Configuration e-mail : Configurer la B Series Appliance pour envoyer des alertes par e-mail

Sécurité :: Configuration e-mail

Votre B Series Appliance peut vous envoyer des notifications automatiques par e-mail. Un e-mail est envoyé dans les cas suivants :

  • Le serveur Syslog a été modifié : un utilisateur sur /appliance a modifié le paramètre du serveur Syslog.
  • Événement RAID : un ou plusieurs disques logiques RAID ne se trouvent pas dans un état optimal (dégradé ou partiellement dégradé).
  • Annonce d’expiration de certificat SSL : un certificat SSL en cours d’utilisation (inclus les certificats d’entité finale ou tout certificat d’AC dans la chaîne) expire dans 90 jours ou moins.

Configurer via SMTP

cette méthode ne fonctionne pas pour certains services de messagerie. Veuillez vous reporter à Configurer via OAuth2 pour Microsoft Azure AD ou Configurer via OAuth2 pour Google afin d’avoir des configurations alternatives.

Configuration e-mail

Après avoir indiqué les adresses e-mail pour les contacts de l’administrateur, enregistrez vos paramètres et envoyez un e-mail de test pour vous assurer que tout fonctionne convenablement.

Configuration e-mail pour les contacts administrateurs

Configurer via OAuth2 pour Microsoft Azure AD

La configuration nécessite la modification des paramètres de l’appliance BeyondTrust et de l’abonnement Microsoft 365 avec Azure AD.

Commencez par modifier les paramètres de l’appliance BeyondTrust :

  1. Allez dans Appliance, cliquez sur l’onglet Sécurité puis sur Configuration e-mail.
  2. Basculez la Méthode d’authentification sur OAuth2.
  3. Notez l’URI de redirection d’autorisation. Elle est requise plus tard.

Avant de commencer la configuration sur Azure Active Directory, un administrateur Azure/Office 365 doit activer l’option « SMTP authentifié » pour chaque compte sur Exchange Online. Pour ce faire, allez sur le Portail d’administration Office 365 (admin.microsoft.com) > Utilisateurs actifs > Courrier > Gérer les applications de courrier et cochez SMTP authentifié.

Une fois que SMTP authentifié est activé, effectuez les étapes suivantes dans la console Azure :

  1. Connectez-vous à votre console Azure (portal.Azure.com).

Écran du portail Azure, avec Azure Active Directory recherché et sélectionné.

  1. Allez dans Azure Active Directory.

 

Écran d’inscription des applications Azure, affichant les applications possédées et la possibilité d’ajouter une nouvelle inscription.

  1. Allez dans Inscriptions des applications et sélectionnez Nouvelle inscription.
  2. Saisissez un nom, tel qu’Appliance-OAuth2.
  3. Sélectionnez les types de comptes de votre choix qui pourront se connecter à l’application via OAuth2. Sélectionnez Client unique pour interne uniquement.
  4. Saisissez l’URI de redirection. C’est l’URI de redirection d’autorisation obtenue depuis l’appliance BeyondTrust au début de ce processus.
  5. Cliquez sur Inscription.
  6. Sur la page Vue d’ensemble (sélectionnée depuis le menu de gauche), notez l’ID d’application (client). Elle est requise plus tard.

 

Écran d’inscription des applications Azure, affichant les applications possédées et la possibilité d’ajouter une nouvelle inscription.

  1. Cliquez sur Points de terminaison (au-dessus de l’ID d’application (client)).
  2. Notez l’URI du point de terminaison d’autorisation OAuth 2.0 (v2) et l’URI du point de terminaison de jeton OAuth (v2). Elles seront requises plus tard.

 

Écran d’inscription des applications Azure, affichant les applications possédées et la possibilité d’ajouter une nouvelle inscription.

  1. Sur la page certificats et secrets (sélectionnée depuis le menu de gauche), notez le secret de client. Elle est requise plus tard. Si vous n’avez pas un secret de client, cliquez sur Nouveau secret de client pour en créer un.

 

Les étapes restantes sont effectuées sur l’appliance BeyondTrust.

  1. Allez dans Appliance, cliquez sur l’onglet Sécurité puis sur Configuration e-mail.
  2. Saisissez les informations suivantes notées précédemment :
    • Point de terminaison d’autorisation
    • Point de terminaison du jeton
    • ID client
    • Secret de client
  3. Saisissez l’adresse e-mail de ce service en tant que Envoyer depuis l’adresse e-mail et E-mail d’utilisateur.

ces adresses doivent correspondre et être un compte valide pour Azure. Si l’option E-mail anonyme (Envoyer un e-mail en tant que n’importe qui) est activée pour le client Azure, vous pouvez ajouter n’importe quoi dans le champ d’envoi du message. À défaut, utilisez le nom d’utilisateur du propriétaire de l’application et les Utilisateurs autorisés.

  1. Saisissez les données pour les champs Hôte, Chiffrement et Port.
    • Hôte : smtp.office365.com
    • Chiffrement : STARTTLS
    • Port : 587

les données par défaut pour Azure sont affichées, mais votre installation peut utiliser un autre hôte ou une autre méthode de chiffrement. Le port est applicable pour STARTTLS, mais d’autres méthodes de chiffrement peuvent utiliser un port différent.

  1. Saisissez votre certificat TLS si vous en avez un. Si ce n’est pas le cas, cochez Ignorer les erreurs de certificat TLS.
  2. Saisissez ce qui suit pour Scopes : https://outlook.office.com/SMTP.Send offline_access
  3. Cliquez sur Enregistrer les modifications.
  4. Cliquez surk Autoriser. Sur la page de connexion qui s’affiche, acceptez la demande d’autorisation. La page de paramétrage du courrier se recharge et le bouton d’autorisation est remplacé par un message « autorisé ».
  5. Pour tester la configuration :
    • Ajoutez une Adresse e-mail du contact administrateur.
    • Cochez Envoyer un e-mail de test.
    • Cliquez sur Enregistrer les modifications.

Configurer via OAuth2 pour Google

La configuration nécessite la modification des paramètres de l’appliance BeyondTrust et de la plateforme Google Cloud.

Commencez par modifier les paramètres de l’appliance BeyondTrust :

  1. Allez dans Appliance, cliquez sur l’onglet Sécurité puis sur Configuration e-mail.
  2. Basculez la Méthode d’authentification sur OAuth2.
  3. Notez l’URI de redirection d’autorisation. Elle est requise plus tard.

Connectez-vous maintenant à votre console Google Cloud Platform (Google Dev Console) (console.cloud.google.com). Utilisez le compte Gmail pertinent, car seul le propriétaire du projet est en mesure de travailler dessus. Si vous n’avez pas encore de compte payant, vous pouvez choisir d’en acheter un en cliquant sur Activer dans la bannière supérieure. BeyondTrust ne peut pas fournir d’assistance pour l’achat d’un compte. Cliquez sur En savoir plus dans la bannière supérieure pour obtenir des informations sur les limitations des comptes gratuits.

Sélectionnez Créer un projet dans la Google Cloud Platform.

  1. Cliquez sur CRÉER UN PROJET. Vous pouvez également utiliser un projet existant.

 

Saisissez le nom et l’organisation relatifs au projet.

  1. Acceptez le Nom de projet par défaut ou saisissez-en un.
  2. Acceptez l’Emplacement par défaut ou sélectionnez un dossier parmi ceux disponibles pour votre organisation.
  3. Cliquez sur CRÉER.

 

Sur la page API et services, sélectionnez Bibliothèque.

  1. La page API et services apparaît. Cliquez sur Bibliothèque dans le menu de gauche.

 

Parcourez ou recherchez dans la bibliothèque pour trouver API Gmail.

  1. rcourez ou recherchez dans la bibliothèque pour trouver l’API Gmail et cliquez dessus.

 

Cliquez sur Activer sur la page API Gmail.

  1. L’API Gmail apparaît sur sa propre page. Cliquez sur ACTIVER.

 

La page API Gmail, avec la possibilité de revenir à la gestion des API.

  1. La Présentation de l’API Gmail s’affiche. Cliquez sur API et services en haut à gauche.
  2. La page API et services apparaît à nouveau. Cliquez sur Écran de consentement OAuth dans le menu de gauche.

 

L’écran de consentement OAuth, affichant les options de type d’utilisateur.

  1. Sélectionnez le type d’utilisateur. « Interne » n’autorise que les utilisateurs de l’organisation, mais nécessite un compte Google Workspace.
  2. Cliquez sur CRÉER.

 

L’écran de consentement OAuth, affichant les champs à remplir pour les informations sur l’application.

  1. Saisissez le nom de l’application.
  2. Saisissez une adresse E-mail d’assistance aux utilisateurs. Il peut s’agir par défaut de l’adresse que vous utilisez pour créer le projet.
  3. Insérez un logo pour l’application, si vous le souhaitez. La section Domaine de l’application est également facultative.
  4. Ajoutez les Domaines autorisés. Pour les appliances de test BeyondTrust, utilisez ceci :
    • qabeyondtrustcloud.com
    • bomgar.com
  5. Saisissez les Coordonnées du développeur. Il s’agit de l’adresse e-mail que vous utilisez pour créer le projet.
  6. Cliquez sur ENREGISTRER ET CONTINUER.

 

L’écran des scopes de consentement OAuth, avec « Ajouter ou supprimer des scopes » sélectionné, et une nouvelle fenêtre agrandie pour mettre à jour les scopes.

  1. Sous l’onglet Scopes, cliquez sur AJOUTER OU SUPPRIMER DES SCOPES. Ceci ouvre la fenêtre Mettre à jour les scopes sélectionnés.
  2. Localisez et cochez le scope https://mail.google.com/ pour l’API Gmail.

l’API ne s’affiche pas si elle n’a pas été activée.

  1. Cliquez sur METTRE À JOUR. La fenêtre Mettre à jour les scopes sélectionnés se ferme.
  2. Cliquez sur ENREGISTRER ET CONTINUER.

 

L’écran des utilisateurs test du consentement OAuth, avec certains utilisateurs ajoutés.

  1. Sous l’onglet Utilisateurs test, cliquez sur AJOUTER DES UTILISATEURS. Cela ouvre la fenêtre Ajouter des utilisateurs. Ajoutez les utilisateurs qui ont accès à l’application et cliquez sur AJOUTER. Notez les limites d’accès de l’utilisateur test et les restrictions associées.
  2. Cliquez sur ENREGISTRER ET CONTINUER.
  3. Passez en revue le résumé et apportez les modifications ou corrections nécessaires.
  4. Cliquez sur REVENIR AU TABLEAU DE BORD.

 

L’écran API et services, affichant « Informations d’authentification » et « Créer des informations d’authentification sélectionnées ».

  1. Cliquez sur Informations d’authentification dans le menu de gauche.
  2. Cliquez sur CRÉER DES INFORMATIONS D’AUTHENTIFICATION dans la bannière supérieure et sélectionnez ID client OAuth.

 

L’écran Google pour créer des informations d’authentification, avec des exemples de données dans les champs.

  1. Sur la page de création d’informations d’authentification, sélectionnez Application Web pour le Type d’application. Des champs supplémentaires apparaissent lorsque cette option est sélectionnée.
  2. Saisissez un nom pour l’application.
  3. Faites défiles jusqu’à URI de redirection autorisées et cliquez sur AJOUTER L’URI.
  4. Saisissez l’URI de redirection d’autorisation obtenue depuis l’appliance BeyondTrust au début de ce processus.
  5. Cliquez sur CRÉER.

 

Écran de confirmation d’un client OAuth créé, affichant l’ID et le secret de client.

  1. Une fenêtre confirme la création du client OAuth et affiche l’ID client et le secret de client. Cliquez pour télécharger un fichier JSON. Le fichier contient des informations nécessaires aux étapes suivantes.
  2. Cliquez sur OK pour revenir à la page API et services.

 

Les étapes restantes sont effectuées sur l’appliance BeyondTrust.

  1. Allez dans Appliance, cliquez sur l’onglet Sécurité puis sur Configuration e-mail.
  2. Saisissez les informations suivantes figurant dans le fichier JSON téléchargé :
    • Point de terminaison d’autorisation
    • Point de terminaison du jeton
    • ID client
    • Secret de client
  3. Saisissez l’adresse e-mail de ce service en tant qu’Envoyer depuis l’adresse e-mail.
  4. Saisissez l’E-mail d’utilisateur. Il doit s’agir d’une adresse e-mail saisie en tant qu’Utilisateur test ayant accès à l’application, lorsque vous avez rempli les écrans de consentement OAuth.
  1. Saisissez les données pour les champs Hôte, Chiffrement et Port.
    • Hôte : smtp.gmail.com
    • Chiffrement : TLS
    • Port : 465

les données par défaut pour Google sont affichées, mais votre installation peut utiliser un autre hôte ou une autre méthode de chiffrement. Le port est applicable pour TLS, mais d’autres méthodes de chiffrement peuvent utiliser un port différent.

  1. Saisissez votre certificat TLS si Google vous en a fourni un. Si ce n’est pas le cas, cochez Ignorer les erreurs de certificat TLS.
  2. Saisissez ce qui suit pour Scopes : https://mail.google.com
  3. Cliquez sur Enregistrer les modifications.
  4. Cliquez surk Autoriser. Après la page de connexion qui s’affiche, l’avertissement Google n’a pas vérifié ce message peut s’afficher, si vous n’avez pas publié l’application. La page de consentement se recharge et le bouton d’autorisation est remplacé par un message « autorisé ».
  5. Pour tester la configuration :
    • Ajoutez une Adresse e-mail du contact administrateur.
    • Cochez Envoyer un e-mail de test.
    • Cliquez sur Enregistrer les modifications.