Utiliser un Jump Web pour accéder à des services Web

Avec la prolifération des composants d’infrastructure étant passés à des interfaces basées sur le Web pour la configuration, les administrateurs informatiques sont confrontés à une situation de gestion de la sécurité de plus en plus complexe. Avec l’accès privilégié aux ressources basées sur le Web, il est difficile de contrôler, auditer et faire respecter une authentification efficace sans impacter de façon négative la productivité. Les administrateurs informatiques ont besoin d’un moyen efficace pour contrôler et auditer des ressources gérées par des interfaces Web, comme :

  • Les serveurs IaaS (infrastructure comme service) hébergés en externe comme Amazon AWS, Microsoft Azure, IBM SoftLayer et Rackspace
  • Les serveurs hébergés en interne gérés par des logiciels hyperviseurs comme VMware vSphere, Citrix XenServer et Microsoft Hyper-V
  • Une infrastructure moderne de réseau central qui tire parti des interfaces basées sur le Web

Les capacités de gestion d’identité et d’accès varient grandement entre IaaS, fournisseurs d’hyperviseurs, et systèmes d’infrastructure centrale, et beaucoup ne proposent pas la prise en charge de l’authentification plurifactorielle, omettant ainsi ce niveau de sécurité supplémentaire. Ces disparités parmi les systèmes créent des opportunités de vulnérabilités professionnelles, comme l’utilisation abusive de comptes et d’accès, ce qui mène à des fuites de données sensibles. Jump Web BeyondTrust est la couche supplémentaire de sécurité pour authentifier ces systèmes.

 

Web Jump ne prend pas en charge Flash. Assurez-vous de consulter la documentation de votre hyperviseur et de le mettre à jour vers une version prenant en charge HTML 5.

l’élément de Jump Web est un add-on pour Privileged Remote Access et nécessite un achat supplémentaire.

Créer un raccourci de Jump Web

avant de créer des raccourcis de Jump Web, vérifiez que votre compte d’utilisateur peut accéder aux Jumps Web. Cette autorisation est définie dans votre compte d’utilisateur dans l’interface /login sous Autorisations d’accès > Technologie Jump.

Créer un raccourci de Jump

Pour créer un raccourci de Jump Web, cliquez sur le bouton Créer dans l’interface de Jump. Dans le menu déroulant, sélectionnez Jump Web. Les raccourcis de Jump Web apparaissent dans l’interface de Jump avec les Jump Clients et d’autres types de raccourcis d’éléments de Jump.

Organisez et gérez les éléments de Jump existants en en sélectionnant un ou plusieurs et en cliquant sur Propriétés.

pour voir les propriétés de plusieurs éléments de Jump, les éléments sélectionnés doivent être du même type (seulement des Jump Clients, seulement des Jumps distants, etc.).Pour examiner les propriétés d’autres types d’éléments de Jump, veuillez consulter la section correspondante de ce guide.

Créer un nouveau raccourci de Jump Web

Saisissez un Nom pour l’élément de Jump. Ce nom identifie l’élément dans les onglets de la session. Cette chaîne contient 128 caractères au maximum.

Dans la liste déroulante Jumpoint, sélectionnez le Jumpoint Windows ou Linux qui héberge l’ordinateur auquel vous voulez accéder.

la fonctionnalité Copier/Coller n’est pas prise en charge pour les Jumpoints Linux.

Tapez l’URL du site auquel vous souhaitez accéder.

Consultez Vérifier le certificat si vous souhaitez que le certificat du site soit validé avant que la connexion ne soit établie. Si cette option est cochée et que des problèmes de certificat sont détectés, la session ne démarre pas.

 

Il convient de décocher Vérifier le certificat uniquement si vous effectuez un Jump vers un site de confiance utilisant un certificat auto-signé.

 

Si vous voulez utiliser une injection d’informations d’authentification, vous devez d’abord sélectionner le Format du nom d’utilisateur :

  • Par défaut : Il s’agit de la valeur par défaut pour les éléments de Jump Web nouveaux et existants. Le nom d’utilisateur n’est pas modifié avant l’injection dans la page Web et est utilisé dans le format stocké. Pour le gestionnaire d’informations d’authentification de point de terminaison (ECM), les informations d’authentification peuvent être au format UPN ou DLLN. Pour Vault, le nom d’utilisateur est toujours au format UPN.
  • Nom d’utilisateur uniquement : Indépendamment du format stocké dans Vault ou l’ECM (username@domain ou domain\username), le domaine est supprimé et seul le nom d’utilisateur est utilisé.

Sous Détection de formulaire de connexion, la pratique recommandée consiste à laisser les trois champs vides et à permettre au système de réaliser une détection automatique et d’utiliser les informations déjà stockées pour la connexion. Si la détection automatique échoue, l’injection échoue et un message indique que le Champ du nom d’utilisateur, le Champ du mot de passe et/ou le Bouton Soumettre n’ont pas pu être trouvés.

Si vous saisissez les noms des éléments de saisie, saisissez l’ID HTML, le nom HTML ou le sélecteur CSS de chaque élément de la page de connexion.

Cela montre des ID HTML avec des champs de saisie et un bouton soumettre, tels qu’ils pourraient apparaître dans la vue du code d’une page de connexion. Les identifiants HTML sont ici user, pwd et button.
<form action="/action_page.php">
Nom d'utilisateur : <input type="text" id="user"><br>
Mot de passe : <input type="password" id="pwd"><br>
<input type="submit" value= "Soumettre" id="button">
</form>

Déplacez des éléments de Jump d’un groupe de Jumps à l’autre en utilisant le menu déroulant Groupe de Jumps. La possibilité de déplacer des éléments de Jump vers et depuis différents groupes de Jumps dépend des autorisations pour votre compte.

Organisez encore mieux vos éléments de Jump en saisissant le nom d'une Balise nouvelle ou existante. Bien que les éléments de Jump sélectionnés soient rassemblés sous cette balise, ils seront toujours répertoriés dans le groupe de Jump auquel chacun d’eux est attaché. Pour ramener un élément de Jump vers son groupe de Jump de plus haut niveau, laissez ce champ vide.

Les éléments de Jump comprennent un champ Commentaires pour un nom ou une description, ce qui facilite et accélère le tri, la recherche et l’identification des éléments de Jump.

Pour régler le moment pendant lequel les utilisateurs sont autorisés à accéder à cet élément de Jump, si une notification d’accès doit être envoyée, ou si une autorisation ou un ID de ticket provenant de votre système de ticket externe est requis pour l’utilisation de cet élément de Jump, choisissez une Règle de Jump. Ces règles doivent être configurées par l’administrateur dans l’interface /login.

Choisissez une règle de session à attribuer à cet élément de Jump. La règle de session attribuée à cet élément de Jump a la priorité la plus élevée lors de la configuration des autorisations de session. Le fait de pouvoir définir ou non une règle de session dépend là encore des autorisations définies pour votre compte.

Pour plus d’informations sur l’identification des champs de formulaire HTML, consultez des ressources en ligne, telles que cette page expliquant l’utilisation des sélecteurs CSS.

Utiliser un raccourci de Jump Web

Pour utiliser un raccourci de Jump pour commencer une session, sélectionnez le raccourci dans l’interface de Jump, puis cliquez sur le bouton Jump.

Une fois la connexion établie avec le site Web, cliquez sur le bouton de partage d’écran. L’interface de connexion du site Web apparaît.

Jump Web vers un site Internet

si vous souhaitez ouvrir un nouvel onglet sous Windows ou Linux, maintenez appuyée la touche CTRL et cliquez sur le bouton de souris. Pour iOS, maintenez appuyée la touche Commande et cliquez sur le bouton de souris.

vous pouvez copier et coller du texte vers et depuis le site Web en utilisant les commandes copier/coller de votre système d’exploitation.

Transférer et télécharger des fichiers en utilisant un raccourci de Jump Web

Si vous cliquez sur un lien pour télécharger un fichier depuis un site Web, une invite sur la fenêtre de messagerie vous demande d’accepter ou de refuser le téléchargement. Si vous acceptez, une fenêtre s’ouvre, et vous avez la possibilité de choisir un emplacement de téléchargement.

Il en va de même pour le transfert de fichiers vers le site Web : une fenêtre s’ouvre et vous permet de choisir le fichier à transférer.

la console d’accès Privileged Web ne prend pas en charge le transfert de fichiers vers une page Web via un Jump Web. Le transfert de fichiers vers une page Web via un Jump Web n’est pris en charge que par l’application console d’accès de bureau.

Utiliser l’injection d’informations d’authentification

 

L’injection d’informations d’authentification n’est pas prise en charge pour les sites non sécurisés (non HTTPS).

Lors de l’intégration de PRA BeyondTrust avec un système de banque de mots de passe, vous pouvez accéder à vos comptes de site Web sans voir l’écran de connexion et sans saisir d’informations d’authentification en utilisant l’injection d’informations d’authentification.

Web Jump prend en charge l’authentification multiétape, lors de laquelle le nom d’utilisateur et le mot de passe ne sont pas demandés sur la même page du navigateur. Jump Web prend également en charge les scénarios dans lesquels un utilisateur se connecte à une portion sans authentification d’un site Web, mais tente ensuite d’entrer dans une zone au moyen d’une authentification basique. En outre, Jump Web prend en charge les sites contenant des CAPTCHA, en permettant aux utilisateurs de saisir le CAPTCHA sans mettre fin au processus d’injection d’informations d’authentification. Une fois l’interaction avec un CAPTCHA réalisée, l’utilisateur clique sur l’icône en forme de clé dans la console d’accès pour finaliser l’injection d’informations d’authentification.

pour bénéficier de l’injection d’informations d’authentification sans interruption sur une console VMware, il est nécessaire de configurer certains paramètres.
  1. Accédez à l’ordinateur hébergeant le Jumpoint.
  2. Téléchargez et installez le plug-in d’intégration client VMware.
  3. Avec les autorisations d’administrateur, ouvrez les services Windows (services.msc) sur l’hôte du Jumpoint.
  4. Faites un clic droit sur le Jumpoint BeyondTrust et sélectionnez Propriétés.
  5. Sur l’onglet Connexion sous le Compte du système local, cochez Autoriser le service à interagir avec le bureau.
  6. Cliquez sur OK.
  7. Sur le système local de l’utilisateur (sur lequel la console d’accès est installée), démarrez un Jump Web à l’aide de l’URL VMware indiquée plus haut.
  8. Sélectionnez Utiliser les informations d’authentification Windows.
  9. Avec cette option, une invite sur le système hôte du Jumpoint autorise les services à interagir avec un programme externe. Accordez une autorisation au service.
  10. Une invite d’injection d’informations d’authentification VMware apparaît. Décochez la case en regard du texte qui vous demande si vous souhaitez que l’invite soit affichée lorsque le programme est appelé. Cliquez sur Accepter.
  11. Vous pouvez à présent effectuer des Jump Web vers la console VMware à l’aide d’informations d’authentification Windows sans une invite.
Pour plus d’informations sur le téléchargement du plug-in d’intégration client VMware adéquat, consultez la section Mise à niveau du plug-in d’intégration client VMware vers la dernière version.