Bonjour à tous, À la suite des nombreuses sollicitations que je reçois concernant les applications en SaaS et l'envoi de mail, je fais un rappel à mon mail de 2022 avec une petite clarification. Dans le cas où une application en SaaS veut envoyer un mail, il y a deux possibilités : 1. L'application veut envoyer un mail en tant que « anyone@monappliensaas.fr ». * Tout est géré par l'éditeur, rien à faire de notre côté à part mettre une exception côté sécu (si nécessaire) dans le cas où le mail arrive en spam 2. L'application veut envoyer un mail en tant que « anyone@gironde.fr » * Cf mon mail ci-dessous, cela doit passer par l'utilisation des API Microsoft Graph liées à Microsoft 365 L'éditeur ne peut PAS envoyer des mails directement en notre nom (souvent demande de modifier le SPF & DKIM) La raison est que dans cette configuration, ils peuvent envoyer un mail au nom de n'importe qui au Département sans aucune trace Si vous avez des questions, vous pouvez joindre l'équipe sécurité à equipe-ssi@gironde.fr. PS : Pour mieux comprendre le SPF & DKIM : https://www.afnic.fr/observatoire-ressources/papier-expert/protegez-vos-e-mails-grace-au-dns-spf-dkim-dmarc/ Cordialement, Arthur HUC DUZAN Ingénieur Sécurité des Systèmes d'Information Service Infrastructures Numériques Direction des Systèmes d'Information et du Numérique 05.56.99.68.69 - 06.29.52.06.39 De : Arthur Huc Duzan Envoyé : Monday, April 4, 2022 2:08 PM À : _DSIN-SIN ; _DSIN-SPIN Cc : equipe-ssi ; Fabien Bruel Objet : Note sur l'intégration et la connexion des applications SaaS à notre SI Bonjour à tous, Nous constatons une augmentation significative de demande sur la mise en place d'application en SaaS avec des interconnexions à notre SI : authentification, échange de données, envoi de mail etc. Pour répondre à ces besoins, garantir la sécurité et fournir un cadre de référence, vous trouverez un tableau récapitulatif ci-dessous : Hébergement en interne Hébergement en SaaS Connexion aux annuaires pour l'authentification Via le meta annuaire Si pas possible, directement via l'Active Directory Via l'AD FS et le protocole SAMLv2 (cf mon mail du 11/01/22) Echange entre applications Comme ça l'est déjà (fichiers, web service etc.) Pour une appli en SaaS qui doit récupérer des infos d'une appli hébergée en interne : Via webservice sécurisé (https + clef asymétrique) publié par le WAF et avec l'ESB derrière Envoi de mail Via le serveur de mail interne en SMTP Pour l'instant Lotus et changement en cours pour Exchange Via les API Microsoft Graph pour se connecter à l'Exchange d'Office365 Echange de tous types avec Office365 Lecture de mail, récupération de fichiers, agendas etc. Via les API Microsoft Graph Pour que vous puissiez mieux appréhender le sujet et échanger avec des agents qui ont déjà travaillé sur ces sujets, voici quelques exemples de ce qui a déjà été mis en place : * Authentification : * Prod : OrchestraDI et des applis sécu du SIN * Quelques autres projets SPIN sont en cours * Echange entre application : travail en cours pour une appli des transports * Envoi de mail : Omichanel (VA ok) * Echange de tout type avec Office365 : * Prod : Mascaret, appli système & sécu du SIN * Travail en cours pour CATEP Pour toute demande sur ces sujets, merci de passer par une demande de travaux ITASM. Si vous avez des questions, vous pouvez joindre l'équipe sécurité à equipe-ssi@gironde.fr. Bonne journée à tous. Cordialement, Arthur HUC DUZAN Ingénieur Sécurité des Systèmes d'Information Service Infrastructures Numériques Direction des Systèmes d'Information et du Numérique 05.56.99.68.69 - 06.29.52.06.39