Fournisseurs de sécurité : activer LDAP, Active Directory, RADIUS, Kerberos, SAML pour techniciens d’assistance et SAML pour portails publics

Utilisateurs et sécurité

Fournisseurs de sécurité

Fournisseurs de sécurité

Vous pouvez configurer votre BeyondTrust Appliance B Series pour qu’elle authentifie des utilisateurs auprès de serveurs LDAP, RADIUS, Kerberos ou SAML existants et pour qu’elle attribue des privilèges en fonction de la hiérarchie et des paramètres de groupe préexistants déjà spécifiés dans vos serveurs. Kerberos permet une authentification unique, tandis que RSA et d’autres mécanismes d’authentification à deux facteurs par RADIUS fournissent un niveau de sécurité supplémentaire.

Ajouter

Créez une nouvelle configuration de fournisseur de sécurité. Depuis la liste déroulante, sélectionnez LDAP, RADIUS, Kerberos, SAML pour techniciens d’assistance ou SAML pour portails publics.

Modifier l’ordre

Cliquez sur ce bouton pour déplacer les fournisseurs de sécurité afin de définir leur priorité. Vous pouvez déplacer des serveurs à l’intérieur d’une grappe ; les grappes peuvent être déplacées dans leur intégralité. Cliquez sur Enregistrer l’ordre pour que les changements de priorité prennent effet.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Désactiver

Désactiver la connexion de ce fournisseur de sécurité. Ceci est utile pour les maintenances planifiées, lorsque vous voulez qu’un serveur soit hors ligne mais non effacé.

Afficher le journal

Affichez l’historique d’état pour la connexion d’un fournisseur de sécurité.

Modifier, supprimer

Modifier un fournisseur existant ou supprimer un fournisseur existant.

si vous modifiez le fournisseur de sécurité local et sélectionnez une règle par défaut qui ne dispose pas d’autorisations d’administrateur, un message d’avertissement s’affiche. Assurez-vous que les autres utilisateurs disposent des autorisations d’administrateur avant de continuer.

Dupliquer le nœud

Créez une copie d’une configuration de fournisseur de sécurité en cluster existante. Ceci sera ajouté en tant que nouveau nœud dans le même cluster.

Mettre à niveau vers le cluster

Mettez à niveau un fournisseur de sécurité sur un cluster de fournisseur de sécurité. Pour ajouter d'autres fournisseurs de sécurité à ce cluster, copiez un nœud existant.

Copier

Créez une copie d’une configuration de fournisseur de sécurité existante. Ceci sera ajouté comme fournisseur de sécurité de niveau principal et non pas comme faisant partie d’un cluster.

Ajouter ou modifier un fournisseur de sécurité : LDAP

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre BeyondTrust Appliance B Series peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter au console du technicien d’assistance ou à /login. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Authentification utilisateur

Cela permet à ce fournisseur d’être utilisé pour authentifier les utilisateurs. Si cette option est désactivée, ce fournisseur peut être utilisé uniquement pour rechercher des autorisations d’utilisateur dans des groupes.

Garder les informations d’utilisateur synchronisées avec le serveur LDAP

Les noms affichés sont définis d’après les Paramètres de schéma d’utilisateur définis ci-dessous. Si vous comptez synchroniser l’attribut de la photo d’un utilisateur, cette option doit être cochée.

Paramètres d’autorisation

Synchronisation : Activer le cache d’objet LDAP

Si ceci est coché, les objets LDAP visibles pour l'B Series Appliance sont mis en cache et synchronisés toutes les nuits, ou manuellement si désiré. Lorsque cette option est utilisée, un nombre plus faible de connexions est établi avec le serveur LDAP pour des raisons administratives, ce qui peut potentiellement améliorer la vitesse et l’efficacité.

Si cette option est décochée, les changements apportés au serveur LDAP sont disponibles immédiatement, sans besoin de synchronisation. Cependant, lorsque vous apportez des changements aux règles d’utilisateur à travers l’interface d’administration, quelques connexions LDAP courtes peuvent avoir lieu si c’est nécessaire.

Pour les fournisseurs qui avaient le paramètre de synchronisation activé, désactiver l’option de synchronisation provoquera l’effacement de tous les enregistrements mis en cache qui ne sont pas en cours d’utilisation.

Rechercher des groupes

Choisissez d’utiliser ce fournisseur de sécurité uniquement pour l’authentification d’utilisateurs, seulement pour les recherches de groupes, ou pour les deux. Authentification utilisateur doit être sélectionné si vous souhaitez désactiver la recherche de groupe.

Règle de groupe par défaut (Visible uniquement si l'authentification d'utilisateur est autorisée)

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre B Series Appliance, en se connectant sur l’interface /login ou sur la console du technicien d’assistance. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

si une règle par défaut est définie, alors n’importe quel utilisateur qui s’authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d’obtenir des autorisations que vous ne souhaitez pas qu’ils aient.

si un utilisateur est dans une règle de groupe par défaut et qu’il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n’autorisent pas le remplacement.

Paramètres de connexion (non visible pour les clusters)

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

si vous allez utiliser LDAPS ou LDAP avec TLS, le nom d’hôte doit correspondre au nom d’hôte utilisé dans le nom du sujet du certificat SSL public de votre serveur LDAP ou au composant DNS de son nom de sujet alternatif.

Port

Spécifiez le port de votre serveur LDAP. Il s’agit généralement du port 389 pour LDAP ou du port 636 pour LDAPS. BeyondTrust permet également le catalogue global sur le port 3268 pour LDAP ou 3269 pour LDAPS.

Chiffrement

Sélectionnez le type de cryptage à utiliser lors de la communication avec le serveur LDAP. Pour des raisons de sécurité, LDAPS ou LDAP avec TLS est recommandé.

le LDAP envoie et reçoit des données en texte clair depuis le serveur LDAP, ce qui peut exposer des informations de comptes utilisateurs confidentielles au reniflage de paquets. LDAPS, et LDAP avec un cryptage TLS, cryptent les données utilisateur lors de leur transfert ; ces méthodes sont donc recommandées, plutôt que le LDAP classique. Le LDAP avec TLS utilise la fonction StartTLS pour initier une connexion de LDAP en texte clair, mais la fait ensuite passer en connexion cryptée. Le LDAPS initie la connexion sur une connexion cryptée sans envoyer aucune donnée en texte clair.

Si vous sélectionnez LDAPS ou LDAP avec TLS, vous devez transférer le certificat SSL racine utilisé par votre serveur LDAP. Ceci est nécessaire pour garantir la validité du serveur et la sécurité des données. Le certificat racine doit être au format PEM.

si le nom de sujet du certificat SSL public du serveur LDAP ou le composant DNS de son nom de sujet alternatif ne correspond pas à la valeur du champ Nom de l'hôte, le fournisseur sera considéré comme inaccessible. Vous pouvez cependant utiliser un certificat à caractère générique pour certifier plusieurs sous-domaines du même site. Par exemple, un certificat pour *.example.com certifiera à la fois support.example.com et remote.example.com.

Informations d’authentification de liaison

Spécifiez un nom d’utilisateur et un mot de passe grâce auxquels votre B Series Appliance peut se lier et effectuer une recherche sur le magasin d’annuaires LDAP.

Si votre serveur prend en charge les liaisons anonymes, vous aurez la possibilité de lier sans spécifier un nom d’utilisateur et un mot de passe. La liaison anonyme est considérée comme non sécurisée et est désactivée par défaut sur la plupart des serveurs LDAP.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre BeyondTrust Appliance B Series, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l’option Proxy à partir du serveur via l’agent de connexion décochée et poursuivre.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu, vous devez utiliser un agent de connexion. Télécharger l’agent de connexion Win32 permet à votre serveur de répertoire et votre B Series Appliance de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L’agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans le cas ci-dessus, cochez Proxy à partir du serveur via l’agent de connexion. Créer un Mot de passe de l’agent de connexion à utiliser lors du processus d’installation de l’agent de connexion. Cliquez ensuite sur Télécharger l’agent de connexion, lancez l’installeur et suivez les instructions de l’assistant d’installation. Lors de l’installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l’agent de connexion que vous avez créé ci-dessus.

les clients du cloud BeyondTrust doivent exécuter l’agent de connexion pour pouvoir utiliser un magasin externe d’annuaires.

Type de répertoire (non visible pour les clusters)

Pour aider à la configuration de la connexion réseau entre votre B Series Appliance et votre fournisseur de sécurité, vous pouvez sélectionner un type de répertoire comme modèle. Ceci pré-remplit les champs de configuration ci-dessous avec des données standard, mais celles-ci doivent être modifiées pour correspondre à la configuration spécifique de votre fournisseur de sécurité. Le LDAP Active Directory est le type de serveur le plus commun, mais vous pouvez configurer BeyondTrust pour qu’il communique avec la plupart des types de fournisseurs de sécurité.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n’est pas disponible ou si le compte n’est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L’algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n’est pas disponible, ou si le compte n’est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Paramètres de schéma d’utilisateur

Remplacer les valeurs de cluster (Visible uniquement pour les nœuds du cluster)

Si cette option n’est pas cochée, ce nœud de cluster utilisera les mêmes paramètres de schéma que le cluster. Si cette option est cochée, vous pouvez modifier les paramètres de schéma ci-dessous.

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre annuaire, spécifiée par un nom unique, où le B Series Appliance devra commencer à chercher des utilisateurs. En fonction de la taille de votre magasin d’annuaires et des utilisateurs nécessitant des comptes BeyondTrust, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaires qui requiert l’accès. Si vous n’êtes pas sûr, ou si les utilisateurs recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaires.

Requête utilisateur

Spécifiez les informations de requête que le B Series Appliance doit utiliser pour trouver un utilisateur LDAP lorsque l’utilisateur tente de se connecter. Le champ Requête utilisateur accepte une requête LDAP standard (RFC 2254 - Représentation en chaîne des filtres de recherche LDAP). Vous pouvez modifier la chaîne de requête pour personnaliser la façon dont vos utilisateurs se connectent et quels types de noms d’utilisateurs sont acceptés. Pour spécifier quelle valeur à l’intérieur de la chaîne doit correspondre au nom d’utilisateur, remplacer cette valeur par *.

Requête de navigation
La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d’entre eux soient affichés dans la liste déroulante de sélection de membres lors de l’ajout de membres dans une règle de groupe.
Classes d’objets

Spécifiez des classes d’objets valides pour un utilisateur dans votre magasin d’annuaires. Seuls les utilisateurs possédant une ou plusieurs de ces classes d’objets seront autorisés à s’authentifier. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre B Series Appliance le schéma que le serveur LDAP utilise pour identifier les utilisateurs. Vous pouvez indiquer plusieurs classes d’objets, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l'identificateur unique et les noms affichés d'un utilisateur.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un utilisateur peut changer fréquemment au cours de la vie de l’utilisateur, avec un changement de nom ou d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie de l’utilisateur. Si vous utilisez le nom unique comme identifiant unique et que le nom unique d’un utilisateur change, cet utilisateur sera considéré comme un nouvel utilisateur, et tout changement apporté spécifiquement au compte utilisateur BeyondTrust de cet individu ne sera pas reporté sur le nouvel utilisateur. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre utilisateur.

E-mail

L’attribut E-mail synchronise l’adresse e-mail de l’utilisateur depuis LDAP. Veuillez noter que les caractères spéciaux ? et ! ne peuvent pas être utilisés.

Photo

Ce champ vous permet de configurer des fournisseurs LDAP pour synchroniser les photos des techniciens d’assistance depuis LDAP. Par défaut, les modèles de paramètres pour Active Directory, Novell eDirectory et OpenLDAP utilisent tous l’attribut *:jpegPhoto. Les administrateurs peuvent modifier l’attribut si nécessaire. Si aucun attribut n’est spécifié, aucune photo ne sera récupérée depuis LDAP.

Les photos dans LDAP doivent être stockées en tant qu’images JPEG en données binaires brutes ou en données encodées en Base64. Remote Support BeyondTrust détecte automatiquement l’encodage et le décode selon les besoins.

Utiliser le même attribut pour les noms affichés publics et privés

Si cette option est cochée, vous pouvez spécifier des valeurs séparées pour les noms privé et public de l'utilisateur.

Noms affichés

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Paramètres de schéma de groupe (Visible uniquement lors de recherches de groupe)

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre annuaire, spécifiée par un nom unique, où la B Series Appliance devra commencer à chercher des groupes. En fonction de la taille de votre magasin d’annuaires et des groupes nécessitant un accès à la B Series Appliance, vous pourrez améliorer les performances en désignant l’unité organisationnelle spécifique dans votre magasin d’annuaire qui requiert l’accès. Si vous n’êtes pas sûr, ou si les groupes recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d’annuaire.

Requête de navigation
La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d’entre eux soient affichés dans la liste déroulante de sélection de membres lors de l’ajout de membres dans une règle de groupe.
Classes d’objets

Spécifiez des classes d’objets valides pour un groupe dans votre magasin d’annuaires. Seuls les groupes possédant une ou plusieurs de ces classes d'objets seront retournés. Ces classes d’objets sont également utilisées avec les noms d’attribut ci-dessous pour indiquer à votre B Series Appliance le schéma que le serveur LDAP utilise pour identifier les groupes. Vous pouvez saisir plusieurs classes d’objets de groupes, une par ligne.

Noms d’attribut

Spécifiez les champs à utiliser pour l’identificateur unique, et le nom affiché d’un groupe.

Identificateur unique

Ce champ nécessite un identificateur unique pour l’élément. Bien que le nom unique puisse servir d’identificateur, le nom unique d’un groupe peut changer fréquemment au cours de la vie du groupe, avec un changement d’emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie du groupe. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d’un groupe change, ce groupe sera considéré comme un nouveau groupe, et toutes les règles de groupes définies pour ce groupe ne seront pas reportées sur le nouveau groupe. Si votre serveur LDAP n’inclut pas d’identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre groupe.

Nom affiché

Cette valeur détermine quel champ doit être utilisé comme nom affiché du groupe.

Relations utilisateurs-groupes

Relations

Ce champ appelle une requête pour déterminer quels utilisateurs appartiennent à quels groupes ou, inversement, quels groupes contiennent quels utilisateurs.

Effectuer une recherche de groupes récursive

Vous pouvez choisir d’effectuer une recherche de groupes récursive. Ceci lancera une requête pour un utilisateur, puis des requêtes pour tous les groupes auxquels l’utilisateur appartient, puis des requêtes pour tous les groupes auxquels ces groupes appartiennent, et ainsi de suite, jusqu’à ce que tous les groupes possibles associés à cet utilisateur aient été trouvés.

Lancer une recherche récursive peut avoir un impact considérable sur les performances, car le serveur continuera à émettre des requêtes jusqu’à ce qu’il trouve des informations sur tous les groupes. Si cela prend trop de temps, l’utilisateur ne pourra peut-être pas se connecter.

Une recherche non récursive n’émettra qu’une requête par utilisateur. Si votre serveur LDAP a un champ spécial contenant tous les groupes auxquels l’utilisateur appartient, la recherche récursive n’est pas nécessaire. La recherche récursive est également inutile si votre système de répertoire ne prend pas en charge les membres de groupes ou les groupes.

Tester les paramètres

Nom d’utilisateur et mot de passe

Saisissez un nom d’utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Si cette option est cochée, votre test d’informations d’authentification réussi tentera également de vérifier les attributs d’utilisateur et la recherche de groupe.

pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Tester

Si votre serveur est correctement configuré et que vous avez saisi un nom d’utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d’erreur et un journal qui vous aidera à résoudre le problème.

Pour plus d’informations, veuillez consulter Créer et configurer le fournisseur de sécurité LDAP.

Ajouter ou modifier un fournisseur de sécurité : RADIUS

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre BeyondTrust Appliance B Series peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter au console du technicien d’assistance ou à /login. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Conserver le nom affiché synchronisé avec le système distant

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Paramètres d’autorisation

N’autoriser que les utilisateurs suivants

Vous pouvez choisir d’autoriser l’accès seulement aux utilisateurs spécifiés sur votre serveur RADIUS. Saisissez chaque nom d’utilisateur séparé par un saut de ligne. Une fois qu’ils auront été saisis, ces utilisateurs seront disponibles dans le dialogue Ajouter membre de règle lors de la modification de règle de groupe sur la page /login > Utilisateurs et sécurité > Règles de groupe.

Si vous laissez ce champ vide, tous les utilisateurs qui s’authentifient grâce à votre serveur RADIUS seront autorisés ; si vous les autorisez tous, vous devez aussi spécifier une règle de groupe par défaut.

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre B Series Appliance, en se connectant sur l’interface /login ou sur la console du technicien d’assistance. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Paramètres de connexion

Nom de l’hôte

Saisissez le nom d’hôte du serveur sur lequel se trouve le magasin d’annuaire externe.

Port

Spécifiez le port d’authentification pour votre serveur RADIUS. C'est en général le port 1812.

Délai d’attente (secondes)

Définissez la durée d’attente maximale d’une réponse du serveur. Notez bien que si la réponse est Réponse-Accepter ou Réponse-Demande, alors RADIUS attendra pendant l’intégralité de la durée spécifiée ici avant d’authentifier le compte. Il est ainsi conseillé de garder cette valeur à un niveau aussi bas que possible, en fonction de vos paramètres réseau. Une valeur idéale est de 3-5 secondes, la valeur maximum étant de trois minutes.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre BeyondTrust Appliance B Series, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l’option Proxy à partir du serveur via l’agent de connexion décochée et poursuivre.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu, vous devez utiliser un agent de connexion. Télécharger l’agent de connexion Win32 permet à votre serveur de répertoire et votre B Series Appliance de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L’agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans le cas ci-dessus, cochez Proxy à partir du serveur via l’agent de connexion. Créer un Mot de passe de l’agent de connexion à utiliser lors du processus d’installation de l’agent de connexion. Cliquez ensuite sur Télécharger l’agent de connexion, lancez l’installeur et suivez les instructions de l’assistant d’installation. Lors de l’installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l’agent de connexion que vous avez créé ci-dessus.

les clients du cloud BeyondTrust doivent exécuter l’agent de connexion pour pouvoir utiliser un magasin externe d’annuaires.

Secret partagé

Fournissez un nouveau secret partagé pour que votre B Series Appliance et votre serveur RADIUS puissent communiquer.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n’est pas disponible ou si le compte n’est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L’algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n’est pas disponible, ou si le compte n’est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu’à ce que le compte soit trouvé ou qu’il soit déterminé que le compte n’existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s’écouler avant de pouvoir tenter à nouveau d’utiliser un membre de cluster indisponible.

Tester les paramètres

Nom d’utilisateur et mot de passe

Saisissez un nom d’utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d’obtenir des attributs d’utilisateur et des appartenances de groupes si les informations d’authentification sont acceptées

Si cette option est cochée, votre test d’informations d’authentification réussi tentera également de vérifier les attributs d’utilisateur et la recherche de groupe.

pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Tester

Si votre serveur est correctement configuré et que vous avez saisi un nom d’utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d’erreur et un journal qui vous aidera à résoudre le problème.

Pour plus d’informations, veuillez consulter Créer et configurer le fournisseur de sécurité RADIUS.

Ajouter ou modifier un fournisseur de sécurité : Kerberos

Nom

Créez un nom unique permettant d’identifier ce fournisseur.

Activé

Si cette case est cochée, votre BeyondTrust Appliance B Series peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter au console du technicien d’assistance ou à /login. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Conserver le nom affiché synchronisé avec le système distant

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Retirer le domaine des noms principaux

Sélectionnez cette option pour supprimer la partie DOMAINE du nom principal d’utilisateur lors de la construction du nom d’utilisateur BeyondTrust.

Paramètres d’autorisation

Mode de gestion des utilisateurs

Sélectionnez les utilisateurs pouvant s’authentifier auprès de votre BeyondTrust Appliance B Series. Autoriser tous les utilisateurs autorise toute personne actuellement authentifiée par votre KDC (Key Distribution Center). Autoriser uniquement les noms principaux d’utilisateurs indiqués dans la liste n’autorise que les noms principaux d’utilisateurs spécifiquement désignés. Autoriser uniquement les noms principaux d'utilisateurs qui correspondent à la regex autorise uniquement les utilisateurs correspondant à une expression régulière compatible Perl (PCRE).

Règle de groupe par défaut

Chaque utilisateur qui s’authentifie auprès d’un serveur externe doit être membre d’au moins une règle de groupe pour pouvoir s’authentifier sur votre B Series Appliance, en se connectant sur l’interface /login ou sur la console du technicien d’assistance. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s’authentifier auprès du serveur configuré.

Mode de gestion SPN

Autoriser uniquement les SPN indiqués dans la liste

Si la case n’est pas cochée, tous les noms principaux du service (SPN) configurés pour ce fournisseur de sécurité sont autorisés. Si la case est cochée, sélectionnez des SPN spécifiques dans une liste de SPN actuellement configurés.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Pour plus d’informations, veuillez consulter Configurer le BeyondTrust Appliance B Series pour l’authentification Kerberos.

Ajouter ou modifier un fournisseur de sécurité : SAML pour techniciens d’assistance

Nom

Saisissez un nom unique permettant d’identifier votre fournisseur.

Activé

Si cette case est cochée, votre BeyondTrust Appliance B Series peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter au console du technicien d’assistance ou à /login. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Domaines de messagerie associés

Ce paramètre ne s’applique que si vous avez plus d’un fournisseur SAML actif et il est ignoré dans le cas contraire.

Ajoutez les domaines de messagerie qui doivent être associés à ce fournisseur SAML, un par ligne. Lors de l’authentification, les utilisateurs sont invités à saisir leur e-mail. Leur domaine de messagerie est comparé à cette liste et ils sont redirigés vers le fournisseur d’identité approprié pour l’authentification.

Si plusieurs fournisseurs SAML sont configurés et que l’adresse e-mail de l’utilisateur ne correspond pas à celle du domaine associé sur l’un des fournisseurs, l’utilisateur ne sera pas autorisé à s’authentifier.

Paramètres du fournisseur d’identité

Métadonnées

Le fichier de métadonnées contient toutes les informations nécessaires à l’installation initiale de votre fournisseur SAML et doit être téléchargé à partir de votre fournisseur d’identité. Enregistrez le fichier XML, puis cliquez sur Transférer des métadonnées de fournisseur d’identité pour sélectionner et transférer le fichier sélectionné.

ID d’entité

Identificateur unique pour le fournisseur d'identité que vous utilisez.

Certificat du serveur

Ce certificat sera utilisé pour vérifier la signature de l'affirmation envoyée par le fournisseur d'identité.

les champs pour l’ID d’entité, l’URL de service d’authentification unique et le Certificat sont automatiquement remplis à partir du fichier de métadonnées du fournisseur d’identité. Si vous ne pouvez pas obtenir de fichier de métadonnées de votre fournisseur, ces informations peuvent être saisies manuellement.

URL de service d’authentification unique

Lorsque vous souhaitez vous connecter à BeyondTrust au moyen de SAML, c’est vers cette URL que vous serez automatiquement redirigé afin de pouvoir vous connecter.

Liaison de protocole URL SSO

Cela détermine si un utilisateur poste, ou s'il est redirigé vers l'URL d'authentification. Ceci devrait être laissé par défaut sur la redirection, sauf si quelque chose d'autre est requis par le fournisseur d'identité.

Paramètres du fournisseur de service

Télécharger les métadonnées du fournisseur de service

Téléchargez les métadonnées BeyondTrust qui doivent ensuite être transférées à votre fournisseur d’identité.

ID d’entité

Ceci est votre URL BeyondTrust. Elle identifie de façon unique le fournisseur de service.

Clé privée

Si nécessaire, vous pouvez déchiffrer les messages envoyés par le fournisseur d’identité, s’ils prennent en charge et requièrent le chiffrement. Cliquez sur Choisir le fichier pour transférer la clé privée nécessaire au déchiffrement des messages envoyés par le fournisseur d’identité.

Paramètres d’attributs d’utilisateur

Les attributs SAML sont utilisés pour approvisionner les utilisateurs dans BeyondTrust. Les valeurs par défaut correspondent aux applications certifiées par BeyondTrust avec différents fournisseurs d’identité. Si vous créez votre propre connecteur SAML, il se peut que vous ayez besoin de modifier les attributs pour qu'ils correspondent à ce qui est envoyé par votre fournisseur d'identité. Si votre fournisseur d’identité requiert une insensibilité à la casse pour l’attribut NameID, sélectionnez Utiliser une comparaison non sensible à la casse pour les NameID.

Paramètres d’autorisation

Rechercher des groupes en utilisant ce fournisseur

L’activation de cette fonction permet d’accélérer l’approvisionnement en recherchant automatiquement les groupes pour cet utilisateur, en utilisant les options Nom d’attribut de recherche de groupe et Délimiteur.

Nom d’attribut de recherche de groupe

Saisissez le nom de l’attribut SAML contenant les noms des groupes auxquels les utilisateurs devraient appartenir. Si la valeur d’attribut contient plusieurs noms de groupes, vous devez spécifier le Délimiteur utilisé pour séparer leurs noms.

Si cela est laissé vide, les utilisateurs SAML doivent être assignés manuellement aux règles de groupe après leur première authentification réussie.

Délimiteur de recherche de groupe

Si le Délimiteur est laissé vide, la valeur d’attribut peut contenir plusieurs nœuds XML contenant chacun un nom différent.

Groupes disponibles

Ceci est une liste facultative des groupes SAML qui peuvent toujours être attribués manuellement aux règles de groupe. Si ce champ est laissé vide, un groupe SAML donné sera rendu disponible uniquement après la première authentification réussie d’un membre utilisateur de ce groupe. Veuillez saisir un nom de groupe par ligne.

Règle de groupe par défaut

La règle de groupe sélectionnée définit l’ensemble initial et par défaut d’autorisations, d’appartenances et d’autres paramètres pour tous les utilisateurs s’authentifiant avec ce fournisseur de sécurité. Ces paramètres peuvent être modifiés individuellement par utilisateur ou par groupe d’utilisateurs s’ils appartiennent à d’autres règles de groupe.

Pour plus d’informations, veuillez consulter SAML pour l’authentification unique.

Ajouter ou modifier un fournisseur de sécurité : SAML pour portails publics

Nom

Le nom de votre fournisseur SAML est auto-généré et ne peut pas être modifié pour le moment.

Activé

Si cette case est cochée, votre BeyondTrust Appliance B Series peut chercher ce fournisseur de sécurité lorsqu’un utilisateur tente de se connecter au portail public. Si elle n’est pas cochée, le fournisseur ne sera pas recherché.

Paramètres du fournisseur d’identité

Métadonnées

Le fichier de métadonnées contient toutes les informations nécessaires à l’installation initiale de votre fournisseur SAML et doit être téléchargé à partir de votre fournisseur d’identité. Enregistrez le fichier XML, puis cliquez sur Transférer des métadonnées de fournisseur d’identité pour sélectionner et transférer le fichier sélectionné.

ID d’entité

Identificateur unique pour le fournisseur d'identité que vous utilisez.

Certificat du serveur

Ce certificat sera utilisé pour vérifier la signature de l'affirmation envoyée par le fournisseur d'identité.

les champs pour l’ID d’entité, l’URL de service d’authentification unique et le Certificat sont automatiquement remplis à partir du fichier de métadonnées du fournisseur d’identité. Si vous ne pouvez pas obtenir de fichier de métadonnées de votre fournisseur, ces informations peuvent être saisies manuellement.

URL de service d’authentification unique

Lorsque vous souhaitez vous connecter à BeyondTrust au moyen de SAML, c’est vers cette URL que vous serez automatiquement redirigé afin de pouvoir vous connecter.

Liaison de protocole URL SSO

Cela détermine si un utilisateur poste, ou s'il est redirigé vers l'URL d'authentification. Ceci devrait être laissé par défaut sur la redirection, sauf si quelque chose d'autre est requis par le fournisseur d'identité.

Paramètres du fournisseur de service

Télécharger les métadonnées du fournisseur de service

Téléchargez les métadonnées BeyondTrust qui doivent ensuite être transférées à votre fournisseur d’identité.

ID d’entité

Ceci est votre URL BeyondTrust. Elle identifie de façon unique le fournisseur de service.

Clé privée

Si nécessaire, vous pouvez déchiffrer les messages envoyés par le fournisseur d’identité, s’ils prennent en charge et requièrent le chiffrement. Cliquez sur Choisir le fichier pour transférer la clé privée nécessaire au déchiffrement des messages envoyés par le fournisseur d’identité.

Paramètres d’attributs d’utilisateur

Les attributs SAML sont utilisés pour approvisionner les utilisateurs dans BeyondTrust. Les valeurs par défaut correspondent aux applications certifiées par BeyondTrust avec différents fournisseurs d’identité. Si vous créez votre propre connecteur SAML, il se peut que vous ayez besoin de modifier les attributs pour qu'ils correspondent à ce qui est envoyé par votre fournisseur d'identité. Les attributs SAML peuvent aussi être associés aux sessions du client en ajoutant des champs personnalisés avec des noms de code correspondant sur la page Champs personnalisés dans /login.

Pour plus d’informations, veuillez consulter SAML pour l’authentification unique.