VNC directement depuis un onglet du navigateur. Aucune installation de client, aucun tunnel VPN sur l'endpoint, aucun logiciel natif à maintenir. Les sessions sont tunnelisées et auditées de manière centralisée ; la révocation d'accès prend effet à la requête suivante.
Les autres plateformes on-prem vendent un module séparé pour l'accès, un autre pour l'équilibrage de charge, un autre pour le WAAP, un autre pour le VPN. TR7 livre le tout dans le même moteur, une seule console d'opérateur et une seule vue d'audit. Le passage de « nous avons un VPN » à « nous avons un accès zero trust » se fait à l'intérieur du même produit.
IKEv2 et SSL VPN fonctionnent sur des standards que tout système d'exploitation moderne parle déjà — les utilisateurs iOS, Android, Windows et macOS ne téléchargent pas une application, ils ajoutent simplement un profil VPN. OAuth 2.0, OIDC, SAML, LDAP et RADIUS sont pris en charge nativement. Les signaux de sécurité de l'endpoint (appareil connu, posture à jour, état de conformité) alimentent en continu les décisions d'accès ; une session qui démarre digne de confiance peut être réévaluée et restreinte si le contexte change.
Chaque capacité ci-dessous vient dans le cadre de la même plateforme qui livre et protège vos applications.
Attache login et SSO à un service HTTP existant. L'application reste en place ; TR7 se tient devant et applique l'authentification, le MFA et la politique. Un seul service, un seul wrapper d'authentification ; après connexion, l'utilisateur passe directement à l'application. Convient lorsque chaque application a une URL stable et que vous voulez un déploiement avec le minimum de changement.
Un portail autonome avec son propre listener et votre propre marque. Après connexion, les utilisateurs voient le launchpad de chaque application à laquelle ils sont autorisés — applications web internes, SaaS, sessions RDP/SSH/VNC. Un seul portail, plusieurs backends. Convient lorsque la logique opérationnelle d'un point d'entrée unique consolidé a du sens.
Accès aux cibles RDP, SSH et VNC internes via le navigateur. Aucun client natif sur l'endpoint, aucun tunnel VPN sur l'appareil. Les sessions sont tunnelisées et auditées de manière centralisée ; une seule action de révocation met fin à toutes les sessions actives.
VPN basé sur les standards fonctionnant sur la même plateforme. SSL VPN pour tunnel complet ou split ; IPsec IKEv2 pour site-to-site ou accès distant fortement chiffré. Particulièrement fort sur mobile : iOS et Android parlent IKEv2 nativement, l'utilisateur ajoute un profil VPN dans les réglages au lieu d'installer une application — aucune charge de déploiement, de mise à jour ou de maintenance. Windows et macOS fonctionnent de la même manière via leurs clients VPN intégrés. Naturellement adapté aux scénarios BYOD (appareil personnel).
Prise en charge native d'OAuth 2.0, OIDC, SAML, LDAP et RADIUS. Se connecte à vos IdP existants comme Azure AD, Okta, ADFS, Google Workspace, OneLogin sans pont de protocole.
Le MFA est appliqué à la périphérie d'accès. Lorsque le contexte de la requête change — pays différent, appareil différent, application plus sensible — une authentification renforcée (step-up) est déclenchée.
Une session qui démarre digne de confiance ne le reste pas par défaut. La posture de l'endpoint, la géographie, la santé de l'appareil et les anomalies de session sont réévaluées tout au long de la session. Si le contexte change, l'accès peut être restreint ou la session révoquée en cours de route.
Dans les déploiements où les utilisateurs sont sur des appareils gérés par la couche de sécurité endpoint de TR7, les signaux de confiance d'appareil (appareil connu, posture à jour, conformité) alimentent la politique d'accès. Les endpoints non gérés passent une inspection complète.
Les sessions SSH atteignant des cibles internes via le gateway sont journalisées au niveau commande — chaque commande tapée, chaque réponse reçue. La piste d'audit est prête pour l'investigation ; aucun produit PAM séparé nécessaire.
Chaque application a sa propre politique d'accès : identité, posture de l'appareil, heure de la journée, géographie, force du MFA. Un utilisateur qui atteint le CRM n'est pas automatiquement autorisé sur la base de données. Le mouvement latéral est limité au périmètre que chaque application autorise explicitement.
Les applications derrière TR7 ne sont pas accessibles directement. Les scans de découverte, les port sweeps et les attaques pré-authentification voient TR7, pas vos applications. La surface d'attaque est réduite sans modifier le code de l'application.
Les politiques d'accès, les flux d'authentification et les règles conditionnelles se construisent dans le même flow builder visuel utilisé ailleurs sur la plateforme. Aucun langage de politique propriétaire ; aucune certification fournisseur nécessaire pour modifier une règle.
Les événements d'accès, le trafic ADC, les détections WAAP et les signaux DDoS sont partagés dans une seule vue d'opérateur et une seule piste d'audit. Les exports SIEM utilisent la même taxonomie que le reste de la plateforme.
Les deux modes offrent le Zero Trust Access. La différence entre eux réside dans l'effort opérationnel et l'expérience utilisateur final. Ils peuvent fonctionner côte à côte.
Une seule application, un seul wrapper d'authentification. L'application conserve son URL existante ; TR7 se tient devant et applique authentification, MFA, posture et politique. Après connexion, les utilisateurs arrivent directement sur l'application. Convient lorsque chaque application a une URL stable et que vous voulez un déploiement avec le plus petit changement possible.
Un seul portail, plusieurs backends. Un portail autonome en marque blanche avec son propre listener. Les utilisateurs se connectent une fois et voient dans le launchpad chaque application à laquelle ils sont autorisés. Convient lorsqu'un point d'entrée consolidé a du sens opérationnellement ou que vous voulez un launchpad d'applications.
Les deux modes peuvent fonctionner simultanément. Certaines applications sont enveloppées avec la per-service auth, d'autres sont accessibles via le portail. Mêmes politiques d'identité, mêmes signaux d'endpoint, même piste d'audit.
Les sessions RDP, SSH et VNC peuvent être offertes dans les deux modes — comme une URL per-service enveloppée ou comme une tuile launchpad du portail. L'expérience navigateur est identique ; seul le cadre opérationnel change.
SSL VPN et IPsec VPN continuent de fonctionner aux côtés des deux modes. Utile pendant la période de transition : les utilisateurs passent du VPN à l'accès per-application ou portail selon le calendrier que vous définissez.
Quel que soit le mode choisi, l'objet de configuration est un vService. Contrôles de santé, règles de trafic, observabilité et modèle de bande passante se comportent de la même manière. C'est le même moteur qui livre vos autres applications.
Sortez les utilisateurs du tunnel VPN plat vers un accès par application — sans changement radical. Le SSL VPN continue de fonctionner ; les équipes migrent progressivement vers la Per-Service Auth ou le Portail Brandé.
Les utilisateurs externes obtiennent un accès temporaire et délimité à des applications spécifiques. Aucun appareil d'entreprise ni installation de client VPN requis ; ils se connectent au portail et ne voient que ce à quoi ils sont autorisés.
Les équipes opérationnelles atteignent les cibles RDP, SSH et VNC internes depuis un onglet du navigateur. Chaque session est tunnelisée et auditée ; lorsque l'accès d'un sous-traitant est révoqué, toutes ses sessions actives prennent fin instantanément.
Politiques par application liées au MFA, à la posture de l'appareil et à l'audit au niveau session. Les journaux de commandes SSH au niveau PAM satisfont les exigences réglementaires et d'audit interne sans produit PAM séparé.
Les règles de résidence des données interdisent au trafic d'identité et de session de quitter le réseau. Le déploiement on-prem maintient chaque décision d'authentification, session et journal d'audit sous contrôle local.
Deux organisations, deux fournisseurs d'identité, deux catalogues d'applications. Le Portail d'Accès Brandé devient une porte d'entrée unique pendant que l'intégration se poursuit — les utilisateurs voient un seul launchpad, même quand le travail d'identité en backend est encore en cours.
Capacités référencées par cette solution — les pièces techniques qui composent les contrôles décrits ci-dessus.
Gérez l'accès VPN non pas comme une exception réseau distincte, mais comme partie intégrante de la politique d'identité et de confiance des appareils AAM.
Accès depuis le navigateur à RDP, VNC, SSH, Kubernetes et aux systèmes legacy — coffre-fort d'identifiants, enregistrement et watermark intégrés.
Trois méthodes MFA, politique par service, raccourci appareil de confiance — pas de cloud MFA tiers.
Un seul moteur de flux détermine chaque résultat d'authentification — qui, vers quoi, après quel facteur, dans quel contexte.
La confiance gagnée à la connexion n'est pas portée éternellement. Chaque session reste sous évaluation, à chaque étape.
SP SAML conforme aux standards — IdP d'entreprise, fédération d'identité du secteur public et routage par tenant ; coordonné avec MFA, accès conditionnel et confiance de l'appareil.
Relying party OIDC conforme aux standards — code d'autorisation avec PKCE, jetons d'identité vérifiés via JWKS, défenses nonce et state, routage IdP par tenant.
Votre répertoire d'entreprise existe déjà ; TR7 AAM ne le copie pas, il s'y connecte et transforme l'appartenance aux groupes en politique d'accès.
Reliez toute source d'identité autre que SAML et OIDC au même flux d'accès et d'audit.
Extrayez le certificat client du contrôle de connexion et transformez-le en objet d'identité qui pilote les décisions de trafic.
Connectez les services sans fusionner les réseaux — gérez les plans IP chevauchants et l'isolation des tenants avec un seul modèle vService.
Arrêtez le credential stuffing, la force brute et les tentatives de détournement de session en vous basant sur une décision de risque combinée — pas un seul signal.
Trois niveaux de friction graduée — avertir, challenger, verrouiller — sur IP, nom d'utilisateur, ou les deux. CAPTCHA self-hosted, aucun cloud externe.
De la génération du session ID à la sécurité des cookies, du contrôle de bind IP+UA à la gestion des idle et absolute timeouts, protégez la session sous un seul policy graph.
Le pillar de l'add-on ETM intégré à l'AAM : la posture de l'appareil devient le signal vivant de la décision d'accès.
UX de connexion brandée par gateway, avec héritage de template. Un template distinct pour chaque marque, tenant ou application ; aucun serveur web distinct.
Authentification moderne en amont, identité injectée en aval sous forme d'en-tête, d'Authorization ou de cookie — les applications legacy restent legacy.
Les flux de modification, d'oubli et de réinitialisation dans un seul moteur — jeton à usage unique, masquage du destinataire, audit à chaque étape.
Demandez une démo en direct de TR7 Zero Trust Access. Nous parcourons les deux modes d'opération, ouvrons une session RDP en direct depuis le navigateur et montrons comment le même moteur de politiques gère SSL VPN, per-app auth et portail d'accès depuis un seul endroit.