Fournisseurs de sécurité : activation des connexions LDAP, Active Directory, RADIUS et Kerberos

Utilisateurs et sécurité > Fournisseurs de sécurité

Fournisseurs de sécurité

Vous pouvez configurer votre serveur BeyondTrust pour qu’il authentifie les utilisateurs d’après des serveurs LDAP, RADIUS ou Kerberos existants, et pour attribuer des privilèges d’après la hiérarchie et les paramètres de groupe préexistants déjà spécifiés dans vos serveurs. Kerberos permet une authentification unique, tandis que RSA et d’autres mécanismes d’authentification à deux facteurs par RADIUS fournissent un niveau de sécurité supplémentaire.

Créer un fournisseur

Créez une nouvelle configuration de fournisseur de sécurité. Dans le menu déroulant, sélectionnez l’option pour créer un fournisseur LDAP, RADIUS ou Kerberos.

Afficher le journal

Affichez l’historique d’état pour la connexion d’un fournisseur de sécurité.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Désactiver

Désactiver la connexion de ce fournisseur de sécurité. Ceci est utile pour les maintenances planifiées, lorsque vous voulez qu’un serveur soit hors ligne mais non effacé.

Modifier, supprimer

Modifier ou supprimer un élément existant.

Créer une copie

Créez une copie d’une configuration de fournisseur de sécurité existante. Ceci sera ajouté comme fournisseur de sécurité de niveau principal et non pas comme faisant partie d’un cluster.

Dupliquer le nœud

Créez une copie d’une configuration de fournisseur de sécurité en cluster existante. Ceci sera ajouté en tant que nouveau nœud dans le même cluster.

Mettre à niveau vers le cluster

Mettez à niveau un fournisseur de sécurité sur un cluster de fournisseur de sécurité. Pour ajouter d’autres fournisseurs de sécurité à ce cluster, copiez un nœud existant.

Modifier l’ordre

Cliquez sur ce bouton pour déplacer les fournisseurs de sécurité afin de définir leur priorité. Vous pouvez déplacer des serveurs à l’intérieur d’une grappe ; les grappes peuvent être déplacées dans leur intégralité. Cliquez sur Enregistrer l’ordre pour que les changements de priorité prennent effet.

Fournisseurs de sécurité :: Modifier - LDAP

Paramètres généraux

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre serveur BeyondTrust peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Authentification utilisateur

Choisissez si ce fournisseur devrait être utilisé pour l’authentification d’utilisateurs. Si désélectionnées, les options spécifiques à l’authentification d’utilisateurs sont désactivées.

Approvisionnement de l’utilisateur

Par défaut, l’approvisionnement d’utilisateurs a lieu avec ce fournisseur. Si vous possédez un fournisseur SCIM en place, vous pouvez choisir d’approvisionner les utilisateurs à travers ce fournisseur à la place. Si ce fournisseur n’est pas utilisé pour l’authentification d’utilisateurs, alors Ne pas approvisionner les utilisateurs sera sélectionné.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Paramètres de connexion

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

si vous allez utiliser LDAPS ou LDAP avec TLS, le nom d’hôte doit correspondre au nom d’hôte utilisé dans le nom du sujet du certificat SSL public de votre serveur LDAP ou au composant DNS de son nom de sujet alternatif.

Port

Spécifiez le port de votre serveur LDAP. C’est généralement le port 389 pour LDAP, ou port 636 pour LDAPS. BeyondTrust permet également le catalogue global sur le port 3268 pour LDAP, ou 3269 pour LDAPS.

Chiffrement

Sélectionnez le type de cryptage à utiliser lors de la communication avec le serveur LDAP. Pour des raisons de sécurité, LDAPS ou LDAP avec TLS est recommandé.

le LDAP envoie et reçoit des données en texte clair depuis le serveur LDAP, ce qui peut exposer des informations de comptes utilisateurs confidentielles au reniflage de paquets. LDAPS, et LDAP avec un cryptage TLS, cryptent les données utilisateur lors de leur transfert ; ces méthodes sont donc recommandées, plutôt que le LDAP classique. Le LDAP avec TLS utilise la fonction StartTLS pour initier une connexion de LDAP en texte clair, mais la fait ensuite passer en connexion cryptée. Le LDAPS initie la connexion sur une connexion cryptée sans envoyer aucune donnée en texte clair.

Si vous sélectionnez LDAPS ou LDAP avec TLS, vous devez transférer le certificat SSL racine utilisé par votre serveur LDAP. Ceci est nécessaire pour garantir la validité du serveur et la sécurité des données. Le certificat racine doit être au format PEM.

si le nom de sujet du certificat SSL public du serveur LDAP ou le composant DNS de son nom de sujet alternatif ne correspond pas à la valeur du champ Nom de l’hôte, le fournisseur sera considéré comme inaccessible. Vous pouvez cependant utiliser un certificat à caractère générique pour certifier plusieurs sous-domaines du même site. Par exemple, un certificat pour *.example.com certifiera à la fois access.example.com et remote.example.com.

Informations d’authentification de liaison

Spécifiez un nom d’utilisateur et un mot de passe grâce auxquels votre serveur BeyondTrust peut se lier et effectuer une recherche sur le magasin d’annuaires LDAP.

Si votre serveur prend en charge les liaisons anonymes, vous aurez la possibilité de lier sans spécifier un nom d’utilisateur et un mot de passe. La liaison anonyme est considérée comme non sécurisée et est désactivée par défaut sur la plupart des serveurs LDAP.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre serveur BeyondTrust, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l’option Proxy à partir du serveur via l’agent de connexion décochée et poursuivre.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu ou si vous êtes un client de BeyondTrust Cloud, vous devez utiliser un agent de connexion. Télécharger l’agent de connexion Win32 permet à votre serveur de répertoire et votre serveur BeyondTrust de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L’agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans la case ci-dessus, cochez Proxy à partir du serveur via l’agent de connexion (non applicable aux clients BeyondTrust Cloud). Créer un Mot de passe de l’agent de connexion à utiliser lors du processus d’installation de l’agent de connexion. Cliquez ensuite sur Télécharger l’agent de connexion, lancez l’installeur et suivez les instructions de l’assistant d’installation. Lors de l’installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l’agent de connexion que vous avez créé ci-dessus.

les clients du Cloud BeyondTrust doivent exécuter l’agent de connexion pour pouvoir utiliser un magasin externe de dossiers.

Type de répertoire

Pour aider à la configuration de la connexion réseau entre votre serveur BeyondTrust et votre fournisseur de sécurité, vous pouvez sélectionner un type de dossier comme modèle. Ceci pré-remplit les champs de configuration ci-dessous avec des données standard, mais celles-ci doivent être modifiées pour correspondre à la configuration spécifique de votre fournisseur de sécurité. Active Directory LDAP est le type de serveur le plus commun, mais vous pouvez configurer BeyondTrust pour qu’il communique avec la plupart des types de fournisseurs de sécurité.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n’est pas disponible ou si le compte n’est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L’algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n’est pas disponible, ou si le compte n’est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Paramètres de schéma d’utilisateur

Remplacer les valeurs de cluster (Visible uniquement pour les nœuds du cluster)

Si cette option n’est pas cochée, ce nœud de cluster utilisera les mêmes paramètres de schéma que le cluster. Si cette option n’est pas cochée, vous pouvez modifier les paramètres de schéma ci-dessous.

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre répertoire, spécifiée par un nom unique, où le serveur BeyondTrust devra commencer à chercher des utilisateurs. En fonction de la taille de votre magasin d’annuaires et des utilisateurs nécessitant des comptes BeyondTrust, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaires qui requiert l’accès. Si vous n’êtes pas sûr, ou si les utilisateurs recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaires.

Requête utilisateur

Spécifiez les informations de requête que le serveur BeyondTrust doit utiliser pour trouver un utilisateur LDAP lorsque l’utilisateur tente de se connecter. Le champ Requête utilisateur accepte une requête LDAP standard (RFC 2254 – Représentation en chaîne des filtres de recherche LDAP). Vous pouvez modifier la chaîne de requête pour personnaliser la façon dont vos utilisateurs se connectent et quels types de noms d’utilisateurs sont acceptés. Pour spécifier quelle valeur à l’intérieur de la chaîne doit correspondre au nom d’utilisateur, remplacer cette valeur par *.

Requête de navigation

La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d’entre eux soient affichés dans la liste déroulante de sélection de membres lors de l’ajout de membres dans une règle de groupe.

Classes d’objets

Spécifiez des classes d’objets valides pour un utilisateur dans votre magasin d’annuaires. Seuls les utilisateurs possédant une ou plusieurs de ces classes d’objets seront autorisés à s’authentifier. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre serveur BeyondTrust le schéma que le serveur LDAP utilise pour identifier les utilisateurs. Vous pouvez indiquer plusieurs classes d’objets, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l’identificateur unique, le nom affiché et l’adresse e-mail d’un utilisateur.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un utilisateur peut changer fréquemment au cours de la vie de l’utilisateur, avec un changement de nom ou d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie de l’utilisateur. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d’un utilisateur change, cet utilisateur sera considéré comme un nouvel utilisateur, et tout changement apporté spécifiquement au compte utilisateur BeyondTrust de cet individu ne sera pas reporté sur le nouvel utilisateur. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre utilisateur.

Nom affiché

Cela détermine quel champ doit être utilisé comme nom affiché de l’utilisateur.

E-mail

Cette valeur détermine quel champ doit être utilisé comme adresse e-mail de l’utilisateur.

Paramètres de schéma de groupe (Visible uniquement lors de recherches de groupe)

Type de répertoire

Pour aider à la configuration de la connexion réseau entre votre serveur BeyondTrust et votre fournisseur de sécurité, vous pouvez sélectionner un type de dossier comme modèle. Ceci pré-remplit les champs de configuration ci-dessous avec des données standard, mais celles-ci doivent être modifiées pour correspondre à la configuration spécifique de votre fournisseur de sécurité. Active Directory LDAP est le type de serveur le plus commun, mais vous pouvez configurer BeyondTrust pour qu’il communique avec la plupart des types de fournisseurs de sécurité.

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre répertoire, spécifiée par un nom unique, où le serveur BeyondTrust devra commencer à chercher des groupes. En fonction de la taille de votre magasin d’annuaires et des groupes nécessitant un accès au serveur BeyondTrust, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaire qui requiert l’accès. Si vous n’êtes pas sûr, ou si les groupes recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaire.

Requête de navigation

La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d’entre eux soient affichés dans la liste déroulante de sélection de membres lors de l’ajout de membres dans une règle de groupe.

Classes d’objets

Spécifiez des classes d’objets valides pour un groupe dans votre magasin d’annuaires. Seuls les groupes possédant une ou plusieurs de ces classes d’objets seront retournés. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre serveur BeyondTrust le schéma que le serveur LDAP utilise pour identifier les groupes. Vous pouvez saisir plusieurs classes d’objets de groupes, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l’identificateur unique, et le nom affiché d’un groupe.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un groupe peut changer fréquemment au cours de la vie du groupe, avec un changement d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie du groupe. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d’un groupe change, ce groupe sera considéré comme un nouveau groupe, et toutes les règles de groupes définies pour ce groupe ne seront pas reportées sur le nouveau groupe. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre groupe.

Nom affiché

Cette valeur détermine quel champ doit être utilisé comme nom affiché du groupe.

Relations utilisateurs-groupes

Ce champ appelle une requête pour déterminer quels utilisateurs appartiennent à quels groupes ou, inversement, quels groupes contiennent quels utilisateurs.

Effectuer une recherche de groupes récursive

Vous pouvez choisir d’effectuer une recherche de groupes récursive. Ceci lancera une requête pour un utilisateur, puis des requêtes pour tous les groupes auxquels l’utilisateur appartient, puis des requêtes pour tous les groupes auxquels ces groupes appartiennent, et ainsi de suite, jusqu’à ce que tous les groupes possibles associés à cet utilisateur aient été trouvés.

Lancer une recherche récursive peut avoir un impact considérable sur les performances, car le serveur continuera à émettre des requêtes jusqu’à ce qu’il trouve des informations sur tous les groupes. Si cela prend trop de temps, l’utilisateur ne pourra peut-être pas se connecter.

Une recherche non récursive n’émettra qu’une requête par utilisateur. Si votre serveur LDAP a un champ spécial contenant tous les groupes auxquels l’utilisateur appartient, la recherche récursive n’est pas nécessaire. La recherche récursive est également inutile si votre système de répertoire ne prend pas en charge les membres de groupes ou les groupes.

Tester les paramètres

Nom d’utilisateur et mot de passe

Saisissez un nom d’utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Si cette option est cochée, votre test d’informations d’authentification réussi tentera également de vérifier les attributs d’utilisateur et la recherche de groupe. Notez que pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Démarrer le test

Si votre serveur est correctement configuré et que vous avez saisi un nom d’utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d’erreur et un journal qui vous aidera à résoudre le problème.

Fournisseurs de sécurité :: Modifier - RADIUS

Paramètres généraux

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre serveur BeyondTrust peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Nom affiché : Conserver le nom affiché synchronisé avec le système distant

Cocher cette option fait en sorte que le nom d’utilisateur affiché reste le même que celui désigné sur le fournisseur de sécurité, plutôt que d’autoriser la modification du nom affiché sur BeyondTrust.

Paramètres d’autorisation

N’autoriser que les utilisateurs suivants

Vous pouvez choisir d’autoriser l’accès seulement aux utilisateurs spécifiés sur votre serveur RADIUS. Saisissez chaque nom d’utilisateur séparé par un saut de ligne. Une fois qu’ils auront été saisis, ces utilisateurs seront disponibles dans le dialogue Ajouter membre de règle lors de la modification de règle de groupe sur la page /login > Utilisateurs et sécurité > Règles de groupe.

Si vous laissez ce champ vide, tous les utilisateurs qui s’authentifient grâce à votre serveur RADIUS seront autorisés ; si vous les autorisez tous, vous devez aussi spécifier une règle de groupe par défaut.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre serveur BeyondTrust, en se connectant sur l’interface /login ou sur la console d’accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Paramètres de connexion

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

Port

Spécifiez le port d’authentification pour votre serveur RADIUS. C’est en général le port 1812.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre serveur BeyondTrust, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l’option Proxy à partir du serveur via l’agent de connexion décochée et poursuivre.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu ou si vous êtes un client de BeyondTrust Cloud, vous devez utiliser un agent de connexion. Télécharger l’agent de connexion Win32 permet à votre serveur de répertoire et votre serveur BeyondTrust de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L’agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans la case ci-dessus, cochez Proxy à partir du serveur via l’agent de connexion (non applicable aux clients BeyondTrust Cloud). Créer un Mot de passe de l’agent de connexion à utiliser lors du processus d’installation de l’agent de connexion. Cliquez ensuite sur Télécharger l’agent de connexion, lancez l’installeur et suivez les instructions de l’assistant d’installation. Lors de l’installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l’agent de connexion que vous avez créé ci-dessus.

Secret partagé

Fournissez un nouveau secret partagé pour que votre serveur BeyondTrust et votre serveur RADIUS puissent communiquer.

Délai d’attente (secondes)

Définissez la durée d’attente maximale d’une réponse du serveur. Notez bien que si la réponse est Réponse-Accepter ou Réponse-Demande, alors RADIUS attendra pendant l’intégralité de la durée spécifiée ici avant d’authentifier le compte. Il est ainsi conseillé de garder cette valeur à un niveau aussi bas que possible, en fonction de vos paramètres réseau. Une valeur idéale est de 3-5 secondes, la valeur maximum étant de trois minutes.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n’est pas disponible ou si le compte n’est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L’algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n’est pas disponible, ou si le compte n’est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Tester les paramètres

Nom d’utilisateur et mot de passe

Saisissez un nom d’utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Si cette option est cochée, votre test d’informations d’authentification réussi tentera également de vérifier les attributs d’utilisateur et la recherche de groupe. Notez que pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Démarrer le test

Si votre serveur est correctement configuré et que vous avez saisi un nom d’utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d’erreur et un journal qui vous aidera à résoudre le problème.

Fournisseurs de sécurité :: Modifier - Kerberos

Paramètres généraux

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre serveur BeyondTrust peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Utilisateur et nom affiché : Conserver le nom affiché synchronisé avec le système distant

Cocher cette option fait en sorte que le nom d’utilisateur affiché reste le même que celui désigné sur le fournisseur de sécurité, plutôt que d’autoriser la modification du nom affiché sur BeyondTrust.

Retirer le domaine des noms principaux

Sélectionnez cette option pour supprimer la partie DOMAINE du nom principal d’utilisateur lors de la construction du nom d’utilisateur BeyondTrust.

Paramètres d’autorisation

Mode de gestion des utilisateurs

Sélectionnez les utilisateurs pouvant s’authentifier auprès du serveur BeyondTrust. Autoriser tous les utilisateurs autorise toute personne actuellement authentifiée par votre KDC. Autoriser uniquement les noms principaux d’utilisateurs indiqués dans la liste autorise uniquement les noms principaux d’utilisateurs spécifiquement désignés. Autoriser uniquement les noms principaux d’utilisateurs qui correspondent à la regex autorise uniquement les utilisateurs correspondant à une expression régulière compatible Perl (PCRE).

Mode de gestion SPN : Autoriser uniquement les SPN indiqués dans la liste

Si la case n’est pas cochée, tous les Noms principaux du service (SPN) pour ce fournisseur de sécurité sont autorisés. Si la case est cochée, sélectionnez des SPN spécifiques dans une liste de SPN actuellement configurés.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre serveur BeyondTrust, en se connectant sur l’interface /login ou sur la console d’accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Fournisseurs de sécurité :: Modifier - SAML

Paramètres généraux

Nom

Ce nom unique aide à identifier votre fournisseur. Le nom de votre fournisseur SAML est auto-généré et ne peut pas être modifié pour le moment.

Activé

Si cette case est cochée, votre serveur BeyondTrust peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Approvisionnement de l’utilisateur

Par défaut, l’approvisionnement d’utilisateurs a lieu avec ce fournisseur. Si vous possédez un fournisseur SCIM en place, vous pouvez choisir d’approvisionner les utilisateurs à travers ce fournisseur à la place.

ce paramètre ne peut pas être modifié après que ce fournisseur de sécurité a été enregistré pour la première fois.

Paramètres du fournisseur d’identité

Métadonnées

Le fichier de métadonnées contient toutes les informations nécessaires à l’installation initiale de votre fournisseur SAML et doit être téléchargé à partir de votre fournisseur d’identité. Enregistrez le fichier XML, puis cliquez sur Choisir fichier pour sélectionner et transférer le fichier sélectionné.

les champs pour l’ID d’entité, l’URL de service d’authentification unique et le Certificat sont automatiquement remplis à partir du fichier de métadonnées du fournisseur d’identité. Si vous ne pouvez pas obtenir de fichier de métadonnées de votre fournisseur, ces informations peuvent être saisies manuellement.

ID d’entité

Ceci est l’identifiant unique pour le fournisseur d’identité que vous utilisez.

URL de service d’authentification unique

Lorsque vous souhaitez vous connecter à BeyondTrust au moyen de SAML, cela est l’URL vers laquelle vous serez automatiquement redirigé afin que vous puissiez vous connecter.

Rattachement de protocole

Cela détermine si une requête HTTP POST a lieu ou si l’utilisateur est redirigé vers l’URL d’authentification. Cela devrait être laissé en tant que redirection, sauf dans le cas où cela serait requis par le fournisseur d’identité.

Certificat

Ce certificat est utilisé pour vérifier la signature de l’affirmation envoyée par le fournisseur d’identité.

Paramètres du fournisseur de service

Métadonnées

Télécharge les métadonnées BeyondTrust, que vous devrez ensuite transférer à votre fournisseur d’identité.

ID d’entité

Ceci est votre URL BeyondTrust. Cela identifie de façon unique votre site auprès du fournisseur d’identité.

Clé privée

Si nécessaire, vous pouvez déchiffrer les messages envoyés par le fournisseur d’identité, s’ils prennent en charge et requièrent le chiffrement. Cliquez sur Choisir le fichier pour transférer la clé privée nécessaire au déchiffrement des messages envoyés par le fournisseur d’identité.

Paramètres d’approvisionnement d’utilisateurs (Visible uniquement si ce fournisseur est utilisé pour l’approvisionnement d’utilisateurs)

Attribut d’utilisateur

Ces attributs sont utilisés pour approvisionner les utilisateurs à travers BeyondTrust. La valeur par défaut correspond aux applications certifiées par BeyondTrust avec différents fournisseurs d’identité. Si vous créez votre propre connecteur SAML, vous aurez peut-être besoin de modifier les attributs pour les faire correspondre à ce qui est envoyé par votre fournisseur d’identité.

Paramètres d’autorisation (Visible uniquement si ce fournisseur est utilisé pour l’approvisionnement d’utilisateurs)

Recherches de groupe

Ceci est le nom de l’attribut SAML contenant les noms des groupes auxquels les utilisateurs devraient appartenir. Le nom par défaut des applications BeyondTrust est « Groups ».

si la valeur d’attribut contient plusieurs noms de groupes, vous devez spécifier le délimiteur utilisé pour séparer leurs noms. Si le délimiteur est laissé vide, la valeur d’attribut peut contenir plusieurs nœuds XML contenant chacun un nom différent.

Groupes disponibles

Permet à une liste de groupes prédéfinie d’être associée au fournisseur de sécurité. Cette liste peut ensuite être utilisée pour associer un groupe à la règle de groupe appropriée.

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre serveur BeyondTrust, en se connectant sur l’interface /login ou sur la console d’accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Pour plus d’informations, veuillez consulter la section Authentification unique SAML.

Fournisseurs de sécurité :: Modifier - SCIM

pour que SCIM fonctionne, l’API SCIM doit être activée sur un compte API, et l’API doit être configurée sur votre fournisseur SCIM. La gestion des comptes API se fait sous /login > Gestion > Configuration API. Pour le moment, un seul fournisseur SCIM peut être créé. Une fois un fournisseur SCIM créé, l’option SCIM n’est plus disponible dans le menu déroulant Créer un fournisseur. L’approvisionnement d’utilisateurs SCIM utilise des utilisateurs et des objets de groupe SCIM 2.0. Pour plus d’informations sur le standard SCIM 2.0 veuillez consulter http://www.simplecloud.info/

Paramètres généraux

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre serveur BeyondTrust peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Identifiant de requête d’utilisateur SCIM

Dans le menu déroulant, sélectionnez l’identificateur unique que SCIM devrait utiliser pour les requêtes des utilisateurs.

Identifiant de requête de groupe SCIM

Dans le menu déroulant, sélectionnez l’identificateur unique que SCIM devrait utiliser pour les requêtes des groupes.

Paramètres de provision utilisateur

Attribut d’utilisateur

Ces attributs sont utilisés pour approvisionner les utilisateurs à travers BeyondTrust. La valeur par défaut correspond aux applications certifiées par BeyondTrust avec différents fournisseurs d’identité.

Paramètres d’autorisation

Identificateur unique

Saisissez l’attribut SCIM à utiliser en tant qu’identificateur unique au sein de BeyondTrust.

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre serveur BeyondTrust, en se connectant sur l’interface /login ou sur la console d’accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.