Utiliser un Jump Web pour accéder à des services Web
Avec la prolifération des composants d’infrastructure étant passés à des interfaces basées sur le Web pour la configuration, les administrateurs informatiques sont confrontés à une situation de gestion de la sécurité de plus en plus complexe. Avec l’accès privilégié aux ressources basées sur le Web, il est difficile de contrôler, auditer et faire respecter une authentification efficace sans impacter de façon négative la productivité. Les administrateurs informatiques ont besoin d’un moyen efficace pour contrôler et auditer des ressources gérées par des interfaces Web, comme :
- Les serveurs IaaS (infrastructure comme service) hébergés en externe comme Amazon AWS, Microsoft Azure, IBM SoftLayer et Rackspace
- Les serveurs hébergés en interne gérés par des logiciels hyperviseurs comme VMware vSphere, Citrix XenServer et Microsoft Hyper-V
- Une infrastructure moderne de réseau central qui tire parti des interfaces basées sur le Web
Les capacités de gestion d’identité et d’accès varient grandement entre IaaS, fournisseurs d’hyperviseurs, et systèmes d’infrastructure centrale, et beaucoup ne proposent pas la prise en charge de l’authentification plurifactorielle, omettant ainsi ce niveau de sécurité supplémentaire. Ces disparités parmi les systèmes créent des opportunités de vulnérabilités professionnelles, comme l’utilisation abusive de comptes et d’accès, ce qui mène à des fuites de données sensibles. Jump Web BeyondTrust est la couche supplémentaire de sécurité pour authentifier ces systèmes.
Web Jump ne prend pas en charge Flash. Assurez-vous de consulter la documentation de votre hyperviseur et de le mettre à jour vers une version prenant en charge HTML 5.
l’élément de Jump Web est un add-on pour Privileged Remote Access et nécessite un achat supplémentaire.
Créer un raccourci de Jump Web
avant de créer des raccourcis de Jump Web, vérifiez que votre compte d’utilisateur peut accéder aux Jumps Web. Cette autorisation est définie dans votre compte d’utilisateur dans l’interface /login sous Autorisations d’accès > Technologie Jump.
Pour créer un raccourci de Jump Web, cliquez sur le bouton Créer dans l’interface de Jump. Dans le menu déroulant, sélectionnez Jump Web. Les raccourcis de Jump Web apparaissent dans l’interface de Jump avec les Jump Clients et d’autres types de raccourcis d’éléments de Jump.
Organisez et gérez les éléments de Jump existants en en sélectionnant un ou plusieurs et en cliquant sur Propriétés.
pour voir les propriétés de plusieurs éléments de Jump, les éléments sélectionnés doivent tous être du même type (que des Jump Clients, que des Jumps distants, etc.).Pour examiner les propriétés d’autres types d’éléments de Jump, veuillez consulter la section correspondante de ce guide.
Saisissez un Nom pour l’élément de Jump. Ce nom identifie l’élément dans les onglets de la session. Cette chaîne contient 128 caractères au maximum.
Dans la liste déroulante Jumpoint, sélectionnez le Jumpoint Windows ou Linux qui héberge l’ordinateur auquel vous voulez accéder.
la fonctionnalité Copier/Coller n’est pas prise en charge pour les Jumpoints Linux.
Tapez l’URL du site auquel vous souhaitez accéder.
Consultez Vérifier le certificat si vous souhaitez que le certificat du site soit validé avant que la connexion ne soit établie. Si cette option est cochée et que des problèmes de certificat sont détectés, la session ne démarre pas.
Il convient de décocher Vérifier le certificat uniquement si vous effectuez un Jump vers un site de confiance utilisant un certificat auto-signé.
Si vous voulez utiliser une injection d’informations d’authentification, vous devez d’abord sélectionner le Format du nom d’utilisateur :
- Par défaut : Il s’agit de la valeur par défaut pour les éléments de Jump Web nouveaux et existants. Le nom d’utilisateur n’est pas modifié avant l’injection dans la page Web et est utilisé dans le format stocké. Pour le gestionnaire d’informations d’authentification de point de terminaison (ECM), les informations d’authentification peuvent être au format UPN ou DLLN. Pour Vault, le nom d’utilisateur est toujours au format UPN.
- Nom d’utilisateur uniquement : Indépendamment du format stocké dans Vault ou l’ECM (username@domain ou domain\username), le domaine est supprimé et seul le nom d’utilisateur est utilisé.
Sous Détection de formulaire de connexion, fournissez des informations pour les trois options, comme requis :
- Champ du nom d’utilisateur : Ce paramètre spécifie l’indice pour le champ du nom d’utilisateur sur la page de connexion. L’injection échoue si aucun champ de nom d’utilisateur n’est trouvé. Un message d’erreur s’affiche pour indiquer qu’il est impossible de trouver le champ du nom d’utilisateur.
- Champ du mot de passe : Ce paramètre spécifie l’indice pour le champ du mot de passe sur la page de connexion. L’injection échoue si aucun champ de mot de passe n’est trouvé. Un message d’erreur s’affiche pour indiquer qu’il est impossible de trouver le champ du mot de passe.
- Bouton Soumettre : Ce paramètre spécifie l’indice pour le bouton Soumettre sur la page de connexion. L’injection échoue si aucun bouton de ce type n’est trouvé. Un message d’erreur s’affiche pour indiquer qu’il est impossible de trouver le bouton Soumettre.
si ces trois champs sont laissés vides, le système le détecte automatiquement et utilise les informations nécessaires déjà enregistrées pour la connexion.
Déplacez des éléments de Jump d’un groupe de Jumps à l’autre en utilisant le menu déroulant Groupe de Jumps. La possibilité de déplacer des éléments de Jump vers et depuis différents groupes de Jumps dépend des autorisations pour votre compte.
Organisez encore mieux vos éléments de Jump en saisissant le nom d'une Balise nouvelle ou existante. Bien que les éléments de Jump sélectionnés soient rassemblés sous cette balise, ils seront toujours listés dans le groupe de Jump auquel chacun d’eux est attaché. Pour ramener un élément de Jump vers son groupe de Jump de plus haut niveau, laissez ce champ vide.
Les éléments de Jump comprennent un champ Commentaires pour un nom ou une description, ce qui facilite et accélère le tri, la recherche et l’identification des éléments de Jump.
Pour régler le moment pendant lequel les utilisateurs sont autorisés à accéder à cet élément de Jump, si une notification d’accès doit être envoyée, ou si une autorisation ou un ID de ticket provenant de votre système de ticket externe est requis pour l’utilisation de cet élément de Jump, choisissez une Règle de Jump. Ces règles doivent être configurées par l’administrateur dans l’interface /login.
Choisissez une règle de session à attribuer à cet élément de Jump. La règle de session attribuée à cet élément de Jump a la priorité la plus élevée lors de la configuration des autorisations de session. Le fait de pouvoir définir ou non une règle de session dépend là encore des autorisations définies pour votre compte.
Utiliser un raccourci de Jump Web
Pour utiliser un raccourci de Jump pour démarrer une session, sélectionnez simplement le raccourci dans l’interface de Jump et cliquez sur le bouton Jump.
Une fois la connexion établie avec le site Web, cliquez sur le bouton de partage d’écran. L’interface de connexion du site Web apparaît. Si vous cliquez sur un lien pour télécharger un fichier depuis un site Web, une invite sur la fenêtre de messagerie vous demande d’accepter ou de refuser le téléchargement. Si vous acceptez, une fenêtre s’ouvre, et vous avez la possibilité de choisir un emplacement de téléchargement. Il en va de même pour le transfert de fichiers vers le site Web : une fenêtre s’ouvre et vous permet de choisir le fichier à transférer.
si le site requiert un nouvel onglet, un nouvel onglet s’ouvre. Vous ne pouvez pas ouvrir arbitrairement de nouveaux onglets.
vous pouvez copier et coller du texte vers et depuis le site Web en utilisant les commandes copier/coller de votre système d’exploitation.
Utiliser l’injection d’informations d’authentification
L’injection d’informations d’authentification n’est pas prise en charge pour les sites non sécurisés (non HTTPS).
Lors de l’intégration de PRA BeyondTrust avec un système de banque de mots de passe, vous pouvez accéder à vos comptes de site Web sans voir l’écran de connexion et sans saisir d’informations d’authentification en utilisant l’injection d’informations d’authentification.
Web Jump prend en charge l’authentification multiétape, lors de laquelle le nom d’utilisateur et le mot de passe ne sont pas demandés sur la même page du navigateur. Jump Web prend également en charge les scénarios dans lesquels un utilisateur se connecte à une portion sans authentification d’un site Web, mais tente ensuite d’entrer dans une zone au moyen d’une authentification basique. En outre, Jump Web prend en charge les sites contenant des CAPTCHA, en permettant aux utilisateurs de saisir le CAPTCHA sans mettre fin au processus d’injection d’informations d’authentification. Une fois l’interaction avec un CAPTCHA réalisée, l’utilisateur clique sur l’icône en forme de clé dans la access console pour finaliser l’injection d’informations d’authentification.
- Accédez à l’ordinateur hébergeant le Jumpoint.
- Téléchargez et installez le plug-in d’intégration client dans l’URL VMware indiquée ci-dessus.
- Avec les autorisations d’administrateur, ouvrez les services Windows (services.msc) sur l’hôte du Jumpoint.
- Faites un clic droit sur le Jumpoint BeyondTrust et sélectionnez Propriétés.
- Sur l’onglet Connexion sous le Compte du système local, cochez Autoriser le service à interagir avec le bureau.
- Cliquez sur OK.
- Sur le système local de l’utilisateur (où la access console est installée), démarrez un Jump Web à l’aide de l’URL VMware indiquée plus haut.
- Sélectionnez Utiliser les informations d’authentification Windows.
- Avec cette option, une invite sur le système hôte du Jumpoint autorise les services à interagir avec un programme externe. Accordez une autorisation au service.
- Une invite d’injection d’informations d’authentification VMware apparaît. Décochez la case en regard du texte qui vous demande si vous souhaitez que l’invite soit affichée lorsque le programme est appelé. Cliquez sur Accepter.
- Vous pouvez à présent effectuer des Jump Web vers la console VMware à l’aide d’informations d’authentification Windows sans une invite.