Fournisseurs de sécurité : Activer les connexions LDAP, RADIUS, Kerberos, SCIM et SAML2

Utilisateurs et sécurité

Fournisseurs de sécurité

Vous pouvez configurer votre BeyondTrust Appliance B Series pour qu’elle authentifie les utilisateurs d’après des serveurs LDAP, RADIUS, SCIM, SAML2 ou Kerberos existants, et pour attribuer des privilèges d’après la hiérarchie et les paramètres de groupe préexistants déjà spécifiés dans vos serveurs. Kerberos permet une authentification unique, tandis que RSA et d’autres mécanismes d’authentification à deux facteurs par RADIUS fournissent un niveau de sécurité supplémentaire.

Ajouter un fournisseur

Depuis le menu déroulant Ajouter, sélectionnez LDAP, RADIUS, Kerberos, SCIM ou SAML2 pour ajouter une nouvelle configuration de fournisseur de sécurité.

Modifier l’ordre

Cliquez sur ce bouton pour déplacer les fournisseurs de sécurité afin de définir leur priorité. Vous pouvez déplacer des serveurs à l’intérieur d’une grappe ; les grappes peuvent être déplacées dans leur intégralité. Cliquez sur Enregistrer l’ordre pour que les changements de priorité prennent effet.

Désactiver

Désactiver la connexion de ce fournisseur de sécurité. Ceci est utile pour les maintenances planifiées, lorsque vous voulez qu’un serveur soit hors ligne mais non effacé.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Afficher le journal

Affichez l’historique d’état pour la connexion d’un fournisseur de sécurité.

Dupliquer le nœud

Créez une copie d’une configuration de fournisseur de sécurité en cluster existante. Ceci sera ajouté en tant que nouveau nœud dans le même cluster.

Mettre à niveau vers un cluster

Mettez à niveau un fournisseur de sécurité sur un cluster de fournisseur de sécurité. Pour ajouter d’autres fournisseurs de sécurité à ce cluster, copiez un nœud existant.

Copier

Créez une copie d’une configuration de fournisseur de sécurité existante. Ceci sera ajouté comme fournisseur de sécurité de niveau principal et non pas comme faisant partie d’un cluster.

Modifier, supprimer

Modifier ou supprimer un élément existant.

si vous modifiez le fournisseur de sécurité local et sélectionnez une règle par défaut qui ne dispose pas d’autorisations d’administrateur, un message d’avertissement s’affiche. Assurez-vous que les autres utilisateurs disposent des autorisations d’administrateur avant de continuer.

Modifier le fournisseur de sécurité - LDAP

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre B Series Appliance peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Authentification utilisateur

Choisissez si ce fournisseur devrait être utilisé pour l’authentification d’utilisateurs. Si désélectionnées, les options spécifiques à l’authentification d’utilisateurs sont désactivées.

Approvisionnement de l’utilisateur

Par défaut, l’approvisionnement d’utilisateurs a lieu avec ce fournisseur. Si vous possédez un fournisseur SCIM en place, vous pouvez choisir d’approvisionner les utilisateurs à travers ce fournisseur à la place. Si ce fournisseur n’est pas utilisé pour l’authentification d’utilisateurs, alors Ne pas approvisionner les utilisateurs sera sélectionné.

ce paramètre ne peut pas être modifié après que ce fournisseur de sécurité a été enregistré pour la première fois.

Garder les informations d’utilisateur synchronisées avec le serveur LDAP

Cocher cette option fait en sorte que le nom d’utilisateur affiché reste le même que celui désigné sur le fournisseur de sécurité, plutôt que d’autoriser la modification du nom affiché sur BeyondTrust.

Paramètres d’autorisation

Synchronisation : Activer le cache d’objet LDAP

Si ceci est coché, les objets LDAP visibles pour l'B Series Appliance sont mis en cache et synchronisés toutes les nuits, ou manuellement si désiré. Lorsque cette option est utilisée, un nombre plus faible de connexions est établi avec le serveur LDAP pour des raisons administratives, ce qui peut potentiellement améliorer la vitesse et l’efficacité.

Si cette option est décochée, les changements apportés au serveur LDAP sont disponibles immédiatement, sans besoin de synchronisation. Cependant, lorsque vous apportez des changements aux règles d’utilisateur à travers l’interface d’administration, quelques connexions LDAP courtes peuvent avoir lieu si c’est nécessaire.

Pour les fournisseurs qui avaient le paramètre de synchronisation activé, désactiver ou décocher l’option de synchronisation provoquera l’effacement de tous les enregistrements mis en cache qui ne sont pas en cours d’utilisation.

Rechercher des groupes

Choisissez d’utiliser ce fournisseur de sécurité uniquement pour l’authentification d’utilisateurs, seulement pour les recherches de groupes, ou pour les deux. Si l’option Authentification utilisateur ci-dessus n’est pas cochée, alors Rechercher des groupes en utilisant ce fournisseur sera sélectionné. L’option de rechercher des groupes en utilisant un fournisseur différent n’est disponible que si un autre fournisseur permettant la recherche de groupe a déjà été créé.

Règle de groupe par défaut (Visible uniquement si l’authentification d’utilisateur est autorisée)

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre B Series Appliance, en se connectant sur l’interface /login ou sur la console d’accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Paramètres de connexion

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

si vous allez utiliser LDAPS ou LDAP avec TLS, le nom d’hôte doit correspondre au nom d’hôte utilisé dans le nom du sujet du certificat SSL public de votre serveur LDAP ou au composant DNS de son nom de sujet alternatif.

Port

Spécifiez le port de votre serveur LDAP. Il s’agit généralement du port 389 pour LDAP ou du port 636 pour LDAPS. BeyondTrust permet également le catalogue global sur le port 3268 pour LDAP ou 3269 pour LDAPS.

Chiffrement

Sélectionnez le type de cryptage à utiliser lors de la communication avec le serveur LDAP. Pour des raisons de sécurité, LDAPS ou LDAP avec TLS est recommandé.

le LDAP envoie et reçoit des données en texte clair depuis le serveur LDAP, ce qui peut exposer des informations de comptes utilisateurs confidentielles au reniflage de paquets. LDAPS, et LDAP avec un cryptage TLS, cryptent les données utilisateur lors de leur transfert ; ces méthodes sont donc recommandées, plutôt que le LDAP classique. Le LDAP avec TLS utilise la fonction StartTLS pour initier une connexion de LDAP en texte clair, mais la fait ensuite passer en connexion cryptée. Le LDAPS initie la connexion sur une connexion cryptée sans envoyer aucune donnée en texte clair.

Si vous sélectionnez LDAPS ou LDAP avec TLS, vous devez transférer le certificat SSL racine utilisé par votre serveur LDAP. Ceci est nécessaire pour garantir la validité du serveur et la sécurité des données. Le certificat racine doit être au format PEM.

si le nom de sujet du certificat SSL public du serveur LDAP ou le composant DNS de son nom de sujet alternatif ne correspond pas à la valeur du champ Nom de l’hôte, le fournisseur sera considéré comme inaccessible. Vous pouvez cependant utiliser un certificat à caractère générique pour certifier plusieurs sous-domaines du même site. Par exemple, un certificat pour *.example.com certifiera à la fois access.example.com et remote.example.com.

Informations d’authentification de liaison

Spécifiez un nom d’utilisateur et un mot de passe grâce auxquels votre B Series Appliance peut se lier et effectuer une recherche sur le magasin d’annuaires LDAP.

Si votre serveur prend en charge les liaisons anonymes, vous aurez la possibilité de lier sans spécifier un nom d’utilisateur et un mot de passe. La liaison anonyme est considérée comme non sécurisée et est désactivée par défaut sur la plupart des serveurs LDAP.

Nom d’utilisateur

Saisissez un nom d’utilisateur pour les informations d’authentification de liaison.

Mot de passe et confirmation du mot de passe

Saisissez et confirmez un mot de passe pour les informations d’authentification de liaison.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre B Series Appliance, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l’option Proxy à partir de l'appliance via l’agent de connexion décochée et poursuivre.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu ou si vous êtes un client de BeyondTrust Cloud, vous devez utiliser un agent de connexion. Télécharger l’agent de connexion Win32 permet à votre serveur de répertoire et votre B Series Appliance de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L’agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans la case ci-dessus, cochez Proxy à partir de l'appliance via l’agent de connexion (non applicable aux clients BeyondTrust Cloud). Créer un Mot de passe de l’agent de connexion à utiliser lors du processus d’installation de l’agent de connexion. Cliquez ensuite sur Télécharger l’agent de connexion, lancez l’installeur et suivez les instructions de l’assistant d’installation. Lors de l’installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l’agent de connexion que vous avez créé ci-dessus.

les clients du cloud BeyondTrust doivent exécuter l’agent de connexion pour pouvoir utiliser un magasin externe d’annuaires.

Type de répertoire

Pour aider à la configuration de la connexion réseau entre votre B Series Appliance et votre fournisseur de sécurité, vous pouvez sélectionner un type de répertoire comme modèle. Ceci pré-remplit les champs de configuration ci-dessous avec des données standard, mais celles-ci doivent être modifiées pour correspondre à la configuration spécifique de votre fournisseur de sécurité. Le LDAP Active Directory est le type de serveur le plus commun, mais vous pouvez configurer BeyondTrust pour qu’il communique avec la plupart des types de fournisseurs de sécurité.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n’est pas disponible ou si le compte n’est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L’algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n’est pas disponible, ou si le compte n’est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Paramètres de schéma d’utilisateur

Remplacer les valeurs de cluster (Visible uniquement pour les nœuds du cluster)

Si cette option n’est pas cochée, ce nœud de cluster utilisera les mêmes paramètres de schéma que le cluster. Si cette option n’est pas cochée, vous pouvez modifier les paramètres de schéma ci-dessous.

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre annuaire, spécifiée par un nom unique, où la B Series Appliance devra commencer à chercher des utilisateurs. En fonction de la taille de votre magasin d’annuaires et des utilisateurs nécessitant des comptes BeyondTrust, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaires qui requiert l’accès. Si vous n’êtes pas sûr, ou si les utilisateurs recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaires.

Requête utilisateur

Spécifiez les informations de requête que la B Series Appliance doit utiliser pour trouver un utilisateur LDAP lorsque l’utilisateur tente de se connecter. Le champ Requête utilisateur accepte une requête LDAP standard (RFC 2254 – Représentation en chaîne des filtres de recherche LDAP). Vous pouvez modifier la chaîne de requête pour personnaliser la façon dont vos utilisateurs se connectent et quels types de noms d’utilisateurs sont acceptés. Pour spécifier quelle valeur à l’intérieur de la chaîne doit correspondre au nom d’utilisateur, remplacer cette valeur par *.

Requête de navigation

La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d’entre eux soient affichés dans la liste déroulante de sélection de membres lors de l’ajout de membres dans une règle de groupe.

Classes d’objets

Spécifiez des classes d’objets valides pour un utilisateur dans votre magasin d’annuaires. Seuls les utilisateurs possédant une ou plusieurs de ces classes d’objets seront autorisés à s’authentifier. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre B Series Appliance le schéma que le serveur LDAP utilise pour identifier les utilisateurs. Vous pouvez indiquer plusieurs classes d’objets, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l’identificateur unique, le nom affiché et l’adresse e-mail d’un utilisateur.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un utilisateur peut changer fréquemment au cours de la vie de l’utilisateur, avec un changement de nom ou d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie de l’utilisateur. Si vous utilisez le nom unique comme identifiant unique et que le nom unique d’un utilisateur change, cet utilisateur sera considéré comme un nouvel utilisateur, et tout changement apporté spécifiquement au compte utilisateur BeyondTrust de cet individu ne sera pas reporté sur le nouvel utilisateur. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre utilisateur.

E-mail

Cette valeur détermine quel champ doit être utilisé comme adresse e-mail de l’utilisateur.

Nom affiché

Cela détermine quel champ doit être utilisé comme nom affiché de l’utilisateur.

Paramètres de schéma de groupe (Visible uniquement lors de recherches de groupe)

Type de répertoire

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre annuaire, spécifiée par un nom unique, où la B Series Appliance devra commencer à chercher des groupes. En fonction de la taille de votre magasin d’annuaires et des groupes nécessitant un accès à la B Series Appliance, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaire qui requiert l’accès. Si vous n’êtes pas sûr, ou si les groupes recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaire.

Requête de navigation

Classes d’objets

Spécifiez des classes d’objets valides pour un groupe dans votre magasin d’annuaires. Seuls les groupes possédant une ou plusieurs de ces classes d’objets seront retournés. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre B Series Appliance le schéma que le serveur LDAP utilise pour identifier les groupes. Vous pouvez saisir plusieurs classes d’objets de groupes, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l’identificateur unique, et le nom affiché d’un groupe.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un groupe peut changer fréquemment au cours de la vie du groupe, avec un changement d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie du groupe. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d’un groupe change, ce groupe sera considéré comme un nouveau groupe, et toutes les règles de groupes définies pour ce groupe ne seront pas reportées sur le nouveau groupe. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre groupe.

Nom affiché

Cette valeur détermine quel champ doit être utilisé comme nom affiché du groupe.

Relations utilisateurs-groupes

Ce champ appelle une requête pour déterminer quels utilisateurs appartiennent à quels groupes ou, inversement, quels groupes contiennent quels utilisateurs.

Effectuer une recherche de groupes récursive

Vous pouvez choisir d’effectuer une recherche de groupes récursive. Ceci lancera une requête pour un utilisateur, puis des requêtes pour tous les groupes auxquels l’utilisateur appartient, puis des requêtes pour tous les groupes auxquels ces groupes appartiennent, et ainsi de suite, jusqu’à ce que tous les groupes possibles associés à cet utilisateur aient été trouvés.

Lancer une recherche récursive peut avoir un impact considérable sur les performances, car le serveur continuera à émettre des requêtes jusqu’à ce qu’il trouve des informations sur tous les groupes. Si cela prend trop de temps, l’utilisateur ne pourra peut-être pas se connecter.

Une recherche non récursive n’émettra qu’une requête par utilisateur. Si votre serveur LDAP a un champ spécial contenant tous les groupes auxquels l’utilisateur appartient, la recherche récursive n’est pas nécessaire. La recherche récursive est également inutile si votre système de répertoire ne prend pas en charge les membres de groupes ou les groupes.

Tester les paramètres

Nom d’utilisateur et mot de passe

Saisissez un nom d’utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Si cette option est cochée, votre test d’informations d’authentification réussi tentera également de vérifier les attributs d’utilisateur et la recherche de groupe. Notez que pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Démarrer le test

Si votre serveur est correctement configuré et que vous avez saisi un nom d’utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d’erreur et un journal qui vous aidera à résoudre le problème.

Modifier le fournisseur de sécurité - RADIUS

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Conserver le nom affiché synchronisé avec le système distant

Paramètres d’autorisation

N’autoriser que les utilisateurs suivants

Vous pouvez choisir d’autoriser l’accès seulement aux utilisateurs spécifiés sur votre serveur RADIUS. Saisissez chaque nom d’utilisateur séparé par un saut de ligne. Une fois qu’ils auront été saisis, ces utilisateurs seront disponibles dans le dialogue Ajouter membre de règle lors de la modification de règle de groupe sur la page /login > Utilisateurs et sécurité > Règles de groupe.

Si vous laissez ce champ vide, tous les utilisateurs qui s’authentifient grâce à votre serveur RADIUS seront autorisés ; si vous les autorisez tous, vous devez aussi spécifier une règle de groupe par défaut.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Règle de groupe par défaut

Paramètres de connexion

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

Port

Spécifiez le port d’authentification pour votre serveur RADIUS. C'est en général le port 1812.

Délai d’attente (secondes)

Définissez la durée d’attente maximale d’une réponse du serveur. Notez bien que si la réponse est Réponse-Accepter ou Réponse-Demande, alors RADIUS attendra pendant l’intégralité de la durée spécifiée ici avant d’authentifier le compte. Il est ainsi conseillé de garder cette valeur à un niveau aussi bas que possible, en fonction de vos paramètres réseau. Une valeur idéale est de 3-5 secondes, la valeur maximum étant de trois minutes.

Méthode de connexion

Secret partagé

Fournissez un nouveau secret partagé pour que votre B Series Appliance et votre serveur RADIUS puissent communiquer.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Tester les paramètres

Nom d’utilisateur et mot de passe

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Démarrer le test

Modifier le fournisseur de sécurité - Kerberos

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Conserver le nom affiché synchronisé avec le système distant

Retirer le domaine des noms principaux

Sélectionnez cette option pour supprimer la partie DOMAINE du nom principal d’utilisateur lors de la construction du nom d’utilisateur BeyondTrust.

Paramètres d’autorisation

Mode de gestion des utilisateurs

Sélectionnez les utilisateurs pouvant s’authentifier auprès de votre B Series Appliance. Autoriser tous les utilisateurs autorise toute personne actuellement authentifiée par votre KDC. Autoriser uniquement les noms principaux d’utilisateurs indiqués dans la liste n’autorise que les noms principaux d’utilisateurs spécifiquement désignés. Autoriser uniquement les noms principaux d'utilisateurs qui correspondent à la regex autorise uniquement les utilisateurs correspondant à une expression régulière compatible Perl (PCRE).

Mode de gestion SPN : Autoriser uniquement les SPN indiqués dans la liste

Si la case n’est pas cochée, tous les Noms principaux du service (SPN) pour ce fournisseur de sécurité sont autorisés. Si la case est cochée, sélectionnez des SPN spécifiques dans une liste de SPN actuellement configurés.

Règle de groupe par défaut

Modifier le fournisseur de sécurité - SAML2

Nom

Saisissez un nom unique permettant d’identifier votre fournisseur.

Activé

Approvisionnement de l’utilisateur

ce paramètre ne peut pas être modifié après que ce fournisseur de sécurité a été enregistré pour la première fois.

Domaines de messagerie associés

Ce paramètre ne s’applique que si vous avez plus d’un fournisseur SAML actif et il est ignoré dans le cas contraire.

Ajoutez les domaines de messagerie qui doivent être associés à ce fournisseur SAML, un par ligne. Lors de l’authentification, les utilisateurs sont invités à saisir leur e-mail. Leur domaine de messagerie est comparé à cette liste et ils sont redirigés vers le fournisseur d’identité approprié pour l’authentification.

Si plusieurs fournisseurs SAML sont configurés et que l’adresse e-mail de l’utilisateur ne correspond pas à celle du domaine associé sur l’un des fournisseurs, l’utilisateur ne sera pas autorisé à s’authentifier.

Paramètres du fournisseur d’identité

Métadonnées de fournisseur d’identité

Le fichier de métadonnées contient toutes les informations nécessaires à l’installation initiale de votre fournisseur SAML et doit être téléchargé à partir de votre fournisseur d’identité. Enregistrez le fichier XML, puis cliquez sur Choisir fichier pour sélectionner et transférer le fichier sélectionné.

les champs pour l’ID d’entité, l’URL de service d’authentification unique et le Certificat sont automatiquement remplis à partir du fichier de métadonnées du fournisseur d’identité. Si vous ne pouvez pas obtenir de fichier de métadonnées de votre fournisseur, ces informations peuvent être saisies manuellement.

ID d’entité

Ceci est l’identifiant unique pour le fournisseur d’identité que vous utilisez.

URL de service d’authentification unique

Lorsque vous souhaitez vous connecter à BeyondTrust au moyen de SAML, c’est vers cette URL que vous serez automatiquement redirigé afin de pouvoir vous connecter.

Liaison de protocole URL SSO

Cela détermine si une requête HTTP POST a lieu ou si l’utilisateur est redirigé vers l’URL d’authentification. Cela devrait être laissé en tant que redirection, sauf dans le cas où cela serait requis par le fournisseur d’identité.

Certificat du serveur

Ce certificat est utilisé pour vérifier la signature de l’affirmation envoyée par le fournisseur d’identité.

Paramètres du fournisseur de service

Métadonnées de fournisseur de service

Téléchargez les métadonnées BeyondTrust, que vous devrez ensuite transférer à votre fournisseur d’identité.

ID d’entité

Ceci est votre URL BeyondTrust. Cela identifie de façon unique votre site auprès du fournisseur d’identité.

Clé privée

Si nécessaire, vous pouvez déchiffrer les messages envoyés par le fournisseur d’identité, s’ils prennent en charge et requièrent le chiffrement. Cliquez sur Choisir le fichier pour transférer la clé privée nécessaire au déchiffrement des messages envoyés par le fournisseur d’identité.

Paramètres d’attributs d’utilisateur (Visible uniquement si ce fournisseur est utilisé pour l’approvisionnement d’utilisateurs)

Attributs SAML d’utilisateur

Ces attributs sont utilisés pour approvisionner les utilisateurs à travers BeyondTrust. Les valeurs par défaut correspondent aux applications certifiées par BeyondTrust avec différents fournisseurs d’identité. Si vous créez votre propre connecteur SAML, vous aurez peut-être besoin de modifier les attributs pour les faire correspondre à ce qui est envoyé par votre fournisseur d’identité.

Paramètres d’autorisation (Visible uniquement si ce fournisseur est utilisé pour l’approvisionnement d’utilisateurs)

Rechercher des groupes en utilisant ce fournisseur

L’activation de cette fonction permet d’accélérer l’approvisionnement en recherchant automatiquement les groupes pour cet utilisateur, en utilisant les options Nom d’attribut de recherche de groupe et Délimiteur.

Nom d’attribut de recherche de groupe

Saisissez le nom de l’attribut SAML contenant les noms des groupes auxquels les utilisateurs devraient appartenir. Si la valeur d’attribut contient plusieurs noms de groupes, vous devez spécifier le Délimiteur utilisé pour séparer leurs noms.

Si cela est laissé vide, les utilisateurs SAML doivent être assignés manuellement aux règles de groupe après leur première authentification réussie.

Délimiteur de recherche de groupe

Si le Délimiteur est laissé vide, la valeur d’attribut peut contenir plusieurs nœuds XML contenant chacun un nom différent.

Groupes disponibles

Ceci est une liste facultative des groupes SAML qui peuvent toujours être attribués manuellement aux règles de groupe. Si ce champ est laissé vide, un groupe SAML donné sera rendu disponible uniquement après la première authentification réussie d’un membre utilisateur de ce groupe. Veuillez saisir un nom de groupe par ligne.

Règle de groupe par défaut

Pour plus d’informations, veuillez consulter la section SAML pour l’authentification unique.

Modifier le fournisseur de sécurité - SCIM

pour que SCIM fonctionne, l’API SCIM doit être activée sur un compte API, et l’API doit être configurée sur votre fournisseur SCIM. La gestion des comptes API se fait sous /login > Gestion > Configuration API. Pour le moment, un seul fournisseur SCIM peut être créé. Une fois un fournisseur SCIM créé, l’option SCIM n’est plus disponible dans le menu déroulant Créer un fournisseur. L’approvisionnement d’utilisateurs SCIM utilise des utilisateurs et des objets de groupe SCIM 2.0. Pour plus d’informations sur le standard SCIM 2.0 consultez https://scim.cloud/.

l’accès à distance privilégié prend désormais en charge les API SCIM pour des groupes d’utilisateurs. Une fois que vous avez paramétré un fournisseur SCIM dans /login ainsi que des utilisateurs et des groupes configurés dans votre solution SCIM, PRA reflète les mêmes groupes que ceux qui sont présents dans votre solution SCIM, vous permettant de sélectionner des règles de groupe pour chaque groupe SCIM.

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Identifiant de requête d’utilisateur SCIM

Dans le menu déroulant, sélectionnez l’identificateur unique que SCIM devrait utiliser pour les requêtes des utilisateurs.

Identifiant de requête de groupe SCIM

Dans le menu déroulant, sélectionnez l’identificateur unique que SCIM devrait utiliser pour les requêtes des groupes.

Paramètres d’approvisionnement de l’utilisateur

Attribut d’utilisateur

Paramètres d’autorisation

Identificateur unique

Saisissez l’attribut SCIM à utiliser en tant qu’identificateur unique au sein de BeyondTrust.

Règle de groupe par défaut

Nom d’attribut

Saisissez le nom de l’attribut SCIM qui identifie les utilisateurs de façon unique.

Les groupes approvisionnés avec SCIM sont toujours identifiés de manière unique sans sensibilité à la casse grâce à leur nom pour les recherches de groupe.