Vous pouvez configurer la console Web pour permettre l'authentification à l'aide de cartes à puce ou l'authentification multicritère, et personnaliser la marque avec votre propre logo et votre propre titre d'application.
Vous pouvez lancer la console Web depuis n'importe quel ordinateur, périphérique iOS ou périphérique Android équipé d'un navigateur Web. Pour démarrer la console, entrez l'URL appropriée dans le champ d'adresse du navigateur Web. Par exemple, si vous avez installé le composant Web sur l'ordinateur HOUserver, tapez https://HOUserver/draclient dans le champ d'adresse de votre navigateur Web.
REMARQUE :pour afficher les informations de compte et Microsoft Exchange les plus à jour au niveau de la console Web, définissez votre navigateur Web pour qu'il recherche les versions les plus récentes des pages mises en cache à chaque visite.
Vous pouvez définir un délai d'inactivité à l'issue duquel la console Web se déconnecte automatiquement ou indiquer qu'elle ne se déconnecte jamais automatiquement.
Pour configurer la déconnexion automatique au niveau de la console Web, accédez à Administration > Configuration > Déconnexion automatique.
Vous pouvez configurer une des trois options au niveau de la console Web pour définir les options de connexion au serveur DRA. Une fois la configuration de la connexion définie, elle est la même pour les administrateurs et les assistants administrateur dans le panneau de liste déroulante Options lors de la connexion à la console Web.
Toujours utiliser l'emplacement par défaut du serveur DRA (Toujours)
Ne jamais utiliser l'emplacement par défaut du serveur DRA (Jamais)
Utiliser l'emplacement par défaut du serveur DRA uniquement s'il est sélectionné (Uniquement si sélectionné)
Le comportement pour chaque option lors de la connexion est décrit ci-dessous :
|
Configuration de la connexion |
Écran de connexion - Options |
Description des options de connexion |
|---|---|---|
|
Toujours |
Aucun(e) |
Les configurations d'option sont désactivées. |
|
Jamais |
Utiliser la découverte automatique |
Recherche un serveur DRA automatiquement ; aucune option de configuration n'est disponible. |
|
Connecter à un serveur DRA spécifique |
L'utilisateur configure le serveur et le port. |
|
Connecter à un serveur DRA qui gère un domaine spécifique |
L'utilisateur spécifie un domaine géré et choisit une option de connexion :
|
|
Uniquement si sélectionné |
Utiliser la découverte automatique |
Recherche un serveur DRA automatiquement ; aucune option de configuration n'est disponible. |
|
Connecter au serveur DRA par défaut |
Le serveur par défaut est sélectionné et la configuration du serveur DRA est désactivée. |
|
Connecter à un serveur DRA spécifique |
L'utilisateur configure le serveur et le port. |
|
Connecter à un serveur DRA qui gère un domaine spécifique |
L'utilisateur spécifie un domaine géré et choisit une option de connexion :
|
Pour configurer la connexion au serveur DRA au niveau de la console Web, accédez à Administration > Configuration > Connexion au serveur DRA.
Pour configurer la connexion au service REST, vous devez définir un emplacement de serveur par défaut et un timeout de connexion (en secondes). Vous pouvez configurer une des trois options au niveau de la console Web pour définir les options de connexion au service REST lors de la connexion. Une fois la configuration de la connexion définie, elle est la même pour les administrateurs et les assistants administrateur dans le panneau de liste déroulante Options lors de la connexion à la console Web.
Toujours utiliser l'emplacement par défaut du service REST (Toujours)
Ne jamais utiliser l'emplacement par défaut du service REST (Jamais)
Utiliser l'emplacement par défaut du service REST uniquement s'il est sélectionné (Uniquement si sélectionné)
Le comportement pour chaque option lors de la connexion est décrit ci-dessous :
|
Configuration de la connexion |
Écran de connexion - Options |
Description des options de connexion |
|---|---|---|
|
Toujours |
Aucun(e) |
Les configurations d'option sont désactivées. |
|
Jamais |
Utiliser la découverte automatique |
Recherche un serveur REST automatiquement ; aucune option de configuration n'est disponible. |
|
Connecter à un serveur REST spécifique |
L'utilisateur configure le serveur et le port. |
|
Connecter à un serveur REST dans un domaine spécifique |
L'utilisateur spécifie un domaine géré et choisit une option de connexion :
|
|
Uniquement si sélectionné |
Utiliser la découverte automatique |
Recherche un serveur REST automatiquement ; aucune option de configuration n'est disponible. |
|
Connecter au serveur REST par défaut |
Le serveur REST par défaut est sélectionné et la configuration du serveur REST est désactivée. |
|
Connecter à un serveur REST spécifique |
L'utilisateur configure le serveur et le port. |
|
Connecter à un serveur REST dans un domaine spécifique |
L'utilisateur spécifie un domaine géré et choisit une option de connexion :
|
Pour configurer la connexion au service REST au niveau de la console Web, accédez à Administration > Configuration > Connexion au service REST.
Cette section contient des informations pour la configuration de l'authentification par carte à puce, de l'authentification Windows et de l'authentification multicritère grâce à l'intégration d'Advanced Authentication.
Si vous souhaitez configurer la console Web afin qu'elle accepte un utilisateur sur la base des informations d'identification client présentes sur sa carte à puce, vous devez configurer IIS (Internet Information Services) et le fichier de configuration des services REST.
IMPORTANT :vérifiez que les certificats sur la carte à puce sont également installés dans la banque de certificats racine sur le serveur Web, car IIS doit pouvoir trouver les certificats correspondant à ceux sur la carte.
Installez les composants de l'authentification sur le serveur Web.
Démarrez le gestionnaire de serveur.
Cliquez sur Serveur Web (IIS).
Accédez à la section Services de rôle et cliquez sur Ajouter des services de rôle.
Accédez au noeud des services de rôle de sécurité et sélectionnez Authentification Windows et Authentification par mappage de certificat client.
Activez l'authentification sur le serveur Web.
Démarrez le gestionnaire IIS.
Sélectionnez votre serveur Web.
Recherchez l'icône Authentification sous la section IIS et double-cliquez dessus.
Activez les options Authentification du certificat client Active Directory et Authentification Windows.
Configurez le client DRA.
Sélectionnez votre client DRA.
Recherchez l'icône Authentification sous la section IIS et double-cliquez dessus.
Activez l'option Authentification Windows et désactivez l'option Authentification anonyme.
Activez les certificats SSL et client sur le client DRA.
Recherchez l'icône Services SSL sous la section IIS et double-cliquez dessus.
Sélectionnez Exiger SSL et sélectionnez Exiger sous les certificats client.
INDICATION :si l'option est disponible, sélectionnez Exiger SSL 128 bits.
Configurez l'application Web de services REST.
Sélectionnez votre application Web de services REST.
Recherchez l'icône Authentification sous la section IIS et double-cliquez dessus.
Activez l'option Authentification Windows et désactivez l'option Authentification anonyme.
Activez les certificats SSL et client dans l'application Web de services REST.
Recherchez l'icône Services SSL sous la section IIS et double-cliquez dessus.
Sélectionnez Exiger SSL et sélectionnez Exiger sous les certificats client.
INDICATION :si l'option est disponible, sélectionnez Exiger SSL 128 bits.
Configurez le fichier de service Web WCF.
Sélectionnez votre application Web de services REST et basculez vers l'affichage du contenu.
Localisez le fichier .svc et cliquez dessus avec le bouton droit.
Sélectionnez Basculer vers l'affichage des fonctions.
Recherchez l'icône Authentification sous la section IIS et double-cliquez dessus.
Activez l'option Authentification anonyme et désactivez toutes les autres méthodes d'authentification.
Modifiez le fichier de configuration des services REST.
Utilisez un éditeur de texte pour ouvrir le fichier C:\inetpub\wwwroot\DRAClient\rest\web.config.
Localisez la ligne <authentication mode="None" /> et supprimez-la.
Annulez les commentaires des lignes indiquées ci-dessous :
Sous la ligne <system.serviceModel> :
<services> <service name="NetIQ.DRA.DRARestProxy.RestProxy"> <endpoint address="" binding="webHttpBinding" bindingConfiguration="webHttpEndpointBinding" name="webHttpEndpoint" contract="NetIQ.DRA.DRARestProxy.IRestProxy" /> </service> </services>
Sous la ligne <serviceDebug includeExceptionDetailInFaults="false"/> :
<serviceAuthorization impersonateCallerForAllOperations="true" /> <serviceCredentials> <clientCertificate> <authentication mapClientCertificateToWindowsAccount="true" /> </clientCertificate> </serviceCredentials>
Au-dessus de la ligne <serviceHostingEnvironment multipleSiteBindingsEnabled="true" /> :
<bindings> <webHttpBinding> <binding name="webHttpEndpointBinding"> <security mode="Transport"> <transport clientCredentialType="Certificate" /> </security> </binding> </webHttpBinding> </bindings>
Enregistrez le fichier et redémarrez le serveur IIS.
Pour activer l'authentification Windows sur la console Web, vous devez configurer IIS et le fichier de configuration des services REST.
Ouvrez le gestionnaire IIS.
Dans le volet Connexions, recherchez l'application Web des services REST et sélectionnez-la.
Dans le volet de droite, accédez à la section IIS et double-cliquez sur Authentification.
Activez l'option Authentification Windows et désactivez toutes les autres méthodes d'authentification.
Utilisez un éditeur de texte pour ouvrir le fichier C:\inetpub\wwwroot\DRAClient\rest\web.config et localiser la ligne <authentication mode="None" />.
Remplacez "None" par "Windows" et enregistrez le fichier.
Redémarrez le serveur IIS.
Advanced Authentication Framework (AAF) est notre premier paquetage qui vous permet d'aller au-delà d'une simple combinaison nom d'utilisateur-mot de passe pour protéger plus efficacement vos informations sensibles grâce à une authentification multicritère.
Pour assurer la sécurité, Advanced Authentication prend en charge les protocoles de communication suivants :
TLS 1.2 (valeur par défaut), TLS 1.1, TLS 1.0
SSL 3.0
L'authentification multicritère est une méthode de contrôle d'accès à un ordinateur qui exige plusieurs modes d'authentification impliquant des catégories distinctes d'informations d'identification pour vérifier l'identité d'un utilisateur.
Il existe trois types de catégories d'authentification (ou « critères ») :
Connaissance : cette catégorie exige que vous connaissiez une information spécifique, par exemple un mot de passe ou un code d'activation.
Possession : cette catégorie exige que vous disposiez d'un périphérique d'authentification tel qu'une carte à puce ou un smartphone.
Caractéristique corporelle : cette catégorie exige d'utiliser une partie de votre anatomie, telle que vos empreintes digitales, comme méthode de vérification.
Chaque critère d'authentification comporte au moins une méthode d'authentification. Une méthode d'authentification est une technique spécifique que vous pouvez utiliser pour établir l'identité d'un utilisateur, par exemple en employant une empreinte digitale ou un mot de passe.
Vous pouvez considérer qu'un processus d'authentification est fort s'il utilise plusieurs types de méthode d'authentification, par exemple s'il combine un mot de passe et une empreinte digitale.
Advanced Authentication prend en charge les méthodes d'authentification suivantes :
Mot de passe LDAP
RADIUS (Remote Authentication Dial-In User Service)
Smartphone
INDICATION :la méthode Smartphone requiert que l'utilisateur télécharge une application iOS ou Android. Pour plus d'informations, reportez-vous au Advanced Authentication - Smartphone Applications User Guide (Advanced Authentication - Guide de l'utilisateur d'applications pour smartphone), qui est disponible sur le site Web de documentation de NetIQ.
Utilisez les informations des sections suivantes afin de configurer la console Web pour utiliser l'authentification multicritère.
IMPORTANT :bien que certaines des étapes des sections suivantes interviennent au niveau de la console Web, la majeure partie du processus de configuration de l'authentification multicritère requiert un accès à AAF. Ces procédures supposent que vous avez déjà installé AAF et avez accès à la documentation de l'Aide d'AAF.
La première étape de la configuration de la console Web pour pouvoir utiliser l'authentification multicritère consiste à ajouter à AAF tous les domaines Active Directory qui contiennent les administrateurs DRA et les assistants administrateur gérés par DRA. Ces domaines sont appelés des espaces de stockage ; ils contiennent les attributs d'identité des utilisateurs et des groupes à authentifier.
Connectez-vous au portail d'administration d'AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur.
Accédez au panneau de gauche, puis cliquez sur Espaces de stockage.
Cliquez sur Ajouter.
Complétez le formulaire.
INDICATION :le type LDAP est AD.
INDICATION :entrez un nom d'utilisateur et un mot de passe de niveau administrateur dans les champs correspondants.
Cliquez sur Ajouter un serveur .
Saisissez l'adresse IP du serveur LDAP dans le champ Adresse.
Cliquez sur Enregistrer.
Répétez les étapes 3 à 7 pour tous les autres espaces de stockage AD gérés par DRA.
Pour chaque espace de stockage répertorié sur la page Espaces de stockage, cliquez sur Synchroniser maintenant afin de le synchroniser avec le serveur AAF.
Une chaîne d'authentification comporte au moins une méthode d'authentification. Les méthodes dans la chaîne seront appelées dans l'ordre selon lequel elles ont été ajoutées à la chaîne. Pour qu'un utilisateur soit authentifié, il doit réussir toutes les méthodes de la chaîne. Par exemple, vous pouvez créer une chaîne qui contient la méthode Mot de passe LDAP et la méthode SMS. Lorsqu'un utilisateur tente de s'authentifier à l'aide de cette chaîne, il doit d'abord s'authentifier avec son mot de passe LDAP, puis il reçoit, sur son téléphone portable, un SMS contenant un mot de passe à usage unique. Une fois le mot de passe saisi, cela signifie que l'utilisateur a accompli toutes les méthodes de la chaîne. L'authentification réussit. Une chaîne d'authentification peut être assignée à un utilisateur ou à un groupe spécifique.
Pour créer une chaîne d'authentification :
Connectez-vous au portail d'administration d'AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur.
Accédez au panneau de gauche, puis cliquez sur Chaînes. Le panneau de droite affiche la liste des chaînes actuellement disponibles.
Cliquez sur Ajouter.
Complétez le formulaire. Tous les champs sont obligatoires.
IMPORTANT :ajoutez les méthodes dans l'ordre selon lequel elles doivent être appelées, autrement dit, si vous souhaitez que l'utilisateur commence par entrer un mot de passe LDAP, ajoutez d'abord le mot de passe LDAP à la chaîne.
IMPORTANT :assurez-vous que le paramètre Appliquer si utilisé par le propriétaire du noeud d'extrémité est défini sur DÉSACTIVÉ.
Définissez le paramètre Est activé sur ACTIVÉ.
Entrez le nom des rôles ou des groupes qui doivent être soumis à la demande d'authentification dans le champ Rôles et groupes.
INDICATION :si vous souhaitez que la chaîne s'applique à tous les utilisateurs, tapez tous les utilisateurs dans le champ Rôles et groupes et sélectionnez Tous les utilisateurs dans la liste déroulante résultante.
Tout utilisateur ou groupe que vous sélectionnez sera ajouté sous le champ Rôles et groupes.
Cliquez sur Enregistrer.
Un événement d'authentification est déclenché par l'application (dans ce cas, la console Web) qui souhaite authentifier un utilisateur. Au moins une chaîne d'authentification doit être assignée à l'événement afin que lorsque celui-ci est déclenché, les méthodes dans la chaîne qui lui est associée soient appelées pour authentifier l'utilisateur.
Un noeud d'extrémité correspond au périphérique réel, par exemple un ordinateur ou un smartphone, qui exécute le logiciel déclenchant l'événement d'authentification. DRA enregistre le noeud d'extrémité auprès d'AAF une fois l'événement créé.
Vous pouvez utiliser la zone Liste blanche des noeuds d'extrémité pour limiter l'accès à un événement à des noeuds d'extrémité spécifiques, ou vous pouvez autoriser tous les noeuds d'extrémité à accéder à l'événement.
Pour créer un événement d'authentification :
Connectez-vous au portail d'administration d'AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur.
Accédez au panneau de gauche, puis cliquez sur Événements. Le panneau de droite affiche la liste des événements actuellement disponibles.
Cliquez sur Ajouter.
Complétez le formulaire. Tous les champs sont obligatoires.
IMPORTANT :assurez-vous que le paramètre Est activé est défini sur ACTIVÉ.
Si vous souhaitez limiter l'accès à des noeuds d'extrémité spécifiques, accédez à la section Liste blanche des noeuds d'extrémité et déplacez les noeuds d'extrémité ciblés de la liste Disponible vers la liste Utilisé.
INDICATION :Si la liste Utilisé ne contient aucun noeud d'extrémité, l'événement sera disponible pour tous les noeuds d'extrémité.
Une fois que vous avez configuré des chaînes et des événements, vous pouvez vous connecter à la console Web en tant qu'administrateur et activer Advanced Authentication.
Une fois l'authentification activée, tous les utilisateurs devront s'authentifier via AAF avant de se voir accorder l'accès à la console Web.
IMPORTANT :avant d'activer la console Web, vous devez déjà être inscrit dans les méthodes d'authentification que la console Web utilisera pour authentifier les utilisateurs. Reportez-vous au Advanced Authentication Framework User Guide (Guide de l'utilisateur d'Advanced Authentication Framework) pour savoir comment vous inscrire dans des méthodes d'authentification.
Pour activer Advanced Authentication, connectez-vous à la console Web et accédez à Administration > Configuration > Advanced Authentication. Cochez la case Activé et configurez le formulaire conformément aux instructions fournies pour chaque champ.
INDICATION :une fois la configuration enregistrée, le noeud d'extrémité est créé dans AAF. Pour l'afficher ou le modifier, connectez-vous au portail d'administration d'AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur, puis cliquez sur Noeuds d'extrémité dans le volet gauche.
Connectez-vous au portail d'administration d'AAF avec un nom d'utilisateur et un mot de passe de niveau administrateur, puis cliquez sur Événements dans le volet gauche.
Modifiez chacun des événements de la console Web :
Ouvrez l'événement pour modification.
Accédez à la section Liste blanche des noeuds d'extrémité et déplacez le noeud d'extrémité que vous avez créé lors de la configuration de la console Web de la liste Disponible vers la liste Utilisé. Vous avez ainsi la garantie que seule la console Web peut utiliser ces événements.
Cliquez sur Enregistrer.