▼
Scroll to page 2
of
205
ESET Secure Authentication
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2023 d'ESET, spol. s r.o.
ESET Secure Authentication a été développé par ESET, spol. s r.o.
Pour plus d’informations, consultez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis.
Assistance technique : https://support.eset.com
RÉV. 26/10/2023
1 Aperçu ............................................................................................................................................... 1
2 Configuration requise ........................................................................................................................ 2
2.1 Systèmes d’exploitation pris en charge ......................................................................................... 3
2.1 TLS 1.0 et 1.1 obsolètes ................................................................................................................ 4
2.2 Navigateurs Web et résolution pris en charge pour ESA Web Console ............................................... 5
2.3 Applications Web prises en charge ............................................................................................... 5
2.4 Systèmes d’exploitation de téléphones mobiles pris en charge ........................................................ 6
2.5 Configuration requise pour l’installation ....................................................................................... 7
2.5 Composants ESA et compatibilité avec le système d’exploitation ................................................................. 11
2.5 Recommandations de performances ................................................................................................ 12
2.6 Environnements Active Directory pris en charge .......................................................................... 14
2.7 Exceptions de pare-feu .............................................................................................................. 15
2.8 Politiques ................................................................................................................................ 16
2.9 Gestion des ordinateurs clonés .................................................................................................. 16
2.10 Adresses IP utilisées par ESET Secure Authentication ................................................................. 17
3 Installation ...................................................................................................................................... 18
3.1 Installer le serveur d’authentification ......................................................................................... 18
3.1 Paramètres de proxy personnalisés .................................................................................................. 22
3.1 Vue haute disponibilité - Active Directory ........................................................................................... 22
3.1 Vue haute disponibilité - Mode Autonome ........................................................................................... 22
3.2 Installer Reporting Engine (Elasticsearch) ................................................................................... 23
3.3 Installer le plugin Remote Desktop ............................................................................................. 25
3.4 Installer le plugin Web App ........................................................................................................ 26
3.5 Installer le plugin Windows Login ............................................................................................... 28
3.6 Modifier, réparer et supprimer l’installation ................................................................................ 29
3.7 Installation à distance via ESET PROTECT .................................................................................... 31
3.8 Installer la protection de connexion Windows et RDP via GPO ........................................................ 32
3.8 Script de démarrage .................................................................................................................. 34
3.8 Tâche Installer un logiciel ............................................................................................................ 36
3.8 Arguments MSI ........................................................................................................................ 43
3.9 Installation de mise à niveau ..................................................................................................... 45
3.9 Compatibilité des composants ESA .................................................................................................. 47
3.10 Migration de base de données (Exporter les données) ................................................................ 47
4 Accès externe ................................................................................................................................. 50
4.1 Utilisation d’un proxy inverse .................................................................................................... 52
4.1 Configurer un proxy pour ESA ........................................................................................................ 52
4.2 Proxy transparent ..................................................................................................................... 55
5 Certificat SSL ................................................................................................................................... 55
5.1 Remplacement du certificat SSL ................................................................................................. 56
5.2 Générer un certificat SSL personnalisé ........................................................................................ 58
5.3 Faire en sorte que les certificats soient approuvés ....................................................................... 62
5.4 HSTS (HTTP Strict Transport Security) ........................................................................................ 63
6 Prise en charge du DNS géolocalisé ................................................................................................ 64
7 Prise en main d’ESET Secure Authentication Web Console ............................................................. 65
7.1 Activer ESET Secure Authentication ............................................................................................ 67
7.2 Gestion des utilisateurs - Provisionnement .................................................................................. 68
7.2 État de l’utilisateur ................................................................................................................... 72
7.2 Synchronisation avec AD/LDAP ....................................................................................................... 74
7.2 Importer des utilisateurs depuis un fichier .......................................................................................... 76
7.2 Auto-inscription ....................................................................................................................... 77
............................................................................ 81
............................................................................................................................... 82
7.5 Utiliser l’authentification de domaine ......................................................................................... 84
7.6 Notifications ............................................................................................................................ 86
8 Options d’authentification ............................................................................................................... 87
8.1 Application mobile .................................................................................................................... 89
8.2 Authentification push ................................................................................................................ 90
8.3 Jetons matériels ....................................................................................................................... 94
8.4 FIDO ....................................................................................................................................... 98
8.5 Options de livraison ................................................................................................................ 100
8.5 Exemples de scripts PowerShell .................................................................................................... 103
9 Fournisseurs d’identifiants pris en charge par ESA ....................................................................... 106
10 Protection de connexion Windows .............................................................................................. 106
11 Connecteur de fournisseur d’identité .......................................................................................... 110
11.1 Configurer le Connecteur de fournisseur d’identité dans ESA Web Console ................................. 113
11.2 Exemples de configuration d’IdP Connector ............................................................................. 117
12 Clé de récupération principale .................................................................................................... 126
13 Serveur RADIUS et protection VPN .............................................................................................. 128
13.1 Configuration RADIUS ............................................................................................................ 128
13.2 Utilisation de RADIUS ............................................................................................................ 131
13.3 Options d’authentification VPN .............................................................................................. 132
13.3 Mots de passe à usage unique par SMS .......................................................................................... 132
13.3 Mots de passe à usage unique par SMS à la demande .......................................................................... 132
13.3 Application mobile ................................................................................................................. 133
13.3 Jetons matériels ................................................................................................................... 134
13.3 Migration des mots de passe à usage unique par SMS vers l’application mobile .............................................. 134
13.3 Accès sans authentification à 2 facteurs ......................................................................................... 134
13.3 Contrôle d’accès à l’aide de l’appartenance à un groupe ....................................................................... 135
13.4 Méthodes d’authentification ESA et compatibilité PPP .............................................................. 135
13.5 Vérification du bon fonctionnement d’ESA RADIUS ................................................................... 135
13.5 S’assurer qu’ESA RADIUS Service est en cours d’exécution ..................................................................... 136
13.5 Configurer votre serveur RADIUS ................................................................................................. 136
13.5 Vérifier le bon fonctionnement (localhost) ....................................................................................... 138
13.5 Vérifier la connectivité réseau à partir d’une autre machine (facultatif) ....................................................... 139
13.5 Accès refusé ....................................................................................................................... 139
13.5 Erreur de connexion ............................................................................................................... 140
13.5 Expiration du délai d’attente ...................................................................................................... 141
14 Modules PAM RADIUS sous Linux/Mac ......................................................................................... 142
14.1 Créer des clients RADIUS ESA via l’API .................................................................................... 142
14.2 Configuration de PAM ............................................................................................................ 147
14.3 Autres configurations RADIUS ................................................................................................ 149
15 Web Application Protection ......................................................................................................... 153
15.1 Configuration ....................................................................................................................... 153
15.2 Utilisation ............................................................................................................................ 155
16 Remote Desktop Protection ........................................................................................................ 156
16.1 Configuration ....................................................................................................................... 157
16.2 Autoriser les utilisateurs qui n’utilisent pas l’authentification à 2 facteurs .................................. 158
16.3 Utilisation ............................................................................................................................ 158
16.4 Accès Web des services Bureau à distance .............................................................................. 160
16.5 Passerelle des services Bureau à distance et ESA RADIUS ......................................................... 161
7.3 Gestion des utilisateurs basée sur les groupes
7.4 Invitations
17 Liste blanche d’adresses IP .........................................................................................................
18 AD FS ..........................................................................................................................................
18.1 Politiques AD FS ...................................................................................................................
19 Compte de service ESA personnalisé ..........................................................................................
20 Intégration personnalisée via l’API et le SDK ..............................................................................
20.1 API ......................................................................................................................................
20.1 Aperçu de l’intégration ............................................................................................................
20.1 Configuration ......................................................................................................................
20.2 SDK .....................................................................................................................................
20.2 Aperçu de l’intégration ............................................................................................................
20.2 Activation de la licence SDK ......................................................................................................
20.2 Le SDK en pratique ................................................................................................................
20.2 Utilisation du SDK .................................................................................................................
20.2 Intégration du SDK au système ...................................................................................................
20.2 Configuration requise pour la base de données .................................................................................
20.2 Lecture et écriture de données d’authentification à 2 facteurs .................................................................
20.2 Mettre à jour l’interface utilisateur de connexion avec les méthodes d’authentification à 2 facteurs ........................
164
165
168
170
171
171
172
172
174
175
175
176
176
177
177
178
178
20.2 Mettre à jour l’interface utilisateur de gestion afin d’activer/désactiver l’authentification à 2 facteurs pour les utilisateurs
..................................................................................................................................... 181
20.2 Autres composants ................................................................................................................ 181
20.3 Résumé des différences ......................................................................................................... 181
20.4 Rapports .............................................................................................................................. 182
20.5 Audit ................................................................................................................................... 184
20.6 Vue d’ensemble de la licence ................................................................................................. 185
20.7 États de licence .................................................................................................................... 185
20.8 Application des licences ........................................................................................................ 186
21 Options de fournisseurs de services managés ............................................................................ 187
22 Dépannage .................................................................................................................................. 188
22.1 Problèmes de connexion des composants ................................................................................ 188
22.2 La protection de connexion Windows ne fonctionne pas ............................................................ 189
22.3 Échec de l’installation de Reporting Engine (Elasticsearch) ....................................................... 190
23 Glossaire ..................................................................................................................................... 191
24 Contrat de licence de l'utilisateur final ........................................................................................ 192
25 Politique de confidentialité .......................................................................................................... 198
Aperçu
ESET Secure Authentication (ESA) ajoute l’authentification à 2 facteurs (2FA) aux domaines Microsoft Active
Directory ou au réseau local, ce qui signifie qu’un mot de passe à usage unique est généré et fourni avec le nom
d’utilisateur et le mot de passe généralement requis. Ou une notification push est générée et doit être approuvée
sur le téléphone portable de l’utilisateur exécutant Android OS, iOS ou Windows une fois que l’utilisateur s’est
authentifié avec succès à l’aide de ses identifiants d’accès général.
Les notifications push nécessitent Android 4.1 et versions ultérieures, ainsi que les services Google Play 10.2.6 et
versions ultérieures, ou iOS.
Le produit ESA se compose des éléments suivants :
• Le plugin Windows Login fournit une authentification à 2 facteurs pour les ordinateurs Windows.
• Le plugin Remote Desktop fournit l’authentification à 2 facteurs (2FA) pour Remote Desktop Protocol.
• Le RADIUS Server for VPN Protection ajoute l’authentification à 2 facteurs (2FA) à l’authentification VPN.
• Les plugins Web Application fournissent l’authentification à 2 facteurs (2FA) à diverses applications Web
Microsoft (Microsoft Web Applications).
• Le plugin AD FS fournit l’authentification à 2 facteurs pour Active Directory Federation Services.
• Connecteur de fournisseur d’identité
• Le serveur d’authentification ESA (ESA Authentication Server) inclut une API REST qui peut être utilisée pour
ajouter l’authentification à 2 facteurs (2FA) à des applications personnalisées.
• ESA Management Tools:
oESA installé dans un environnement Active Directory :
▪Le plugin ESA User Management pour Active Directory Users and Computers (ADUC) est utilisé pour gérer
les utilisateurs
▪ESA Management Console, intitulée Paramètres ESET Secure Authentication, est utilisée pour configurer
ESA
Authentification à 2 facteurs activée pour l’utilisateur Administrateur de domaine
Si un utilisateur Administrateur de domaine a activé l’authentification à 2 facteurs lors de sa mise à niveau
vers ESA 2.7.x ou 2.8.x, l’accès à l’écran Active Directory Users and Computers > ESET Secure
Authentication et à ESA Management Console sera supprimé. ESA Web Console doit être utilisée à la place.
Vous pouvez également autoriser l’accès à la Web Console (s’applique aussi aux outils de gestion) via la
liste blanche d’adresses IP, ou désactiver l’authentification à 2 facteurs pour l’utilisateur Administrateur de
domaine, créer un autre utilisateur pour lequel l’authentification à 2 facteurs est désactivée et ajouter
l’utilisateur au groupe ESA Admins, ou désactiver l’authentification à 2 facteurs pour ESA Web Console.
▪ESA Web Console, un outil de gestion tout-en-un, est le moyen privilégié de configurer ESET Secure
Authentication et de gérer les utilisateurs
oESA installé en mode Autonome :
1
▪ESA Web Console, un outil de gestion tout-en-un, est utilisé pour configurer ESET Secure Authentication
et gérer les utilisateurs
Si ESA est installé dans un environnement Active Directory, il stocke les données dans le magasin de données
Active Directory. Étant donné que les données ESA sont automatiquement incluses dans vos sauvegardes Active
Directory, il n’est pas nécessaire d’utiliser des politiques de sauvegarde supplémentaires.
Configuration requise
Un domaine Active Directory, un réseau local ou un serveur d’authentification accessible au public est requis pour
installer ESET Secure Authentication (ESA).
Le niveau fonctionnel minimal pris en charge pour un domaine Active Directory est Windows 2000 Native. Seuls
les DNS Windows (Windows DNS) sont pris en charge si vous installez ESA en mode Intégration Active Directory.
Si vous utilisez un DNS personnalisé dans votre environnement Active Directory, vous devez créer un
enregistrement SRV dans votre DNS avant d’installer le serveur d’authentification à l’aide des informations
suivantes :
• Type : SRV
• Nom : _esetsecauth
• Protocole : _tcp
• Numéro de port : utilisez le numéro de port que vous avez configuré pour le port du domaine (Domain port)
lors de l’installation du serveur d’authentification. Le port du domaine (Domain port) par défaut est 8000.
• Hôte : <hostname>:<domain>. Si la vérification des conditions préalables d’ESA concernant les DNS
Active Directory échoue, le nom correct s’affiche.
Vérifiez la disponibilité d’un enregistrement SRV en exécutant la commande suivante à partir d’un ordinateur
Windows dans votre environnement Active Directory :
nslookup -type=SRV _esetsecauth._tcp
Au moins une instance du serveur d’authentification doit être présente dans votre domaine/réseau ;
Sélectionnez-la lors de la première installation d’ESA sur votre serveur (ordinateur principal). Si vous sélectionnez
un composant qui ne peut pas être installé, le programme d’installation vous informe des conditions préalables
exactes qui ne sont pas remplies.
Les composants ESA peuvent communiquer avec le serveur d’authentification via IPv4 et IPv6.
Si vous installez ESA en mode Autonome, assurez-vous que les composants ESA et le serveur d’authentification
peuvent se détecter l’un l’autre (ping).
Prise en charge limitée des produits tiers en fin de vie
ESET Secure Authentication fournit une prise en charge limitée des produits tiers compatibles qui ont
atteint la fin de leur cycle de vie d’assistance.
2
Systèmes d’exploitation pris en charge
Vous trouverez ci-dessous une liste des systèmes d’exploitation pris en charge en général. Pour la prise en charge
du système d’exploitation pour des composants spécifiques, reportez-vous à la configuration requise pour
l’installation.
Systèmes d’exploitation serveur
• Windows Server 2008 *
• Windows Server 2008 R2 SP1*
• Windows Server 2012
• Windows Server 2012 R2
• Windows Small Business Server 2008
• Windows Small Business Server 2011
• Windows Server 2012 Essentials
• Windows Server 2012 R2 Essentials
• Windows Server 2016
• Windows Server 2016 Essentials
• Windows Server 2019
• Windows Server 2019 Essentials
• Windows Server 2022
* Modifiez la version TLS par défaut à utiliser
Systèmes d’exploitation clients
• Windows 7
• Windows 8
• Windows 8.1
• Windows 10 (y compris la mise à jour 22H2)
• Windows 11 (y compris la mise à jour 22H2)
3
Serveur RADIUS (RADIUS Server) sur Windows Small Business Server
Lorsque vous installez un serveur RADIUS (RADIUS Server) sur Windows Small Business Server 2008 ou
2011, modifiez le port NPS par défaut de 1812 à 1645. Vérifiez qu’aucun processus n’écoute sur le
port 1812 avant l’installation d’ESA en exécutant la commande suivante : C:\> netstat -a -p udp |
more
Lors de l’installation de RADIUS ESA, vous pouvez aussi modifier le port RADIUS dans l’écran Configuration
avancée.
ESA Core et RADIUS sur un système d’exploitation client
L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation
client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de
licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de
logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations
(par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation
serveur.
Plates-formes CPU prises en charge
• x86
• x64
TLS 1.0 et 1.1 obsolètes
Depuis le 31 mars 2020, les versions 1.0 et 1.1 de Transport Layer Security (TLS) ne sont plus prises en charge.
Si le serveur d’authentification s’exécute sur Windows Server 2008 ou Windows Server 2008 R2, il utilise l’ancien
protocole TLS par défaut. Pour utiliser TLS 1.2, vous devez d’abord installer toutes les mises à jour Windows
disponibles, puis modifier le Registre.
Pour modifier le Registre, procédez comme suit :
1. Cliquez sur Démarrer > Exécuter.
2. Saisissez regedit dans le champ Ouvrir, puis cliquez sur OK.
3. Dans l’Éditeur du Registre, développez HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control >
SecurityProviders > SCHANNEL > Protocols > TLS 1.2 > Server.
4. Dans le menu, cliquez sur Modifier, puis sélectionnez Nouveau > Valeur DWORD.
5. Attribuez-lui le nom DisabledByDefault, appuyez sur Entrée.
6. Double-cliquez sur l’entrée DisabledByDefault, assurez-vous que les Données de la valeur sont définies
sur 0, puis cliquez sur OK.
7. Fermez l’Éditeur du Registre et redémarrez le système d’exploitation.
4
Navigateurs Web et résolution pris en charge pour
ESA Web Console
ESET Secure Authentication Web Console fonctionne de façon optimale avec les navigateurs suivants :
Microsoft Internet Explorer 11
Google Chrome
à jour
Mozilla Firefox
à jour
Microsoft Edge
à jour
Safari
à jour
Détails fonctionnels
L’exécution de JavaScript doit être activée dans votre navigateur Web.
L’authentification de domaine n’est pas prise en charge dans Safari.
La résolution minimale requise est de 1024 x 768.
Applications Web prises en charge
ESET Secure Authentication fournit l’authentification à 2 facteurs (2FA) pour les produits Microsoft suivants :
• Microsoft Exchange 2007
oOutlook Web Access - Exchange Client Access Server (CAS)
• Microsoft Exchange 2010
oOutlook Web Access - Exchange Client Access Server (CAS)
oPanneau de configuration Exchange
• Microsoft Exchange 2013
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentre d’administration Exchange
• Microsoft Exchange 2016
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentre d’administration Exchange
• Microsoft Exchange 2019
oOutlook Web App - Exchange Mailbox Server Role (MBX)
oCentre d’administration Exchange
5
Où l’authentification à 2 facteurs est-elle applicable ?
ESA ajoute la protection par authentification à 2 facteurs (2FA) uniquement à l’interface Web
d’Outlook Web Access. La connexion à Microsoft Outlook ou à des clients de messagerie similaires ne peut
pas être protégée par ESA, en raison de la nature de leur protocole, que l’on appelle aussi RPC sur HTTPS.
Nous vous recommandons de ne pas exposer ces clients de messagerie à un accès externe. Découvrez
comment contrôler l’accès aux services Web Exchange.
• Microsoft Dynamics CRM 2011
• Microsoft Dynamics CRM 2013
• Microsoft Dynamics CRM 2015
• Microsoft Dynamics CRM 2016
• Microsoft SharePoint 2010
• Microsoft SharePoint 2013
• Microsoft SharePoint 2016
• Microsoft SharePoint 2019
• Microsoft SharePoint Foundation 2010
• Microsoft SharePoint Foundation 2013
• Microsoft Accès Web des services Bureau à distance
• Accès Web Terminal Services Microsoft
• Microsoft Accès Web à distance
Internet Explorer
Les versions 9 et 10 du navigateur Web Internet Explorer sont prises en charge.
Systèmes d’exploitation de téléphones mobiles pris en
charge
L’application mobile ESET Secure Authentication est compatible avec les systèmes d’exploitation de téléphones
mobiles suivants :
• iOS 12 à iOS 16
• Android™ 4.4 à Android™ 13 - Les services Google Play 10.2.6 sont requis pour les notifications push.
oL’autorisation d’accéder à l’appareil photo et à la lampe torche est requise pour scanner le code QR
6
Configuration requise pour l’installation
Liens rapides : Droits d’accès à l’installation, composants ESA dans un environnement distribué, conditions
préalables de chaque composant, exigences .NET, exigences de base de données en mode autonome
L’installation nécessite une connectivité sortante vers esa.eset.com sur le port TCP 443 et les serveurs de licences.
Une autre exigence pour exécuter le programme d’installation est d’avoir NET Framework Version 4.5 [Full Install
(Installation complète)]. Le programme d’installation tentera automatiquement d’installer .NET 4.5 s’il n’est pas
déjà installé.
Les exceptions du pare-feu Windows essentielles au bon fonctionnement de ESET Secure Authentication seront
ajoutées automatiquement dans le cadre de l’installation. Si vous utilisez une autre solution de pare-feu,
consultez Exceptions de pare-feu pour en savoir plus sur les exceptions essentielles que vous devrez créer.
Droits d’accès à l’installation :
• Environnement Active Directory :
oDroits d’administration de domaine : le programme d’installation doit être exécuté par un membre du
groupe de sécurité « Domain Administrators » ou par un utilisateur disposant de privilèges d’administrateur.
Les droits d’administration de domaine peuvent être omis lors de l’installation/désinstallation de composants
ESA dans un environnement AD via le programme d’installation .MSI à l’aide de paramètres de ligne de
commande. Dans ce cas, utilisez le paramètre NO_DOMAIN_ADMIN_MODE=1, puis recherchez dans les
journaux d’installation des instructions supplémentaires marquées comme « Manual configuration needed »
(Configuration manuelle nécessaire).
oDroits d’extension de schéma : essentiels lors de l’installation du serveur d’authentification. Le programme
d’installation doit être exécuté par un utilisateur membre du groupe de sécurité « Schema Admins ».
• Déploiement autonome :
oDroits d’administrateur local
Composants ESA dans un environnement distribué :
ESA Prend en charge l’installation de composants dans un environnement distribué. Modèles disponibles :
• Serveur d’authentification installé en mode Intégration Active Directory
oLes composants installés en mode Intégration Active Directory doivent se trouver dans le même domaine, et
ils se connectent automatiquement au serveur d’authentification.
oLes composants installés en mode Autonome se connectent au serveur d’authentification via des
invitations.
• Serveur d’authentification installé en mode Autonome
oLes composants doivent être installés en mode Autonome et se connecter au serveur d’authentification via
des invitations.
7
Tableau de compatibilité des composants ESA et des systèmes d’exploitation pris en charge
Conditions préalables pour l’installation de chaque composant :
• Authentication Server:
oWindows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes
d’exploitation pris en charge
• Management Tools:
oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris
en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des
systèmes d’exploitation pris en charge
o.NET Framework version 3.5
oWindows Remote Server Administration Tools, Active Directory Domain Services composant (RSAT AD DS)
RSAT (Outils d’administration de serveur distant)
RSAT était auparavant connu sous le nom de Remote Administration Pack (adminpack). Vous pouvez le
télécharger auprès de Microsoft. Sous Windows Server 2008 et versions ultérieures, vous pouvez installer
ce composant via l’assistant Ajout de fonctionnalités du Server Manager (Gestionnaire de serveur). Ces
composants sont déjà installés sur tous les contrôleurs de domaine.
• Reporting Engine (Elasticsearch) :
oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris
en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des
systèmes d’exploitation pris en charge
oServer JRE (Java SE Runtime Environment) version 1.8.0_131 et versions ultérieures à 1.8.x, Java SE 11 ou
OpenJDK 11 ou 13
oLes variables d’environnement système JAVA_HOME et PATH contiennent le chemin d’accès à votre
installation de Server JRE ou OpenJDK
o.NET Framework version 4.7.2
o2 Go de RAM disponible
• Connecteur de fournisseur d’identité :
oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris
en charge, Windows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des
systèmes d’exploitation pris en charge
oIIS 7 ou version ultérieure avec ASP.NET Framework version 4.7.2
• RADIUS Server:
oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris
en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des
8
systèmes d’exploitation pris en charge
• Plugin Web App pour Microsoft Exchange Server :
oMicrosoft Exchange Server 2007 ou version ultérieure (64 bits uniquement), avec le rôle Client Access
(Outlook Web App / Outlook Web Access) installé
o.NET Framework version 3.5
oInternet Information Services 7 (IIS7) ou version ultérieure
• Plugin Web App pour Microsoft SharePoint Server :
oMicrosoft SharePoint Server 2010, 2013, 2016, 2019 (64 bits uniquement)
oMicrosoft SharePoint Server 2010, 2013 Foundation (64 bits uniquement)
o.NET Framework version 4.5
• Plugin Web App pour Microsoft Dynamics CRM :
oMicrosoft Dynamics CRM 2011, 2013, 2015 ou 2016
o.NET Framework version 4.5
• Plugin Web App pour Microsoft Terminal Services Web Access :
oRôle Terminal Services avec service de rôle Terminal Services installés sur Windows Server 2008 R2
o.NET Framework version 4.5
• Plugin Web App pour Microsoft Remote Desktop Services Web Access :
oRôle Remote Desktop Services avec le service de rôle Remote Desktop Web Access installé sur Windows
Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation
pris en charge
o.NET Framework version 4.5
• Plugin Web App pour Microsoft Remote Web Access :
oService de rôle Remote Web Access installé sur Windows SBS 2008 (où il est appelé Remote Web Access),
Windows SBS 2011, Windows Server 2012 Essentials, Windows Server 2012 Essentials R2 et Windows Server
2016 Essentials
o.NET Framework version 4.5
• Remote Desktop Protection:
oWindows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes
d’exploitation pris en charge
oMicrosoft Windows 7 ou système d’exploitation client ultérieur présent dans la liste des systèmes
d’exploitation pris en charge
9
oSeuls les systèmes d’exploitation 64 bits sont pris en charge
• Windows login protection:
oWindows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes
d’exploitation pris en charge
oWindows 7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris
en charge
• AD FS protection:
oWindows Server 2012 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes
d’exploitation pris en charge
Configuration requise relative à .NET :
• Tous les composants : .NET 4.5 Full Install (Installation complète)
• Core Server: .NET 4.5 Full Install
• RADIUS Server: .NET 4.5 Full Install
• Management Tools : .NET 3.5 (4 sur Windows Server 2012)
• Plugin Web App : .NET 4.5. Cependant, IIS Filters nécessite .NET 3.5
• Reporting Engine (Elasticsearch) et FIDO : .NET Framework 4.7.2
• Connecteur de fournisseur d’identité : .NET Framework 4.6.2
ESA Core et RADIUS sur un système d’exploitation client
L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation
client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de
licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de
logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations
(par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation
serveur.
Configuration requise en matière de base de données en mode
Autonome :
Si le serveur d’authentification est installé en mode Autonome, il utilise une base de données intégrée par défaut.
Si vous préférez une base de données externe, la configuration minimale requise pour la base de données est la
suivante :
• Microsoft SQL/Microsoft SQL Express 2012 (11.0.2100.60)
• Postgre SQL 9.4.24
10
Composants ESA et compatibilité avec le système
d’exploitation
Le tableau ci-après répertorie les systèmes d'exploitation Windows pris en charge pour chaque composant ESET
Secure Authentication.
Voir la configuration requise pour l’installation pour en savoir plus.
Systèmes d’exploitation serveur
Windows
Windows
Windows
Windows
Server 2008 Server 2008 Server 2012 Server 2012
R2
R2
Windows
SBS 2008
Windows
SBS 2011
Windows
Windows
Windows
Windows
Windows
Windows
Windows
Server 2012 Server 2012 Server 2016 Server 2016 Server 2019 Server 2019 Server 2022
Essentials
R2
Essentials
Essentials
Essentials
Serveur d’authentification
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Management Tools
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Reporting Engine
(Elasticsearch)
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
RADIUS Server
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Plugin Web App pour
Microsoft Exchange Server
✔*
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Plugin Web App pour
Microsoft SharePoint Server
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Plugin Web App pour
Microsoft Dynamics CRM
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Plugin Web App pour
l’accès Web aux services
✔**
Bureau à distance Microsoft
✔
Plugin Web App pour
l’accès Web à distance
Microsoft
✔
✔
Remote Desktop Protection
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
Protection de connexion
Windows
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
AD FS
Connecteur de fournisseur
d’identité
✔
✔
* La version 64 bits du système d’exploitation est requise
** Microsoft Terminal Services sur Windows Server 2008
Systèmes d’exploitation clients
Windows 7 Windows 8
Windows
8.1
Windows
10
Windows
11
Serveur d’authentification
✔
✔
✔
✔
✔
Management Tools
✔
✔
✔
✔
✔
Reporting Engine (Elasticsearch)
✔
✔
✔
✔
✔
Serveur RADIUS
✔
✔
✔
✔
✔
Plugin Web App pour
Microsoft Exchange Server *
Plugin Web App pour
Microsoft SharePoint Server *
Plugin Web App pour
Microsoft Dynamics CRM
11
Windows 7 Windows 8
Windows
8.1
Windows
10
Windows
11
Plugin Web App pour l’accès Web
Terminal Services Microsoft
Plugin Web App pour l’accès Web aux
services Bureau à distance Microsoft
Plugin Web App pour l’accès Web à distance
Microsoft
Remote Desktop Protection*
✔
✔
✔
✔
✔
Protection de connexion Windows
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
AD FS
Connecteur de fournisseur d’identité
* La version 64 bits du système d’exploitation est requise
Serveur RADIUS (RADIUS Server) sur Windows Small Business Server
Lorsque vous installez un serveur RADIUS (RADIUS Server) sur Windows Small Business Server 2008 ou
2011, modifiez le port NPS par défaut de 1812 à 1645. Vérifiez qu’aucun processus n’écoute sur le
port 1812 avant l’installation d’ESA en exécutant la commande suivante : C:\> netstat -a -p udp |
more
Lors de l’installation de RADIUS ESA, vous pouvez aussi modifier le port RADIUS dans l’écran Configuration
avancée.
ESA Core et RADIUS sur un système d’exploitation client
L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation
client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de
licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de
logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations
(par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation
serveur.
Recommandations de performances
Les performances du serveur d’authentification peuvent varier et dépendent de plusieurs facteurs.
Facteurs les plus importants :
• Nombre de demandes d’authentification en fonction de l’intervalle défini (moyenne et pic)
• Nombre total d’utilisateurs
• Mode d’intégration [Active Directory Integration (Intégration Active Directory) ou Standalone
(Autonome)]
• Méthode d’authentification utilisée
• Nombre de serveurs d’authentification utilisés
• Bases de données externes utilisées avec le mode d’intégration Standalone (Autonome)
12
• Matériel et logiciel (système d’exploitation) utilisés dans l’ensemble de l’écosystème
Il est impossible de définir un nombre unique représentant la performance, mais nous avons essayé de réduire
l’éventail des réponses possibles en fonction de nos tests.
Environnement de test
Matériel de référence utilisé pour le serveur d’authentification :
• Processeur : 2,5 GHz, 8 cœurs
• Mémoire RAM : 32 Go
• Disque dur : SSD
Informations supplémentaires :
• Un serveur d’authentification a été utilisé.
• La base de données externe se trouvait sur du matériel distinct (similaire au matériel utilisé pour le
serveur d’authentification) lors du test du type de déploiement Standalone (Autonome) avec une base de
données externe.
• En mode test Active Directory Integration (Intégration Active Directory), le contrôleur de domaine se
trouvait sur du matériel distinct (similaire au matériel utilisé pour le serveur d’authentification).
• Reporting Engine n’a pas été utilisé lors de ces tests.
En termes de vitesse, le mode Active Directory Integration (Intégration Active Directory) était le plus lent de nos
tests, bien que cela dépende également des performances du contrôleur de domaine et de certains autres
paramètres.
Le mode Standalone (Autonome) avec une base de données intégrée était aussi rapide que si une base de
données externe était utilisée. Toutefois, une base de données intégrée ne permet pas de disposer de plusieurs
serveurs d’authentification.
Le mode Standalone (Autonome) avec base de données externe est le plus approprié pour les très grandes bases
d’utilisateurs.
Compte tenu des performances décrites ci-dessus, nous devons tenir compte du nombre de clients qui
s’authentifient dans un intervalle donné.
Par exemple, si tous les clients s’authentifient dans la minute, le mode Standalone (Autonome) avec base de
données externe dans notre environnement est prêt à gérer 4 800 clients.
Type de déploiement
Mode Active Directory Integration
Requêtes par seconde
30
Mode Standalone (Autonome) avec base de données intégrée 80
Mode Standalone (Autonome) avec base de données externe 80
Cependant, si les clients s’authentifient de manière régulière dans un intervalle d’une heure, le mode peut
théoriquement gérer plus de 100 000 clients.
13
Le tableau ci-dessous est basé sur l’hypothèse que 10 % de tous les clients s’authentifient en une minute et tient
compte d’autres contraintes de déploiement.
S’il n’y a pas de ✔ dans le tableau ci-dessous, vous pouvez vous attendre à des problèmes de performances, sauf
si vous optimisez votre environnement.
Plage d’utilisateurs
jusqu'à 5 000
5000 - 20000
Mode AD
Integration
✔
Mode Standalone
(Autonome) avec
base de données
intégrée
Mode Standalone Mémoire
(Autonome) avec base
de données externe
Espace de
stockage sur
disque dur
✔
✔
450 Mo
800 Mo
✔
✔
1 GB
2 GB
plus
✔
*En supposant que plusieurs serveurs d’authentification sont utilisés
Environnements Active Directory pris en charge
ESET Secure Authentication (ESA) prend en charge les environnements Active Directory à domaine unique et à
domaines multiples. Les différences entre ces environnements et leurs exigences d’installation sont détaillées cidessous.
Domaine unique, forêt unique
La configuration la plus simple. Le programme d’installation peut être exécuté en tant que n’importe quel
administrateur du domaine. ESET Secure Authentication est disponible pour tous les utilisateurs du domaine.
Domaines multiples, forêt unique
Dans ce déploiement, un domaine parent tel que example.corp possède plusieurs sous-domaines tels que
branch1.example.corp et branch2.example.corp. ESET Secure Authentication peut être déployé sur
n’importe lequel des domaines de forêt, mais il n’y a pas de communication croisée entre les installations. Il n’y a
pas de partage des identifiants entre les domaines enfant et parent.
Pour installer ESET Secure Authentication sur un sous-domaine, le programme d’installation doit être lancé en
tant qu’utilisateur Administrateur de domaine à partir du domaine de premier niveau.
Par exemple, en utilisant les exemples de domaines définis précédemment :
Pour installer ESET Secure Authentication sur server01.branch1.example.corp, connectez-vous à
server01 en tant qu’utilisateur example.corp\Administrator (ou tout autre administrateur
d’example.corp). Après l’installation, ESET Secure Authentication sera disponible pour tout utilisateur du
domaine branch1.example.corp.
Domaines multiples, forêts multiples
Ceci est identique à l’environnement précédent. Les installations de ESET Secure Authentication situées dans des
domaines distincts n’ont pas conscience les unes des autres.
14
Avantages de l’installation d’ESA en mode Active Directory Integration
(Intégration Active Directory)
Si vous installez le serveur d’authentification en mode Active Directory Integration (Intégration Active Directory) :
• Les utilisateurs d’un même domaine sont automatiquement visibles dans ESA Web Console
• Les composants ESA au sein du même domaine sont automatiquement enregistrés (aucune invitation n’est
requise)
Utilisateurs et composants issus d’autres domaines
Vous pouvez ajouter manuellement des utilisateurs d’autres domaines ou les importer à l’aide de l’autoinscription ou de la synchronisation avec LDAP.
Pour ajouter des composants à partir d’autres domaines, utilisez des invitations.
Exceptions de pare-feu
Les exceptions de pare-feu Windows qui sont essentielles au bon fonctionnement de ESET Secure Authentication
seront ajoutées automatiquement dans le cadre de l’installation. Si vous utilisez un pare-feu différent, définissez
manuellement les exceptions ci-dessous dans ce pare-feu.
Nom de l’exception : ESET Secure Authentication Core Service
• Champ d’application : Tout
• Protocole : TCP
• Port local : 8000 et 8001
• Ports distants : Tous
Nom de l’exception : ESET Secure Authentication API
• Champ d’application : Tout
• Protocole : TCP
• Port local : 8001
• Ports distants : Tous
Nom de l’exception : ESET Secure Authentication RADIUS Service
• Champ d’application : Tout
• Protocole : UDP
• Port local : 1812
15
• Ports distants : Tous
Nom de l’exception : ESET Secure Authentication RADIUS Service (autre
port)
• Champ d’application : Tout
• Protocole : UDP
• Port local : 1645
• Ports distants : Tous
Politiques
Les informations ci-dessous s’appliquent uniquement au mode Intégration Active Directory.
Lors de l’installation, ESA ajoute l’utilisateur ESA_<computer name> à l’entité Log on as a service (Ouvrir une
session en tant que service) qui se trouve dans Local Security Policies > Local Policies > User Rights Assignments
(Politiques de sécurité locales > Politiques locales > Affectations des droits d’utilisateurs), où <computer name>
est remplacé par le nom de l’ordinateur où ESA est en cours d’installation. Cette étape est essentielle pour
exécuter le service ESET Secure Authentication Service qui se lancer automatiquement lors du démarrage du
système d’exploitation.
Si vous utilisez la politique de groupe et que l’option Log on as a service (Ouvrir une session en tant que service) y
est définie [Group Policy Management > <Forest> > Domains > <domain> > Default Domain Policy > Settings >
Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies (Gestion des
politiques de groupe > <forêt> > Domaines > <domaine> > Politique de domaine par défaut > Paramètres >
Configuration de l’ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques
locales]), vous devez ajouter l’utilisateur ESA_<computer name> (<nom ordinateur>) à l’entité Log on as a service
(Ouvrir une session en tant que service) ou ne pas définir du tout Log on as a service (Ouvrir une session en tant
que service) ici.
Pour trouver le nom de l’ordinateur sur lequel vous installez ESA, procédez comme suit :
oAppuyez simultanément sur la touche Windows
apparaisse.
et sur la touche E pour que l’explorateur de fichiers
oOu, dans le volet de droite, cliquez avec le bouton droit sur Ce PC ou Ordinateur et sélectionnez Propriétés.
Une nouvelle fenêtre affiche le nom de l’ordinateur.
Gestion des ordinateurs clonés
Supposons que vous souhaitiez avoir des ordinateurs clonés dans votre réseau où ESET Secure Authentication
(ESA) sera utilisé. Dans ce cas, les attributs ci-dessous doivent être uniques pour chaque ordinateur à protéger par
ESA.
• Pour l’enregistrement correct des composants ESA (plugin Windows Login, plugin Remote Desktop) qui
16
communiquent en mode Intégration Active Directory avec le serveur d’authentification :
▪Nom de l’ordinateur
▪SID de l’ordinateur
▪SID d’objet AD de l’ordinateur
• Pour l’enregistrement correct des composants ESA (plugin Windows Login, plugin Remote Desktop) installés
en mode Autonome :
▪Nom de l’ordinateur
▪Nom d’utilisateur de l’API dans C:\ProgramData\ESET Secure Authentication\ESA.config
• Pour l’enregistrement correct des domaines pour les utilisateurs locaux :
▪Nom de l’ordinateur
▪SID de l’ordinateur
Utilisez l’outil SysPrep de Microsoft pour vous assurer que des attributs uniques sont appliqués aux ordinateurs
clonés.
1. Dans SysPrep, utilisez l’option Generalize (Généraliser) pour créer une image système Windows
généralisée à cloner ultérieurement. Chaque image est configurée lors de son premier démarrage.
2. Si les ordinateurs clonés sont utilisés dans un domaine :
a.Sur l’ordinateur cloné, exécutez l’outil SysPrep.
b.Redémarrer l’ordinateur.
c.Connectez l’ordinateur au domaine.
3. Installez ESA (plugin Windows Login, plugin Remote Desktop) sur chaque ordinateur cloné manuellement
ou via GPO.
Adresses IP utilisées par ESET Secure Authentication
ESET Secure Authentication se connecte automatiquement aux adresses IP répertoriées dans notre article de la
base de connaissances (sections ESET Data Framework, Services, Serveur de provisionnement ESET Secure
Authentication, ESET PROTECT) ou ci-dessous.
• 93.184.220.29 - Vérification de la révocation des certificats basée sur les listes de révocation de certificats
accessibles au public
• 23.42.27.27 - Vérification de la révocation des certificats concernant les signatures EXE/DLL
17
Installation
Tous les composants suivants sont requis pour votre première installation d’ESA :
• Au moins une instance du serveur d’authentification
• Au moins un des endpoints d’authentification (API, Windows Login, Web Application, AD FS,
Remote Desktop ou RADIUS)
Vous pouvez installer tous les composants sur une seule machine ou sur plusieurs machines dans un
environnement distribué, mais ESA Web Console fait partie du serveur d’authentification. Comme c’est le cas
avec les systèmes distribués, il existe de nombreux scénarios d’installation possibles.
Lors de l’installation du serveur d’authentification ESA dans un environnement Active Directory, vous n’avez pas
besoin de l’installer spécifiquement sur le contrôleur de domaine. Il peut être installé sur n’importe quelle autre
machine, même en mode autonome.
L’exemple ci-dessous illustre un scénario d’installation générique dans un environnement Active Directory.
Toutefois, cet exemple peut servir de guide de base pour d’autres scénarios de déploiement. L’exemple
d’installation se compose de deux séquences : une fois les deux terminées, votre déploiement correspondra à
l’illustration ci-dessous.
Installer le serveur d’authentification
18
Windows Server 2008 et Windows Server 2008R2
Avant d’installer le serveur d’authentification sur Windows Server 2008 ou Windows Server 2008 R2,
modifiez la version TLS à utiliser par défaut.
1. Exécutez le fichier .EXE fourni pour installer le serveur d’authentification sur la machine qui hébergera ESA
Authentication Service. NET Framework version 4.5 sera automatiquement installé s’il n’est pas détecté.
2. Sélectionnez un type de déploiement :
• Active Directory Integration (Intégration Active Directory) : ce type de déploiement convient aux clients
exécutant un réseau de domaine Windows. Ils ne sont pas limités à l’authentification à 2 facteurs (2FA) pour
protéger des ordinateurs appartenant à leur domaine Windows uniquement. Ils peuvent également inviter
des ordinateurs en dehors de leur réseau, tant que le serveur d’authentification est disponible en ligne.
• Standalone (Autonome) : ce type de déploiement convient également aux clients n’utilisant pas de
domaine Windows. Ils peuvent aussi inviter des ordinateurs à partir de leur réseau local et d’autres réseaux.
Les services en lien avec ESA s’exécutent avec le compte utilisateur SYSTEM.
3. Un certain nombre de vérifications préalables seront effectuées pour s’assurer que le domaine ou
l’environnement d’installation est sain et qu’ESA peut être installé. Tout problème doit être corrigé avant que
l’installation puisse commencer. L’installation se poursuivra lorsque toutes les conditions préalables seront
remplies.
Si le bouton Next (Suivant) n’est pas disponible pendant plus de 5 secondes, attendez ou faites défiler la page
vers le bas pour voir quelles exigences sont toujours en cours de vérification.
19
4. Lorsque vous y êtes invité, vérifiez que le composant Authentication Server (Serveur d’authentification) est
sélectionné, comme indiqué dans la figure ci-dessous. Si le type de déploiement Active Directory Integration
(Intégration Active Directory) a été sélectionné initialement, les composants Authentication Server (Serveur
d’authentification), Management Tools (Outils de gestion) (Microsoft Management Console pour ESA), et
Reporting Engine (Elasticsearch) seraient sélectionnés automatiquement.
5. Si le numéro de port 8000 [Active Directory Integration (Active Directory Integration) uniquement] ou 8001
est déjà utilisé sur votre réseau, sélectionnez un autre port de domaine (Domain port) ou un autre Port pour
ESA Web Console. Si vous préférez utiliser un proxy transparent, sélectionnez Paramètres de proxy
personnalisés et saisissez les valeurs correspondantes. Le numéro de port 8001 est également utilisé pour
20
l’API.
Si vous installez le serveur d’authentification en mode autonome et préférez utiliser une base de données
externe, sélectionnez une base de données externe prise en charge dans Database Type (Type de base de
données) et saisissez les détails de connexion de la base de données existante. Cliquez sur Next (Suivant).
6. Définissez le nom d’utilisateur et le mot de passe, puis cliquez sur Next (Suivant).
7. L’écran Check prerequisites (Vérifier les conditions préalables) suivant s’affiche si les ports sélectionnés
sont disponibles.
8. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée.
21
9. Utilisez ESA Web Console pour configurer votre installation de ESET Secure Authentication, les composants
associés et les utilisateurs.
Paramètres de proxy personnalisés
Si l’administrateur préfère utiliser un proxy transparent lors de l’installation du serveur d’authentification,
sélectionnez Custom proxy settings (Paramètres de proxy personnalisés), puis saisissez les valeurs
correspondantes. Si l’option Custom proxy settings (Paramètres de proxy personnalisés) n’est pas sélectionnée,
les paramètres de proxy système par défaut sont utilisés. Les paramètres par défaut sont spécifiés dans l’écran
Internet Options (Options Internet) de l’utilisateur actuel.
Déterminer l’utilisateur actuel :
• Si AS est installé en mode Intégration Active Directory, l’utilisateur actuel est ESASrv_<computer
name>.
• Si AS est installé en mode Autonome, l’utilisateur actuel est Système local.
• Pendant l’installation du serveur d’authentification, l’utilisateur actuel est l’utilisateur qui exécutait le
programme d’installation au moment de la vérification des conditions préalables.
• Si Custom proxy settings (Paramètres de proxy personnalisés) est sélectionné et que Proxy server (Serveur
proxy) est vide, le serveur d’authentification n’utilisera pas de proxy.
Vue haute disponibilité - Active Directory
Lorsque vous utilisez le type de déploiement Active Directory Integration (Intégration Active Directory) dans un
environnement AD, tous les serveurs installés sont affichés dans la vignette Servers (Serveurs) de l’écran
Dashboard (Tableau de bord) dans ESA Web Console. Lorsque plusieurs services principaux sont détectés sur le
réseau, tous les serveurs sont répertoriés.
Chaque serveur d’authentification ESA (ESA Authentication Server) installé sur le domaine s’enregistre lui-même
dans AD DNS à l’aide d’un enregistrement SRV (comme _esetsecauth._tcp). Lorsqu’un endpoint (comme une
application Web ou une appliance VPN) commence l’authentification, il vérifie d’abord sa liste interne de serveurs
connus. Si la liste est vide, il effectue une recherche de SRV. La recherche de SRV renverra tous les serveurs
d’authentification (Authentication Servers) du domaine. L’endpoint choisit ensuite un serveur d’authentification
auquel se connecter. Si la connexion échoue, il sélectionne un autre serveur dans la liste et tente de se connecter
à nouveau.
Si la redondance du réseau est un problème lors de la protection de votre VPN avec ESA, il est recommandé de
configurer les authentificateurs RADIUS principaux et secondaires sur votre appliance VPN. Vous devez ensuite
installer deux serveurs ESA RADIUS sur votre réseau et les configurer en conséquence.
Plusieurs serveurs d’authentification utilisant le type de déploiement Autonome
Vue haute disponibilité - Mode Autonome
Dans ESET Secure Authentication (ESA) version 3.0, vous pouvez avoir plusieurs serveurs d’authentification même
en mode d’installation Standalone (Autonome).
22
1. Lors de l’installation de chaque serveur d’authentification, définissez les mêmes détails de connexion à une
base de données externe.
2. Une fois installés, tous les serveurs d’authentification seront visibles dans ESA Web Console.
3. Configurez un serveur proxy en tant qu’équilibreur de charge. Reportez-vous à « Exemple d’extrait de
configuration - Plusieurs serveurs d’authentification ».
4. Dans les invitations, utilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification.
5. Si un serveur d’authentification est ajouté/supprimé, mettez à jour la configuration du proxy.
Tous les serveurs installés seront affichés dans la vignette Servers (Serveurs) de l’écran Dashboard (Tableau de
bord) d’ESA Web Console.
Plusieurs serveurs d’authentification dans un environnement Active Directory.
Installer Reporting Engine (Elasticsearch)
Pour pouvoir voir les rapports dans ESA Web Console, il est essentiel d’installer Elasticsearch.
Vous pouvez installer le composant Reporting Engine (Elasticsearch) dans le programme d’installation ESA ou
utiliser votre composant Elasticsearch tiers existant.
2 Go de RAM disponibles requis
Elasticsearch nécessite 2 Go de RAM en permanence. Assurez-vous d’avoir suffisamment de RAM
disponible. Sinon, l’installation échouera. Découvrez comment définir une taille de tas différente.
Installation à partir du programme d’installation ESA
Le composant Reporting Engine (Elasticsearch) du programme d’installation ESA peut être installé avec le serveur
d’authentification sur le même ordinateur ou séparément sur un autre ordinateur.
Installation du serveur d’authentification et d’Elasticsearch sur le même ordinateur
1. Suivez les instructions d’installation du serveur d’authentification et laissez le composant Reporting Engine
(Elasticsearch) sélectionné avec le composant Authentication Server (Serveur d’authentification).
2. À l’écran Reporting Engine configuration (Configuration Reporting Engine), saisissez un nom d’utilisateur et
un mot de passe, puis cliquez sur Next (Suivant).
23
3. Si le programme d’installation vous avertit que certaines conditions requises ne sont pas remplies, assurezvous de les remplir avant de procéder à l’installation.
4. Suivez les instructions du programme d’installation pour terminer le reste des étapes et fermez le
programme d’installation lorsque vous avez terminé.
Installer Elasticsearch séparément
Si vous avez déjà installé le serveur d’authentification et que vous installez Elasticsearch séparément, exécutez à
nouveau le fichier .EXE fournir.
1. Cliquez sur Change (Modifier), sélectionnez Reporting Engine (Elasticsearch), puis cliquez sur Next
(Suivant).
2. À l’écran Reporting Engine configuration (Configuration Reporting Engine), saisissez un nom d’utilisateur et
un mot de passe, puis cliquez sur Next (Suivant).
3. Si le programme d’installation vous avertit que certaines conditions requises ne sont pas remplies, assurezvous de les remplir avant de procéder à l’installation.
4. Suivez les instructions du programme d’installation pour terminer le reste des étapes et fermez le
programme d’installation lorsque vous avez terminé.
Installation en mode silencieux
L’installation en mode silencieux est disponible via le programme d’installation .MSI, aussi bien pour le
mode Intégration Active Directory que pour le mode Autonome.
Utilisation de l’installation tierce d’Elasticsearch
Si vous utilisez une installation tierce d’Elasticsearch et que vous souhaitez utiliser Rapports dans
ESA Web Console, ajoutez les informations relatives à votre installation Elasticsearch dans ESA Web Console dans
24
Settings (Paramètres) > Reports (Rapports).
Si vous accédez à Elasticsearch via Kibana, vous pouvez générer différents graphiques à partir des données
collectées.
Installer le plugin Remote Desktop
1. Pour démarrer l’installation, sur la machine Remote Desktop Access (Accès Bureau à distance) appropriée,
exécutez le fichier .EXE fourni. Le programme d’installation exécutera plusieurs vérifications préalables comme
cela a été fait lors de l’installation du serveur d’authentification.
2. Lorsque vous y êtes invité, cochez la case à côté de l’option Remote Desktop (Bureau à distance) et cliquez
sur Next (Suivant).
3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au
mode d’installation Autonome), puis cliquez sur Next (Suivant).
25
4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez
la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au
magasin de la machine) si disponible, puis cliquez sur Next (Suivant).
Corriger les problèmes signalés par les vérifications préalables
Des vérifications préalables seront effectuées pour vérifier que le plugin ESA Remote Desktop peut être
installé. Tout problème doit être corrigé avant que l’installation puisse commencer.
5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée.
Installer le plugin Web App
1. Pour démarrer l’installation, sur la machine appropriée exécutant la Web App (Application Web), exécutez
le fichier .EXE fourni. Le programme d’installation exécutera plusieurs vérifications préalables comme cela a
été fait lors de l’installation du serveur d’authentification.
2. Lorsque vous y êtes invité, cochez la case à côté de l’option applicable Web App (Application Web) et
cliquez sur Next (Suivant).
26
3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au
mode d’installation Autonome), puis cliquez sur Next (Suivant).
4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez
la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au
magasin de la machine) si disponible, puis cliquez sur Next (Suivant).
Vérifications préalables
Des vérifications préalables seront effectuées pour s’assurer que la Web App (Application Web) est en
cours d’exécution sur le serveur et que le plugin ESA Web App peut être installé. Corrigez toutes les erreurs
pour poursuivre l’installation.
5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée.
27
Programme d’installation MSI
Lorsque vous utilisez le programme d’installation .MSI pour installer la protection par authentification à
2 facteurs (2FA) pour Microsoft SharePoint Server, Remote Desktop Web Access, ou Microsoft Dynamics
CRM, exécutez le programme d’installation avec des privilèges élevés.
Installer le plugin Windows Login
La protection de connexion Windows est disponible uniquement pour les comptes d’utilisateurs locaux et les
comptes d’utilisateurs Active Directory.
1. Pour installer le plugin ESA Windows Login sur la machine applicable, exécutez le fichier .EXE fourni. S’il
n’est pas détecté, .NET Framework version 4.5 est installé automatiquement.
2. Lorsque vous y êtes invité, cliquez sur Select components (Sélectionner des composants), cochez la case à
côté de l’option Windows Login (Connexion Windows) et cliquez sur Next (Suivant).
3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au
mode d’installation Autonome), puis cliquez sur Next (Suivant).
28
4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez
la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au
magasin de la machine) si disponible, puis cliquez sur Next (Suivant).
5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée.
Modifier, réparer et supprimer l’installation
1. Exécutez à nouveau le fichier .EXE fourni ou, dans le Panneau de configuration Windows, cliquez sur
Programmes > Programmes et fonctionnalités, sélectionnez ESET Secure Authentication, puis cliquez sur
Modifier.
29
2. Pour installer de nouveaux composants ou supprimer des composants existants, cliquez sur Change
(Modifier) ou Remove (Supprimer).
3. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée.
Suppression du serveur d’authentification
Pour désinstaller le serveur d’authentification, à l’écran Additional configuration (Configuration supplémentaire),
cochez la case à côté de Remove all program and user data including product configuration (Supprimer toutes
les données d’utilisateur et du programme y compris la configuration du produit). Cette option n’est pas
30
disponible si le serveur d’authentification n’est pas le dernier composant du domaine Active Directory que vous
vous préparez à désinstaller ou si vous ne disposez pas des privilèges de désinstallation en tant qu’administrateur
du domaine.
Cette option est disponible en tant que paramètre AUTHENTICATION_SERVER_CLEAN_DATA (Données propres
du serveur d’authentification) lors de l’exécution d’une désinstallation silencieuse via le package .MSI :
msiexec /x ESA.MSI /qn AUTHENTICATION_SERVER_CLEAN_DATA=1
Privilèges d’administrateur de domaine
Si ESA Core a été installé sur un sous-domaine à l’aide de privilèges d’administrateur de domaine, vous ne
pourrez pas effectuer une désinstallation complète à l’aide des privilèges d’administrateur de sousdomaine.
Installation à distance via ESET PROTECT
Pour installer les composants ESA via ESET PROTECT, procédez comme suit :
1. Connectez-vous à la console Web ESET PROTECT, accédez à Plus > Gestion des licences et assurez-vous
qu’une licence ESET Secure Authentication est importée. Pour en savoir plus, consultez Gestion des licences.
2. Accédez à Tâches, cliquez sur Nouveau, puis sélectionnez Tâche client.
3. Dans la section Général, donnez un nom à la tâche, sélectionnez Installer un logiciel dans le menu
déroulant Tâches, puis cliquez sur Continuer.
4. Cliquez sur Sélectionner une licence ESET, sélectionnez ESET Secure Authentication, puis cliquez sur OK.
5. Cliquez sur Sélectionner un package, sélectionnez ESET Secure Authentication, puis cliquez sur OK.
6. Cochez la case J’accepte les termes du contrat de licence utilisateur final de l’application et reconnais
avoir pris connaissance de la politique de confidentialité.
31
7. Dans les paramètres d’installation, définissez les arguments .MSI pour installer les composants ESA
souhaités.
8. Cliquez sur Continuer, puis sur Terminer.
Exemples d’utilisation d’arguments .MSI ESA lors du déploiement de
composants ESA via ESET PROTECT
Exemple : installer Windows Login et Remote Desktop (mode Autonome)
ADDLOCAL="Win_Credential_Provider,Credential_Provider" ESA_COMPUTER_CONFIG_INTEGRATI
ON_MODE=2 ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS=192.168.0.15:8001 ESA_CO
MPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS=DKNO-XESE-WXUA-QNXWJAEI TRUSTED_CERT_HASH=2CD61594DDE3E63E6BEBB9BF3DC95B85550FD5D8
Exemple : installer Windows Login et Remote Desktop en tant qu’utilisateur administrateur
sans domaine (mode Intégration Active Directory)
ADDLOCAL="Win_Credential_Provider,Credential_Provider" NO_DOMAIN_ADMIN_MODE=1
N’oubliez pas d’ajouter manuellement le ou les ordinateurs à EsaServices.
Installer la protection de connexion Windows et RDP
via GPO
Cet article s’applique uniquement au type de déploiement Active Directory Integration (Intégration
Active Directory).
Conditions préalables requises
Serveur (ou ordinateur principal) sur lequel le serveur d’authentification est installé
• Doit appartenir au même domaine Active Directory que le ou les ordinateurs clients, où la protection de
connexion Windows et la protection RDP seront installées
• La console de gestion des stratégies de groupe Microsoft (GPMC) doit être installée sur votre serveur.
Consultez les instructions pour installer GPMC
• L’ordinateur sur lequel vous installerez la protection de connexion Windows doit être ajouté à
EsaServices via Utilisateurs et ordinateurs Active Directory
Ordinateur(s) client(s)
• .NET Framework 4.5 ou version ultérieure doit être installé sur l’ordinateur client
32
• Appartenance à Active Directory : l’ordinateur doit appartenir au même domaine Active Directory que
votre serveur (ordinateur principal) sur lequel le serveur d’authentification est installé
• Privilèges d’administrateur de domaine : le programme d’installation doit être exécuté par un membre
du groupe de sécurité « Administrateurs de domaine »
• Windows 7/Windows Server 2008 R2 ou version ultérieure
• La connexion Remote Desktop doit être activée sur l’ordinateur spécifique (Démarrer > Panneau de
configuration > Propriétés système > onglet Distant)
Ajout d’un ordinateur à EsaServices
1. Ouvrez l’outil de gestion Utilisateurs et ordinateurs Active Directory.
2. Cliquez sur View (Afficher) > Advanced Features (Fonctionnalités avancées).
3. Accédez à <your_active_directory_domain> (<Votre domaine Active Directory>) >
ESET Secure Authentication, cliquez avec le bouton droit sur EsaServices, puis sélectionnez Properties
(Propriétés).
4. Cliquez sur l’onglet Members (Membres) > Add (Ajouter) > Object Types (Types d’objets), puis
sélectionnez Computers (Ordinateurs) et OK.
5. Dans le champ Enter the object names to select (Entrez les noms des objets à sélectionner), tapez le
nom de l’ordinateur sur lequel vous souhaitez installer la protection de connexion Windows. Cliquez sur
Check Names (Vérifier les noms) pour vous assurer que le nom de l’ordinateur est correct.
6. Si le nom de l’ordinateur est correct, cliquez sur OK, puis à nouveau sur OK.
Obtention du fichier d’installation .MSI
Si le serveur d’authentification est installé à l’aide du programme d’installation .EXE, les programmes
d’installation .MSI sont automatiquement créés dans « C:\Program Files\ESET Secure
Authentication\msi\ ».
Vous pouvez également obtenir le programme d’installation en suivant les étapes ci-dessous :
1. Télécharger le programme d’installation .EXE pour ESA à l’adresse
https://www.eset.com/us/products/secure-authentication/
2. Extrayez le fichier d’installation .MSI (nommé ESET Secure Authentication x64.MSI ou ESET
Secure Authentication x86.MSI) à partir du fichier .EXE téléchargé.
3. Chargez le fichier d’installation .MSI dans un dossier partagé sur votre serveur (ordinateur principal)
accessible par les membres de votre domaine AD.
Suivez l’une des options de déploiement ci-dessous :
• Script de démarrage
• Tâche Installer un logiciel
Le programme d’installation .MSI est également disponible dans le référentiel ESET PROTECT.
33
Script de démarrage
Préparer un script de démarrage (fichier .bat) avec les paramètres
essentiels
1. Appuyez sur touche Windows + R, tapez bloc-notes.EXE dans la boîte de dialogue Exécuter, puis appuyez
sur Entrée.
2. Lorsque le bloc-notes s’ouvre, tapez le code suivant :
msiexec /i "<path_to_msi_file>" NO_DOMAIN_ADMIN_MODE=1
ADDLOCAL="Credential_Provider,Win_Credential_Provider" /qn /L*v
"c:\esa_install_log.txt"
où <path_to_msi_file> doit être remplacé par un chemin UNC (Universal Naming Convention) valide
(chemin réseau) vers le package d’installation partagé (par exemple,
\\serveurfichier\partage\nomdefichier.MSI). Le code doit être en ligne.
Termes
Credential_Provider représente la protection de connexion RDP, Win_Credential_Provider
représente la protection de connexion Windows. Voir les arguments MSI pour en savoir plus.
3. Dans le Bloc-notes, cliquez sur Fichier > Enregistrer sous, sélectionnez Tous les fichiers dans le menu
déroulant Type de fichier, puis tapez : esainstall.bat comme nom de fichier.
Déploiement du script de démarrage
1. Ouvrez Gestion des stratégies de groupe, localisez votre domaine, cliquez avec le bouton droit sur la
politique de groupe souhaitée, puis sélectionnez Modifier.
34
2. Dans l’Éditeur de gestion des stratégies de groupe, dans votre politique de domaine, développez
Configuration de l’ordinateur > Stratégies > Paramètres Windows, cliquez avec le bouton droit sur
Démarrage, puis sélectionnez Propriétés.
3. Cliquez sur Ajouter > Parcourir, puis accédez au fichier esainstall.bat chargé dans le dossier partagé de
votre domaine AD, cliquez sur Ouvrir, puis sur OK.
4. Cliquez sur OK pour appliquer les modifications et fermer la fenêtre Propriétés de démarrage.
35
Tâche Installer un logiciel
Avant de créer une tâche d’installation de logiciel via GPO, il est essentiel de créer un fichier de transformation
.MST.
Conditions préalables requises
Installez l’outil d’édition de base de données Orca sur votre ordinateur. Orca est disponible dans le SDK Windows.
Pour obtenir des instructions sur le téléchargement et l’installation d’Orca, reportez-vous à l’article suivant de la
Base de connaissances Microsoft : Orca.EXE.
Création d’un fichier de transformation .mst
1. Cliquez sur Démarrer > Tous les programmes > Orca pour lancer l’éditeur de base de données Orca.
2. Cliquez sur File (Fichier) > Open (Ouvrir), accédez au fichier d’installation .MSI que vous souhaitez
transformer, sélectionnez-le, puis cliquez sur Open (Ouvrir).
3. Cliquez sur Transform (Transformer) > New Transform (Nouvelle transformation).
4. Sélectionnez Features (Fonctionnalités) dans la colonne Tables, sélectionnez Windows Login
(Connexion Windows) et définissez le niveau (Level) sur 1. Sélectionnez ensuite Remote Desktop (Bureau
à distance) et définissez le niveau (Level) sur 1.
36
Couleur des modifications
Toutes les modifications sont marquées en vert.
5. Dans la colonne Tables , sélectionnez Property (Propriété), cliquez avec le bouton droit sur une ligne
vide et sélectionnez Add row (Ajouter une ligne).
37
6. Dans la boîte de dialogue Add Row (Ajouter une ligne), tapez NO_DOMAIN_ADMIN_MODE dans le champ
Property (Propriété). Définissez le champ Value (Valeur) sur 1, puis cliquez sur OK.
38
7. Cliquez sur Transform (Transformer) > Generate Transform (Générer la transformation).
Créer une tâche d’installation de logiciel via un objet de politique de
groupe
Les étapes ci-dessous sont illustrées dans Microsoft Server 2022.
1. Ouvrez Group Policy Management (Gestion des stratégies de groupe). Trouvez votre domaine, puis
39
effectuez un clic droit sur Default Domain Policy (Domaine de politique par défaut) ou sur une politique
personnalisée que vous avez créée, puis sélectionnez Edit (Modifier).
2. Dans l’Éditeur de gestion des stratégies de groupe, dans votre politique de domaine, développez
Configuration de l’ordinateur > Stratégies > Paramètres logiciels.
3. Cliquez avec le bouton droit sur Software installation (Installation du logiciel), sélectionnez New
(Nouveau) > Package, puis accédez à l’emplacement où le programme d’installation .MSI ESA est
enregistré. Saisissez le chemin d’accès UNC (Universal Naming Convention) complet du package
d’installation partagé (par exemple, \\fileserver\share\filename.msi), puis cliquez sur Open
(Ouvrir).
40
4. Sélectionnez Advanced (Avancé), puis cliquez sur OK.
5. Sélectionnez l’onglet Modifications, puis cliquez sur Add (Ajouter).
41
6. Accédez au fichier de transformation du programme d’installation ESA (à l’emplacement que vous avez
référencé à l’étape 3), tapez le chemin UNC du fichier .MST (par exemple,
\\fileserver\share\filename.mst), puis cliquez sur Open (Ouvrir).
7. Cliquez sur OK. Le package sera affiché dans l’Éditeur de gestion des stratégies de groupe.
42
8. Le package sera installé sur tous les ordinateurs clients auxquels la politique de groupe modifiée
s’applique.
Consultez la Base de connaissances Microsoft sur l’installation de logiciels à distance dans Windows Server 2003
et 2008 à l’aide de la politique de groupe.
Arguments MSI
Plusieurs arguments peuvent être utilisés lors de l’utilisation du programme d’installation .MSI en tant que script
d’ouverture de session ou tâche d’installation.
Lancez le programme d’installation .MSI pour voir tous les arguments disponibles avec une explication et des
exemples.
Pour installer ou supprimer des composants ESA sans utilisateur Administrateur de domaine, utilisez
NO_DOMAIN_ADMIN_MODE=1. Consultez ensuite les journaux d’installation pour obtenir d’autres instructions
marquées comme « Manual configuration needed » (Configuration manuelle nécessaire).
Exemples lors du déploiement de composants ESA via ESET PROTECT
Liste partielle des arguments du .MSI d’ESA
Pour spécifier les composants ESA à installer, l’argument ADDLOCAL est utilisé. Les valeurs possibles sont les
suivantes :
43
• Core_Service - Serveur d’authentification
• Reports_Elasticsearch - Reporting Engine (Elasticsearch)
• Win_Credential_Provider - Windows Login
• Radius_Server - Serveur RADIUS pour la protection VPN
• Credential_Provider - Remote Desktop
• Web_Exchange - Microsoft Exchange Server
• Web_SharePoint - Microsoft SharePoint Server
• Web_RemoteDesktop - Accès Web des services Bureau à distance
• Web_Dynamics - Microsoft Dynamics CRM
• Web_RemoteAccess - Accès Web à distance
• ADFS3 - AD FS 3 ou version ultérieure
• Connecteur de fournisseur d’identité - Connecteur de fournisseur d’identité
Pour installer d’autres fonctionnalités, séparez-les par des virgules, par exemple :
ADDLOCAL="Credential_Provider,Win_Credential_Provider"
Pour spécifier un type de déploiement, l’argument ESA_COMPUTER_CONFIG_INTEGRATION_MODE est utilisé. Les
valeurs possibles sont les suivantes :
• 1 = Active Directory Integration (Intégration Active Directory) (valeur par défaut)
• 2 = Standalone (Autonome)
Si la valeur numéro 2 est utilisée, les arguments suivants doivent également être configurés, sauf si vous installez
des composants ESA sur la même machine que celle sur laquelle le serveur d’authentification est installé :
• ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS - Adresse IP du serveur
d’authentification à utiliser dans les invitations.
• ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS - Code d’invitation.
• TRUSTED_CERT_HASH - hachage du certificat de confiance à ajouter au magasin de certificats.
Pour définir un nom d’utilisateur et un mot de passe initiaux pour ESA Web Console lors de l’installation du
serveur d’authentification (Core_service), utilisez :
• ESA_CONFIG_WEB_CONSOLE_USER
• ESA_CONFIG_WEB_CONSOLE_PASSWORD
Arguments de configuration avancés pour Core_Service (Serveur d’authentification) :
44
• ESA_CONFIG_DB_TYPE (type de base de données, mode Autonome uniquement, utilisez « sqlite »,
« postgresql » ou « mssql »)
• ESA_CONFIG_DB_CONNECTION_STRING (chaîne de connexion à la base de données, mode Autonome
uniquement)
• ESA_CONFIG_PROXY_ENABLED (utilisez la valeur true pour activer les paramètres de proxy HTTP
personnalisé)
• ESA_CONFIG_PROXY_SERVER (laissez vide pour ne pas utiliser de proxy)
• ESA_CONFIG_PROXY_PORT
• ESA_CONFIG_PROXY_USER
• ESA_CONFIG_PROXY_PASSWORD
Pour définir un port RADIUS personnalisé, utilisez ESA_CONFIG_RADIUS_PORT.
Pour supprimer complètement le serveur d’authentification ESA, y compris les données de configuration, utilisez
AUTHENTICATION_SERVER_CLEAN_DATA=1.
Exemples d’utilisation d’arguments .MSI ESA lors du déploiement de
composants ESA via ESET PROTECT
Exemple : installer Windows Login et Remote Desktop (mode Autonome)
ADDLOCAL="Win_Credential_Provider,Credential_Provider" ESA_COMPUTER_CONFIG_INTEGRATI
ON_MODE=2 ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS=192.168.0.15:8001 ESA_CO
MPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS=DKNO-XESE-WXUA-QNXWJAEI TRUSTED_CERT_HASH=2CD61594DDE3E63E6BEBB9BF3DC95B85550FD5D8
Exemple : installer Windows Login et Remote Desktop en tant qu’utilisateur administrateur
sans domaine (mode Intégration Active Directory)
ADDLOCAL="Win_Credential_Provider,Credential_Provider" NO_DOMAIN_ADMIN_MODE=1
N’oubliez pas d’ajouter manuellement le ou les ordinateurs à EsaServices.
Installation de mise à niveau
Dans ESET Secure Authentication 2.5.X et versions ultérieures, vous pouvez effectuer une mise à niveau d’ESA en
lançant le programme d’installation. Il n’est pas nécessaire de désinstaller manuellement la version précédente.
45
Ordre de mise à niveau
Pour préserver la compatibilité, vous devez d’abord mettre à niveau le serveur d’authentification, puis
mettre à niveau les autres composants situés sur les ordinateurs sécurisés par ESA.
Si vous avez plusieurs serveurs d’authentification, mettez-les tous à niveau. Avant de mettre à niveau l’un
d’entre eux, les autres doivent être arrêtés pour préserver la compatibilité des données.
1.Lisez le contrat de licence et la politique de confidentialité et cliquez sur I accept (J’accepte) pour
continuer.
2.Saisissez le nom d’utilisateur et le mot de passe souhaités pour accéder à ESA Web Console si vous y êtes
invité.
3.Lorsque toutes les conditions préalables sont remplies, cliquez sur Next (Suivant).
4.Suivez les instructions du programme d’installation pour terminer la mise à niveau. Fermez le programme
d’installation lorsque vous avez terminé.
Une fois la mise à niveau terminée, un raccourci intitulé ESA Web Console est automatiquement créé sur le
bureau de votre système d’exploitation Windows. Double-cliquez sur le raccourci pour ouvrir Web Console.
Certificat ESA Web Console
ESA Web Console utilise un certificat auto-signé. Si vous accédez à Web Console à partir d’une machine
différente de celle du serveur d’authentification, vous recevrez un message indiquant un problème de
certificat.
L’accès à Web Console via Mozilla Firefox à partir de la machine hébergeant le serveur d’authentification
entraînera également l’apparition d’un message indiquant un problème de certificat.
Saisissez les identifiants de connexion que vous avez configurés lors de la mise à niveau dans Web Console. Si
vous effectuez une mise à niveau à partir de la version 2.7, où ESA Web Console était déjà utilisé, les
identifiants de connexion sont les mêmes qu’auparavant.
Dans le tableau de bord (Dashboard), la vignette Components (Composants) indique le nombre de composants
obsolètes. Les composants obsolètes incluent les composants sur les ordinateurs utilisant une version
antérieure à la version installée sur le serveur d’authentification. Cliquez sur le numéro dans la colonne Out of
date (Obsolète) pour afficher les ordinateurs concernés. Utilisez le programme d’installation de la même
version que celle de votre serveur d’authentification pour mettre à niveau les composants ESA (Windows Login,
Remote Desktop Protection, IIS, AD FS et RADIUS) sur les ordinateurs concernés.
Comparatif entre le programme d’installation .EXE et le programme
d’installation .MSI
Vous pouvez combiner le programme d’installation .EXE (également appelé programme d’amorçage) et le
programme d’installation .MSI dans certains cas.
État d’origine
Opération
Pris en charge
Installé via le programme d’installation .MSI Mise à niveau via le programme d’installation .EXE Oui
Installé via le programme d’installation .MSI Modification via le programme d’installation .EXE
Non
Installé via le programme d’installation .MSI Réparation via le programme d’installation .EXE
Non
Installé via le programme d’installation .MSI Désinstallation via le programme d’installation .EXE Oui
Installé via le programme d’installation .EXE Mise à niveau via le programme d’installation .MSI Oui
Installé via le programme d’installation .EXE Modification via le programme d’installation .MSI
Non
Installé via le programme d’installation .EXE Réparation via le programme d’installation .MSI
Non
Installé via le programme d’installation .EXE Désinstallation via le programme d’installation .MSI Oui
46
Compatibilité des composants ESA
La compatibilité des versions entre ESA Core (serveur d’authentification) et les autres composants
(Windows Login, Remote Desktop Protection, IIS, AD FS, RADIUS, ADUC) d’ESET Secure Authentication a été
améliorée. Le tableau ci-dessous indique les versions d’ESA core, des composants ESA et de la console de gestion
qui sont compatibles les unes avec les autres.
Tableau de compatibilité - Composant se connectant au serveur
d’authentification 3.0
Composant
Composant
v2.4
Composant
v2.5
Composant
v2.6
Composant
v2.7
Composant
v2.8
Composant
v3.0
Connexion
Windows
OK*
OK*
OK
OK
OK
OK
RDP
OK*
OK*
OK
OK
OK
OK
AD FS
OK*
OK*
OK
OK
OK
OK
RADIUS
FAIL
FAIL
OK
OK
OK
OK
IIS
FAIL
FAIL
OK
OK
OK
OK
Outils de gestion
(ADUC, console de FAIL
gestion)
FAIL
FAIL
FAIL
OK
OK
Connecteur de
fournisseur
d’identité
OK
* Fonctionne si le composant a été enregistré (utilisé) avec la version correspondante du serveur
d’authentification (2.4 ou 2.5) avant la mise à niveau du serveur d’authentification vers la version 3.0.
Impossible d’enregistrer un nouveau composant auprès d’un ancien serveur
Vous ne pouvez pas enregistrer des versions de composants ultérieures avec une version antérieure du
serveur. La connexion échouera en raison de problèmes de compatibilité et vous recevrez une notification
de l’erreur.
Migration de base de données (Exporter les données)
Utilisez la fonctionnalité de migration de base de données de ESET Secure Authentication 3.0 et versions
ultérieures (Export Data) (Exporter les données) pour :
• Passer du mode Activate Directory Integration (Intégration Active Directory) au mode Standalone
(Autonome)
• Passer d’une base de données intégrée à une base de données externe lorsque le serveur
d’authentification est installé en mode Standalone (Autonome)
47
Types de bases de données pris en charge ; Passage du mode Intégration
Active Directory au mode Autonome ; Sauvegarde de la clé de récupération
principale pour la connexion Windows
La migration n’est disponible que pour les types de bases de données pris en charge.
Lors du passage du mode Activate Directory Integration (Intégration Active Directory) au mode Standalone
(Autonome), les informations sur les composants ESA se connectant en mode Activate Directory
Integration (Intégration Active Directory) ne sont pas migrées. Ces composants doivent être réinstallés en
mode Autonome une fois la migration terminée.
La clé de récupération principale pour la connexion Windows peut être demandée après la migration.
Sauvegardez votre clé de récupération principale pour la connexion Windows avant de commencer la
migration.
Restauration d’une ancienne sauvegarde
Si vous utilisez Export Data (Exporter les données) pour sauvegarder les données du serveur
d’authentification, la sauvegarde contient des compteurs d’authentification. Par exemple, si vous continuez
à utiliser l’instance ESA spécifique et que vous restaurez ultérieurement les données de sauvegarde ou que
vous les utilisez dans une nouvelle instance ESA, les utilisateurs pourront se connecter à l’aide des anciens
mots de passe à usage unique (utilisés avant la sauvegarde), ce qui représente un problème de sécurité.
Comment exporter des données
1. Connectez-vous à ESA Web Console.
2. Sélectionnez Settings (Paramètres) > Export Data (Exporter les données).
3. Sélectionnez un type de base de données pour Target Database Type (Type de base de données cible) :
• SQLite
oCréez un répertoire sur l’ordinateur sur lequel le serveur d’authentification est installé.
oTapez le chemin menant à ce répertoire dans le champ Répertoire SQLite.
• Microsoft SQL Server, PostgreSQL
oDéfinissez les informations de connexion à la base de données dans le champ Connection string (Chaîne
de connexion). Cliquez sur Show examples (Afficher des exemples) pour afficher le format correct.
4. Cliquez sur Export.
L’authentification à 2 facteurs est inactive pendant la migration de la base de
données
Il est essentiel de désactiver le service ESACore (serveur d’authentification) pour éviter les problèmes de
migration. Pour cette raison, l’authentification à 2 facteurs ne fonctionnera pas pendant la migration.
Exemple de scénario pour passer à un autre type de déploiement (mode
Intégration Active Directory à mode Autonome) ou de base de données
1. Exporter les données.
2. Arrêtez le service ESACore (serveur d’authentification) dans les services Windows.
48
3. Installez le nouveau serveur d’authentification en mode Standalone (Autonome) :
a.Dans l’écran Advanced Configuration (Configuration avancée), sélectionnez le type de base de données
(Database type) que vous avez utilisé lors de l’exportation des données.
• SQLite
oCopiez les fichiers de base de données exportés vers C:\ProgramData\ESET Secure
Authentication\db, puis poursuivez l’installation
• Microsoft SQL Server, PostgreSQL
oDéfinir les informations de connexion de la base de données contenant les données exportées
b.Définissez de nouvelles informations de compte administrateur Web Console (Web Console
Administrator Account) si le programme d’installation vous invite à le faire.
c.Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis fermez le
programme d’installation lorsque vous avez terminé.
4. Supprimer l’installation précédente du serveur d’authentification :
• Ne sélectionnez pas Remove all program and user data including product configuration (Supprimer
toutes les données d’utilisateur et du programme y compris la configuration du produit) si vous souhaitez
revenir à l’installation précédente plus tard.
5. Si l’option Remove all program and user data including product configuration (Supprimer toutes les
données d’utilisateur et du programme y compris la configuration du produit) a été sélectionnée à l’étape
précédente, réactivez votre licence ESA sur votre nouveau serveur d’authentification.
6. Si vous passez du mode Intégration Active Directory au mode Autonome, réinstallez tous les
composants ESA en mode Standalone (Autonome).
7. Faites approuver les nouveaux certificats du serveur d’authentification sur les ordinateurs sur lesquels les
composants ESA sont installés.
8. Si d’anciennes entrées du serveur d’authentification apparaissent dans ESA Web Console, supprimez-les.
Exemple de scénario de déplacement du serveur d’authentification vers
un autre ordinateur
Mode Active Directory Integration
1. Arrêter le service ESACore (serveur d’authentification) dans les services Windows
2. Installez le serveur d’authentification sur le nouvel ordinateur appartenant au même domaine Windows
3. Supprimez l’ancien serveur d’authentification.
Mode Standalone
1. Arrêtez le service ESACore (serveur d’authentification) dans les services Windows.
49
2. Installez le nouveau serveur d’authentification sur le nouvel ordinateur :
• Dans l’écran Advanced Configuration (Configuration avancée), sélectionnez le type de base de
données (Database type) de l’installation du serveur d’authentification d’origine :
oSQLite (base de données intégrée) :
1. Copiez le contenu du répertoire C:\ProgramData\ESET Secure Authentication\db sur
l’ordinateur cible au même emplacement.
2. Définissez de nouvelles informations de Web Console Administrator Account (Compte
administrateur Web Console) si le programme d’installation vous invite à le faire.
3. Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis
fermez le programme d’installation lorsque vous avez terminé.
4. Dans ESA Web Console, supprimez l’entrée de l’ancien serveur d’authentification.
oMicrosoft SQL Server, PostgreSQL
1. Définissez la chaîne de connexion de la base de données externe.
2. Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis
fermez le programme d’installation lorsque vous avez terminé.
3. Faites approuver les nouveaux certificats du serveur d’authentification sur les ordinateurs sur lesquels
les composants ESA sont installés.
Accès externe
Quels seront les éléments disponibles ?
• Serveur d’authentification
oAccès à la console Web Console
oLes composants installés en mode Autonome peuvent se connecter au serveur d’authentification à l’aide
d’invitations
oSolutions personnalisées utilisant l’API :
▪Endpoints de la nouvelle API (ESA 2.8 et versions ultérieures) : /, /auth/v2, /manage/v2
▪Endpoints de l’ancienne API (ESA 2.7 et versions antérieures) : auth/v1, manage/useres/v
• Page Web du Connecteur de fournisseur d’identité
Types d’accès externe
• VPN
50
• Proxy inverse
• Proxy transparent
Après avoir configuré un proxy inverse ou transparent, vous devez configurer ESA afin d’utiliser l’adresse externe
pour les invitations et le Connecteur de fournisseur d’identité.
Configurer ESA pour l’accès externe
Pour rendre le serveur d’authentification ou le Connecteur de fournisseur d’identité accessibles publiquement,
procédez comme suit :
I.Serveur d’authentification
Configurez l’adresse externe pour utiliser des invitations lors de l’installation des composants ESA en mode
Autonome.
1. Dans ESA Web Console, accédez à Components (Composants) > Invitations > Server Access (Accès au
serveur).
2. Cliquez sur Edit (Modifier) (icône en forme de crayon) sous External Access (Accès externe).
3. Saisissez l’adresse externe en prenant soin d’inclure le port, puis appuyez sur Enter (Entrée).
4. Si vous ne souhaitez pas que l’adresse interne du serveur d’authentification soit incluse dans les détails de
l’invitation, cochez la case correspondante.
5. Cliquez sur Save.
II.Connecteur de fournisseur d’identité (IdP Connector)
1. Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur
du fournisseur d’identité), sélectionnez un connecteur de fournisseur d’identité configuré, puis cliquez sur
Settings (Paramètres).
2. Remplacez l’URL du site (Site URL) par l’adresse externe où le serveur d’authentification est disponible.
3. Cliquez sur Apply.
Plusieurs adresses pour le serveur d’authentification
Les composants ESA se connectent au serveur d’authentification via l’adresse indiquée dans l’invitation.
Pour fournir plusieurs adresses auxquelles les composants peuvent se connecter, procédez comme suit.
Installation à l’aide du programme d’installation .EXE
1. Une fois le composant installé, ouvrez C:\ProgramData\ESET Secure
Authentication\ESA.config.
2. Ajoutez <add key="AuthenticationServerAddress_Other" value="<desired_addresses>"
51
/> juste au-dessus de </appSettings>.
3. Remplacez <desired_addresses> par les adresses supplémentaires du serveur d’authentification, en les
séparant par un point-virgule.
4. Enregistrez les modifications.
Installation silencieuse (.MSI)
Si vous utilisez le programme d’installation .MSI, utilisez l’argument
ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS_OTHER pour définir les adresses
supplémentaires du serveur d’authentification en les séparant par un point-virgule.
Utilisation d’un proxy inverse
Le proxy inverse possède son propre certificat, déchiffre la communication entrante et la chiffre à nouveau à
l’aide du certificat du serveur cible.
Lorsque vous utilisez ESET Secure Authentication derrière un serveur proxy inverse (par exemple, pour rendre le
serveur d’authentification accessible via une adresse du domaine public), tenez compte des informations cidessous.
• Dans les détails de l’invitation :
oUtilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification.
oUtilisez le hachage de certificat du certificat du serveur proxy.
• Si le serveur d’authentification est installé en mode Active Directory Integration (Intégration
Active Directory) :
oLes composants ESA (par exemple, Windows Login, Remote Desktop Protection, RADIUS) doivent être
installés en mode Standalone (Autonome).
oDans l’invitation, utilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification.
oImpossible de se connecter à ESA Web Console à l’aide de l’authentification de domaine
Si vous souhaitez utiliser un serveur proxy pour la redirection de port uniquement, vous devez toujours régénérer
un certificat de serveur avec le nouveau IP_address:port en tant que nom alternatif.
Découvrez comment configurer un proxy pour ESA
Configurer un proxy pour ESA
L’exemple ci-dessous fait référence à l’utilisation de Nginx comme serveur proxy inverse pour ESET Secure
Authentication.
Configurez le proxy inverse Nginx tout en appliquant les paramètres ci-dessous. Utilisez l’un des exemples de
52
scripts de configuration ci-dessous dans le fichier nginx.conf, par exemple juste après la partie events { ...
}.
1. Utilisez ip_hash pour vous assurer que les conditions suivantes sont remplies :
• Un composant se connecte toujours au même serveur
• Lorsque vous accédez à la console Web, le navigateur contacte toujours le même serveur
2. Définissez le port d’écoute sur 443.
3. Définissez le certificat SLL que vous avez généré. Exemple de génération d’un certificat auto-signé.
Les exemples d’extraits de code de configuration partent du principe que le certificat et la clé de certificat générés
de façon personnalisée se trouvent dans « D:\ESAcustomCertificate.crt » et
« D:\ESAcustomCertificate.key ».
Exemple d’extrait de code de configuration - Un seul serveur d’authentification
http {
sendfile on;
upstream esa_servers {
ip_hash;
server esa01.local:8001;
}
server {
listen 443 ssl;
ssl_certificate D:\ESAcustomCertificate.crt;
ssl_certificate_key D:\ESAcustomCertificate.key;
location / {
proxy_pass
https://esa_servers;
proxy_redirect
off;
proxy_set_header
Host $host;
proxy_set_header
X-Real-IP $remote_addr;
proxy_set_header
X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header
X-Forwarded-Host $server_name;
}
}
}
53
Exemple d’extrait de code de configuration - Plusieurs serveurs d’authentification
http {
sendfile on;
upstream esa_servers {
ip_hash;
server esa01.local:8001;
server esa02.local:8001;
}
server {
listen 443 ssl;
ssl_certificate D:\ESAcustomCertificate.crt;
ssl_certificate_key D:\ESAcustomCertificate.key;
location / {
proxy_pass
proxy_redirect
proxy_set_header
proxy_set_header
proxy_set_header
proxy_set_header
}
https://esa_servers;
off;
Host $host;
X-Real-IP $remote_addr;
X-Forwarded-For $proxy_add_x_forwarded_for;
X-Forwarded-Host $server_name;
}
}
Serveur d’authentification et Nginx sur une autre machine Windows Server
Si Nginx se trouve sur une machine Windows Server différente de celle du serveur d’authentification,
importez le certificat de ESET Secure Authentication dans le magasin de certificats de la machine Nginx, en
particulier dans Certificats (Ordinateur local) > Personnes de confiance.
Si vous recevez un message indiquant un problème de certificat lorsque vous tentez d’accéder à ESA Web Console
à partir d’un ordinateur,
54
ajoutez une exception.
Ajoutez une exception de certificat
Mozilla Firefox
1. Cliquez sur Advanced (Avancé) > Add Exception (Ajouter une exception).
2. Dans la fenêtre Add Security Exception (Ajouter une exception de sécurité), assurez-vous que l’option
Permanently store this exception (Stocker définitivement cette exception) est sélectionnée.
3. Cliquez sur Confirm Security Exception (Confirmer l’exception de sécurité).
Google Chrome
1. Cliquez sur Advanced (Avancé).
2. Cliquez sur Proceed to <web address of ESA Web Console> (unsafe) [Passer à <adresse Web
ESA Web Console> (non sécurisé)].
3. À ce stade, Google Chrome mémorise l'exception.
Internet Explorer 11
1. Cliquez sur Continue to this website (not recommended) [Continuer sur ce site Web (non recommandé)].
2. Dans la section droite de la barre d’adresses, cliquez sur Certificate error (Erreur de certificat) > View
certificates (Afficher les certificats), puis cliquez sur Install Certificate (Installer le certificat).
3. Dans la fenêtre Certificate Import Wizard (Assistant Importation de certificat), sélectionnez Local Machine
(Ordinateur local) pour Store Location (Emplacement du magasin), puis cliquez sur Next (Suivant).
4. Sur l’écran suivant, sélectionnez Place all certificates in the following store (Placer tous les certificats dans
le magasin suivant), puis cliquez sur Browse (Parcourir).
5. Cochez la case Show physical stores (Afficher les magasins physiques), sélectionnez Trusted Root
Certification Authorities (Autorités de certification racines de confiance), puis cliquez sur OK.
6. Cliquez sur Next (Suivant), puis sur Finish (Terminer).
7. Redémarrer l’ordinateur.
Microsoft Edge
Essayez d’abord d’accéder à Web Console dans Internet Explorer 11, puis effectuez les étapes d’ajout
d’exception de certificat comme décrit pour Internet Explorer 11.
Proxy transparent
Un proxy transparent transfère la communication sécurisée (flux HTTPS) sans lui apporter la moindre
modification.
1. Régénérez le certificat du serveur.
2. Remplacez le certificat du serveur par le certificat régénéré.
3. Faites approuver le certificat de serveur le cas échéant.
Certificat SSL
Le serveur d’authentification et l’API utilisent un certificat SSL pour sécuriser les communications contre les
écoutes. Le programme d’installation sélectionne automatiquement un certificat approprié installé sur la machine
ou génère un nouveau certificat auto-signé s’il n’en trouve aucun.
• Générer un certificat SSL personnalisé
• Remplacer le certificat SSL
55
Remplacement du certificat SSL
Liens rapides : Importation du nouveau certificat, Remplacement du certificat ESA, Remplacement du certificat
ESA IdP Connector
Le serveur d’authentification et l’API utilisent un certificat SSL pour sécuriser les communications contre les
écoutes. Le programme d’installation sélectionne automatiquement un certificat approprié installé sur la machine
ou génère un nouveau certificat auto-signé s’il n’en trouve aucun.
Cette section explique comment remplacer le certificat par un autre certificat de votre choix. Il vous aide à
importer votre nouveau certificat dans Windows, puis à l’utiliser pour ESA.
Conditions préalables requises
Pour suivre ce guide, vous aurez besoin des éléments suivants :
• Une installation du composant ESA Authentication Server
• Un accès administrateur à l’ordinateur sur lequel ESET Secure Authentication est installé
• Le certificat SSL que vous souhaitez utiliser au format PKCS12 (.pfx ou .p12)
oLe fichier de certificat doit contenir une copie de la clé privée ainsi que de la clé publique
Importation du nouveau certificat
Le nouveau certificat doit être placé dans le magasin personnel de l’ordinateur local avant utilisation.
1. Lancez la console de gestion Microsoft (MMC) :
a.Cliquez sur Démarrer, tapez « mmc.EXE » et appuyez sur Enter (Entrée).
2. Ajoutez le composant logiciel enfichable Certificats :
a.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable.
b.Sélectionnez Certificats dans la colonne de gauche.
c.Cliquez sur Ajouter.
d.Sélectionnez Compte d’ordinateur.
e.Cliquez sur Suivant.
f.Sélectionnez Ordinateur local.
g.Cliquez sur Terminer.
h.Cliquez sur OK.
3. Pour enregistrer le composant logiciel enfichable en vue d’une utilisation ultérieure, cliquez sur Fichier >
Enregistrer.
56
4. Sélectionnez le nœud Certificats (ordinateur local) > Personnel dans l’arborescence.
5. Cliquez avec le bouton droit de la souris et sélectionnez Toutes les tâches > Importer.
6. Suivez l’Assistant Importation et veillez à ajouter le certificat à l’emplacement Personnel du magasin de
certificats.
7. Double-cliquez sur le certificat et vérifiez que la ligne Vous avez une clé privée qui correspond à ce
certificat s’affiche.
Remplacement du certificat ESA
Le serveur d’authentification ne démarre pas sans certificat
Le service ESACore (serveur d’authentification) ne démarre pas sans certificat configuré. Si vous supprimez
le certificat, vous devez en ajouter un autre pour que le service ESACore s’exécute correctement.
Déterminer le certificat correct à utiliser
1. Ouvrez le Gestionnaire de certificats MMC en suivant les étapes ci-dessus.
2. Dans le dossier Personnel, double-cliquez sur le certificat applicable.
3. Dans l’onglet Général, vérifiez que le message Vous avez une clé privée qui correspond à ce certificat
s’affiche.
4. Dans l’onglet Détails, sélectionnez le champ Empreinte.
5. L’empreinte du certificat est affichée dans le volet inférieur (ensembles de deux chiffres hexadécimaux
séparés par des espaces).
Windows Server 2008+
1. Cliquez sur Démarrer et tapez « cmd.EXE ».
2. Dans la liste des programmes, cliquez avec le bouton droit sur l’élément cmd.EXE et sélectionnez Exécuter
en tant qu’administrateur.
3. Saisissez netsh http show sslcert ipport=0.0.0.0:8001, puis appuyez sur Enter.
4. Copiez et collez le contenu du champ Certificate Hash (Hachage du certificat) dans un endroit sûr si vous
souhaitez ajouter à nouveau le certificat existant plus tard.
5. Tapez netsh http delete sslcert ipport=0.0.0.0:8001 et appuyez sur la touche Enter (Entrée).
6. Le message SSL Certificate successfully deleted (Le certificat SSL a bien été supprimé) devrait s’afficher.
7. Tapez netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6B759-1D824E61E442} certhash=<THUMBPRINT>, mais remplacez <THUMBPRINT> par les valeurs de
l’empreinte du certificat sans espaces et appuyez sur Entrée.
8. Le message SSL Certificate successfully added (Le certificat SSL a bien été ajouté) devrait s’afficher.
57
9. Redémarrez le service ESACore pour que le nouveau certificat prenne effet.
Remplacement du certificat ESA IdP Connector
1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS).
2.Accédez à <your_domain> (<votre domaine>) > Sites.
3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de
fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons).
4.Double-cliquez sur https.
5. Sélectionnez le nouveau certificat dans SSL certificate (Certificat SSL).
6. Cliquez sur OK > Close (Fermer).
Pour modifier le port d’ESA IdP Connector, procédez comme suit :
1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS).
2.Accédez à <your_domain> (<votre domaine>) > Sites.
3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de
fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons).
4.Double-cliquez sur https.
5. Modifiez la valeur de Port.
6. Cliquez sur OK > Close (Fermer).
La clé privée du certificat IdP Connector n’est lisible que par l’utilisateur Local System (système local). Par
conséquent, il peut y avoir un problème lors de la reconfiguration de la liaison dans le gestionnaire IIS sur
certains systèmes. Si vous rencontrez ce problème, vous pouvez générer un certificat personnalisé et
remplacer le certificat par défaut.
Générer un certificat SSL personnalisé (auto-signé)
Générer un certificat auto-signé à l’aide de Windows PowerShell
Générez un certificat SSL personnalisé et importez-le dans les magasins essentiels sur Windows Server 2012 R2.
1. Ouvrez Windows PowerShell.
2. Exécutez les commandes suivantes :
a.$customcertificate = New-SelfSignedCertificate -DnsName "<FQDN>" CertStoreLocation "cert:\localmachine\my"
58
Dans la commande ci-dessus, remplacez <FQDN> par la version de nom d’objet correspondante affichée
dans ESA Web Console > Components (Composants) > Invitations > Server access (Accès au serveur).
Si vous définissez plusieurs noms DNS, par exemple :
-DnsName "my.esa.installation.com", "my.authentication.server",
"twofactor.auth"
La première entrée (« my.esa.installation.com » dans l’exemple ci-dessus) sera utilisée dans le
champ Subject (Objet), et les entrées suivantes seront utilisées dans le champ Subject Alternative
Name (Nom alternatif de l’objet) du certificat.
b.$exportpassword = ConvertTo-SecureString -String '<password>' -Force AsPlainText
Dans la commande ci-dessus, remplacez <password> par le mot de passe de votre choix.
c.$certPath = 'cert:\localMachine\my\' + $customcertificate.thumbprint
d.Export-PfxCertificate -cert $certPath -FilePath
$env:USERPROFILE\Desktop\ESAcustomCertificate.pfx -Password $exportpassword
Cette dernière commande placera le certificat ESAcustomCertificate.pfx sur votre bureau.
3. Pour ouvrir la boîte de dialogue Exécuter, appuyez sur les touches Windows + R.
4. Ajoutez le composant logiciel enfichable Certificat :
a.Saisissez mmc, puis appuyez sur Entrée.
b.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable.
c.Sélectionnez Certificats > Ajouter.
d.Sélectionnez Compte d’ordinateur, cliquez sur Suivant, puis sur Terminer. Cliquez ensuite sur OK pour
fermer la fenêtre Ajouter ou supprimer des composants logiciels enfichables.
5. Importer le certificat applicable :
a.Dans le volet de gauche de la console MMC, développez Certificats (Ordinateur local) > Personnel, puis
cliquez avec le bouton droit sur Certificats.
b.Sélectionnez Toutes les tâches > Importer.
c.Dans l’assistant d’importation, cliquez sur Suivant, puis sur Parcourir. Dans le menu déroulant
d’extension de fichier, sélectionnez Personal Information Exchange (*.pfx, *.p12), recherchez le fichier de
certificat exporté, cliquez sur Ouvrir, puis sur Suivant.
d.Tapez le mot de passe utilisé dans la deuxième commande ci-dessus, puis cliquez sur Suivant.
e.Sélectionnez Placer tous les certificats dans le magasin suivant, puis tapez le nom de magasin Personnel.
Cliquez sur Suivant, puis sur Terminer.
6. Dans le volet de gauche de la console MMC, développez Certificats (ordinateur local) > Autorités de
certification racines de confiance, puis cliquez avec le bouton droit sur Certificats.
59
7. Sélectionnez Toutes les tâches >, Importer, puis répétez les étapes 6a à 6c.
8. Double-cliquez sur le certificat dans Certificats (ordinateur local) > Personnel > Certificats, puis vérifiez que
la ligne Vous disposez d’une clé privée qui correspond à ce certificat s’affiche.
Si vous avez besoin de fichiers .crt et .key au lieu d’un fichier .pfx, convertissez le fichier .pfx en fichier .crt et .key
à l’aide d’OpenSSL ou d’une autre méthode de votre choix.
Convertir un fichier .pfx en fichiers .crt et .key à l’aide d’OpenSSL
Vérifiez qu’OpenSSL pour Windows est installé, puis exécutez les commandes ci-dessous.
openssl pkcs12 -in D:\ESAcustomCertificate.pfx -clcerts -nokeys out D:\ESAcustomCertificate.crt
Lorsque Enter Import Password (Entrer le mot de passe d’importation) s’affiche, tapez le mot de passe défini
dans la commande Export-PfxCertificate lors de la génération du certificat via Windows PowerShell.
openssl pkcs12 -in D:\ESAcustomCertificate.pfx -nocerts out D:\ESAcustomCertificate_encrypted.key
Pour Enter PEM pass phrase (Entrer la phrase secrète PEM), définissez un nouveau mot de passe d’au moins
quatre caractères.
openssl rsa -in D:\ESAcustomCertificate_encrypted.key out D:\ESAcustomCertificate.key
Lorsque vous y êtes invité, tapez le même mot de passe que celui que vous avez défini pour Enter PEM pass
phrase (Entrer la phrase secrète PEM).
Générer un certificat auto-signé à l’aide d’OpenSSL
Vérifiez qu’OpenSSL pour Windows est installé.
Créer un fichier de configuration
Pour éviter un avertissement « Certificat non valide », le fichier ESAcustomCertificate.conf doit inclure la liste des
noms DNS alternatifs via lesquels le serveur d’authentification sera disponible. La commande ci-dessus générera
les fichiers newKey.rsa et newCertificate.crt.
Exemple de contenu du fichier ESAcustomCertificate.conf :
[ req ]
default_bits
60
= 4096
distinguished_name = req_distinguished_name
req_extensions
= req_ext
x509_extensions
= x509_ext
[ req_distinguished_name ]
countryName
= Country Name (2 letter code)
countryName_default
= SK
stateOrProvinceName
= State or Province Name (full name)
stateOrProvinceName_default = Slovakia
localityName
= Locality Name (eg, city)
localityName_default
= Bratislava
organizationName
= Organization Name (eg, company)
organizationName_default
= My company running ESA
commonName
= Common Name (e.g. server FQDN)
commonName_default
= my.esa.installation.com
[ req_ext ]
subjectAltName = @alternative_names
[ x509_ext ]
subjectAltName = @alternative_names
[alternative_names]
DNS.1
= my.esa.installation.com
DNS.2
= my.authentication.server
DNS.3
= twofactor.auth
DNS.4
= 192.168.0.1
IP.1
= 192.168.0.1
Générez un certificat et une clé OpenSSL à l’aide de la ligne de commande Windows.
openssl req -config D:\ESAcustomCertificate.conf -new -x509 -sha256 -
61
newkey rsa:2048 -nodes -keyout D:\ESAcustomCertificate.key -days 365 out D:\ESAcustomCertificate.crt
Si commonName a été préconfiguré correctement dans le fichier de configuration, appuyez sur Entrée lorsque
l’invite CommonName s’affiche.
Faire en sorte que les certificats soient approuvés
Les certificats signés par une autorité de certification généralement approuvée seront automatiquement
approuvés partout.
Certificats qui doivent être approuvés :
• Certificats auto-signés
• Certificats signés à l’aide d’une autorité de certification personnalisée. L’autorité de certification
personnalisée doit également être approuvée.
La plupart des navigateurs peuvent fonctionner avec des certificats non approuvés, mais affichent un
avertissement. Vous pouvez éviter l’avertissement en ajoutant une exception de certificat. Cependant, cela n’est
pas recommandé.
Ajout de certificats au magasin système
Avec quoi cela fonctionne-t-il ?
• Les composants qui se connectent au serveur d’authentification
• Certains navigateurs, par exemple, Internet Explorer, Microsoft Edge, Google Chrome
Avec quoi cela ne fonctionne-t-il pas ?
• Firefox
• Accès à l’API client via des solutions qui n’utilisent pas le magasin système pour vérifier les certificats
Où importer au sein du magasin système ?
• Utilisateur actuel/Ordinateur local
oUtilisateur actuel : fonctionne uniquement pour l’utilisateur actuel (par exemple, l’accès à partir d’un
navigateur)
oMachine locale : fonctionne partout (par exemple, les composants ESA qui s’exécutent en tant que système
local)
• Personnes de confiance/Autorités de certification racines de confiance
oUtilisez des autorités de certification racines de confiance s’il s’agit d’un certificat d’autorité de certification
62
Comment importer ?
À l’aide d’un fichier de certificat :
1. Double-cliquez sur le fichier de certificat (par exemple, .crt).
2. Sélectionnez Installer le certificat et suivez les instructions de l’assistant d’installation.
À l’aide de la console MMC :
1. Appuyez sur
+ R, saisissez mmc.EXE, puis appuyez sur Entrée.
2. Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable > Certificats > Ajouter.
3. Sélectionnez Compte d’ordinateur, puis cliquez sur Suivant.
4. Sélectionnez Ordinateur local, cliquez sur Terminer, puis sur OK.
5. Dans le volet de navigation de gauche, développez l’un des éléments suivants :
a)Certificats > Personnes de confiance pour importer un certificat auto-signé
b)Certificats > Autorités de certification racines de confiance
6. Cliquez avec le bouton droit sur Certificats, sélectionnez Toutes les tâches > Importer.
7. Suivez les instructions de l’assistant Importation de certificat.
Lors de l’installation d’un composant ESA sur un ordinateur en mode Autonome, l’invitation ajoute les
informations de certificat envoyées par le serveur d’authentification au magasin Personnes de confiance.
HSTS (HTTP Strict Transport Security)
L’en-tête de réponse HTTP Strict-Transport-Security (HSTS) permet à un site Web (domaine) d’indiquer aux
navigateurs qu’il ne doit être accessible qu’avec le protocole HTTPS et non avec le protocole HTTP. Ce mécanisme
permet de protéger les sites Web contre les cyberattaques.
Pour activer HSTS pour ESA Authentication Server, procédez comme suit :
1. Ouvrez le fichier C:\Program Files\ESET Secure
Authentication\EIP.Core.WindowsService.exe.config avec un éditeur de texte, par exemple, le
Bloc-notes.
2. Ajoutez <add key="StrictTransportSecurityEnabled" value="true" /> à ce fichier après la
balise <appSettings>.
63
Exemple de fichier EIP.Core.WindowsService.EXE.config modifié
<?xml version="1.0" encoding="utf-8"?>
...
<configuration>
<appSettings>
<add key="StrictTransportSecurityEnabled" value="true" />
...
</appSettings>
...
</configuration>
...
... représente le code existant à laisser intact dans le fichier .config.
3. Redémarrer le service ESACore
Pour activer HSTS pour le Connecteur de fournisseur d’identité d’ESA, appliquez les modifications mentionnées cidessus dans le fichier C:\Program Files\ESET Secure
Authentication\IdentityProviderConnector\Web.config.
Faites attention aux navigateurs qui se souviennent du paramètre HSTS par domaine. L’activation de HSTS
dans votre instance ESA peut influencer d’autres sites Web accessibles à partir du même domaine (ou nom
d’hôte) que votre instance ESA.
Pour éviter un tel problème, rendez votre instance ESA accessible sur un domaine distinct (nom d’hôte).
Ajoutez le domaine aux enregistrements DNS ou aux fichiers d’hôte et régénérez le certificat ESA pour
inclure ce domaine dans le nom d’objet (et/ou l’autre nom d’objet) du certificat.
Prise en charge du DNS géolocalisé
Cette rubrique s’applique uniquement si ESA est installé en mode Intégration Active Directory.
S’il existe plusieurs sites dans votre domaine Active Directory basés sur un emplacement géographique, chaque
ordinateur connecté à votre domaine appartient à un site spécifique.
Si un serveur d’authentification est installé sur chaque site, vérifiez que les ordinateurs appropriés s’authentifient
auprès du serveur d’authentification correspondant.
Les étapes ci-dessous décrivent comment ajouter un enregistrement d’emplacement du service (SRV) dans un
système d’exploitation Windows Server 2012 R2.
1. Sur votre ordinateur principal, qui est le contrôleur du domaine, cliquez sur Démarrer > Outils
d’administration > DNS.
2. Dans Gestionnaire DNS, développez Zones de recherche directe > <your domain> (<votre domaine>) >
_sites.
3. Recherchez _tcp pour chaque site sous _sites.
4. Cliquez avec le bouton droit sur une occurrence de _tcp, sélectionnez Autres nouveaux
enregistrements > Emplacement du service (SRV), puis cliquez sur Créer un enregistrement.
5. Tapez _esetsecauth dans le champ Service et _tcp dans le champ Protocole .
6. Définissez la priorité et le poids sur 100.
64
7. Définissez le numéro de port sur 8000, sauf si vous avez modifié le numéro de port lors de l’installation
du serveur d’authentification.
8. Tapez le nom de domaine complet (FQDN) du serveur d’authentification applicable dans le site
correspondant.
9. Cliquez sur OK, puis sur Terminé.
Prise en main d’ESET Secure Authentication Web
Console
Lorsque tous les composants ESA requis ont été installés, une configuration de base est nécessaire via ESA Web
Console.
Sur votre bureau, double-cliquez sur le raccourci ESA Web Console.
Certificat ESA Web Console
ESA Web Console utilise un certificat auto-signé. Si vous accédez à Web Console à partir d’une machine
différente de celle du serveur d’authentification, vous recevrez un message indiquant un problème de
certificat.
L’accès à Web Console via Mozilla Firefox à partir de la machine hébergeant le serveur d’authentification
entraînera également l’apparition d’un message indiquant un problème de certificat.
Pour éviter un message indiquant un problème de certificat, ajoutez une exception.
Ajoutez une exception de certificat
Mozilla Firefox
1. Cliquez sur Advanced (Avancé) > Add Exception (Ajouter une exception).
2. Dans la fenêtre Add Security Exception (Ajouter une exception de sécurité), assurez-vous que l’option
Permanently store this exception (Stocker définitivement cette exception) est sélectionnée.
3. Cliquez sur Confirm Security Exception (Confirmer l’exception de sécurité).
Google Chrome
1. Cliquez sur Advanced (Avancé).
2. Cliquez sur Proceed to <web address of ESA Web Console> (unsafe) [Passer à <adresse Web
ESA Web Console> (non sécurisé)].
3. À ce stade, Google Chrome mémorise l'exception.
Internet Explorer 11
1. Cliquez sur Continue to this website (not recommended) [Continuer sur ce site Web (non recommandé)].
2. Dans la section droite de la barre d’adresses, cliquez sur Certificate error (Erreur de certificat) > View
certificates (Afficher les certificats), puis cliquez sur Install Certificate (Installer le certificat).
3. Dans la fenêtre Certificate Import Wizard (Assistant Importation de certificat), sélectionnez Local Machine
(Ordinateur local) pour Store Location (Emplacement du magasin), puis cliquez sur Next (Suivant).
4. Sur l’écran suivant, sélectionnez Place all certificates in the following store (Placer tous les certificats dans
le magasin suivant), puis cliquez sur Browse (Parcourir).
5. Cochez la case Show physical stores (Afficher les magasins physiques), sélectionnez Trusted Root
Certification Authorities (Autorités de certification racines de confiance), puis cliquez sur OK.
6. Cliquez sur Next (Suivant), puis sur Finish (Terminer).
7. Redémarrer l’ordinateur.
Microsoft Edge
Essayez d’abord d’accéder à Web Console dans Internet Explorer 11, puis effectuez les étapes d’ajout
d’exception de certificat comme décrit pour Internet Explorer 11.
65
Connectez-vous à ESA Web Console.
Connectez-vous à l’aide des identifiants d’accès ESA Web Console que vous avez créés lors de l’installation du
serveur d’authentification. Dans un environnement Active Directory (AD), si le type de déploiement Intégration
Active Directory a été utilisé, connectez-vous en cliquant sur Use domain authentication (Utiliser
l’authentification du domaine) dans un navigateur pris en charge. L’authentification du domaine utilise l’identité
de l’utilisateur qui est actuellement connecté sur la machine.
Activez votre installation de ESET Secure Authentication.
La console Web fournit un aperçu rapide des éléments suivants :
• Users (Utilisateurs) : nombre total d’utilisateurs, nombre d’utilisateurs avec l’authentification à 2 facteurs
activée, nombre d’utilisateurs avec une configuration incomplète de l’authentification à 2 facteurs, nombre
d’utilisateurs bloqués. Si le nombre d’utilisateurs avec Authentification à 2 facteurs activée, d’utilisateurs avec
Configuration incomplète ou d’utilisateurs Verrouillés est supérieur à 0, cliquez sur le nombre en question
pour répertorier les utilisateurs associés.
• Servers (Serveurs) : état (en ligne/hors ligne) et version du serveur d’authentification installé. S’il y a
plusieurs sites dans votre domaine Active Directory et que le serveur d’authentification est installé dans chaque
site, la section Serveurs répertorie chaque serveur d’authentification.
• Components (Composants) : liste et nombre de composants ESA utilisés, nombre de composants ESA
obsolètes. Cliquez sur le numéro dans la colonne Out of date (Obsolète) pour afficher les ordinateurs/services
associés.
66
• License (Licence) : nombre d’utilisateurs, crédits SMS restants, jours de licence restants.
Pour configurer l’authentification à 2 facteurs (2FA) pour une application Web prise en charge, reportez-vous à la
section Web Application Protection. Pour configurer l’authentification à 2 facteurs (2FA) sur votre VPN, reportezvous à la section Protection VPN. Pour configurer l’authentification à 2 facteurs (2FA) pour Remote Desktop,
reportez-vous à la section Remote Desktop Protection. Pour protéger la connexion Windows avec
l’authentification à 2 facteurs (2FA), reportez-vous à l’installation du plugin Windows Login. Pour ajouter
l’authentification à 2 facteurs à un processus d’authentification unique, reportez-vous à Connecteur de
fournisseur d’identité.
Commentaires
Vous pouvez fournir des commentaires sur ESET Secure Authentication via la section Submit feedback
(Envoyer les commentaires) dans ESA Web Console. Cette section n’apparaît que si votre installation de
ESET Secure Authentication a été activée.
Activer ou désactiver l’authentification à 2 facteurs ou FIDO pour
ESA Web Console
Pour activer ou désactiver l’authentification à 2 facteurs pour ESA Web Console, accédez à Components
(Composants) > ESA Web Console, puis activez Enable 2FA for Web Console (Activer l’authentification à
2 facteurs pour Web Console) ou FIDO.
Si l’authentification à 2 facteurs (par défaut) ou FIDO est activé pour un utilisateur Administrateur de domaine ,
l’accès à l’écran Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory) > ESET Secure
Authentication et à ESA Management Console est supprimé. Pour permettre l’accès à ces écrans, désactivez
l’authentification à 2 facteurs et/ou FIDO pour ESA Web Console.
Activer ESET Secure Authentication
Activez votre système ESA à l’aide d’une licence ESA ou d’identifiants de connexion ESET Business Account (EBA)
ou ESET MSP Administrator (EMA). Vous pouvez obtenir une licence auprès de votre distributeur ESET.
Pour activer votre serveur ESA (ESA Server), procédez comme suit :
1. Lancez ESA Web Console.
2. Cliquez sur Settings (Paramètres) > License (Licence), puis sélectionnez la méthode d’activation appropriée :
• ESET Business Account : pour les utilisateurs ESET Business Account (EBA) enregistrés qui possèdent une
licence ESET Secure Authentication importée dans EBA. Votre nom d’utilisateur et votre mot de passe EBA
(ou EMA) sont requis.
De plus, si vous souhaitez utiliser des mots de passe à usage unique par SMS, vous avez besoin de ce type
d’activation pour pouvoir ajouter des crédits SMS.
• Enter a License Key (Entrez la clé de licence) : pour les utilisateurs ayant acheté une clé de licence ESET
Secure Authentication.
• Offline License (Licence hors ligne) : utilisez cette option si le serveur d’authentification ESA (ESA
Authentication Server) ne parvient pas à se connecter à Internet et que ESA sera utilisé dans un
environnement hors ligne. Dans ce cas, le serveur de provisionnement n’est pas disponible et seules certaines
67
méthodes d’authentification sont disponibles.
3. Lorsque votre licence est active, configurez le nom de votre jeton [le nom qui sera affiché dans l’application
mobile (Mobile Application) sur le téléphone des utilisateurs] sous Settings (Paramètres) > Mobile application
(Application mobile) > Account name (Nom du compte).
Activation d’ESA à l’aide des identifiants de connexion EBA ou EMA
1. Dans ESA Web Console, cliquez sur Settings (Paramètres) > License (Licence).
2. Sélectionner ESET Business Account.
3. Saisissez vos identifiants de connexion EBA ou EMA.
4. S’il n’y a qu’une seule licence ESA dans votre compte EBA ou EMA et qu’aucun site n’a été créé, l’activation
se fera instantanément. Sinon, vous devrez sélectionner une licence spécifique ou un site (groupe de licences)
pour activer ESA.
5. Cliquez sur Activate.
Plus d’informations sur l’activation d’ESA via EBA.
Consommation de sièges de licence
Chaque utilisateur pour lequel une méthode d’authentification est activée (même si elle n’est pas
fonctionnelle) consomme un siège de licence.
Si un type d’authentification par défaut est activé dans Settings (Paramètres) > Enrollment (Inscription) >
Default authentication types (Types d’authentification par défaut), chaque nouvel utilisateur consommera
un siège de licence.
Gestion des utilisateurs - Provisionnement
Toute la gestion des utilisateurs s’effectue dans la section Users (Utilisateurs) de Web Console.
Le provisionnement est le processus consistant à fournir aux utilisateurs la possibilité de s’authentifier avec un
deuxième facteur lors de l’accès aux appareils/services protégés par ESET Secure Authentication.
Depuis ESA 3.0, le numéro de téléphone n’est plus indispensable pour utiliser l’application mobile ESA, sauf si le
provisionnement par SMS est utilisé. Le numéro de téléphone de chaque utilisateur est saisi manuellement lors
de la création/modification de l’utilisateur dans Web Console, ou importé automatiquement avec les
informations utilisateur lors de la synchronisation avec LDAP, ou tapé par l’utilisateur si l’auto-inscription est
activée.
Chaque utilisateur appartient à un domaine (domaine, nom d’ordinateur, etc.). Les domaines et les utilisateurs
sont créés automatiquement lorsqu’un utilisateur ouvre une session sur une machine sur laquelle un composant
ESA est installé, se connecte à un service protégé par ESA ou si ESA est synchronisé avec LDAP. Vous pouvez aussi
créer manuellement des domaines personnalisés.
L’image ci-dessous montre un domaine personnalisé et un domaine automatique. Le domaine personnalisé a été
créé manuellement (Custom Realm) et l’utilisateur Test User y a été ajouté. Le domaine automatique et ses
deux utilisateurs (admin, Test) ont été créés automatiquement. Le nom de domaine provient de l’ordinateur sur
lequel la protection de connexion Windows est installée et sue lequel les deux utilisateurs ont ouvert une session.
68
La colonne Status (État) indique si l’utilisateur a activé l’authentification à 2 facteurs (et s’il l’a utilisé au moins une
fois) ou si la configuration de l’authentification à 2 facteurs est en attente. La colonne Display Name (Nom
d’affichage) affiche la valeur du champ Display Name (Nom d’affichage). Il peut être défini manuellement par
utilisateur ou synchronisé automatiquement à partir d’Active Directory (ou LDAP) en fonction de la configuration
en accédant à Settings (Paramètres) > Default Fields (Champs par défaut) et en sélectionnant Default display
name field (Champ de type de nom par défaut) en tant que type de champ (Field type).
Créer manuellement un domaine personnalisé
1. Cliquez sur l’icône
à côté de Realms (Domaines), puis cliquez sur Create custom Realm (Créer un
domaine personnalisé).
2. Tapez la chaîne souhaitée pour l’ID de domaine (Realm ID) et le nom du domaine (Realm Name).
Sélectionnez Category (Catégorie), puis cliquez sur Save (Enregistrer).
Pour créer manuellement un domaine correspondant à un domaine Active Directory, vous devez trouver le GUID.
Obtenir un GUID de domaine à partir d’ADUC
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Propriétés.
3. Cliquez sur l’onglet Éditeur d’attributs, puis recherchez ObjectGUID.
4. Utilisez la valeur ObjectGUID dans le champ Realm ID (ID de domaine) lors de la création manuelle du
69
domaine.
Obtenir un GUID de domaine via PowerShell
1. Ouvrez Windows PowerShell.
2. Exécutez l’une des commandes suivantes :
Get-ADDomain | select -Property ObjectGUID
OU
wmic ntdomain list full
Pour créer manuellement un domaine qui correspond à un ordinateur local (utilisateurs autres que le domaine),
vous avez besoin du SID.
1. Téléchargez PsGetSid.
2. Exécutez PsGetsid.EXE ou PsGetsid64.EXE (selon votre version de bits de Windows) à partir de l’invite de
commandes Windows ou de Windows PowerShell.
Ajouter manuellement un utilisateur à un domaine
1. Sélectionnez le domaine dans lequel vous souhaitez ajouter l’utilisateur.
2. Cliquez sur Add user.
3. Saisissez le nom, le numéro de téléphone et éventuellement l’adresse e-mail de l’utilisateur.
4. Cliquez sur Create user.
Format du numéro de téléphone
Les numéros de téléphone mobile doivent être au format international « +421987654321 », où +421 est
l’indicatif du pays. Par exemple, pour saisir le numéro de téléphone slovaque 0987654321 le zéro (« 0 ») du
début doit être remplacé par l’indicatif de pays « +421 », ce qui donne +421987654321. Idem pour le
numéro de téléphone américain « 201-321-4567 » qui donnerait « +12013214567 » (« 1 » étant l’indicatif
du pays).
Vous pouvez également importer des utilisateurs dans un domaine personnalisé à partir d’un fichier.
Envoyer l’application mobile aux utilisateurs
La méthode de provisionnement par défaut est ESET servers, c’est-à-dire la remise par SMS, qui nécessite un
téléphone valide pour envoyer le lien d’installation.
1. Cochez la case correspondant aux utilisateurs qui recevront l’application mobile.
2. Cliquez sur Send application.
70
3. Fermez la fenêtre de confirmation.
Validité du lien de provisionnement
La durée de validité du lien de provisionnement est de 24 heures ou jusqu’à la première utilisation.
Activation de l'authentification à 2 facteurs par utilisateur
Cliquez sur un utilisateur et sélectionnez les options d’authentification souhaitées. Le mot de passe à usage
unique (OTP) et l’authentification Push sont les plus pratiques. Si les mots de passe à usage unique par jeton
matériel (Hard Token OTPs) ont été activés et importés, les jetons matériels seront disponibles dans le menu
déroulant sous le bouton bascule Hard Token (Jeton matériel). Cliquez sur Save (Enregistrer) pour enregistrer les
modifications.
Si une méthode d’authentification nécessite des informations, une notification s’affiche. Vous pouvez toujours
enregistrer le profil de l’utilisateur et, si l’auto-inscription est activée, l’utilisateur peut renseigner les informations
manquantes après s’être inscrit à l’authentification à 2 facteurs (2FA).
Si les mots de passe à usage unique par application mobile ( Mobile Application OTP) ou l’authentification push
par application mobile (Mobile Application Push) ont été activés, une notification s’affiche pour vous rappeler
d’envoyer le message d’inscription/provisionnement à l’utilisateur pour activer l’application mobile.
71
Si vous cliquez sur Do not send (Ne pas envoyer) ou sur Cancel (Annuler), vous pouvez utiliser le bouton Actions
pour envoyer le message d’inscription/provisionnement ultérieurement. Si vous cliquez sur Send (Envoyer), une
fenêtre d’informations affiche l’URL unique de l’application envoyée à l’utilisateur.
Activation de l’authentification à 2 facteurs pour plusieurs utilisateurs à la
fois
1. Cochez la case correspondant aux utilisateurs pour lesquels vous activez l’authentification à 2 facteurs.
2. Cliquez sur 2FA (Authentification à 2 facteurs), sélectionnez Enable (Activer), puis sélectionnez l’option
d’authentification souhaitée.
3. Fermez la fenêtre de confirmation.
Pour obtenir des instructions sur l’installation et l’utilisation de l’application mobile, cliquez sur le système
d’exploitation mobile souhaité pour être redirigé vers l’article correspondant :
• Android
• iPhone
Consultez la liste des adresses IP et des ports utilisés pour la communication avec le serveur de provisionnement
ESET Secure Authentication.
État de l’utilisateur
Un utilisateur peut avoir différents états lors d’un fonctionnement normal. Avant d’activer l’authentification à
2 facteurs (2FA) pour un utilisateur, ou lorsque l’état n’est pas initialisé, la colonne Status (État) de l’écran Users
(Utilisateurs) est vide.
• Incomplete setup: (Configuration incomplète) : l’authentification à 2 facteurs est activée, mais l’utilisateur
n’a utilisée aucune des méthodes activées pour s’authentifier.
• 2FA enabled: (Authentification à 2 facteurs activée) : l’utilisateur s’est authentifié avec l’authentification à
2 facteurs pour accéder à un ordinateur ou à un service protégé par ESA. Cet état s’applique également si seuls
les mots de passe à usage unique par SMS et/ou les jetons matériels sont activés pour l’utilisateur et même si
l’utilisateur ne s’est pas encore authentifié.
72
Des informations supplémentaires concernant l’état Incomplete setup (Configuration incomplète) sont
disponibles dans le profil de l’utilisateur à côté de chaque méthode d’authentification à 2 facteurs activée.
Les mots de passe à usage unique (OTP) par SMS, les mots de passe à usage unique (OTP) par application mobile
(Mobile Application) ou l’authentification push par application mobile (Mobile Application Push) ou tous ces types
d’authentification peuvent être activés pour un utilisateur. S’ils sont tous activés, l’utilisateur est dans ce que l’on
appelle l’état de transition. Ce type d’état n’est visible que dans le profil des utilisateurs.
Dans cet état, un utilisateur reçoit des mots de passe à usage unique par SMS (SMS-based OTP) lorsque des
tentatives d’authentification sont lancées, mais dès qu’un mot de passe à usage unique (OTP) par application
mobile valide est utilisé pour l’authentification ou qu’une notification push (demande d’authentification) est
approuvée, les mots de passe à usage unique par SMS (SMS-based OTP) sont désactivés et l’utilisateur ne peut
s’authentifier qu’à l’aide de mots de passe à usage unique (OTP) par application mobile ou de notifications Push.
Lorsqu’un utilisateur s’est authentifié avec succès à l’aide d’un mot de passe à usage unique (OTP) d’application
mobile, un drapeau vert s’affiche dans les détails de l’utilisateur.
Lors de l’authentification avec un mot de passe à usage unique (OTP), un utilisateur peut saisir 10 fois un mot de
passe à usage unique incorrect (OTP). Lors de la 11e tentative de mot de passe à usage unique (OTP) infructueuse,
l’authentification à 2 facteurs (2FA) est verrouillée pour l’utilisateur. Cela permet d’éviter à une personne
malveillante de deviner un mot de passe à usage unique (OTP) par force brute. Lorsque l’authentification à
2 facteurs (2FA) est verrouillée pour un utilisateur, le nom est surligné en rouge dans l’écran Users (Utilisateurs),
l’état devient 2FA locked (Authentification à 2 facteurs verrouillée), et un triangle rouge avec un point
d’exclamation, ainsi que des informations supplémentaires, s’affichent dans le profil :
73
S’il a été confirmé que l’identité de l’utilisateur ne fait pas l’objet d’une attaque, cliquez sur Actions, puis sur
Unlock (Déverrouiller) pour déverrouiller l’authentification à 2 facteurs (2FA) pour l’utilisateur.
Si les mots de passe à usage unique (OTP) par jeton matériel ont été activés et importés, il y a alors des états
supplémentaires dans lesquels l’utilisateur peut potentiellement se retrouver.
L’utilisateur peut se trouver dans un état où seuls les mots de passe à usage unique par jeton matériel (Hard
Token OTP) sont activés, ou n’importe quelle combinaison des trois types de mots de passe à usage unique (OTP)
est activée. L’utilisateur peut aussi se trouver dans un état de transition où les trois types de mots de passe à
usage unique (OTP) sont activés. Dans cet état, l’utilisateur reçoit un mot de passe à usage unique (OTP) par SMS
lorsque des tentatives d’authentification sont lancées, mais dès qu’un mot de passe à usage unique (OTP) par
application mobile valide est utilisé pour l’authentification, les mots de passe à usage unique par SMS (SMS OTP)
sont désactivés et l’utilisateur ne peut s’authentifier qu’à l’aide de mots de passe à usage unique par jeton
matériel (Hard Token OTP) ou par application mobile.
L’utilisateur peut également se trouver dans un état ou les mots de passe à usage unique par jeton matériel (Hard
Token OTPs) et par SMS sont tous les deux autorisés.
Synchronisation avec LDAP
ESET Secure Authentication prend en charge la synchronisation avec LDAP.
74
Un administrateur peut synchroniser l’intégralité du domaine AD ou sélectionner uniquement une sousarborescence d’unité d’organisation spécifique du domaine AD.
Dans le cas d’un domaine Windows, une seule sous-arborescence d’unité d’organisation peut être
synchronisée par domaine AD (service d’annuaire), car l’intégralité du GUID AD devient l’ID du domaine
créé. Si l’administrateur tente de synchroniser une autre sous-arborescence d’unité d’organisation de cette
AD (domaine Windows), le message d’erreur « Realm '<ID>' already exists » (Le domaine <Domaine> existe
déjà) s’affiche.
Exemple de chemin d’accès au serveur LDAP pour synchroniser une sous-arborescence d’unité
d’organisation du domaine AD « esa.local » (domaine Windows) :
LDAP://<serverName>/OU=sub_OU,OU=first_OU,DC=esa,DC=local
Lors de la synchronisation d’un type d’annuaire différent, l’ensemble du chemin d’accès au serveur LDAP
(Server LDAP Path) devient l’ID du domaine créé.
1. Sélectionnez ESA Web Console et cliquez sur Users (Utilisateurs).
2. À côté de Realms (Domaines), cliquez sur
domaine synchronisé).
, puis sélectionnez Create Synchronized Realm (Créer un
3. Saisissez l’adresse de votre serveur LDAP, sélectionnez le type de serveur LDAP applicable dans le menu
déroulant Sync Server type (Type de serveur de synchronisation), puis saisissez votre nom d’utilisateur et
votre mot de passe LDAP.
4. S’il s’agit d’une importation unique, ne modifiez pas l’intervalle de synchronisation (Sync interval). Sinon,
sélectionnez l’intervalle de synchronisation applicable.
5. Cochez la case à côté de Run immediately (Exécuter immédiatement), puis cliquez sur Save (Enregistrer).
75
Lorsque votre instance ESA est synchronisée avec LDAP, procédez comme suit pour la synchroniser à nouveau
manuellement :
1. Dans la section Realms (Domaines), sélectionnez le serveur LDAP enregistré et synchronisé.
2. Cliquez sur l’icône en forme d’engrenage
, puis sur Synchronize Now (Synchroniser maintenant).
Paramètres de configuration pris en charge
• objFilter - Obligatoire ; utilisé comme filtre pour sélectionner l’objet utilisateur dans LDAP.
• AttrName - Optionnel ; nom de la propriété utilisateur LDAP stockant le nom d’utilisateur. Si Windows LDAP
(LDAP Windows) est sélectionné pour Sync Server Type (Type de serveur de synchronisation), le nom
d’utilisateur est lu à partir de la propriété « sAMAccountName ». Sinon, le nom d’utilisateur est lu à partir de la
propriété « cn ».
• AttrPhone - Optionnel ; nom de la propriété de l’utilisateur LDAP contenant le numéro de téléphone. Si le
paramètre AttrPhone n’est pas utilisé, le numéro de mobile est extrait du champ utilisateur défini par défaut
dans ESA Web Console > dans Settings (Paramètres) > Mobile Number Field (Champ Numéro de portable).
• AuthType - Optionnel ; définit le type d’authentification utilisé lors de la connexion au serveur LDAP. La
valeur par défaut est 1 (Secure) pour la plateforme Windows et 0 (None) pour l’autre plateforme. Valeurs
disponibles :
o0 (None)
o1 (Secure)
o2 (Encryption/SecureSocketsLayer)
o4 (ReadonlyServer)
o16 (Anonymous)
o32 (FastBind)
o64 (Signing)
o128 (Sealing)
o256 (Delegation)
o512 (ServerBind)
Pour en savoir plus sur chaque type d’authentification, consultez la documentation officielle de Microsoft.
Importer des utilisateurs depuis un fichier
ESET Secure Authentication 2.7 et versions ultérieures permettent d’importer des utilisateurs dans des domaines
personnalisés à partir d’un fichier CSV ou LDF. Le fichier doit au moins contenir le nom de l’utilisateur.
76
Pour importer des utilisateurs dans un domaine personnalisé, procédez comme suit :
1. Sélectionnez un domaine personnalisé.
2. Cliquez sur l’icône d’engrenage
le type de fichier.
, sélectionnez Import Users (Importer des utilisateurs) puis sélectionnez
3. Accédez au fichier, puis cliquez sur Open (Ouvrir).
4. Dans la boîte de dialogue d’importation, modifiez les paramètres si nécessaire en fonction du format de
votre fichier CSV.
5. Cliquez sur Import.
Pour importer des utilisateurs d’un environnement Active Directory vers une installation Autonome de ESET
Secure Authentication, exportez le fichier CSV ou LDF approprié à l’aide de la ligne de commande de votre
contrôleur de domaine (ordinateur principal).
Exporter des utilisateurs Active Directory dans un fichier
• Exporter dans un fichier CSV :
csvde -f output.csv -r "(objectclass=user)" -l "dn,c,l,st,postalCode,mobile,telephoneNumber,displayName,co"
• Exporter dans un fichier LDF :
ldifde -f export.ldf -s mydomain.com -r "(objectclass=user)" -l "cn, memberOf, distinguishedName, mobile, pager, facsimileTelephoneNumber"
Auto-inscription
77
Consommation de sièges de licence
Chaque utilisateur pour lequel une méthode d’authentification est activée (même si elle n’est pas
fonctionnelle) consomme un siège de licence.
Si un type d’authentification par défaut est activé dans Settings (Paramètres) > Enrollment (Inscription) >
Default authentication types (Types d’authentification par défaut), chaque nouvel utilisateur consommera
un siège de licence.
Si l’auto-inscription n’est pas activée, mais que l’utilisateur possède une méthode d’authentification à 2 facteurs
qui est activée, mais qui ne fonctionne pas encore en raison d’informations manquantes, il ne peut pas se
connecter à une machine protégée par ESET Secure Authentication (par exemple, la protection de connexion
Windows). L’utilisateur doit contacter l’administrateur pour générer une clé de récupération principale pour
s’authentifier.
Activer l’auto-inscription
1. Dans ESA Web Console, accédez à Settings (Paramètres) > Enrollment (Inscription).
78
2. Cliquez sur le bouton bascule souhaité sous Default authentication types (Types d’authentification par
défaut) pour activer automatiquement des options d’authentification pour les nouveaux utilisateurs.
3. Cliquez sur le bouton bascule dans la section Self enrollment (Auto-inscription).
4. Cliquez sur Save.
Si l’auto-inscription est activée, l’utilisateur peut s’authentifier à l’aide d’une clé de récupération principale. Pour
vous inscrire, cliquez sur Set up (Configurer) et complétez les informations manquantes.
Types d’authentification par défaut
Pour attribuer une méthode d’authentification par défaut à de nouveaux utilisateurs (importés ou créés
automatiquement après la première connexion à un environnement protégé par ESA), activez la méthode
d’authentification souhaitée dans ESA Web Console dans Settings (Paramètres) > Enrollment (Inscription) >
Default authentication types (Types d’authentification par défaut).
Composants ESA pris en charge
L’auto-inscription fonctionne avec les composants ESA suivants :
• Plugin Windows Login
• Plugin Remote Desktop
• Plugin Web App
• Connecteur de fournisseur d’identité
• AD FS
• ERA Web Console
Ajouter une autre option d’authentification
Si l’authentification par jeton matériel (Hard Token) avec push par application mobile (Mobile Application Push)
comme deuxième facteur d’authentification est activée pour un utilisateur, mais que l’utilisateur a utilisé jusqu’à
présent l’authentification par jeton matériel (Hard Token) avec mot de passe à usage unique (OTP) pour
s’authentifier (si l’application mobile ESA n’est pas installée ou provisionnée), et souhaite maintenant utiliser une
autre option d’authentification à 2 facteurs, l’auto-inscription lui permet de choisir (activer) une nouvelle option.
1. Connectez-vous à une machine protégée par ESET Secure Authentication (par exemple, la protection de
connexion Windows).
2. Lorsque vous êtes invité à taper un mot de passe à usage unique associé au jeton matériel (Hard Token),
cliquez sur Add another authentication method (Ajouter une autre méthode d’authentification).
3. Tapez un mot de passe à usage unique associé au jeton matériel (Hard Token).
4. Cliquez sur Setup.
5. Scannez le code QR à l’aide de l’application mobile ESA en appuyant sur l’icône + au sein de l’application,
79
effectuez l’installation et/ou le provisionnement de l’application mobile ESA.
6. Le processus d’auto-inscription nécessite que l’utilisateur vérifie que la nouvelle méthode d’authentification
a bien été inscrite en approuvant les notifications push.
Exemple d’auto-inscription
1. Un utilisateur a activé l’authentification push par application mobile (Mobile Application Push) comme type
d’authentification par défaut ou l’administrateur l’a activée dans ESA Web Console.
2. Lors de la prochaine connexion à un ordinateur protégé par la protection de connexion Windows ESA,
l’utilisateur est invité à s’inscrire dans ESET Secure Authentication. Cliquez sur Setup (Configurer).
80
3. Si l’application mobile ESA est installée, ouvrez-la, appuyez sur + et scannez le code QR affiché dans la boîte
de dialogue, puis cliquez sur Continue (Continuer). Si l’application mobile n’est pas installée, scannez le
code QR pour télécharger et installer l’application mobile, puis cliquez sur Continue (Continuer).
4. Confirmez la notification push envoyée sur votre téléphone. La fenêtre Verify enrollment (Vérifier
l’inscription) affiche un numéro et la notification push apparaît sur votre téléphone (cela peut prendre jusqu’à
deux minutes). Approuvez la notification push si le numéro qu’elle contient correspond au numéro affiché à
l’écran Verify enrollment (Vérifier l’inscription).
5. À l’écran Enrollment successful (Inscription réussie), cliquez sur Finish (Terminer).
Gestion des utilisateurs basée sur les groupes
Dans les domaines de grande taille, il est difficile de garder une trace des utilisateurs du domaine pour lesquels
l’authentification à 2 facteurs est activée. Pour résoudre ce problème, ESET Secure Authentication fournit une
comptabilisation automatique de vos utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) grâce à des
groupes Active Directory.
Plusieurs groupes Active Directory sont créés au moment de l’installation :
81
• ESA Users
Le groupe ESA Users ne contient aucun utilisateur directement, mais contient les groupes ESA SMS Users, ESA
Mobile Application Users, ESA Hard Token Users et ESA FIDO Users. L’appartenance transitive à un groupe peut
donc être utilisée pour localiser tous les utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) dans votre
domaine à l’aide de ce groupe.
• ESA SMS Users
Le groupe ESA SMS Users contient tous les utilisateurs de votre domaine pour lesquels les mots de passe à usage
unique par SMS ont été activés.
• ESA Mobile App Users
Le groupe ESA Mobile App Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par
application mobile ont été activés.
• ESA Hard Token Users
Le groupe ESA Hard Token Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par
jeton matériel ont été activés.
• ESA FIDO Users
Le groupe ESA FIDO Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par
application mobile ont été activés.
• EsaCoreAuthServices, EsaServices et ESA Admins ne stockent aucun utilisateur réel. Ils sont liés à la sécurité
interne de ESET Secure Authentication.
L’appartenance à un groupe est mise à jour en temps réel lorsque les utilisateurs sont configurés dans ADUC ou
ESA Web Console. Trouver tous les utilisateurs pour lesquels les mots de passe à usage unique par SMS ont été
activés (par exemple) est un jeu d’enfant :
1. Lancez ADUC
2. Cliquez avec le bouton droit sur le nœud de votre domaine, puis sélectionnez Find (Rechercher).
3. Tapez « ESA SMS » et appuyez sur Entrée. Le groupe s’affichera dans la section Search Result (Résultats de
recherche).
4. Double-cliquez sur le groupe, puis sélectionnez l’onglet Members (Membres) pour afficher tous les
utilisateurs de votre domaine pour lesquels les mots de passe à usage unique par SMS ont été activés.
Invitations
Les invitations ont été introduites dans ESET Secure Authentication 2.7 pour pouvoir déployer la protection par
authentification à 2 facteurs (2FA) d’ESA dans un environnement de domaine/réseau non établi par Active
Directory Domain Services. Les invitations peuvent également être utilisées dans un environnement hors
domaine, mais assurez-vous que les composants ESA et le serveur d’authentification pourront se détecter les uns
les autres (ping).
82
Une invitation contient les informations de connexion du serveur d’authentification, l’empreinte numérique du
certificat et l’expiration, ainsi qu’un code unique basé sur l’invitation qui est identifiée. Chaque invitation est
limitée par le temps et par le nombre d’utilisations.
Si vous utilisez ESET Secure Authentication dans un domaine établi par Active Directory Domain Services et que
vous souhaitez déployer l’authentification à 2 facteurs (2FA) sur des ordinateurs en dehors de ce domaine, vous
pouvez le faire grâce aux invitations.
Générer une invitation
1. Dans ESA Web Console, cliquez sur Components (Composants) > Invitations.
2. Cliquez sur Create invitation.
3. Tapez un nom d’invitation, un délai d’expiration et un nombre d’utilisations, puis cliquez sur Create (Créer).
4. Les détails de l’invitation s’affichent. Pour enregistrer les détails dans un fichier texte ou pour les copier
ailleurs, cliquez sur Copy data to clipboard (Copier dans le Presse-papiers).
83
5. Cliquez sur Close (Fermer). La liste des invitations s’affiche.
Cliquez sur le nom d’une invitation pour rouvrir les détails de l’invitation. Cliquez sur Server access (Accès
serveur) pour afficher les informations de connexion du serveur d’authentification, l’empreinte numérique du
certificat et l’expiration.
Utiliser l’authentification de domaine
Dans un environnement Active Directory (AD), si le type de déploiement Active Directory Integration (Intégration
Active Directory) est utilisé, vous pouvez vous connecter dans ESA Web Console en cliquant sur Use domain
authentication (Utiliser l’authentification de domaine) dans les navigateurs pris en charge. Ce type
d’authentification fonctionne si vous ouvrez une session avec un utilisateur qui appartient au même domaine
Active Directory et qui appartient également au groupe « ESA Admins » (Administrateurs ESA).
Si vous avez un nom NetBIOS différent pour le domaine, l’utilisation de l’authentification de domaine peut ne pas
fonctionner.
Si l’authentification de domaine ne fonctionne pas immédiatement, essayez de résoudre les problèmes en suivant
les étapes ci-dessous :
84
Ajouter des entrées HTTP au servicePrincipalName du compte
ESASrv_<computer name> (ESASrv_<computer name>)
Important
L’application de cette solution peut créer un conflit de servicePrincipalName avec un autre service,
par exemple perturber le fonctionnement d’un autre service Web hébergé sur le même ordinateur, par
exemple, Outlook Web Access. Si cette solution ne vous convient pas, passez à la solution de
contournement 1 ou 2 ci-dessous.
1. Ouvrez ADUC.
2. Cliquez sur View (Afficher), puis sélectionnez Advanced Features (Fonctionnalités avancées).
3. Développez <domain> (<domaine>), puis cliquez sur ESET Secure Authentication.
4. Cliquez avec le bouton droit de la souris sur ESASrv_<computer name> (<nom_ordinateur>), puis
sélectionnez Properties (Propriétés).
5. Basculez vers l’onglet Attribute Editor (Éditeur d’attributs), puis double-cliquez sur servicePrincipalName.
6. Saisissez HTTP/<hostname> (HTTP/<nom_hôte>), puis cliquez sur Add (Ajouter).
7. Saisissez HTTP/<hostname>.<domain> (HTTP/<nom_hôte>.<domaine>), puis cliquez sur Add (Ajouter).
8. Cliquez sur OK pour fermer l’éditeur et la fenêtre Properties (Propriétés).
Solution de contournement 1
Ouvrez ESA Web Console sur l’ordinateur sur lequel le serveur d’authentification est installé.
Solution de contournement 2
Lorsque vous ouvrez une session à distance, utilisez l’adresse IP du serveur d’authentification, et non le nom de
domaine complet ou le nom d’hôte.
Ajuster la configuration du navigateur
• Internet Explorer 11
1. Cliquez sur Outils, puis sélectionnez Options Internet.
2. Sélectionnez l’onglet Sécurité.
3. Cliquez sur Sites de confiance.
4. Cliquez sur Personnaliser le niveau.
5. Faites défiler jusqu’à Authentification utilisateur, sélectionnez Ouverture de session automatique avec le
nom d’utilisateur et le mot de passe actuels.
6. Cliquez sur OK dans les deux fenêtres de configuration ouvertes.
• Microsoft Edge, Google Chrome
85
1. Suivez les étapes répertoriées pour Internet Explorer. L’authentification de domaine concernant ESA Web
Console fonctionnera dans Microsoft Edge et Google Chrome.
• Mozilla Firefox
1. Tapez about:config dans la barre d’adresses.
2. Cliquez sur le bouton Accepter le risque et poursuivre.
3. Tapez network.negotiate-auth.trusted-uris dans la barre de recherche.
4. Double-cliquez sur le résultat trouvé.
5. Tapez le nom de domaine d’ESA Web Console sans protocole (https://), numéro de port ni barre
oblique de fin.
6. Appuyez sur la touche Entrée.
Notifications
Cette fonctionnalité est destinée à l’administrateur de ESET Secure Authentication (ESA).
Quels types de notifications sont inclus ?
• Démarrage du serveur : chaque fois que le serveur d’authentification est démarré (redémarré).
• Erreur : si une erreur se produit qui pourrait affecter le processus d’authentification.
• Connexion à Web Coonsole : chaque fois qu’un administrateur de console se connecte à ESA Web Console
• Utilisateur verrouillé : chaque fois qu’un utilisateur a été verrouillé en raison d’un échec d’authentification
(n’a pas fourni le deuxième facteur d’authentification correct)
• Utilisateur déverrouillé
• Licence : si l’état de la licence passe de OK à un autre état
Fonctionnement
ESA utilise un serveur SMTP que vous avez défini pour envoyer des notifications par e-mail concernant les types
d’actions sélectionnés.
1. Définissez les informations d’un serveur SMTP fonctionnel :
a.Dans ESA Web Console, accédez à Settings (Paramètres) > SMTP Server (Serveur SMTP) et saisissez les
informations requises.
b.Utilisez l’option Send test email (Envoyer un courrier de test) pour tester la configuration. Si un e-mail
est remis à l’adresse e-mail fournie, la configuration est correcte.
2. Activez la fonction Notifications et sélectionnez le type et la fréquence des notifications :
a.Dans ESA Web Console, accédez à Settings (Paramètres) > Notifications (Notifications).
86
b.Sélectionner Enable notifications.
c.Pour Recipient Email Address (Adresse e-mail du destinataire), saisissez l’adresse e-mail à laquelle les
notifications seront remises.
d.Sélectionnez les types de notification (Notification Types) de votre choix.
e.Dans la section Throttling (Limitation), sélectionnez la fréquence de remise des notifications :
• Immediately (Immédiatement) : dès qu’un type d’action sélectionné se produit, un e-mail de
notification est envoyé.
• 10 minutes : si, au cours des 10 dernières minutes, l’un des types d’actions sélectionnés s’est produit,
un résumé par e-mail est envoyé.
• 1 hour (1 heure) : si, au cours de la dernière heure, l’un des types d’actions sélectionnés s’est produit,
un résumé par e-mail est envoyé.
• 1 day (1 jour) : résumé reprenant les types d’actions sélectionnés et qui est envoyé quotidiennement
par e-mail.
f.Cliquez sur Save.
Plusieurs serveurs d’authentification
Si vous avez plusieurs serveurs d’authentification, des notifications sont envoyées par chacun d’eux, quelle
que soit la limitation (Throttling) sélectionnée.
Options d’authentification
ESET Secure Authentication (ESA) fournit plusieurs options pour authentifier les utilisateurs afin de leur permettre
d’accéder à des ordinateurs ou à des services protégés par l’authentification à 2 facteurs.
• Mot de passe à usage unique reçu par SMS : nécessite des crédits SMS ou une livraison personnalisée à l’aide
d’une passerelle SMS personnalisée
• Mot de passe à usage unique généré via l’application mobile ESA
oMot de passe à usage unique basé sur des événements : expire lorsqu’il est utilisé ou lors de la génération
d’un nouveau mot de passe à usage unique
oMot de passe à usage unique basé sur le temps : expire en quelques secondes (animation d’expiration
affichée dans l’application mobile) même s’il n’est pas utilisé
• Mot de passe à usage unique livré par e-mail
• Authentification push
• Jetons matériels
• Mot de passe à usage unique reçu via une option de livraison personnalisée
• FIDO : un seul authentificateur FIDO peut être enregistré par utilisateur
87
Sécurité des options d’authentification
ESA propose une large gamme de méthodes d’authentification à 2 facteurs qui s’adaptent aux différentes
préférences de nos clients.
La méthode la plus sure et la plus facile à utiliser est le push par application mobile (authentification Push).
D’autres méthodes sont également très fiables, mais moins pratiques dans certaines situations : mot de
passe à usage unique par application mobile, jeton matériel et FIDO.
Bien qu’ils soient également disponibles, les mots de passe à usage unique par SMS, ne sont pas considérés
comme les plus sûrs, principalement en raison de la sécurité sous-jacente utilisée dans les systèmes de
livraison de SMS.
Lorsque vous choisissez la livraison de mots de passe à usage unique par e-mail, la sécurité peut-être plus
faible selon le schéma d’utilisation.
Fiabilité de la livraison des SMS
En raison de la nature technique des SMS, qui sont généralement traités par les opérateurs locaux de
services de télécommunication, la fiabilité de la livraison des SMS au téléphone mobile de l’utilisateur final
ne peut pas être garantie par ESET.
Options d’authentification disponibles hors connexion
Avant l’utilisation hors connexion
1. ESA doit être activé à l’aide d’une clé de licence ou d’identifiants ESET Business Account.
2. Pour inscrire et provisionner des utilisateurs, ESA Core doit pouvoir accéder à esa.eset.com.
Lorsque le serveur d’authentification ne parvient pas se connecter à Internet, les options suivantes sont
disponibles pour authentifier une tentative de connexion :
• Jetons matériels
• FIDO
• Mot de passe à usage unique par SMS utilisant la livraison personnalisée au sein de votre réseau interne
non connecté à Internet
• Mot de passe à usage unique via l’application mobile ESA. Il est toutefois nécessaire d’activer
(provisionner) l’application mobile en ligne
Protection de connexion Windows en mode hors ligne
Lorsque vous utilisez la protection de connexion Windows en mode hors ligne, les options suivantes sont
disponibles pour authentifier une tentative de connexion :
• Jetons matériels (mot de passe à usage unique basé sur des événements uniquement)
• Mot de passe à usage unique généré via l’application mobile ESA (mot de passe à usage unique basé sur
des événements uniquement)
• FIDO
88
Mots de passe à usage unique hors ligne
En mode hors ligne, seuls 20 mots de passe à usage unique sont mis en cache par défaut. Le
renouvellement du cache s’effectue des manières suivantes :
• Automatiquement après une connexion réussie en mode en ligne
• 10 minutes après une connexion hors ligne réussie, le composant ESA tente de télécharger de nouveaux
mots de passe à usage unique. Les prochaines tentatives ont lieu toutes les 60 minutes
• Si un nouveau réseau est connecté (par exemple, la carte réseau est redémarrée), le composant ESA
tente de télécharger immédiatement les nouveaux mots de passe à usage unique
Application mobile
L’application mobile de ESET Secure Authentication permet de générer des mots de passe à usage unique (OTP)
facilement ou d’approuver des demandes d’authentification push pour accéder à des ordinateurs ou des services
protégés par l’authentification à 2 facteurs . À partir de la version 2.40, l’application mobile prend en charge
l’authentification de plusieurs utilisateurs, ce qui signifie que si vous utilisez plusieurs comptes d’utilisateurs dans
un domaine/réseau protégé par l’authentification à 2 facteurs, les jetons d’authentification de tous vos comptes
d’utilisateurs peuvent être stockés dans votre application mobile.
À partir de la version 3.0, l’application mobile prend en charge les jetons Google Authenticator. Au lieu d’installer
l’application Google Authenticator, cliquez sur le bouton + dans l’application mobile de ESET Secure
Authentication pour scanner le code QR lors de la configuration de la vérification en 2 étapes avec
Google Authenticator. Ensuite, lorsque vous vous connecterez à un service Google protégé par la vérification en
2 étapes, vous pourrez générer des mots de passe à usage unique avec l’application mobile ESA au lieu de
l’application Google Authenticator.
Pour obtenir des instructions sur l’installation et l’utilisation de l’application mobile, cliquez sur le système
d’exploitation mobile souhaité pour être redirigé vers l’article correspondant :
• Android
• iPhone
Consultez la liste des adresses IP et des ports utilisés pour la communication avec le serveur de provisionnement
ESET Secure Authentication.
Vous pouvez protéger l’application mobile contre tout accès non autorisé en définissant un code PIN. Pour
accéder plus rapidement à l’application mobile, autorisez l’utilisation du scanner d’empreintes digitales (Android,
iOS) ou de la reconnaissance faciale (iOS) si l’authentification biométrique est configurée sur votre appareil
mobile.
Notez qu’en cas de protection de l’application mobile (Mobile Application) par code PIN, le message Approve on
phone (Approuver sur téléphone) s’affiche sur la montre Android lorsqu’une notification push est générée.
89
Application mobile (Mobile Application) protégée par code PIN
Si la protection par code PIN est activée pour l’application mobile (Mobile Application) , elle permettra à un
utilisateur de se connecter à l’aide d’un code PIN incorrect afin de protéger le code PIN correct contre les
attaques par force brute. Par exemple, si un attaquant tente de se connecter à l’application mobile (Mobile
Application) à l’aide d’un code PIN incorrect, il peut se voir accorder l’accès , mais aucun mot de passe à
usage unique (OTP) ne fonctionnera. Après avoir entré plusieurs mots de passe à usage unique (OTP)
erronés, l’authentification à 2 facteurs (2FA) du compte utilisateur auquel appartient l’application mobile
(Mobile Application) sera automatiquement verrouillée. Cela représente un problème mineur pour un
utilisateur général : si l’utilisateur se connecte à l’application mobile (Mobile Application) à l’aide d’un code
PIN incorrect, puis remplace le code PIN par un nouveau, tous les jetons inclus dans l’application mobile
(Mobile Application) deviendront inutilisables. Il n’existe aucun moyen de réparer de tels jetons : la seule
solution consiste à réapprovisionner des jetons dans l’application mobile (Mobile Application). Par
conséquent, nous conseillons aux utilisateurs d’essayer un mot de passe à usage unique avant de modifier
leur code PIN. Si le mot de passe à usage unique fonctionne, la modification du code PIN peut se faire en
toute sécurité.
Mots de passe à usage unique et espaces blancs
Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e
et 4e chiffres pour améliorer la lisibilité. Toutes les méthodes d’authentification, à l’exception de MSCHAPv2, suppriment les espaces blancs dans les identifiants fournis, de sorte qu’un utilisateur peut inclure
ou exclure des espaces sans affecter l’authentification.
Authentification push
La méthode d’authentification push, qui utilise des notifications push sur les appareils mobiles, a été introduite
dans ESET Secure Authentication (ESA) version 2.5.X et n’était disponible que pour les appareils Android.
ESA 2.6.X a également étendu l’authentification push aux appareils iOS, et ESA 2.7 l’a également étendue aux
Windows phones.
L’authentification par mot de passe à usage unique (OTP) et l’authentification Push peut être activée par
utilisateur ou pour plusieurs utilisateurs en une seule fois dans la section Users (Utilisateurs) d’ESA Web Console.
Pour activer les notifications push sur les appareils iOS, lorsque vous y êtes invité, appuyez sur Allow (Autoriser).
Sur les appareils Android, les notifications sont activées automatiquement.
90
Remarque
Après l’approvisionnement du téléphone de l’utilisateur ou l’activation des notifications push dans ESA
Web Console, un certain temps peut être nécessaire pour que les notifications push commencent à
fonctionner.
Les utilisateurs peuvent approuver ou rejeter la demande d’authentification directement à partir de la zone de
notification de leur appareil mobile.
91
Android, iOS
Appuyez sur la notification ailleurs que sur les boutons Approve (Approuver) et Reject (Refuser) pour ouvrir
l’application mobile (Mobile application) où vous pouvez approuver ou refuser la demande d’authentification.
Application mobile ESA
Vous pouvez aussi gérer les demandes d’authentification push sur les montres intelligentes fonctionnant sous
Android OS ou iOS.
92
Chaque notification push contient un ID qui correspond à l’ID de l’écran de demande d’authentification.
Que se passe-t-il si je refuse la notification push ?
Si la notification push est refusée, la bulle/fenêtre de notification est fermée, mais aucun retour n’est envoyé au
serveur d’authentification. Si le serveur d’authentification ne reçoit pas d’approbation dans les 150 secondes,
l’utilisateur n’est pas autorisé à accéder au service/ordinateur protégé par l’authentification à 2 facteurs.
Montre intelligente Android
Lorsqu’une notification ESET s’affiche sur une montre intelligente Android, faites glisser l’écran vers la droite ou
vers la gauche pour afficher les options disponibles. Si une application mobile (Mobile Application) protégée par
mot de passe est utilisée, le message « Approve on phone » (Approuver sur téléphone) s’affiche.
Apple Watch
Lorsqu’une notification ESET s’affiche sur une Apple Watch, faites défiler jusqu’à Approve (Approuver) ou Reject
(Refuser).
Une notification est arrivée. Faites défiler l’écran jusqu’aux boutons d’action
Si une application mobile (Mobile Application) protégée par mot de passe est utilisée, seule l’option Reject
(Refuser) est disponible.
93
Jetons matériels
Un jeton matériel est un appareil qui génère un mot de passe à usage unique (OTP) et peut être utilisé
conjointement avec un mot de passe en tant que clé électronique pour accéder à quelque chose. Les jetons
matériels sont disponibles dans de nombreux formats différents : porte-clés à accrocher à un trousseau de clés ou
format carte de crédit à ranger dans un portefeuille.
• HOTP signifie « HMAC-based One-time Password » (Mot de passe à usage unique basé sur HMAC), un mot de
passe à usage unique (OTP) basé sur des événements.
• TOTP signifie « Time-based One-time Password » (Mot de passe à usage unique basé sur le temps).
Les mot de passe à usage unique basés sur HMAC (HOTP) et les mots de passe à usage unique basés sur le temps
(TOTP) peuvent tous les deux être générés par un matériel (jetons matériels) ou par un logiciel (par exemple, ESA
Mobile App).
ESA prend en charge tous les jetons matériels conformes à OATH, mais ESET ne les fournit pas. Les mots de passe
à usage unique basé sur HMAC (HOTP) du jeton matériel peuvent être utilisés de la même manière que les mots
de passe à usage unique basé sur HMAC (HOTP) générés par l’application mobile ou envoyés à l’utilisateur via
SMS. Cela peut notamment être utile pour prendre en charge la migration de jetons hérités, pour des questions
de conformité ou si cela correspond à la politique de l’entreprise.
Les données de jeton peuvent être importées dans ESET Secure Authentication à l’aide d’un fichier XML au format
PSKC. La plupart des fournisseurs de jetons matériels vous fournissent un fichier PSKC lorsque vous achetez vos
jetons matériels.
Nous vous recommandons de vérifier auprès du fournisseur que le jeton matériel que vous êtes sur le point
d’utiliser est conforme à OATH.
Pour utiliser et gérer les jetons matériels, consultez les instructions ci-dessous.
Activer et importer des jetons matériels
1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels).
94
2. Cochez la case Enabled (Activé) si elle n’a pas été activée par défaut.
3. Cliquez sur le bouton Import Hard Tokens.
4. Sélectionnez le fichier à importer. Il doit s’agir d’un fichier XML au format PSKC. Contactez votre fournisseur
de jetons matériels s’il ne vous a pas envoyé un tel fichier. Si le fichier XML est protégé par mot de passe ou
par une clé de chiffrement, saisissez le mot de passe ou la clé de chiffrement (format HEX ou base64) dans le
champ Mot de passe de la fenêtre Importer des jetons matériels.
5. Cliquez sur le bouton Import tokens.
6. Une notification de résultat apparaîtra indiquant combien de jetons matériels ont été importés et les jetons
matériels importés seront affichés.
Attribuer un jeton matériel à un utilisateur
1. Dans ESA Web Console, cliquez sur Users (Utilisateurs).
2. Cliquez sur le nom de l’utilisateur approprié.
3. Cliquez sur le bouton bascule à côté de Hard Token (Jeton matériel), puis sélectionnez un jeton matériel
dans la liste.
4. Cliquez sur Save (Enregistrer).
95
Révoquer des jetons matériels
La révocation d’un jeton matériel pour un utilisateur désactivera également l’authentification par jeton matériel
pour cet utilisateur.
1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels).
2. Sélectionnez les jetons appropriés, puis cliquez sur Revoke (Révoquer).
Resynchroniser un jeton matériel
Il est possible qu’un jeton matériel ne soit plus synchronisé avec le système. Cela peut se produire dans les cas
suivants :
• Un utilisateur génère de nombreux nouveaux mots de passe à usage unique pour un jeton matériel basé sur
un événement, mais ne les utilise pas.
• L’heure interne d’un jeton matériel basé sur le temps n’est pas synchronisée.
Dans ces scénarios, une resynchronisation sera nécessaire.
Un jeton peut être resynchronisé comme suit :
1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels).
2. Dans la ligne appropriée, cliquez sur
jeton matériel).
96
, puis sélectionnez Resynchronize Hard Token (Resynchroniser le
3. Générez et tapez deux mots de passe à usage unique consécutifs à l’aide du jeton matériel sélectionné.
4. Cliquez sur le bouton Resynchronize.
5. Un message de réussite s’affiche.
Supprimer des jetons matériels
1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels).
2. Sélectionnez les jetons appropriés, puis cliquez sur Delete (Supprimer).
97
FIDO
À partir de la version 2.8, ESET Secure Authentication (ESA) prend en charge l’authentification à 2 facteurs sur les
appareils prenant en charge les normes d’authentification FIDO2 (et FIDO U2F). Voir plus d’informations sur la
norme FIDO.
Configuration requise
• Navigateur Web prenant en charge l’API d’authentification Web
oMozilla Firefox
oGoogle Chrome
oMicrosoft Edge
Pour obtenir des informations à jour sur les navigateurs pris en charge, consultez
https://platform-status.mozilla.org/ et recherchez « API d’authentification Web ».
• Connexion sécurisée (HTTPS) (des certificats auto-signés peuvent également être utilisés)
• .NET Framework 4.7.2 installé sur l’ordinateur sur lequel le serveur d’authentification ESA est installé
Environnement pris en charge
• Environnement de connexion Web protégé par ESA :
oERA Web Console
oIIS
oAD FS
oConnecteur de fournisseur d’identité
• Protection de connexion Windows
REMARQUE
La mise en œuvre de FIDO dans ESET Secure Authentication n’a pas encore été certifiée par l’alliance FIDO.
Configuration dans ESA Web Console
La configuration dans Settings (Paramètres) > FIDO est destinée aux administrateurs FIDO avancés. Il n’est pas
nécessaire d’apporter des modifications à cette section.
• Vérification de l’utilisateur
oObligatoire : l’authentificateur compatible FIDO doit prendre en charge la vérification de l’utilisateur (par
exemple, par biométrie ou code PIN). S’il n’y a pas de vérification de l’utilisateur, l’authentificateur
compatible FIDO ne peut pas être utilisé comme deuxième facteur d’authentification.
98
oPréférable : il est préférable que l’authentificateur compatible FIDO prenne en charge la vérification de
l’utilisateur, mais ce n’est pas essentiel.
oDéconseillé : le fait que l’authentificateur compatible FIDO prenne en charge ou non la vérification de
l’utilisateur n’a pas d’importance.
• Type d’authentification
oPlateforme (intégré) : l’authentificateur FIDO est une solution intégrée (logicielle, matérielle) sur l’appareil
où il est utilisé comme deuxième facteur d’authentification.
oMultiplateforme (itinérant) : l’authentificateur FIDO est détachable et peut être utilisé avec plusieurs
appareils.
oNon spécifié : le fait que l’authentificateur FIDO soit détachable ou non n’a pas d’importance.
Enregistrer l’origine FIDO
Si vous souhaitez utiliser FIDO comme second facteur d’authentification afin d’accéder à ESA Web Console
disponible à l’adresse https://my-web-console.com:8001, https://my-web-console.com:8001 doit être
enregistrée en tant qu’origine.
1. Dans ESA Web Console, accédez à Components (Composants) > Web Console.
2. Activer FIDO.
3. Saisissez l’URL ESA Web Console dans la fenêtre FIDO Origin (Origine FIDO). Dans notre exemple,
https://my-web-console.com:8001.
4. Cliquez sur Apply (Appliquer) > Save (Enregistrer).
Origine FIDO
Chaque composant SEA dans lequel FIDO sera utilisé comme deuxième facteur d’authentification doit être
enregistré en tant qu’origine.
Pour utiliser FIDO pour un autre composant ESA qu’ESA Web Console, l’auto-inscription pour FIDO doit être
activée, afin que l’origine FIDO puisse être configurée automatiquement.
Activer FIDO pour un administrateur Web Console
Dans notre exemple, nous activons FIDO comme deuxième facteur pour un administrateur ESA Web Console qui
souhaite utiliser une clé USB FIDO en tant qu’authentificateur matériel.
1. Accédez à Settings (Paramètres) > Web Console Administrators (Administrateurs Web Console), cliquez sur
le nom de l’administrateur.
2. Dans le profil de l’utilisateur, activez FIDO.
3. Branchez la clé USB FIDO à l’ordinateur sur lequel vous avez accédé à ESA Web Console.
4. Cliquez sur Actions, puis sur Register FIDO credentials (Enregistrer les identifiants FIDO) > Apply
(Appliquer).
5. Lorsque la clé USB clignote, touchez le capteur tactile de la clé USB FIDO.
99
6. ESA Web Console confirmera l’enregistrement réussi des identifiants FIDO.
Dorénavant, lorsqu’il tentera d’accéder à ESA Web Console, l’administrateur devra approuver l’authentification
en appuyant sur la clé USB FIDO après avoir tapé les identifiants de connexion corrects.
Activer FIDO pour un utilisateur
1. Accédez à Settings (Paramètres) > Enrollment (Inscription).
2. Activez FIDO, puis cliquez sur Save (Enregistrer).
3. Accédez à Users (Utilisateurs) et sélectionnez l’utilisateur concerné.
4. Activez FIDO, puis cliquez sur Save (Enregistrer).
5. L’utilisateur devra terminer la configuration lors de l’auto-inscription.
Options de livraison
Les options de livraison de mot de passe à usage unique (OTP) (SMS, application mobile) par défaut fonctionnent
parfaitement pour la plupart des utilisateurs. ESA peut également prendre en charge des options de livraison
personnalisées.
Dans ESA Web Console, cliquez sur Settings (Paramètres)
> Delivery Options (Options de livraison).
Sélectionnez Email (E-mail), ou spécifiez le chemin d’accès à votre script personnalisé grâce auquel vous souhaitez
gérer l’approvisionnement ou la livraison de mots de passe à usage unique. Cliquez sur Insert attribute (Insérer
100
un attribut) pour afficher la liste des paramètres disponibles que vous pouvez transmettre à votre script
personnalisé. Par exemple, pour livrer le mot de passe à usage unique, vous devez utiliser le paramètre [OTP]
(Mot de passe à usage unique). Vous pouvez également spécifier une chaîne personnalisée à transmettre à votre
script (voir parameter1 dans la capture d’écran ci-dessus).
Autoriser les commandes
Dans ESET Secure Authentication 3.0.21 et versions ultérieures, l’option Use custom application (Utiliser une
application personnalisée) nécessite une autorisation de commande.
1. Créez un dossier « authorized_command » dans le dossier qui s’affiche sous le champ de commande.
Dans notre exemple, C:\Program Files\ESET Secure Authentication\.
2. Conformément aux instructions sous le champ de ligne de commande, créez le fichier
« delivery_provisioning.txt » ou « delivery_opt.txt » dans le dossier « authorized_command »,
puis enregistrez le hachage fourni dans le dossier.
3. Cliquez sur Save (Enregistrer).
Utiliser l’e-mail comme option de livraison/provisionnement par défaut
Pour fournir des mots de passe à usage unique et/ou des informations de provisionnement par e-mail, définissez
d’abord les informations d’un serveur SMTP fonctionnel :
1. Dans ESA Web Console, cliquez sur Settings (Paramètres) > SMTP Server (Serveur SMTP), puis complétez les
informations requises.
a.Si le protocole SSL/TLS est utilisé, le certificat SSL du serveur SMTP doit être approuvé par le serveur
hébergeant le serveur d’authentification.
2. Utilisez l’option Send test email (Envoyer un courrier de test) pour tester la configuration. Si un e-mail est
remis à l’adresse e-mail fournie, la configuration est correcte.
3. Dans Settings
(Paramètres) > Delivery Options (Options de livraison), sélectionnez Email (E-mail), puis
cliquez sur Save (Enregistrer).
4. Activez les mots de passe à usage unique par SMS par utilisateur :
a.Cliquez sur Users (Utilisateurs).
b.Cliquez sur un utilisateur, activez les mots de passe à usage unique par SMS, puis cliquez sur Save
(Enregistrer).
5. Si l’auto-inscription est activée, assurez-vous que les mots de passe à usage unique par SMS sont activés
dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification
par défaut).
101
Sécurité des options d’authentification
ESA propose une large gamme de méthodes d’authentification à 2 facteurs qui s’adaptent aux différentes
préférences de nos clients.
La méthode la plus sure et la plus facile à utiliser est le push par application mobile (authentification Push).
D’autres méthodes sont également très fiables, mais moins pratiques dans certaines situations : mot de
passe à usage unique par application mobile, jeton matériel et FIDO.
Bien qu’ils soient également disponibles, les mots de passe à usage unique par SMS, ne sont pas considérés
comme les plus sûrs, principalement en raison de la sécurité sous-jacente utilisée dans les systèmes de
livraison de SMS.
Lorsque vous choisissez la livraison de mots de passe à usage unique par e-mail, la sécurité peut-être plus
faible selon le schéma d’utilisation.
Exemple de scénario disponible dans le type de déploiement Active
Directory Integration (Intégration Active Directory) - Livraison de mot de
passe à usage unique (OTP) via une solution de messagerie personnalisée
(application)
Conditions préalables requises
• Connaître les informations SMTP de la passerelle de messagerie que vous souhaitez utiliser pour envoyer l’email contenant le mot de passe à usage unique (OTP)
• Disposer d’un script personnalisé pour l’envoi d’e-mails
• Disposer d’un script .BAT personnalisé dont vous définissez le chemin d’accès dans ESA Web Console,
comme illustré dans la capture d’écran ci-dessus. Ce script .BAT va appeler votre script personnalisé qui est
censé envoyer l’e-mail
• Chaque utilisateur pour lequel l’authentification à 2 facteurs (2FA) est activée et qui reçoit des mots de passe
à usage unique (OTP passwords) par e-mail doit avoir son adresse e-mail définie dans le champ Email (E-mail)
de l’onglet General (Général) lors de la consultation de ces informations via l’interface de gestion Active
Directory Users and Computers (Utilisateurs et ordinateurs Active Directory).
Informations SMTP
Dans l’exemple de script python ci-dessus, smtpserver:port, username et password sont censés être
remplacés par les informations SMTP correspondantes.
Exemple de script .BAT permettant d’appeler le script sendmail.py tout en lui transmettant les
paramètres essentiels. Ce fichier est nommé CustomMail.bat
c:\Python\python.EXE c:\work\sendmail.py %1 %2
Conditions préalables requises
Cet exemple de scénario part du principe que la bibliothèque python est installée sur votre ordinateur
principal sur lequel le composant du serveur d’authentification ESA est installé, et que vous connaissez le
chemin d’accès au fichier python.exe.
Dans le champ Sending OTP by (Envoi du mot de passe à usage unique par), définissez le chemin menant au script
CustomMail.bat, sélectionnez les paramètres essentiels tels que [E-mail-Addresses] et [OTP], puis cliquez sur
102
Save (Enregistrer).
Le provisionnement (livraison de l’application mobile) peut être personnalisé de la même manière à l’aide des
paramètres [PHONE] et [URL].
Comparaison entre livraison par e-mail et livraison par SMS
Par rapport à la livraison par SMS (ou à l’utilisation d’une application mobile provisionnée), la livraison d’un
mot de passe à usage unique par e-mail est légèrement moins sécurisée, car l’e-mail peut être lu sur
n’importe quel appareil que l’utilisateur possède. Cette méthode ne permet pas de confirmer que le
destinataire prévu est le propriétaire du téléphone enregistré (numéro de téléphone).
Exemples de scripts PowerShell
Vous trouverez ci-dessous deux exemples de scripts PowerShell à utiliser pour fournir un mot de passe à usage
unique via une solution de messagerie personnalisée (application).
103
Script PowerShell utilisant Send-MailMessage : ce fichier est nommé
sendmail.ps1
param
(
[string] $toAddress,
[string] $otp
)
$smtpServer = "<server>"
$smtpPort = "<port>"
$smtpUsername = "<username>"
$smtpPassword = "<password>"
$fromAddress = "esa@localhost"
$subject = "ESA OTP"
$body = "Your OTP: $otp"
$smtpPassword_sec = ConvertTo-SecureString $smtpPassword -AsPlainText -Force
$credential = NewObject System.Management.Automation.PSCredential ($smtpUsername, $smtpPassword_sec)
Send-MailMessage -SmtpServer $smtpServer -Port $smtpPort -Credential $credential UseSsl -From $fromAddress -To $toAddress -Subject $subject -Body $body
Script PowerShell utilisant System.Net.Mail : ce fichier est nommé
sendmail.ps1
param
(
[string] $toAddress,
[string] $otp
)
104
$smtpServer = "<server>"
$smtpPort = "<port>"
$smtpUsername = "<username>"
$smtpPassword = "<password>"
$fromAddress = "esa@localhost"
$subject = "ESA OTP"
$body = "Your OTP: $otp"
$mailMessage = NewObject System.Net.Mail.MailMessage($fromAddress, $toAddress, $subject, $body)
$smtpClient = New-Object System.Net.Mail.SmtpClient($smtpServer, $smtpPort)
$smtpClient.EnableSsl = $true
$smtpClient.Credentials = NewObject System.Net.NetworkCredential($smtpUsername, $smtpPassword);
$smtpClient.Send($mailMessage)
Remplacer les espaces réservés
Dans les exemples de scripts ci-dessus, remplacez les espaces réservés <server> (<serveur>), <port>,
<username> (<nom_utilisateur>) et <password> (<mot_de_passe>) par les informations SMTP
correspondantes.
Test et utilisation
1. Enregistrez le script à l’emplacement souhaité, par exemple c:\work\sendmail.ps1.
2. Testez le script en dehors d’ESET Secure Authentication (ESA) à l’aide de la ligne de commande Windows :
a.Appuyez sur la combinaison de touches Windows + R.
b.Tapez cmd.EXE, puis appuyez sur Entrée.
c.Dans la fenêtre de ligne de commande, exécutez :
powershell c:\scripts\sendmail.ps1 [email protected] 123456
Remplacez [email protected] par une adresse e-mail valide. Vous pouvez consulter votre boîte de
réception.
d.Si le test réussit, passez à l’étape suivante.
105
3. Dans la section Delivery Options (Options de livraison) d’ESA, faites référence au script de la façon
suivante :
powershell c:\scripts\sendmail.ps1 [E-mail-Addresses] [OTP]
Fournisseurs d’identifiants pris en charge par ESA
Connexion Windows
La protection de connexion Windows par ESA fournit une authentification à 2 facteurs uniquement aux comptes
Windows protégés par mot de passe (comptes de domaine ou locaux). Dans ce cas, le « fournisseur de mot de
passe d’identification » d’origine est protégé par l’authentification à 2 facteurs.
Si un compte Windows est accessible à l’aide de Windows Hello, d’un code PIN ou d’un compte Microsoft, ESA ne
peut pas fournir de protection par authentification à 2 facteurs pour ces types de connexions.
Protocole RDP (Remote Desktop Protocol)
ESA fournit une authentification à 2 facteurs uniquement si le client RDP requiert le premier facteur (mot de
passe et nom d’utilisateur) avant de créer la session à distance. Windows RDP fonctionne de cette manière.
La protection RDP ESA désactive les autres fournisseurs d’identifiants.
Protection de connexion Windows
ESA offre une protection de connexion locale pour Windows dans un domaine ou un environnement LAN. Pour
utiliser cette fonction, sélectionnez le composant Windows Login lors de l’installation d’ESA. Une fois l’installation
terminée, accédez à ESA Web Console, cliquez sur Components (Composants) > Windows Login. La liste des
ordinateurs sur lesquels le composant Windows Login d’ESA est installé s’affiche. À partir de cet écran, vous
pouvez activer/désactiver la protection par authentification à 2 facteurs (2FA) par ordinateur.
106
Si vous avez une longue liste d’ordinateurs, utilisez le champ Filter (Filtrer) pour rechercher un ordinateur
spécifique en tapant son nom.
Si le composant Windows Login d’ESA 2.6 ou version ultérieure est désinstallé d’un ordinateur spécifique,
l’ordinateur est automatiquement supprimé de la liste des ordinateurs (Computer List) d’ESA Web Console. Une
entrée d’ordinateur peut également être supprimée manuellement à partir de Web Console. Sélectionnez une
entrée d’ordinateur et cliquez sur Delete (Supprimer), ou passez le curseur de la souris sur un ordinateur, cliquez
sur
et sélectionnez Delete (Supprimer). Cliquez sur Delete (Supprimer) également dans la fenêtre de
confirmation. Supposons qu’une entrée d’ordinateur soit supprimée de la liste des ordinateurs (Computer List),
mais que le composant Windows Login ne soit pas supprimé de l’ordinateur spécifique. Dans ce cas, l’ordinateur
apparaîtra à nouveau dans Web Console avec les paramètres par défaut.
Cliquez sur l’onglet Settings (Paramètres) pour afficher les paramètres disponibles.
107
À partir de cet écran, vous pouvez voir différentes options permettant d’appliquer l’authentification à 2 facteurs
(2FA), y compris l’option permettant d’appliquer la protection par authentification à 2 facteurs (2FA) une
protection pour le mode sans échec, l’écran de verrouillage Windows et le contrôle du compte utilisateur (UAC).
Supposons que la machine sur laquelle le composant Windows Login d’ESA est installé doit être hors ligne une
partie du temps et que vous avez des utilisateurs pour lesquels l’authentification par SMS est activée. Dans ce cas,
vous pouvez activer Allow access without 2FA for users with SMS-based OTP or Mobile Push authentication
only (Autoriser l’accès sans authentification à 2 facteurs pour les utilisateurs disposant uniquement du mot de
passe à usage unique par SMS ou de l’authentification mobile push).
Si un utilisateur utilisant la livraison par SMS pour les mots de passe à usage unique (OTP) veut qu’un mot de
passe à usage unique (OTP) lui soit renvoyé, il peut fermer la fenêtre demandant un mot de passe à usage unique
(OTP) et, après 30 secondes, taper à nouveau son nom d’utilisateur et son mot de passe pour recevoir un
nouveau mot de passe à usage unique (OTP).
La protection par authentification à 2 facteurs (2FA) ne peut pas être contournée par un attaquant, même si
l’attaquant connaît le nom d’utilisateur et le mot de passe, ce qui offre une meilleure protection des données
sensibles. Bien sûr, nous supposons que le disque dur n’est pas accessible par l’attaquant ou que le contenu du
disque est chiffré.
Nous vous recommandons de combiner la protection par authentification à 2 facteurs (2FA) avec le chiffrement
de l’ensemble du disque pour atténuer le risque de violation si un attaquant dispose d’un accès physique au
disque.
108
Authentification à 2 facteurs activée pour le mode hors ligne
Si la protection par authentification à 2 facteurs (2FA) est activée pour le mode hors ligne, tous les
utilisateurs dont les comptes sont sécurisés par l’authentification à 2 facteurs (2FA) et qui souhaitent
utiliser un PC protégé par l’authentification à 2 facteurs (2FA) doivent se connecter à ce PC pour la
première fois lorsque le PC est en ligne (online). Par « online », nous voulons dire que l’ordinateur principal
sur lequel le serveur d’authentification est installé et le service ESET Secure Authentication Service est en
cours d’exécution et peut être interrogé par ping à partir de l’ordinateur sécurisé par l’authentification à
2 facteurs (2FA).
Supposons que le composant Windows Login est installé sur le même ordinateur que le serveur
d’authentification et que la protection par authentification à 2 facteurs (2FA) pour le mode sans échec est
activée. Simultanément, le mode hors ligne est désactivé [Do not allow access (Ne pas autoriser l’accès) est
sélectionné dans la section Offline behavior (Comportement hors ligne)]. Dans ce cas, l’utilisateur sera
autorisé à se connecter en mode sans échec (sans réseau) sans mot de passe à usage unique (OTP).
Le mode hors ligne permet de se connecter 20 fois en utilisant un mot de passe à usage unique (OTP) valide à
chaque fois. Si la limite est dépassée, la machine doit être en ligne lorsque vous essayez de vous connecter.
Chaque fois que la machine est en ligne pendant que vous essayez de vous connecter, le compteur de limite est
réinitialisé. Vous pouvez augmenter le nombre de connexions hors ligne dans la Web Console dans Components
(Composants) > Windows Login > Settings (Paramètres) > Number of offline OTPs (Nombre de mots de passe à
usage unique hors ligne).
Les mots de passe à usage unique basés sur le temps ne sont pas mis en cache
Les mots de passe à usage unique générés par un jeton matériel basé sur le temps ou les mots de passe à
usage unique basés sur le temps générés par l’application mobile ne sont pas stockés dans le cache hors
ligne du plugin Windows Login.
Supposons que la connexion Windows 10 est sécurisée par ESA. Après avoir saisi un nom d’utilisateur et un mot
de passe valides, les utilisateurs sont invités à approuver la connexion sur leur appareil mobile Android/iOS ou sur
leur montre Android/Apple, ou à saisir un mot de passe à usage unique (OTP).
109
Connecteur de fournisseur d’identité (IdP Connector)
Certains services en ligne (également appelés « fournisseurs de services ») vous permettent de vous connecter à
l’aide de services en ligne tiers (également appelés « fournisseurs d’identité »).
Le Connecteur de fournisseur d’identité (IdP Connector) d’ESA permet d’ajouter une authentification à 2 facteurs
entre n’importe quel service cloud (fournisseur de services) et n’importe quel fournisseur d’identité, qui utilisent
la norme SAML.
Fournisseur de service et fournisseurs d’identité utilisant la norme SAML
1. Il y a toujours un fournisseur de services et un fournisseur d’identité, et ils ont besoin de se connaître l’un
l’autre. Par exemple, le fournisseur de services doit connaître l’URL des métadonnées du fournisseur d’identité
et vice versa.
2. L’utilisateur accède au fournisseur de services pour se connecter, mais est redirigé vers le fournisseur
d’identité.
110
3. Après s’être connecté avec succès au fournisseur d’identité, l’utilisateur est redirigé vers le fournisseur de
services avec des informations signées concernant son identité.
4. Le fournisseur de services vérifie la signature, puis lit les informations utilisateur, également appelées
« revendications ».
Certains services (fournisseurs de service/d’identité) fournissent leur configuration (URL, détails de certificat) sous
forme de fichier de métadonnées SAML.
Lorsqu’ESA IdP Connector est implémenté entre un fournisseur de services et un fournisseur d’identité (appelé
plus tard « fournisseur d’identité d’origine »), les rôles de communication sont les suivants :
• Le fournisseur de services utilise ESA IdP Connector comme fournisseur d’identité.
• Le fournisseur d’identité d’origine utilise ESA IdP Connector comme fournisseur de services.
• ESA IdP Connector gère la demande du fournisseur de services et contacte le fournisseur d’identité d’origine
pour vérifier le premier facteur.
• ESA IdP Connector fournit une interface d’authentification à 2 facteurs pour vérifier le deuxième facteur.
111
Configuration requise
• Le Connecteur de fournisseur d’identité ESA (ESA IdP Connector) doit être installé.
• Le fournisseur d’identité et le fournisseur de services doivent tous deux utiliser la norme SAML.
• Tous les certificats impliqués dans la communication (certificat de signature, certificat de décryptage,
certificat SSL) doivent être valides.
Fournisseurs d’identité testés avec ESET Secure Authentication
• OpenAM
• Okta
• Azure AD
112
• AD FS
• Shibboleth
• Keycloak
Fournisseurs de services testés avec ESET Secure Authentication
• Dropbox
• Confluence
Logo personnalisé
Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou
d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme
suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin
Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé.
1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de
350 x 100 px (largeur x hauteur).
2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le
« logo.png ».
Passez à la configuration du Connecteur de fournisseur d’identité dans ESA, ou consultez nos exemples de
configuration.
Instructions pour remplacer le certificat du connecteur du fournisseur d’identité ESA
Configurer le Connecteur de fournisseur d’identité
(IdP Connector) dans ESA Web Console
Pour la configuration, vous aurez besoin d’informations sur le fournisseur d’identité et sur le fournisseur de
services.
1. Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur
du fournisseur d’identité).
2. Cliquez sur Create New Identity Provider Configuration.
3. Entrante Basic settings :
oTapez le nom de configuration (Configuration Name) de votre choix. Il sera utilisé dans la liste des
configurations d’IdP Connector.
oTapez le nom du chemin d’accès (Path Name) de votre choix qui sera utilisé dans l’URL de configuration
(Configuration URL) utilisé dans une configuration ultérieure.
113
4. Entrante 2FA settings :
oLaissez l’option 2FA enabled (Authentification à 2 facteurs activée) sélectionnée pour exiger des
utilisateurs qui ont configuré l’authentification à 2 facteurs de fournir un deuxième facteur
d’authentification.
oPour permettre aux utilisateurs qui n’ont configuré aucune authentification à 2 facteurs (2FA) de se
connecter via cette configuration d’IdP Connector, laissez l’option Allow non-2FA (Autoriser les utilisateurs
n’utilisant pas l’authentification à 2 facteurs) sélectionnée.
5. Entrante Original Identity Provider :
oConfiguration from the Original Identity Provider
• Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration du
fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS) ou sous forme de fichier
local. Tapez cette URL sécurisée (commençant par https:// ou file://) dans le champ Metadata URL (URL
des métadonnées).
• Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer et
taper manuellement les informations suivantes concernant le fournisseur d’identité :
oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié
est redirigé pour se connecter. Certains fournisseurs d’identité l’appellent URL de connexion.
oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est redirigé
pour se déconnecter. Certains fournisseurs d’identité l’appellent URL de déconnexion.
oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du
fournisseur d’identité.
oConfiguration to the Original Identity provider
Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur
d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector.
i. Si le fournisseur d’identité peut lire la configuration à partir des métadonnées, fournissez-lui l’URL
affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs
[Identifier (Identificateur), Sign-on response URL (URL de réponse de connexion), Logout response URL
(URL de réponse de déconnexion), Logout URL (URL de déconnexion)], puis exportez le certificat de
connexion et le certificat de décryptage si votre fournisseur d’identité l’exige.
ii. Configurez le fournisseur d’identité pour qu’il émette une revendication Name ID au format
<username>@<domain> (les options courantes sont l’adresse e-mail ou le nom UPN).
ESA IdP Connector enregistrera ensuite l’utilisateur identifié par <username> auprès du serveur
d’authentification ESA dans le domaine <domain>.
6. Ajustez-les paramètres de sécurité avancée (Advanced Security Settings) en fonction de vos préférences et
des exigences de votre fournisseur d’identité.
oSign Requests to the original Identity Provider (Signer les requêtes au fournisseur d’identité d’origine) : si
cette option est sélectionnée, le certificat de signature (Singing Certificate) d’ESA doit être configuré comme
approuvé sur la machine hébergeant le fournisseur d’identité.
114
oValidate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) : si
cette option est sélectionnée, le certificat de signature du fournisseur d’identité doit être configuré comme
approuvé sur la machine hébergeant ESA.
oCheck original Identity Provider certificate revocation (Vérifier la révocation du certificat du fournisseur
d’identité d’origine) : si cette option est sélectionnée, ESA vérifie si le certificat de signature du fournisseur
d’identité est toujours valide.
7. Cliquez sur Add Service Provider (Ajouter un fournisseur de services), puis saisissez le nom d’affichage
(Display Name) de votre choix. Il sera utilisé dans la liste des fournisseurs de services configurés dans le
connecteur de fournisseur d’identité en cours de configuration.
oConfiguration from the Service Provider
i. Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration
du fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS). Saisissez cette URL
sécurisée (commençant par https://) dans le champ URL des métadonnées du fournisseur de services.
ii. Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer
et taper manuellement les informations suivantes concernant le fournisseur de services :
oIssuer (Émetteur) : certains fournisseurs de services l’appellent Audience URL (URL de public) ou
Entity ID (ID d’entité).
oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié
est redirigé. Certains fournisseurs de services l’appellent URL Assertion Consumer Service.
oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est
redirigé après la déconnexion.
oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du
fournisseur de services.
b.Configuration to the Service Provider:
Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur
d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector
i. Si le fournisseur de services peut lire la configuration à partir des métadonnées, fournissez-lui l’URL
affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs
[Identifier (Identificateur), Sign-on URL (URL de connexion), Logout URL (URL de déconnexion)], puis
exportez le Singing Certificatecertificat de signature et le Decryption Certificate (Certificat de
décryptage) si votre fournisseur de services l’exige.
ii. Pour supprimer, ajouter ou mettre à jour les informations d’identité collectées (revendication) avant
de les transmettre au fournisseur de services, créez les règles souhaitées dans la section Claims
Translation (Traduction des revendications). Consultez des exemples de traductions de revendications
ci-dessous.
8. Ajustez-les Advanced Security Settings (Paramètres de sécurité avancée) en fonction de vos préférences et
des exigences de votre fournisseur de services.
115
oCheck signature of requests from the Service Provider (Vérifier la signature des requêtes du fournisseur
de services) : si cette option est sélectionnée, le certificat du fournisseur de services doit être configuré
dans ESA.
oValidate Service Provider certificate (Valider le certificat du fournisseur de services) : si cette option est
sélectionnée, le certificat du fournisseur de services doit être configuré comme approuvé sur la machine
hébergeant ESA.
oCheck Service Provider certificate revocation (Vérifier la révocation du certificat du fournisseur de
services) : si cette option est sélectionnée, ESA vérifie si le certificat du fournisseur de services est toujours
valide.
9. Cliquez sur Save.
Exemples de traduction de revendications
Dans les exemples ci-dessous, nous partons du principe que nous nous sommes connectés via un fournisseur
d’identité et que les revendications suivantes ont été reçues par ESA IdP Connector :
http://original_identity_provider/claim/nameid: [email protected]
http://original_identity_provider/claim/displayname: SU
http://original_identity_provider/claim/name: Sample User
http://original_identity_provider/claim/nameid: [email protected]
http://original_identity_provider/claim/saml2nameid: [email protected]
http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML:
1.1:nameid-format:emailAddress
Supprimer une certaine revendication
Pour supprimer « http://original_identity_provider/claim/displayname: SU » de l’ensemble de
revendications ci-dessus, configurez la règle suivante dans ESA IdP Connector :
1. Cliquez sur Add.
2. Sélectionnez Remove (Supprimer) dans la zone de liste.
3. Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets.
4. Cliquez sur Save.
Créer une revendication avec une valeur personnalisée ou mettre à jour une revendication
existante (remplacer sa valeur)
Pour remplacer « SU » par « sampleuser » dans
« http://original_identity_provider/claim/displayname: SU », configurez la règle suivante dans
116
ESA IdP Connector :
1. Cliquez sur Add.
2. Sélectionnez Add (Ajouter) dans la zone de liste.
3. Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets.
4. Pour Constant value (Valeur de constante), tapez « sampleuser ».
5. Cliquez sur Save.
Si « http://original_identity_provider/claim/displayname » n’existait pas dans l’ensemble de
revendications reçu, il serait créé avec la valeur définie dans Constant value (Valeur de constante) :
"http://original_identity_provider/claim/displayname: sampleuser"
Créer une revendication avec la valeur d’une revendication existante
Pour créer une revendication « http://original_identity_provider/claim/profilename » avec la
valeur de la revendication « http://original_identity_provider/claim/displayname », configurez la
règle suivante dans ESA IdP Connector :
1. Cliquez sur Ajouter.
2. Sélectionnez Copy (Copier) dans la zone de liste.
3. Pour From type (Type De), tapez « http://original_identity_provider/claim/displayname »
sans guillemets.
4. Pour To type (Type À), tapez « http://original_identity_provider/claim/profilename » sans
guillemets.
5. Cliquez sur Save.
Exemples de configuration d’IdP Connector
Dans les exemples de configuration ci-dessous, nous partons du principe que les paramètres suivants sont définis
comme suit :
• URL d’installation d’ESA : https://esa.test.local:44322/
• Path Name (Nom du chemin d’accès) configuré dans le Connecteur de fournisseur d’identité ESA
(ESA IdP Connector) : test
Liens vers les exemples de configuration ci-dessous : Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox,
Confluence
Fournisseurs d’identité
117
OpenAM
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Fournisseur d’identité d’origine > Configuration issue du fournisseur d’identité d’origine,
définissez l’URL des métadonnées sur
https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM
_FQDN>/openam&realm=/
<OpenAM_FQDN> doit être remplacé par le nom de domaine que vous avez spécifié lors de la création du
fournisseur d’identité hébergé dans la console OpenAM.
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature OpenAM doit être configuré comme approuvé sur la machine sur
laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer OpenAM
1. Connectez-vous à OpenAM.
2. Dans Realms (Domaines), sélectionnez un domaine, puis sélectionnez Create SAML v2 Providers (Créer des
fournisseurs SAML v2).
3. Cliquez sur Register Remote Service Provider (Enregistrer le fournisseur de services distants).
4. Saisissez l’URL des métadonnées obtenues auprès d’ESA :
a.Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur
du fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, puis Original
Identity Provider (Fournisseur d’identité d’origine) > Configuration to the original Identity Provider
(Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées). Dans notre
exemple : https://esa.test.local:44322/test/metadata/ToIdentityProvider
5. Dans Circle of Trust (Cercle de confiance) :
a.Sélectionnez Add to existing (Ajouter à l’existant).
b.Sélectionnez le cercle de confiance existant auquel appartient votre fournisseur d’identité hébergé.
6. Accédez à Federation (Fédération) > Entity Providers (Fournisseurs d’identité). Sélectionnez le fournisseur
d’identité utilisé, puis Name ID Format (Format de l’ID de nom).
7. Attribuez une valeur à Name ID Value Map (Correspondance de valeur de l’ID de nom) s’il n’y en a pas.
8. Importez les certificats ESA IdP Connector dans OpenAM à l’aide de l’outil de ligne de commande.
118
keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> file <esa_signing_certificate>
keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> file <esa_decryption_certificate>
Dans le code situé au-dessus de <openam_keystore.jks>, <esa_signing_ceritificate> et
<esa_decryption_ceritificate> doivent être remplacés par le chemin correspondant menant à leur
emplacement.
Okta
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the
original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL
des métadonées) sur l’URL que vous récupérerez d’Okta une fois sa configuration terminée :
a.Connectez-vous en tant qu’administrateur à l’application Okta créée.
b.Sélectionnez l’onglet Sign On (Connexion), cliquez avec le bouton droit sur Identity Provider metadata
(Métadonnées du fournisseur d’identité) dans la section Settings (Paramètres) et copiez son adresse de
lien (emplacement du lien).
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature Okta doit être configuré comme approuvé sur la machine sur laquelle
ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Okta
1. Connectez-vous au compte administrateur Okta.
2. Accédez Applications > Applications.
3. Cliquez sur Add Application (Ajouter une application), puis sur Create New App (Créer une application).
4. Sélectionnez Web pour Platform (Plateforme) et SAML 2.0 pour Sign on method (Méthode de connexion).
5. Cliquez sur Créer.
6. Lors de la configuration de l’application :
a. Single sign-on URL (URL d’authentification unique) : récupérez l’URL à partir d’ESA Web Console lors de
la configuration d’ESA IdP Connector :
i. Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity
119
Provider (Configuration du fournisseur d’identité d’origine) > Sign-on URL (URL de connexion unique).
Dans notre exemple :
https://esa.test.local:44322/test/Auth/LoginResponse
b.Audience URI (SP Entity ID) [URI d’audience (ID d’entité du fournisseur d’identité)] : récupérez la valeur
correspondante à partir d’ESA Web Console lors de la configuration d’ESA IdP Connector :
i. Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity
Provider (Configuration du fournisseur d’identité d’origine) > Identifier (URL de connexion unique).
Dans notre exemple :
https://esa.test.local:44322/test/
c.Dans SAML Settings (Paramètres SAML), sélectionnez Email (E-mail) pour Application username (Nom
d’utilisateur de l’application).
Azure AD
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the
original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL sur
l’URL que vous récupérerez d’Azure une fois sa configuration terminée :
a.Dans le portail Azure, accédez à Azure Active Directory > Enterprise applications (Applications
d’entreprise) et sélectionnez l’application dans la liste.
b.Cliquez sur Single sign-on (Authentification unique), puis copiez l’URL du champ App Federation
Metadata URL (URL des métadonnées de la fédération d’applications) dans la section SAML Signing
Certificate (Certificat de signature SAML).
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature Azure doit être configuré comme approuvé sur la machine sur laquelle
ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Vous pouvez télécharger
le certificat de signature Azure à partir du portail Azure :
a.Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise). Sélectionnez
l’application que vous avez configurée pour l’authentification unique, puis Single sign-on (Authentification
unique).
b.Dans la section SAMLE Signing Certificate (Certificat de signature SAMLE), cliquez sur Download
(Télécharger) à côté de Certificate (Raw) [Certificat (Brut)]
120
Configurer Azure AD
1. Connectez-vous au portail Azure.
2. Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise) > New Application
(Nouvelle application).
3. Cliquez sur Non-gallery application (Application hors galerie).
4. Dans la section Single sign-on (Authentification unique), configurez les champs suivants en fonction des
informations récupérées lors de la configuration d’ESA IdP Connector :
a.Identifier (Entity ID) [Identificateur (ID d’entité)] : utilisez la valeur de Original Identity Provider
(Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du
fournisseur d’identité d’origine) > Identifier (Identificateur). Dans notre exemple :
https://esa.test.local:44322/test
b.Reply URL (Assertion Consumer Service URL) [URL de réponse (URL Assertion Consumer Service)], Signon URL (URL d’authentification unique) : servez-vous de la valeur de Original Identity Provider
(Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du
fournisseur d’identité d’origine) > Sign-on URL (URL d’authentification unique). Dans notre exemple :
https://esa.test.local:44322/test/Auth/LoginResponse
c.Logout Url (URL de déconnexion) : utilisez la valeur de Original Identity Provider (Fournisseur d’identité
d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité
d’origine) > Logout URL (URL de déconnexion). Dans notre exemple :
https://esa.test.local:44322/test/Auth/LogoutResponse
AD FS
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the
original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL
des métadonnées) sur
https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml
où <AD FS_FQDN> doit être remplacé par le nom de domaine de votre serveur AD FS.
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature AD FS doit être configuré comme approuvé sur la machine sur laquelle
ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
121
Configurer AD FS
1. Ouvrez AD FS Management.
2. Cliquez sur Relations d’approbation > Approbations de partie de confiance > Ajouter une approbation de
partie de confiance.
3. Sélectionnez Prise en charge des revendications , puis cliquez sur Démarrer.
4. Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de
confiance et, dans le champ Adresse des métadonnées de fédération (nom d’hôte ou URL), saisissez l’URL
des métadonnées fournie dans ESA IdP Connector :
a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity
Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées)
5. Terminez la configuration.
6. Lorsque vous cliquez sur Close (Fermer) sur la page Finish (Terminer), la boîte de dialogue Edit Claim Rules
(Modifier les règles de revendication) s’ouvre automatiquement.
7. Sélectionnez l’onglet Issuance Transform Rules (Règles de transformation d’émission), puis cliquez sur
Add Rule (Ajouter une règle).
8. Dans Claim rule template (Modèle de règle de revendication), sélectionnez Send LDAP Attributes as
Claims (Envoyer des attributs LDAP en tant que revendications), puis cliquez sur Next (Suivant).
9. Dans Attribute store (Magasin d’attributs), sélectionnez Active Directory.
10. Sélectionnez User-Principal-Name (Nom principal d’utilisateur) pour LDAP Attribute (Attribut LDAP) et
Name ID (ID de nom) pour Outgoing Claim (Revendication sortante).
11. Cliquez sur Finish (Terminer), puis sur OK dans la boîte de dialogue Edit Claim Rules (Modifier les règles
de revendications).
12. Appliquez la configuration suivante via PowerShell :
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" SigningCertificateRevocationCheck "none"
Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" EncryptionCertificateRevocationCheck "none"
Dans le code ci-dessus, remplacez <relying_party_name> par le nom de l’approbation de partie de
confiance que vous avez configuré dans les étapes précédentes.
13. Téléchargez les certificats à partir de la section Original Identity Provider (Fournisseur d’identité
d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité
d’origine) de ESA IdP Connector, et importez-les dans le magasin de certificats Windows pour les approuver.
122
Shibboleth
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the
original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL
des métadonnées) sur
file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml
si ESA IdP Connector est installé sur la même machine que Shibboleth. Sinon, copiez le fichier idpmetadata.xml de Shibboleth sur l’ordinateur où ESA IdP Connector est installé et faites référence à ce chemin.
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature de Shibboleth (situé à l’emplacement C:\Program Files
(x86)\Shibboleth\IdP\credentials\idp-signing.crt par défaut) doit être configuré comme approuvé sur la
machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Shibboleth
1. Téléchargez le fichier de métadonnées ESA IdP Connector à partir de l’URL fournie dans ESA IdP Connector :
a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity
Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées)
b.Enregistrez-le sur l’ordinateur où Shibboleth est installé et faites référence à son emplacement dans
« C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml » :
<MetadataProvider id="spmetadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_fil
e_from_esa>"/>
Dans le code ci-dessus, <metadata_xml_file_from_esa> fait référence au chemin du fichier de
métadonnées ESA IdP Connector téléchargé.
2. Faites en sorte que Shibboleth envoie des données, qui identifient l’utilisateur, au format e-mail en tant que
valeur du paramètre NameID. Par exemple, l’attribut LDAP mail :
a.Définissez shibboleth.SAML2NameIDGenerators dans « C:\Program Files
(x86)\Shibboleth\IdP\conf\saml-nameid.xml » :
<bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true
" p:format="urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress" p:attributeSourceIds="#{ {'mail'} }" />
123
b.Ajoutez le contenu ci-dessous à « C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties » :
idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress
Keycloak
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the
original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL
des métadonnées) sur
https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor
Dans l’URL ci-dessus, remplacez <keycloak> par le nom de domaine (et le port) de votre instance Keycloak et
<realm> par le nom de domaine correspondant.
3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original
Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity
Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont
sélectionnées, le certificat de signature Keycloak doit être configuré comme approuvé sur la machine sur
laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance).
Configurer Keycloak
1. Téléchargez les métadonnées ESA IdP Connector sous forme de fichier XML à partir d’ESA Web Console :
a.Dans un navigateur, accédez à Components (Composants) > Identity Provider Connector (Connecteur du
fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, Original Identity
Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration
du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées), puis ouvrez l’URL des
métadonnées.
b.Appuyez sur CTRL + S, sélectionnez « XML » pour Type de fichier si disponible, puis cliquez sur
Enregistrer.
2. Connectez-vous à la console d’administration de Keycloak.
3. Cliquez sur Clients > Create (Créer).
4. À côté d’Import (Importer), cliquez sur Select file (Sélectionner un fichier), puis accédez au fichier .xml des
métadonnées téléchargé à l’étape 1.
5. Dans Client Protocol (Protocole client), sélectionnez SAML.
124
6. Renseignez le reste des champs et cliquez sur Save (Enregistrer).
7. Dans l’onglet Settings (Paramètres) du client créé, désactivez Sign Assertions (Signer les assertions).
8. Dans Name ID Format (Format d’ID de nom), sélectionnez email (e-mail).
Fournisseurs de services
Dropbox
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer
manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de
services).
3. Pour Issuer (Émetteur), tapez http://Dropbox.
4. Définissez Single Sign-on Destination (Destination d’authentification unique) sur
https://www.dropbox.com/saml_login.
5. Copiez la valeur de Sign-on URL (URL d’authentification) et de Logout URL (URL de déconnexion) dans un
fichier texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de
la configuration de votre fournisseur de services.
6. Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of
requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de
services).
Configurer Dropbox
1. Connectez-vous à Dropbox en tant qu’administrateur.
2. Accédez à Settings (Paramètres) > Single sign-on (Authentification unique).
3. Dans le champ Sign-in URL (URL de connexion), tapez l’URL d’authentification que vous avez copiée à partir
du ESA IdP Connector configuré.
4. Dans le champ Sign-out URL (URL de déconnexion), tapez l’URL de déconnexion que vous avez copiée à
partir du ESA IdP Connector configuré.
5. Pour le certificat X.509, importez le certificat de signature que vous avez exporté précédemment à partir du
ESA IdP Connector configuré.
125
Confluence
Configurer ESA IdP Connector
1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console.
2. Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer
manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de
services).
3. Pour Issuer (Émetteur), copiez et collez l’adresse URL trouvée dans la console d’administration Confluence
dans SAML Authentication (Authentification SAML) > Audience URL (Entity ID) [URL d’audience (ID d’entité)].
4. Pour Single Sign-on Destination (Destination d’authentification unique), copiez et collez l’adresse URL
trouvée dans la console d’administration Confluence dans SAML Authentication (Authentification SAML) >
Assertion Consumer Service URL (URL Assertion Consumer Service).
5. Copiez la valeur de Identifier (Identificateur) et de Sign-on URL (URL d’authentification) dans un fichier
texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de la
configuration de votre fournisseur de services.
6. Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of
requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de
services).
Configurer Confluence
1. Connectez-vous à Confluence en tant qu’administrateur.
2. Cliquez sur SAML Authentication (Authentification SAML).
3. Dans la section SAML SSO 2.0 settings (Paramètres d’authentification unique SAML 2.0) :
a.Dans le champ Single sing-on Issuer (Émetteur d’authentification unique), saisissez l’identifiant que vous
avez copié à partir de ESA IdP Connector.
b.Dans le champ Identity provider single sign-on URL (URL d’authentification unique du fournisseur
d’identité), saisissez l’URL d’authentification unique que vous avez copiée à partir de ESA IdP Connector.
c.Dans le champ X.509 Certificate (Certificat X.509), collez le contenu du certificat de signature que vous
avez exporté à partir de ESA IdP Connector.
Clé de récupération principale
Une clé de récupération principale (MRK) est un mot de passe à usage unique (OTP) alternatif qui peut être utilisé
pour se connecter à un ordinateur ou à un service protégé par l’authentification à 2 facteurs (2FA) dans les
situations où l’utilisateur n’est pas en mesure de saisir un mot de passe à usage unique (OTP) valide ou ne peut
pas s’authentifier en approuvant une notification push. Par exemple, l’utilisateur a perdu son téléphone sur
lequel l’application mobile ESA était installée. Une clé de récupération principale (MRK) est propre à un utilisateur
et à un composant ESA, ce qui signifie qu’Utilisateur1 et Utilisateur2 auraient une clé de récupération principale
126
(MRK) différente pour PC1. L’accès via une clé de récupération principale (MRK) est disponible même en mode en
ligne et hors ligne pour la protection de connexion Windows. L’utilisation hors connexion de la clé de
récupération principale (MRK) est disponible uniquement si le mode hors connexion pour un ordinateur donné
est activé dans ESA Web Console, dans la section des paramètres de connexion Windows. Si le mode hors ligne
est activé, la clé de récupération principale (MRK) est également stockée localement sur l’ordinateur dans le
cache chiffré et protégé.
Dans ESA 2.6 et versions ultérieures, vous pouvez également utiliser la clé de récupération principale (MRK) pour
d’autres composants que Windows Login.
Utiliser la clé de récupération principale (MRK) pour l’authentification
L’exemple ci-dessous utilise la clé de récupération principale pour Windows Login.
1. Les utilisateurs ne peuvent pas obtenir de mot de passe à usage unique (OTP). Ils doivent donc appeler
l’administrateur.
2. L’administrateur ouvre ESA Web Console, navigue jusqu’à Users (Utilisateurs), clique sur le nom de
l’utilisateur spécifique, puis sur Actions. Il sélectionne ensuite Show MRK (Afficher la clé de récupération), le
type de module de protection dans la section Choose type (Choisir le type), puis l’ordinateur spécifique dans la
liste Choose component (Choisir le composant). Il clique enfin sur Show MRK (Afficher la clé principale de
récupération). À ce stade, une clé de récupération principale (MRK) est générée.
Plusieurs composants SEA
Si l’utilisateur avait plusieurs composants ESA répertoriés dans un module de protection spécifique (par
exemple, plusieurs ordinateurs dans le module de protection de connexion Windows), le composant réel
pour lequel l’utilisateur demande une clé principale de récupération est répertorié en haut de la liste en
tant que Last used (Dernière utilisation).
3. L’administrateur fournit la clé de récupération principale (MRK) obtenue à l’utilisateur, qui peut se
connecter en tapant la clé de récupération principale (MRK) au lieu du mot de passe à usage unique (OTP).
127
Lorsque l’ordinateur est en mode hors connexion, une clé de récupération principale (MRK) peut être utilisée
pour se connecter plusieurs fois à la machine Windows spécifique.
Après la première connexion réussie à ESA Authentication Server, la clé de récupération principale (MRK)
précédemment générée devient non valide et ne peut plus être utilisée, même si elle n’a pas été utilisée du tout.
Les clés de récupération principales (MRK) générées pour d’autres modules de protection ESA sont valables au
maximum pendant une heure ou jusqu’à une connexion réussie à l’aide de la clé de récupération principale ou
d’une autre option d’authentification.
Réinitialiser les identifiants d’administrateur ESA Web Console
Dans le cas où l’administrateur d’ESA Web Console n’est pas en mesure de s’authentifier (par exemple,
réinstallation de l’application mobile ESA, perte du code PIN, perte du téléphone sur lequel l’application mobile
ESA était installée), réinitialisez les identifiants ESA Web Console :
1. Exécutez à nouveau le programme d’installation de ESET Secure Authentication.
2. Cliquez sur Change.
3. Pour remplacer l’ancien compte par un nouveau, tapez le nom d’utilisateur de l’administrateur d’origine et
un nouveau mot de passe lorsque vous y êtes invité. Pour créer un autre compte, tapez un nouveau nom
d’utilisateur et un nouveau mot de passe.
4. Fermez le programme d’installation lorsque vous avez terminé.
5. Redémarrez le service ESET Secure Authentication Core pour que la modification prenne effet.
Serveur RADIUS et protection VPN
ESA est fourni avec un serveur RADIUS autonome utilisé pour authentifier les connexions VPN. Après avoir installé
le composant serveur ESA RADIUS, le service démarre automatiquement. Assurez-vous qu’il est en cours
d’exécution en vérifiant son état dans la console des services Windows.
ESA RADIUS n’a pas nécessairement besoin d’être utilisé pour permettre la protection VPN seule. Pour en savoir
plus, consultez Modules PAM RADIUS sous Linux/Mac.
Configuration RADIUS
Pour configurer l’authentification à 2 facteurs (2FA) pour votre VPN, ajoutez votre appliance VPN en tant que
client RADIUS :
1. Dans ESA Web Console, accédez à Components (Composants) > RADIUS, sélectionnez un serveur RADIUS,
puis cliquez sur Create new RADIUS client (Créer un client RADIUS).
2. Dans la section Paramètres de base, procédez comme suit :
a.Donnez au client RADIUS un nom mémorable pour pouvoir le retrouver facilement.
128
b.Configurez l’adresse IP (IP Address) et le secret partagé (Shared Secret) pour le Client afin qu’ils
correspondent à ceux configurés pour votre appliance VPN. L’adresse IP est l’adresse IP interne de votre
appliance. Si votre appliance communique via IPv6, utilisez cette adresse IP avec l’ID d’étendue associé (ID
d’interface).
c.Le secret partagé est le secret partagé RADIUS pour l’authentificateur externe que vous allez configurer
sur votre appliance.
3. Dans la section Authentication (Authentification), procédez comme suit :
a.Sélectionnez le type de client.
b.Sélectionnez la méthode d’authentification souhaitée. La méthode d’authentification optimale dépend
de la marque et du modèle de votre appliance VPN. Consultez les directives d’intégration de VPN ESA dans
la base de connaissances ESET pour en savoir plus.
c.Si vous le souhaitez, vous pouvez autoriser n’importe quel utilisateur n’utilisant pas l’authentification à
2 facteurs (non-2FA) à utiliser le VPN.
Utilisateurs n’utilisant pas l’authentification à 2 facteurs
Si vous autorisez les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) à se connecter au
VPN sans restreindre l’accès à un groupe de sécurité, tous les utilisateurs du domaine pourront se
connecter à l’aide du VPN. L’utilisation de cette configuration n’est pas recommandée.
Supposons qu’un client ESA RADIUS soit configuré pour permettre aux utilisateurs n’utilisant pas
l’authentification à 2 facteurs de se connecter à l’aide de leurs identifiants génériques. Si l’auto-inscription
avec un type d’authentification par défaut est activée, tous les utilisateurs seront invités à fournir une
authentification à 2 facteurs ou une clé de récupération principale pour s’authentifier.
129
4. Dans la section Users (Utilisateurs), dans la zone de sélection Realm (Domaine), sélectionnez Current AD
domain (Domaine AD actuel) ou Current AD domain and domains in trust (Domaine AD actuel et domaines de
confiance) pour que le domaine de l’utilisateur soit automatiquement enregistré lorsque l’utilisateur
s’authentifie pour la première fois à l’aide du VPN et de l’authentification à 2 facteurs (2FA). Vous pouvez
également sélectionner un domaine spécifique dans la zone de sélection pour que tous les utilisateurs soient
enregistrés dans le même domaine.
5. Si votre client VPN requiert l’envoi d’attributs RADIUS supplémentaires par ESA RADIUS, dans la section
Attributes (Attributs), cliquez sur Add (Ajouter) pour les configurer.
130
6. Lorsque vous avez terminé d’apporter des modifications, cliquez sur Save (Enregistrer).
7. Redémarrez le serveur RADIUS.
a.Localisez ESA RADIUS Service dans les services Windows (sous Panneau de configuration > Outils
d’administration > Afficher les services locaux).
b.Cliquez avec le bouton droit sur ESA Radius Service, puis sélectionnez Redémarrer dans le menu
contextuel.
Authentification push
Si la méthode d’authentification push par application mobile (Mobile Application Push) est activée,
définissez le délai d’expiration de l’authentification de votre serveur VPN sur plus de 2,5 minutes.
Options de type de client
• Le client ne valide pas le nom d’utilisateur et le mot de passe
• Le client valide le nom d’utilisateur et le mot de passe
• Utiliser la fonction Access-Challenge de RADIUS
• Le client ne valide pas le nom d’utilisateur et le mot de passe - éviter les mots de passe composés
Plus d’informations sur les options de type de client
Les clients RADIUS suivants prennent en charge la fonctionnalité Access-Challenge de RADIUS :
▪Pulse Connect Secure (anciennement Junos Pulse (VPN))
▪Linux PAM module
Le client RADIUS Microsoft RRAS ne doit pas être utilisé avec la fonctionnalité Access-Challenge.
Utilisation de RADIUS
Lorsque vous avez configuré votre client RADIUS, il est recommandé de vérifier la connectivité RADIUS à l’aide
d’un utilitaire de test, par exemple NTRadPing, avant de reconfigurer votre appliance VPN. Après avoir vérifié la
connectivité RADIUS, vous pouvez configurer votre appliance pour utiliser le serveur ESA RADIUS comme
authentificateur externe pour vos utilisateurs VPN.
Étant donné que la méthode d’authentification optimale et l’utilisation dépendent de la marque et du modèle de
votre appliance, reportez-vous au guide d’intégration du VPN ESET Secure Authentication correspondant,
disponible dans la base de connaissances ESET.
131
Options d’authentification VPN
Cette section passe en revue les options de configuration disponibles pour un client RADIUS utilisant
ESA Web Console dans un environnement AD.
Mots de passe à usage unique par SMS
Ce scénario se produit si l’utilisateur est configuré pour utiliser uniquement les mots de passe à usage unique
(OTP) par SMS et que le client RADIUS est configuré pour utiliser l’authentification par mot de passe à usage
unique (OTP) par SMS.
Dans cette configuration, un utilisateur se connecte avec son mot de passe Active Directory. La première tentative
d’authentification par le client VPN échouera et l’utilisateur sera invité à saisir à nouveau son mot de passe. Dans
le même temps, l’utilisateur recevra un SMS contenant son mot de passe à usage unique (OTP). L’utilisateur se
connecte ensuite avec le mot de passe à usage unique (OTP) contenu dans le SMS. La deuxième tentative
d’authentification accordera l’accès si le mot de passe à usage unique (OTP) est correct.
Cette séquence est représentée dans la figure : RADIUS SMS OTP Authentication (Authentification par mot de
passe à usage unique par SMS Radius).
Protocoles d’authentification pris en charge : PAP, MSCHAPv2.
RADIUS SMS OTP Authentication
Mot de passe à usage unique par SMS à la demande
ESET Secure Authentication prend en charge les mots de passe à usage unique par SMS à la demande (Ondemand SMS OTP) pour certains systèmes qui prennent en charge l’authentification principale avec Active
Directory et l’authentification secondaire avec un serveur RADIUS. Dans ce scénario, les utilisateurs qui ont déjà
été authentifiés avec Active Directory doivent taper les lettres « sms » dans le champ ESA OTP (Mot de passe à
usage unique ESA) pour recevoir un mot de passe à usage unique (One Time Password) via SMS.
132
Cette fonctionnalité ne doit être utilisée que lorsqu’un guide d’intégration (Integration Guide) ESET Secure
Authentication officiel vous demande de le faire. En effet, si elle est utilisée de manière incorrecte, elle
peut permettre aux utilisateurs de s’authentifier avec un mot de passe à usage unique (OTP) uniquement.
Application mobile
Ce scénario se produit si l’utilisateur est configuré pour utiliser uniquement le mot de passe à usage unique (OTP)
et/ou le Push, et que le client RADIUS est configuré pour utiliser les mots de passe à usage unique par application
mobile (Mobile Application OTPs) et/ou l’authentification push par application mobile (Mobile Application Push).
L’utilisateur se connecte avec un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile
Application) ou en approuvant une notification push générée sur son appareil mobile Android/iOS ou sa montre
Android/Apple. Notez que l’application d’un code PIN est fortement recommandée dans cette configuration pour
fournir un deuxième facteur d’authentification.
Application mobile (Mobile Application) protégée par code PIN
Si la protection par code PIN est activée pour l’application mobile (Mobile Application) , elle permettra à un
utilisateur de se connecter à l’aide d’un code PIN incorrect afin de protéger le code PIN correct contre les
attaques par force brute. Par exemple, si un attaquant tente de se connecter à l’application mobile (Mobile
Application) à l’aide d’un code PIN incorrect, il peut se voir accorder l’accès , mais aucun mot de passe à
usage unique (OTP) ne fonctionnera. Après avoir entré plusieurs mots de passe à usage unique (OTP)
erronés, l’authentification à 2 facteurs (2FA) du compte utilisateur auquel appartient l’application mobile
(Mobile Application) sera automatiquement verrouillée. Cela représente un problème mineur pour un
utilisateur général : si l’utilisateur se connecte à l’application mobile (Mobile Application) à l’aide d’un code
PIN incorrect, puis remplace le code PIN par un nouveau, tous les jetons inclus dans l’application mobile
(Mobile Application) deviendront inutilisables. Il n’existe aucun moyen de réparer de tels jetons : la seule
solution consiste à réapprovisionner des jetons dans l’application mobile (Mobile Application). Par
conséquent, nous conseillons aux utilisateurs d’essayer un mot de passe à usage unique avant de modifier
leur code PIN. Si le mot de passe à usage unique fonctionne, la modification du code PIN peut se faire en
toute sécurité.
Protocoles PPTP pris en charge : PAP, MSCHAPv2.
Compound Authentication Enforced
Ce scénario se produit si le client RADIUS est configuré pour utiliser l’authentification composée (Compound
Authentication). Cette méthode d’authentification est limitée aux utilisateurs pour lesquels l’utilisation des mots
de passe à usage unique par application mobile (Mobile Application OTPs) est configurée.
Dans ce scénario, un utilisateur se connecte au VPN en entrant son mot de passe Active Directory (AD), en plus
d’un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile Application). Par exemple, si le
mot de passe AD est « motdepasse » et que le mot de passe à usage unique est « 123456 », l’utilisateur tape
« motdepasse123456 » dans le champ de mot de passe de son client VPN.
Mots de passe à usage unique et espaces blancs
Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e
et 4e chiffres pour améliorer la lisibilité. Toutes les méthodes d’authentification, à l’exception de MSCHAPv2, suppriment les espaces blancs dans les identifiants fournis, de sorte qu’un utilisateur peut inclure
ou exclure des espaces sans affecter l’authentification.
133
Jetons matériels
Ce scénario se produit si l’utilisation des Hard Token OTPs (mots de passe à usage unique avec jeton matériel) est
configurée à la fois pour l’utilisateur et pour le client RADIUS.
En fonction de la configuration de votre client VPN, vous pouvez utiliser une authentification avec jeton matériel
(Hard Token) unique ou une authentification avec jeton matériel (Hard Token) composée.
Lors de l’utilisation d’une authentification avec jeton matériel (Hard Token) composée, un utilisateur se connecte
au VPN en tapant son mot de passe Active Directory (AD), en plus d’un mot de passe à usage unique (OTP) généré
par son jeton matériel (Hard Token). Par exemple, si le mot de passe AD est « password » et que le mot de passe à
usage unique (OTP) est « 123456 », l’utilisateur tape « password123456 » dans le champ de mot de passe de son
client VPN.
Protocoles d’authentification pris en charge : PAP.
Migration des mots de passe à usage unique par SMS
vers l’application mobile
Ce scénario se produit si l’utilisateur est configuré pour utiliser à la fois les mots de passe à usage unique (OTP)
par SMS et l’application mobile (Mobile Application), et que le client RADIUS est configuré pour utiliser
l’authentification par mot de passe à usage unique (OTP).
Dans cette configuration, l’utilisateur peut utiliser les scénarios de mots de passe à usage unique (OTP) par SMS
ou par application mobile (Mobile Application OTP), comme décrit ci-dessus, pour se connecter.
Si l’utilisateur se connecte avec un mot de passe à usage unique (OTP) généré avec son application mobile
(Mobile Application), L’authentification par mot de passe à usage unique par SMS (SMS OTP) sera
automatiquement désactivée. Lors des tentatives ultérieures, les mots de passe à usage unique (OTP) par SMS ne
seront pas acceptés en tant qu’identifiants de connexion.
Protocoles d’authentification pris en charge : PAP, MSCHAPv2.
Accès sans authentification à 2 facteurs
Ce scénario se produit si les mots de passe à usage unique par SMS (SMS-based OTP), les mots de passe à usage
unique par application mobile (Mobile Application OTP) et les jetons matériels (Hard Token) ne sont pas
configurés pour l’utilisateur et que l’option de configuration du client RADIUS permettant d’autoriser les mots de
passe Active Directory sans mots de passe à usage unique (Active Directory passwords without OTPs) est
sélectionnée.
Dans cette configuration, l’utilisateur se connecte avec son mot de passe Active Directory.
Protocoles d’authentification pris en charge : PAP, MSCHAPv2.
134
À propos de la mise à niveau
Pour les VPN PPPT de Microsoft Routing & Remote Access Server (RRAS) [Microsoft Routing & Remote
Access Server (RRAS) PPTP VPN], le chiffrement de la connexion VPN n’est pas effectué lorsque le protocole
d’authentification PAP est utilisé et n’est donc pas recommandé. La plupart des autres fournisseurs de VPN
chiffrent la connexion quel que soit le protocole d’authentification utilisé.
Contrôle d’accès à l’aide de l’appartenance à un groupe
ESA permet d’autoriser uniquement les membres d’un groupe de sécurité AD spécifique à se connecter au VPN à
l’aide de l’authentification à 2 facteurs (2FA). Cette option est configurée par client RADIUS sous l’en-tête Access
Control (Contrôle d’accès).
Méthodes d’authentification ESA et compatibilité PPP
Le serveur VPN doit être configuré pour autoriser tous les protocoles que les clients peuvent vouloir utiliser. Les
clients utilisateurs finaux VPN ne doivent être configurés que pour un seul protocole.
Chaque fois que plusieurs protocoles sont pris en charge, les clients VPN doivent être configurés pour utiliser MSCHAPv2 avec 128-bit MPPE. Cela signifie que PAP n’est recommandé que pour l’authentification composée
(Compound Authentication).
Méthode d'authentification
PAP
MS-CHAPv2
SMS-Based OTPs
Pris en charge Pris en charge
On-demand SMS-Based OTPs
Pris en charge Pris en charge
Mobile-Application (OTP ou Push)
Pris en charge Pris en charge
Mobile Application (Compound Authentication)
Pris en charge Non pris en charge
Hard Token OTPs
Pris en charge Pris en charge
Hard Token (Compound Authentication)
Pris en charge Non pris en charge
Mots de passe Active Directory sans mot de passe à usage unique (OTPs) Pris en charge Pris en charge
Vérification du bon fonctionnement d’ESA RADIUS
Les articles suivants décrivent les étapes nécessaires pour vérifier la connectivité de votre serveur ESA RADIUS.
Chaque client se connectant au serveur RADIUS doit être explicitement configuré dans ESA Web Console en tant
que client RADIUS.
Le dépannage d’un serveur RADIUS comprend les étapes suivantes :
• Vérification que votre serveur RADIUS écoute les demandes entrantes
• Test de la connectivité au serveur RADIUS à partir de votre localhost
• Test de la connectivité au serveur RADIUS sur le réseau
Les deux dernières étapes nécessitent l’utilitaire NTRadPing.
Pour effectuer les tests de ce guide, vous aurez besoin d’un compte d’utilisateur Active Directory (AD) à des fins
135
de test. L’utilisateur Alice est désigné tout au long de ce guide comme le compte d’utilisateur AD utilisé pour les
tests. Le mot de passe AD statique Esa132 est utilisé comme mot de passe pour ce compte de test dans le cadre
de ce guide.
Notes
Avant de commencer, assurez-vous qu’aucune méthode d’authentification à 2 facteurs n’est activée pour
Alice dans ESA Web Console.
Ce guide est écrit pour un scénario de déploiement dans lequel ESA RADIUS Server s’exécute sur le même
serveur que le serveur d’authentification ESA.
S’assurer qu’ESA RADIUS Service est en cours
d’exécution
1. Ouvrez la console de services Windows et vérifiez que ESET Secure Authentication RADIUS Service est à
l’état En cours d’exécution, comme illustré dans la figure 1.
2. Dans cette étape, nous vérifions que le processus ESA RADIUS Server écoute sur le port sélectionné lors de
l’installation du composant RADIUS Server for VPN Protection (Serveur RADIUS pour protection VPN) (port
UDP 1812 par défaut). Si vous avez défini un autre port RADIUS (RADIUS Port), recherchez ce port dans la
sortie de la commande ci-dessous.
a.Ouvrez une invite de commandes et tapez la commande suivante :
C:\>netstat –a –p udp –b | more
b.Vérifiez que EIP Radius.WindowsService.EXE est le seul service à écouter sur le port UDP 1812
Connexions actives
Proto Local Address
State
Foreign Address
UDP
*:*
0.0.0.0:1812
[EIP.Radius.WindowsService.EXE]
Figure 1 : Vérifier que ESET Secure Authentication RADIUS Service est en cours d’exécution
Configurer votre serveur RADIUS
Procédez comme suit pour configurer un client RADIUS factice :
1. Connectez-vous à ESA Web Console et assurez-vous qu’une licence ESA active est utilisée par
136
l’installation (l’état de la licence peut être consulté dans le tableau de bord).
2. Accédez à Components (Composants) > RADIUS, Puis cliquez sur le nom de votre serveur RADIUS.
Cliquez ensuite sur Create new RADIUS client (Créer un client RADIUS).
3. Entrante Basic Settings :
a.Donnez au client RADIUS un nom mémorable pour pouvoir le retrouver facilement.
b.Configurez l’adresse IP et le secret partagé (Shared Secret) pour le client afin qu’ils correspondent à
ceux configurés pour votre appliance VPN. L’adresse IP est l’adresse IP interne de votre appliance. Si
votre appliance communique via IPv6, utilisez cette adresse IP avec l’ID d’étendue associé (ID
d’interface). Le secret partagé est le secret partagé RADIUS pour l’authentificateur externe que vous
allez configurer sur votre appliance.
4. Dans Authentication, (Authentification), complétez les informations comme indiqué dans la capture
d’écran ci-dessous :
5. Dans Users (Utilisateurs) > Realm (Domaine), sélectionnez Current AD domian (Domaine AD actuel).
137
6. Cliquez sur Save.
Vérifier le bon fonctionnement (localhost)
1. Lancez NTRadPing et remplissez les valeurs comme indiqué dans la capture d’écran suivante :
2. Cliquez sur Send.
3. Vérifiez que vous avez reçu une réponse Access-Accept :
4. Si vous avez reçu une réponse autre que Access-Accept, passez à la section de dépannage.
138
Vérifier la connectivité réseau à partir d’une autre
machine (facultatif)
Cette étape est utile pour vous assurer qu’il n’y a pas de problèmes de réseau entre vos machines.
1. Si vous avez reçu une réponse Access Accept lors du premier test et que vous utilisez
Microsoft RRAS/NPS comme serveur VPN, répétez les étapes de test localhost, mais lancez NTRadPing sur
votre serveur RRAS et suivez les étapes a et b ci-dessous :
a.Modifiez l’adresse IP NTRadPing pour qu’elle pointe vers votre serveur ESA RADIUS.
b.Modifiez l’adresse IP de votre client factice pour qu’elle corresponde à celle de votre serveur RRAS.
2. Si vous utilisez une appliance VPN dédiée, effectuez les étapes détaillées ci-dessus en utilisant une autre
machine sur le même segment réseau que votre appliance VPN.
Accès refusé
Symptôme
Vous recevez la réponse suivante :
Étapes de résolution à suivre
Vérifiez les points suivants :
1. Assurez-vous d’avoir saisi correctement le mot de passe d’Alice dans le champ Password (Mot de passe),
puis réessayez en cliquant à nouveau sur le bouton Send (Envoyer).
2. Assurez-vous de bien saisir le mot de passe AD d’Alice. Réinitialisez le mot de passe si nécessaire.
3. Dans Web Console, vérifiez qu’aucune méthode d’authentification à 2 facteurs n’est activée pour Alice.
Assurez-vous que les mots de passe à usage unique par application mobile ou par SMS ne sont PAS
139
sélectionnés.
4. Assurez-vous le compte d’Alice n’est pas verrouillé et déverrouillez-le si nécessaire.
5. Vérifiez votre configuration RADIUS et votre configuration NTRadPing.
6. Si, après avoir terminé les étapes ci-dessus, votre problème n’est toujours pas résolu, contactez le
service client ESET et fournissez-lui votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure
Authentication\logs.
Erreur de connexion
Symptôme
Au lieu de recevoir le paquet Access-Accept (Accès autorisé), vous rencontrez les problèmes suivants :
Étapes de résolution à suivre
1. Assurez-vous d’avoir créé le client RADIUS factice avec l’adresse IP correcte, conformément aux instructions
de la section Configurer votre serveur RADIUS. Vérifiez que l’état de votre service ESA RADIUS est Started
(Démarré).
2. Assurez-vous d’avoir tapé les informations correctes dans NTRadPing, conformément à la capture d’écran
de la section Vérifier la fonctionnalité (localhost).
3. Vérifiez que votre serveur RADIUS écoute sur le port approprié. Lancez une invite de commandes et
exécutez la commande suivante :
netstat –a –p UDP –b
C:\temp.txt
4. Ouvrez le fichier C:\temp.txt et vérifiez que les entrées suivantes existent pour votre serveur RADIUS :
Proto
140
Local Address
Foreign Address
State
UDP 0.0.0.0:1812
*:*
[EIP.Radius.WindowsService.EXE]
5. Si aucune des solutions ci-dessus ne résout le problème, contactez le service client ESET et fournissez-lui
votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure Authentication\logs.
Expiration du délai d’attente
Symptôme
Au lieu de recevoir le paquet Access-Accept (Accès autorisé), vous recevez les messages suivants :
Étapes de résolution à suivre
1. Assurez-vous d’avoir créé le client RADIUS factice avec l’adresse IP correcte, conformément aux
instructions de la section Configurer votre serveur RADIUS.
2. Assurez-vous d’avoir tapé les informations correctes dans NTRadPing, conformément à la capture
d’écran de la section Vérifier la fonctionnalité (localhost).
3. Vérifiez que votre serveur RADIUS écoute sur le port approprié. Lancez une invite de commandes et
exécutez la commande suivante :
netstat –a –p UDP –b
C:\temp.txt
4. Ouvrez le fichier C:\temp.txt et vérifiez qu’il existe une entrée pour votre serveur RADIUS qui ressemble
à ceci :
Proto
Local Address
UDP 0.0.0.0:1812
[EIP.Radius.WindowsService.EXE]
141
Foreign Address
*:*
State
5. Si, après avoir effectué les étapes ci-dessus, votre problème n’est toujours pas résolu, contactez le
service client ESET et fournissez-lui votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure
Authentication\logs.
Modules RADIUS PAM sur Linux/Mac
Les machines Linux/Mac peuvent utiliser ESA pour l’authentification à 2 facteurs (2FA) en implémentant un
Pluggable Authentication Module (PAM), qui servira de client RADIUS communiquant avec le serveur ESA RADIUS.
En général, tout service utilisant RADIUS peut être configuré pour utiliser le serveur ESA RADIUS.
PAM est un ensemble de bibliothèques C dynamiques (.so) permettant d’ajouter des couches personnalisées au
processus d’authentification. Elles peuvent effectuer des vérifications supplémentaires et par la suite
autoriser/refuser l’accès. Dans ce cas, nous utilisons un module PAM pour demander à l’utilisateur de fournir un
mot de passe à usage unique (OTP) sur un ordinateur Linux ou Mac joint à un domaine Active Directory et de le
vérifier par rapport à un serveur ESA RADIUS.
Le module d’authentification et de Comptabilité The PAM par FreeRADIUS est utilisé dans ce guide. D’autres
clients RADIUS PAM peuvent également être utilisés.
La configuration de base décrite ici utilisera la fonctionnalité Access-Challenge de RADIUS prise en charge par le
serveur ESA RADIUS et par le client RADIUS PAM utilisé. Il existe d’autres options qui n’utilisent pas la méthode
Access-Challenge. Elles sont abordées brièvement dans la section Autres configurations RADIUS de ce manuel.
Important
Tout d’abord, configurez le client RADIUS Linux/Mac dans ESA Web Console. Tapez l’adresse IP de votre
ordinateur Linux/Mac dans le champ IP Address (Adresse IP). Sélectionnez Client does not validate user
name and password - use Access-Challenge (Le client valide le nom d’utilisateur et le mot de passe Utiliser la fonction Access-Challenge) dans le menu déroulant Client Type (Type de client).
Lorsque vous avez effectué ces étapes, configurez votre ordinateur Linux ou Mac en fonction des instructions des
sous-chapitres suivants.
Créer des clients RADIUS ESA via l’API
Si vous avez intégré la protection ESA pour de nombreuses connexions de bureau Linux/Mac via des modules
PAM et que vous devez configurer de nombreux clients RADIUS dans ESA, le script PowerShell suivant vous
facilitera la tâche.
Conditions préalables requises
1. Configurez un client RADIUS dans ESA Web Console.
• Basic Settings (Paramètres de base) > IP address (Adresse IP) : saisissez l’adresse IP de l’ordinateur
hébergeant le module PAM pour que le serveur RADIUS ESA puisse y accéder.
• Basic Settings (Paramètres de base) > Shared Secret (Secret partagé) : saisissez le même secret partagé
que celui que vous avez défini dans votre appliance VPN.
• Authentication (Authentification) > Client Type (Type de client) > Client validates user name and
142
password - use Access-Challenge (Le client valide le nom d’utilisateur et le mot de passe - Utiliser la
fonction Access-Challenge)
2. Activez l’API ESA et ajoutez les identifiants d’API pour Management API (API de gestion) dans
ESA Web Console.
3. Répertoriez l’adresse IP et le secret partagé de chaque appliance VPN dans un fichier .csv en tant que
paires <adresse IP>;<secret partagé> (<IP address>;<Shared Secret>).
par exemple
192.168.0.11;test1
192.168.0.12;test2
192.168.0.13;test3
Si vous exécutez le script sur une autre machine que celle qui héberge le serveur d’authentification, procédez
comme suit :
1. Assurez-vous que le certificat ESA est approuvé sur cet ordinateur.
2. Assurez-vous que le certificat inclut le nom de domaine complet du serveur d’authentification dans la liste
des autres noms DNS.
Comment fonctionne le script ?
Le script lit chaque ligne du fichier .csv et crée autant de clients RADIUS que le nombre de lignes de paires
Adresse IP/Secret partagé trouvées. La section Authentication (Authentification) de chaque client RADIUS sera
configurée en fonction du client RADIUS préconfiguré.
Exemple de script PowerShell permettant de créer des clients RADIUS ESA
via l’API ESA. Ce fichier est nommé create_radius_clients.ps1
# configuration
# Management API credentials - username:password
$credentials = "kjssgmarkm:dapweburnx"
# IP address or FQDN of the Authentication Server
$esaAuthenticationServer = "127.0.0.1:8001"
# Name of ESA RADIUS Server foudn in ESA Web Console at Componets > RADIUS
$radiusServerName = "BTSH00049D (Authentication Server computer)"
143
# Name of the pre-configured ESA RADIUS client
$baseRadiusClientName = "Base Client"
# List of IP Address and Shared Secret of each VPN appliance is saved in the clients
.csv file.
# The clients.csv file is in the same directory where the this PowerShell script res
ides
$csvImportFilePath = $PSScriptRoot + "\\clients.csv"
# headers preparation
$ErrorActionPreference = "Stop"
$encodedCredentials = [System.Convert]::ToBase64String([System.Text.Encoding]::ASCII
.GetBytes($credentials))
$basicAuthHeader = "Basic $encodedCredentials"
$headers = @{Authorization = $basicAuthHeader}
# find RADIUS server
$body = @{
componentType = "radius"
}
$bodyStr = $body | ConvertTo-Json
$response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/GetComponentSettings -Method POST -Bo
dy $bodyStr -ContentType "application/json" -Headers $headers
$components = $response.Content | ConvertFrom-Json
$radiusServerKey = $null
foreach ($component in $components)
144
{
if ($component.Info.Name -ceq $radiusServerName) {
$radiusServerKey = $component.Info.Key
}
}
if ($radiusServerKey -ceq $null) {
Throw "RADIUS server not found: " + $radiusServerName
}
# base RADIUS client
$body = @{
componentKey = $radiusServerKey
}
$bodyStr = $body | ConvertTo-Json
$response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/GetRadiusClients -Method POST -Body $
bodyStr -ContentType "application/json" -Headers $headers
$clients = $response.Content | ConvertFrom-Json
$baseRadiusClientSettings = $null
foreach ($client in $clients)
{
if ($client.ClientName -ceq $baseRadiusClientName) {
$baseRadiusClientSettings = $client
}
}
if ($baseRadiusClientSettings -ceq $null) {
Throw "RADIUS client not found: " + $baseRadiusClientName
145
}
# create clients
foreach($line in [System.IO.File]::ReadLines($csvImportFilePath))
{
$fields = $line.Split(';')
if ($fields.Count -cne 2) {
Throw "Invalid fields count: " + $line
}
$ip = $fields[0]
$sharedSecret = $fields[1]
$newClientSettings = $baseRadiusClientSettings | ConvertTo-Json | ConvertFrom-Json
$newClientSettings.Id = [guid]::NewGuid().ToString("d")
$newClientSettings.ClientName = "Generated - " + $ip
$newClientSettings.ClientIp = $ip
$newClientSettings.SharedSecret = $sharedSecret
$body = @{
componentKey = $radiusServerKey;
client = $newClientSettings
}
$bodyStr = $body | ConvertTo-Json
$response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/CreateRadiusClient -Method POST -Body
$bodyStr -ContentType "application/json" -Headers $headers
}
echo "success"
146
Configuration de PAM
Configurer un domaine personnalisé
1. Créez un domaine personnalisé pour les utilisateurs qui se connectent via un module PAM.
2. Lors de la configuration du client RADIUS, sélectionnez le domaine personnalisé dans la section Utilisateurs.
Comparaison entre domaine personnalisé et domaine AD actuel
Si un domaine personnalisé est sélectionné et que le module PAM envoie « domaine\nom_utilisateur » au
serveur ESA RADIUS, un utilisateur portant le nom d’utilisateur « domaine\nom_utilisateur » est créé dans
le domaine personnalisé.
Si vous sélectionnez Domaine AD actuel ou Domaine AD actuel et domaines approuvés au lieu d’un
domaine personnalisé et que le module PAM envoie « domaine\nom_utilisateur » au serveur ESA RADIUS,
un utilisateur portant le nom d’utilisateur « nom_utilisateur » sera créé dans le domaine « domaine ».
Module d’authentification PAM
1. Téléchargez PAM RADIUS tar.gz à partir de https://freeradius.org/sub_projects/
2. Extrayez le package téléchargé en exécutant la commande suivante dans une fenêtre de terminal :
tar xzvf pam_radius-release_2_0_0.tar.gz
3. Générez la bibliothèque .so en exécutant les commandes suivantes dans une fenêtre de terminal :
cd pam_radius-release_2_0_0
./configure
make
Sous Linux, par exemple OpenSuse, en fonction de la sortie de la commande configure, des dépendances
peuvent devoir être installées.
sudo zypper install gcc make pam-devel
4. Copier la bibliothèque générée à l’emplacement par défaut des modules PAM
Linux:
cp pam_radius_auth.so /lib/security
OU
cp pam_radius_auth.so /lib64/security
Mac:
cp pam_radius_auth.so /usr/lib/pam
Dans OS X El Capitan et versions ultérieures, cet emplacement est protégé par Protection de l’intégrité du
système (System Integrity Protection). Pour utiliser cet emplacement, vous devez désactiver cette
fonctionnalité pour la commande copy.
5. Créez un fichier de configuration de serveur nommé server dans /etc/raddb/. Dans celui-ci, tapez les détails
du serveur RADIUS sous la forme suivante :
<radius server>:<port> <shared secret> <timeout in seconds>
147
par exemple
1.1.1.1 test 60
où :
• 1.1.1.1 représente l’adresse IP du serveur ESA RADIUS
• test est le secret partagé d’un client RADIUS configuré dans ESA Web Console
• 60 est le temps d’attente en secondes pour l’approbation de la notification push
6. Appliquer les autorisations de sécurité appropriées au fichier de configuration
chown root /etc/raddb
chown root /etc/raddb/server
chmod 600 /etc/raddb
chmod 600 /etc/raddb/server
Voir INSTALL pour obtenir des recommandations de sécurité pour le fichier de configuration et USAGE pour les
paramètres qui peuvent être transmis à la bibliothèque. Par exemple, vous pouvez utiliser le paramètre « debug »
pour identifier les problèmes potentiels.
Intégration du module PAM
Les modules PAM peuvent être incorporés dans différents types de connexions, par exemple, login, sshd, su,
sudo, etc. La liste des types de connexions se trouve dans /etc/pam.d/.
• sshd - Connexion à distance à l’aide de SSH
Assurez-vous de définir ChallengeResponseAuthentication sur yes dans /etc/ssh/sshd_config.
• sudo
• su
• common-auth - OpenSUSE (toutes les authentifications)
• login - OpenSUSE (connexion console)
• authorization - Écran d’ouverture de session macOS
Pour activer l’authentification à 2 facteurs pour l’un des services ci-dessus, ajoutez la ligne suivante au fichier de
configuration correspondant dans /etc/pam.d :
auth required pam_radius_auth.so use_first_pass
Dans la commande ci-dessus, pam_radius_auth.so représente le chemin d’accès à un module PAM configuré
précédemment, ou simplement « pam_radius_auth.so » dans le cas contraire. use_first_pass fait en sorte
148
que le module PAM ne demande pas de mot de passe à usage unique supplémentaire pour rien, sauf si
ESA RADIUS requiert le deuxième facteur. Par exemple, si l’authentification Push est activée pour un utilisateur
bénéficiant de la protection par authentification à 2 facteurs, le module PAM attend uniquement l’approbation de
la notification Push sans demander à taper un mot de passe à usage unique.
Pour vous assurer que l’authentification à 2 facteurs n’est pas demandée lorsque le premier facteur a échoué,
remplacez auth required pam_unix.so par auth requisite pam_unix.so.
Certaines interfaces de connexion, y compris l’écran d’ouverture de session de macOS, ne peuvent pas afficher un
champ distinct pour l’authentification à 2 facteurs. Dans de tels cas, seuls les utilisateurs utilisant
l’authentification push (push d’application mobile), les utilisateurs n’utilisant pas l’authentification à 2 facteurs ou
les utilisateurs dont l’adresse IP est sur liste blanche peuvent se connecter. Pour vous assurer que seule
l’authentification push par application mobile est utilisée sans demander de mot de passe à usage unique, même
si l’utilisateur a activé des options supplémentaires d’authentification à 2 facteurs, ajoutez
client_id=challenge_never à la ligne de configuration :
auth required pam_radius_auth.so use_first_pass client_id=challenge_never
Valeurs disponibles pour client_id :
• challenge_if_possible - L’option par défaut demande toujours un mot de passe à usage unique si
l’utilisateur a activé un type de mot de passe à usage unique, même si l’envoi du « push par application
mobile » a réussi.
• challenge_always - Demande toujours un mot de passe à usage unique, même si l’envoi du « push par
application mobile » a réussi et que l’utilisateur n’a activé aucun type de mot de passe à usage unique. Cette
option vous permet toujours de saisir une clé de récupération principale en cas de problème (ceci est
recommandé pour les scénarios critiques, par exemple, la connexion SSH à un serveur distant qui n’est pas
facilement accessible autrement).
• challenge_if_needed - Ne demande jamais de mot de passe à usage unique si l’envoi du « push par
application mobile » a réussi, évitant ainsi un champ ou une demande de mot de passe à usage unique
supplémentaire et permettant une connexion plus rapide.
• challenge_never - Ne demande jamais de mot de passe à usage unique.
Sur certaines distributions Linux, il est possible de changer facilement le gestionnaire de connexion. Par exemple,
gdm est compatible avec la demande d’informations supplémentaires.
Autres configurations RADIUS
Dans les exemples ci-dessous, nous avons utilisé un environnement de domaine Active Directory.
Type de client - Le client ne valide pas le nom d’utilisateur et le mot de
passe
Si vous définissez Client Type (Type de client) sur Client does not validate username and password (Le client ne
valide pas le nom d’utilisateur et le mot de passe) lors de la configuration d’un client RADIUS dans ESA
Management Tool, les deux facteurs [nom d’utilisateur et mot de passe comme premier facteur et mot de passe à
usage unique (OTP) comme second facteur] sont vérifiés par ESA :
149
Ensuite, dans /etc/pam.d/sshd (ou une autre intégration), ajoutez la ligne suivante :
auth required /usr/lib/pam/pam_radius_auth.so
et commentez (placez une balise # au début) toutes les autres lignes auth.
Vérification requise
L’administrateur de domaine doit vérifier si ce scénario (à savoir, la désactivation de tous les autres
modules) convient à son déploiement.
Dans ce cas, un processus de connexion SSH ressemblerait à ceci :
• Livraison de mot de passe à usage unique (OTP) par SMS - Lors de la première tentative de mot de passe,
150
l’utilisateur est invité à saisir un mot de passe AD. Lors de la deuxième tentative de mot de passe, il saisit son
mot de passe à usage unique (OTP).
• Autre type de mot de passe à usage unique (OTP) (authentification composée) - L’utilisateur doit saisir le mot
de passe AD suivi immédiatement du mot de passe à usage unique (OTP) sous la forme suivante :
ADpasswordOTP. Par exemple, si votre mot de passe AD est Test et que le mot de passe à usage unique (OTP)
reçu est 123456, vous devez taper Test123456.
Type de client - Le client valide le nom d’utilisateur et le mot de passe
Si vous définissez Clien Type (Type de client) sur Client validates username and password (Le client valide le nom
d’utilisateur et le mot de passe) lors de la configuration d’un client RADIUS dans ESA Management Tool, le
premier facteur (nom d’utilisateur et mot de passe) est validé par l’autre module PAM :
151
Lors de la configuration de RADIUS de cette manière, ajoutez la ligne suivante dans /etc/pam.d/sshd (ou dans
l’intégration appropriée) :
auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS
Dans ce cas, un processus de connexion SSH ressemblerait à ceci :
• Les invites qui commencent par la chaîne Password: (Mot de passe :) sont gérées par d’autres modules PAM.
Les invites qui commencent par la chaîne RADIUS: (RADIUS :) sont gérées par notre module PAM. Voir
l’argument « prompt=RADIUS » dans l’exemple de code ci-dessus.
• SMS - À la première invite, un utilisateur doit saisir son mot de passe AD. À la deuxième invite, il doit saisir le
texte « sms » (sans les guillemets). À la troisième invite, il doit saisir son mot de passe AD. À la quatrième invite,
152
il doit saisir le mot de passe à usage unique (OTP) reçu.
• Autre type de mot de passe à usage unique (OTP) [Mot de passe à usage unique (OTP) reçu via une
application mobile ou un jeton matériel (hard token)] - À la première tentative, saisissez le mot de passe AD. À
la deuxième tentative, saisissez le mot de passe à usage unique (OTP).
Web Application Protection
Le module ESA Web Application Protection ajoute automatiquement l’authentification à 2 facteurs (2FA) au
processus d’authentification de toutes les applications Web prises en charge. Le module sera chargé la prochaine
fois qu’un utilisateur accédera à l’application Web (Web Application) après l’installation d’ESA.
Les utilisateurs se connecteront à l’aide du processus d’authentification normal de l’application Web (Web
Application). Après avoir été authentifié par l’application Web (Web Application), l’utilisateur sera redirigé vers
une page Web ESA et invité à saisir un mot de passe à usage unique (OTP), à approuver la notification push ou à
s’authentifier à l’aide de FIDO. L’utilisateur ne sera autorisé à accéder à l’application Web (Web Application) que
si une valeur de mot de passe à usage unique (OTP) valide est saisie, si la notification push est approuvée ou si
l’authentification FIDO réussit.
La session d’authentification à 2 facteurs (2FA) de l’utilisateur restera active jusqu’à ce qu’il se déconnecte de
l’application Web (Web Application) ou ferme son navigateur.
Configuration
L’intégration Web Application peut être configurée à partir de la page Components (Composants) d’ESA Web
Console. Vous y trouverez la liste des applications Web prises en charge pour lesquelles ESA a été installé.
153
La protection par authentification à 2 facteurs (2FA) peut être activée ou désactivée pour chaque application Web
(Web Application). La protection par authentification à 2 facteurs (2FA) est activée par défaut après l’installation.
Le service de publication sur le Web (World Wide Web Publishing) devra être redémarré sur tous les serveurs
hébergeant l’application Web (Web Application) pour que les modifications apportées à cette option de
configuration soient rechargées.
Autorisation des utilisateurs n’utilisant pas l’authentification à 2 facteurs
(Non-2FA)
Le module peut être configuré pour autoriser ou interdire aux utilisateurs pour lesquels l’authentification à
2 facteurs (2FA) n’est pas activée d’accéder à l’application Web (Web Application) via l’option de configuration
Allow non 2FA (Autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs). Ce scénario se produit si
aucune méthode d’authentification n’est configurée pour l’utilisateur et que l’option de configuration de
l’application Web (Web Application) permettant aux utilisateurs n’utilisant pas l’authentification à 2 facteurs
(non-2FA) de se connecter est activée. L’option de configuration permettant d’autoriser les utilisateurs n’utilisant
pas l’authentification à 2 facteurs (non-2FA) est activée par défaut après l’installation.
Dans cette configuration, un utilisateur peut se connecter dans l’application Web (Web Application) avec son mot
de passe Active Directory.
Si l’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs
(non-2FA) est désactivée, l’utilisateur ne pourra pas se connecter à l’application Web (Web Application).
Plusieurs instances OWA/ECP gérées comme une seule
Supposons que vous disposez de plusieurs instances OWA/ECP pour la même installation Microsoft Exchange.
Par défaut, si un utilisateur pour lequel l’authentification à 2 facteurs est activée se connecte et s’authentifie à
l’aide de l’authentification à 2 facteurs sur une instance, l’utilisateur doit utiliser à nouveau l’authentification à
2 facteurs lorsqu’il se connecte à une autre instance.
Pour ne pas exiger l’authentification à 2 facteurs lors de la connexion à l’autre instance, procédez comme suit :
1. Dans ESA Web Console, cliquez sur Components (Composants) > Outlook Web App Exchange Control
Panel.
2. Cliquez sur l’icône à trois points correspondant à une instance OWA/ECP, puis sélectionnez Change Solution
(Changer de solution).
3. Dans Solution Identifier (Identifiant de solution), saisissez une chaîne facile à retenir.
4. Cliquez sur Save (Enregistrer).
5. Répétez les étapes 2 à 4 pour chaque instance correspondante.
6. Redémarrez les composants en redémarrant Internet Information Services (IIS) :
1. Cliquez sur Démarrer.
2. Dans la zone de recherche, tapez cmd.
3. Dans les résultats, cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en
154
tant qu’administrateur.
4. Dans l’invite de commandes, saisissez iisreset, puis appuyez sur Entrée.
5. Lorsque « Internet services successfully restarted » (Les services Internet ont bien été redémarrés)
s’affiche, quittez l’invite de commande.
Utilisation
Le même processus d’authentification à 2 facteurs (2FA) est suivi pour toutes les applications Web (Web Apps)
prises en charge.
Le bon fonctionnement du module Web Application Protection peut être vérifié comme suit :
1. Un utilisateur pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée dans ESA Web Console est
requis pour les tests. L’utilisateur doit également être autorisé à accéder à l’application Web (Web App).
2. Ouvrez l’application Web (Web App) dans un navigateur de bureau et authentifiez-vous à l’aide des
identifiants Active Directory de l’utilisateur de test.
3. La page d’authentification ESA devrait maintenant apparaître, comme indiqué dans la figure ci-dessous.
a.Si les mots de passe à usage unique par SMS (SMS OTP) sont activés pour un utilisateur, un SMS
contenant un mot de passe à usage unique (OTP) à saisir pour s’authentifier sera envoyé.
b.Si l’utilisateur a installé l’application mobile ESA sur son téléphone, elle peut être utilisée pour générer un
mot de passe à usage unique (OTP) pour s’authentifier. Les mots de passe à usage unique (OTP) sont
affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Le
module Web Application Protection supprime les espaces, de sorte qu’un utilisateur peut inclure ou
155
exclure des espaces lors de la saisie d’un mot de passe à usage unique (OTP) sans affecter
l’authentification.
c.Si l’utilisateur a installé l’application mobile ESA sur son téléphone et qu’il est autorisé à utiliser à la fois
les mots de passe à usage unique (OTP) et l’authentification Push, l’écran indiquera l’approbation de la
notification push ou invitera l’utilisateur à saisir un mot de passe à usage unique (OTP).
4. Si une notification push est approuvée, si un mot de passe à usage unique (OTP) valide est saisi ou si FIDO
est utilisé pour s’authentifier, l’utilisateur est redirigé vers la page qu’il a demandée à l’origine. Il peut alors
interagir avec l’application Web (Web App).
5. Si la notification push n’est pas approuvée dans les deux minutes, l’utilisateur est redirigé vers une page
demandant un mot de passe à usage unique (OTP). Si un mot de passe à usage unique (OTP) non valide est
saisi, un message d’erreur s’affiche et l’utilisateur n’est pas autorisé à accéder à l’application Web.
Logo personnalisé
Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou
d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme
suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin
Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé.
1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de
350 x 100 px (largeur x hauteur).
2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le
« logo.png ».
Remote Desktop Protection
Le module ESA Remote Desktop Protection ajoute l’authentification à 2 facteurs (2FA) au processus
d’authentification des utilisateurs Remote Desktop. Le module sera chargé la prochaine fois qu’un utilisateur
utilisant l’authentification à 2 facteurs (2FA) tentera d’utiliser Remote Desktop pour se connecter à un ordinateur
distant sur lequel le plugin Remote Desktop d’ESA a été installé.
Les utilisateurs se connecteront à l’aide du processus d’authentification standard de Remote Desktop. Après avoir
été authentifiés par Remote Desktop, les utilisateurs sont invités à fournir un mot de passe à usage unique (OTP),
à approuver la notification push ou à s’authentifier à l’aide de FIDO. Les utilisateurs ne sont autorisés à accéder à
leur ordinateur que si un mot de passe à usage unique (OTP) valide est saisi, si la notification push est approuvée
ou si l’authentification FIDO réussit.
La session des utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) reste active jusqu’à ce qu’ils se
déconnectent de leur compte ou de la session Remote Desktop.
Client RDP sans nom d’utilisateur ni mot de passe
ESA ne peut pas protéger les clients RDP qui ne fournissent pas de nom d’utilisateur ni de mot de passe. Si
un client RDP n’a pas configuré de nom d’utilisateur ni de mot de passe et qu’il n’en demande pas non plus,
aucun mot de passe à usage unique (OTP) ne lui sera demandé.
156
Configuration
Pour configurer l’authentification à 2 facteurs Remote Desktop (Remote Desktop 2FA) pour le ou les utilisateurs
de votre choix, activez l’authentification à 2 facteurs (2FA) dans leur profil. Ils doivent également être des
utilisateurs Remote Desktop autorisés.
Pour utiliser Remote Desktop Protection, l’hôte de session Remote Desktop doit être configuré pour utiliser une
option SSL (TLS) disponible ou Negotiate. Habituellement, la couche de sécurité est configurée correctement. Si
vous rencontrez des problèmes, vérifiez et ajustez les paramètres comme décrit ci-dessous.
RDP sans services Bureau à distance
Utilisez la politique de groupe pour ajuster les paramètres. Par exemple, pour modifier la politique de l’ordinateur
local, procédez comme suit :
1. Appuyez simultanément sur la touche Windows
et sur R.
2. Saisissez gpedit.msc et appuyez sur Entrée.
3. Dans le volet de gauche, cliquez sur Configuration ordinateur > Modèles d’administration > Composants
Windows > Services Bureau à distance > Hôte de session Bureau à distance > Sécurité.
4. Dans le volet de droite, double-cliquez sur Exiger l’utilisation d’une couche de sécurité spécifique pour les
connexions distantes (RDP).
5. Sélectionnez Activé.
6. Dans Couche de sécurité, sélectionnez une option SSL (TLS) disponible ou Negotiate.
RDP avec services Bureau à distance
Pour modifier les paramètres sur Windows Server 2008, procédez comme suit :
1. Accédez au menu Démarrer, puis à Outils d’administration > Services Bureau à distance > Configuration
d’hôte de session Bureau à distance.
2. Dans la section Connexions, ouvrez RDP-Tcp.
3. Cliquez sur l’onglet Général.
4. Dans la section Sécurité, le paramètre Couche de sécurité doit être configuré pour utiliser une option SSL
(TLS) disponible ou Negotiate.
Pour modifier les paramètres sur Windows Server 2012 et versions ultérieures, procédez comme suit :
1. Ouvrez Gestionnaire de serveur.
2. Cliquez sur Services Bureau à distance dans le volet de gauche.
3. Ouvrez les propriétés Collections.
157
4. Dans la section Sécurité, le paramètre Couche de sécurité doit être configuré pour utiliser une option SSL
(TLS) disponible ou Negotiate.
Autoriser les utilisateurs qui n’utilisent pas
l’authentification à 2 facteurs
Le module peut être configuré pour autoriser ou interdire aux utilisateurs pour lesquels l’authentification à
2 facteurs (2FA) n’est pas activée de se connecter aux ordinateurs distants avec Remote Desktop Protocol. Ce
scénario se produit si aucune méthode d’authentification ni l’application mobile (Mobile Application) n’est
configurée pour l’utilisateur et si l’option de configuration Remote Desktop permettant aux utilisateurs n’utilisant
pas l’authentification à 2 facteurs (non-2FA) de se connecter n’est pas activée. L’option de configuration
permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) est activée par
défaut après l’installation.
Dans cette configuration, un utilisateur peut se connecter à l’ordinateur distant avec son mot de passe Active
Directory.
Si l’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs
(non-2FA) est désactivée, l’utilisateur ne pourra pas se connecter aux ordinateurs distants avec Remote Desktop
Protocol.
Pour modifier la configuration du module, accédez à Components (Composants) dans ESA Web Console, puis
cliquez sur RDP. La fenêtre Computer list (Liste des ordinateurs) apparaît, répertoriant tous les ordinateurs sur
lesquels le service Remote Desktop Protection d’ESA est installé.
Utilisation
Le bon fonctionnement du module Remote Desktop Protection peut être vérifié comme suit :
Un utilisateur pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée dans ESA Web Console et qui a
accès à l’ordinateur distant est requis pour les tests. Dans un environnement Active Directory, un utilisateur de
domaine pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée et qui est ajouté en tant
qu’utilisateur Remote Desktop autorisé sur l’ordinateur distant est requis pour les tests.
Un ordinateur sur lequel Remote Desktop Access est activé est également requis.
1. Connectez-vous à l’ordinateur distant à l’aide d’un client Remote Desktop et authentifiez-vous à l’aide des
identifiants de connexion de l’utilisateur test.
2. L’écran d’invite de mot de passe à usage unique (OTP) devrait maintenant apparaître, comme indiqué dans
la figure ci-dessous.
158
a.Si les mots de passe à usage unique (OTP) par SMS sont activés pour un utilisateur, un SMS
contenant un mot de passe à usage unique (OTP) à saisir pour s’authentifier sera envoyé.
b.Si l’utilisateur a installé l’application mobile ESA sur son téléphone, elle peut être utilisée pour
générer un mot de passe à usage unique (OTP) pour s’authentifier. Les mots de passe à usage
unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour
améliorer la lisibilité. Le module Remote Desktop Protection supprime les espaces, de sorte qu’un
utilisateur peut inclure ou exclure des espaces lors de la saisie d’un mot de passe à usage unique
(OTP) sans affecter l’authentification.
c.Si l’utilisateur a installé l’application mobile ESA sur son téléphone et qu’il est autorisé à utiliser à
la fois les mots de passe à usage unique (OTP) et l’authentification Push, l’écran indiquera
l’approbation de la notification push. L’utilisateur peut également procéder à l’authentification par
mot de passe à usage unique (OTP) en cliquant sur Enter OTP (Saisir le mot de passe à usage
unique).
3. Si un mot de passe à usage unique (OTP) valide est saisi, l’utilisateur sera autorisé à accéder à l’ordinateur
auquel il a tenté de se connecter.
4. Si un mot de passe à usage unique (OTP) non valide est saisi, un message d’erreur s’affiche et l’utilisateur
n’est pas autorisé à accéder à l’ordinateur distant.
159
Accès Web des services Bureau à distance
Si vous utilisez la protection par authentification à 2 facteurs (2FA) de RDP sur votre serveur où Accès Web des
services Bureau à distance (RDWA) est hébergé, les paramètres par défaut nécessitent une authentification à
2 facteurs (2FA) pour lancer les applications disponibles votre RDWA.
Cela signifie que si un utilisateur tente d’accéder à votre site Web RDWA, il est invité à entrer un mot de passe à
usage unique (OTP). Une fois que l’utilisateur a fourni un mot de passe à usage unique (OTP) valide et qu’il a
essayé de lancer une application disponible sur votre site Web, l’utilisateur est à nouveau invité à fournir un mot
de passe à usage unique (OTP).
Si vous ne souhaitez pas qu’un utilisateur authentifié (qui a utilisé un mot de passe à usage unique valide pour
accéder à votre site Web RDWA) soit invité à fournir un mot de passe à usage unique (OTP) lors du lancement
d’une application sur votre site Web, procédez comme suit :
1. Dans ESA Web Console, accédez à Settings (Paramètres) > Liste blanche d’adresses IP.
2. Cochez la case à côté de Allow access without 2FA from: (Autoriser l’accès sans authentification à
2 facteurs depuis :).
3. Tapez l’adresse IP localhost : 127.0.0.1,::1 dans la zone de texte.
4. Cochez la case à côté de RDP.
5. Cliquez sur Save
RDWA et serveur d’authentification ESA sur des hôtes différents
Si RDWA est hébergé sur une machine différente du serveur d’authentification ESA (ESA Authentication
Server), vous devez ajouter l’adresse IP de l’hôte RDWA à la liste blanche.
Pour vous assurer que vous ajoutez l’adresse IP correcte à la liste blanche, recherchez-la dans le fichier journal
EsaCore.log situé à l’adresse C:\ProgramData\ESET Secure Authentication\EsaCore.log.
1. Effacez le contenu du fichier journal.
2. Essayez de vous connecter à RDWA avec un compte d’utilisateur protégé par l’authentification à 2 facteurs
(2FA).
3. Dans ce fichier journal, recherchez « _RDWeb ».
4. Quelques lignes plus bas, vous devriez voir une ligne indiquant « Démarrage de l’authentification à
2 facteurs pour l’utilisateur : nom d’utilisateur avec l’adresse IP 1.2.3.4 » où « 1.2.3.4 » est remplacé par
l’adresse IP réelle de votre hôte RDWA.
HTML5 Accès Web des services Bureau à distance
Il existe actuellement deux façons d’accéder à la version HTML5 de l’accès Web des services Bureau à distance.
Un utilisateur pour lequel les mots de passe à usage unique par SMS ou les mots de passe à usage unique par
application mobile sont activés :
1. Connectez-vous à l’accès Web des services Bureau à distance classique (nom_hôte.domaine/rdweb) tout
160
en vous authentifiant à l’aide d’un mot de passe à usage unique.
2. Dans le même navigateur, connectez-vous à la version HTML5 de l’accès Web des services Bureau à distance
(nom_hôte.domaine/rdweb/webclient).
Un utilisateur pour lequel le push par application mobile est activé peut accéder directement à la version HTML5
de l’accès Web des services Bureau à distance. Il lui suffit d’approuver la notification push lorsqu’elle l’invite à
s’authentifier.
Passerelle des services Bureau à distance et
ESA RADIUS
Un serveur de passerelle des services Bureau à distance permet aux utilisateurs de se connecter à des ordinateurs
distants sur un réseau d’entreprise à partir de n’importe quel ordinateur externe.
Utilisez ESA RADIUS pour sécuriser l’authentification via la passerelle des services Bureau à distance avec un
deuxième facteur : l’approbation d’une notification push.
Conditions préalables requises
• Serveur d’authentification et RADIUS installés
• Passerelle des services Bureau à distance fonctionnelle
Intégration d’ESA RADIUS avec la passerelle des services Bureau à
distance
L’intégration se compose de deux parties, la configuration de la passerelle des services Bureau à distance et la
configuration d’ESA.
Configuration de la passerelle des services Bureau à distance - Utilisez NPS (recommandé)
1. Ouvrez l’application Gestionnaire de passerelle de Bureau à distance.
a.Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez
sur Propriétés.
b.Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et
sélectionnez Serveur central exécutant NPS.
c.Tapez l’adresse IP du serveur NPS, puis cliquez sur Ajouter > OK.
2. Ouvrez l’application Network Policy Server.
a.Dans l’arborescence de navigation, développez Clients et serveurs RADIUS, cliquez avec le bouton droit
161
sur Groupes de serveurs RADIUS distants, puis cliquez sur Nouveau.
b.Définissez le nom de groupe souhaité.
c.Cliquez sur Ajouter.
i. Dans l’onglet Adresse, tapez l’adresse IP d’ESA RADIUS dans le champ Serveur.
ii. Dans l’onglet Authentification/Comptabilité :
A.Conservez la valeur par défaut 1812 dans le champ Port d’authentification.
B.Saisissez le secret partagé de votre choix dans Secret partagé, puis saisissez-le aussi dans le champ
Confirmer le secret partagé.
C.Activez la case à cocher à côté de La demande doit contenir l’attribut d’authentificateur de
message.
iii. Dans l’onglet Équilibrage de charge, définissez un nombre raisonnablement élevé (par exemple, 120)
pour les champs Nombre de secondes sans réponse avant que la demande ne soit considérée comme
abandonnée et Nombre de secondes entre les demandes lorsque le serveur est identifié comme
indisponible. Cela permet d’éviter que NPS ne tente à nouveau l’authentification pendant le traitement
de la demande push (cela peut prendre un certain temps).
iv. Cliquez sur OK.
d.Cliquez sur OK.
e.Dans l’arborescence de navigation, développez Stratégies, sélectionnez Stratégies de demande de
connexion, puis double-cliquez sur STRATÉGIE D’AUTORISATION DE PASSERELLE TS.
i. Dans l’onglet Paramètres, sélectionnez Authentification > Transférer les demandes au groupe de
serveurs RADIUS distant suivant pour l’authentification, puis sélectionnez le groupe ESA créé dans les
étapes précédentes.
ii. Cliquez sur OK.
Configuration de la passerelle des services Bureau à distance - Intégration directe (non
recommandée)
Lorsque ce type d’intégration est appliqué, il peut y avoir un problème avec un délai d’expiration très court pour
la communication RADIUS. Cela signifie que davantage de notifications push seraient reçues pour la même
demande d’authentification.
1. Ouvrez l’application Gestionnaire de passerelle de Bureau à distance.
2. Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez sur
Propriétés.
3. Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et
sélectionnez Serveur central exécutant NPS.
162
4. Saisissez l’adresse IP d’ESA RADIUS, qui est l’adresse IP de l’ordinateur hôte sur lequel le composant
ESA RADIUS est installé, y compris le numéro de port, puis cliquez sur Ajouter.
5. Définissez le secret partagé de votre choix, puis cliquez sur OK.
6. Cliquez sur OK.
ESA Configuration
1. Connectez-vous à ESA Web Console.
2. Accédez à Components (Composants) > RADIUS, puis cliquez sur le serveur RADIUS que vous utilisez.
3. Cliquez sur Create new RADIUS client.
4. Tapez le nom (Name) de votre choix.
5. Tapez l’adresse IP (IP address) du client (NSP ou passerelle des services Bureau à distance selon la méthode
d’intégration choisie) telle que le serveur RADIUS la voit.
a.L’adresse IP du client se trouve dans : C:\ProgramData\\ESET Secure Authenticationlogs\Radius.log
b.Recherchez la chaîne suivante dans ce fichier journal : « Invalid Auth. packet received from : <IP
address><port> »
<IP address> et <port> représentent respectivement l’adresse IP réelle et le numéro du port.
6. Dans le champ Shared secret (Secret partagé), tapez le même secret partagé que celui que vous avez
configuré dans le Gestionnaire de passerelle de Bureau à distance.
7. Dans le menu déroulant Client Type (Type de client), sélectionnez Client validates user name and password
(Le client valide le nom d’utilisateur et le mot de passe).
8. Cochez la case à côté de Mobile Application Push (Push par application mobile).
9. Pour Realm (Domaine), sélectionnez Current AD domain (Domaine AD actuel) ou ( or ) Current AD domain
and domains in trust (Domaine AD actuel et domaines approuvés).
Utilisateurs n’utilisant pas l’authentification à 2 facteurs
Si vous souhaitez autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs à se connecter,
sélectionnez également Non-2FA users (Utilisateurs n’utilisant pas l’authentification à 2 facteurs).
10. Cliquez sur Save.
Comment ça marche
1. L’utilisateur saisit ses identifiants de connexion de domaine (premier facteur) dans la boîte de dialogue de
connexion de la passerelle des services Bureau à distance.
2. L’utilisateur reçoit et approuve la notification push (deuxième facteur) sur son téléphone mobile.
3. Dans la boîte de dialogue de connexion suivante, l’utilisateur saisit ses identifiants de connexion pour
l’ordinateur cible.
163
Liste blanche d’adresses IP
Si vous souhaitez que certains emplacements, par exemple certaines succursales, puissent accéder à Remote
Desktop ou à des applications Web prises en charge sécurisées par l’authentification à 2 facteurs (2FA) sans qu’ils
aient besoin de fournir de mot de passe à usage unique (OTP), vous pouvez ajouter leur adresse IP à la liste
blanche. Pour ce faire, ouvrez ESA Web Console et accédez à Settings (Paramètres) > IP Whitelisting (Liste
blanche d’adresses IP).
Cochez la case à côté de Enable global IP whitelisting (Activer la liste blanche d’adresses IP globale), définissez les
adresses IP appropriées (la version IPv6 également, le cas échéant), sélectionnez les services à mettre sur liste
blanche, puis cliquez sur Save (Enregistrer).
Pour définir différentes listes blanches pour des composants ESA spécifiques en plus de la liste globale, cochez la
case à côté de Enable per feature IP whitelisting (Activer la liste blanche d’adresses IP par fonctionnalité),
sélectionnez les services à mettre sur liste blanche, définissez les adresses IP appropriées (la version IPv6
164
également, le cas échéant), puis cliquez sur Save (Enregistrer).
Ne confondez pas Accès Web à distance avec Accès Web des services Bureau à distance.
RADIUS
Le serveur ESA RADIUS lit l’adresse IP de l’utilisateur à partir du premier attribut RADIUS non vide, à savoir :
• 66 Tunnel-Client-Endpoint
• 31 Calling-Station-Id
Le but recherché est que l’adresse IP soit lue par le composant le plus proche. Il s’agit du serveur VPN dans
la plupart des cas.
AD FS
ESA est un excellent choix en matière de sécurité si vous utilisez Active Directory Federation Services (AD FS) 3 ou
version ultérieure et que vous souhaitez le sécuriser avec l’authentification à 2 facteurs (2FA).
Pendant l’installation d’ESA sur l’ordinateur exécutant AD FS, sélectionnez le composant AD FS et effectuez
l’installation.
Lors de l’installation d’AD FS, la configuration est modifiée : la méthode d’authentification ESET Secure
Authentication est ajoutée et si aucun emplacement n’est spécifié, les deux emplacements Intranet et Extranet
seront inclus. L’image ci-dessous montre les modifications de configuration avec l’emplacement Intranet
sélectionné avant l’installation du composant AD FS d’ESA.
165
Une fois l’installation terminée, ouvrez ESA Web Console, accédez à Components (Composants), cliquez sur AD FS
et vous verrez les options 2FA is enabled (L’authentification à 2 facteurs est activée) et Allow non 2FA (Autoriser
les utilisateurs qui n’utilisent pas l’authentification à 2 facteurs) activées.
166
Si un site Web nécessitant une authentification vérifie l’identité au moyen d’AD FS, et que la protection par
authentification à 2 facteurs (2FA) via ESA est appliquée à l’AD FS spécifique, vous serez invité à taper un mot de
passe à usage unique (OTP), à approuver la notification push ou à vous authentifier via FIDO après la vérification
réussie de l’identité :
167
Mot de passe à usage unique requis (à gauche) ; Approbation de la notification push requise (à droite)
Logo personnalisé
Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou
d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme
suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin
Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé.
1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de
350 x 100 px (largeur x hauteur).
2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le
« logo.png ».
Internet Explorer
Les versions 9 et 10 du navigateur Web Internet Explorer sont prises en charge.
Politiques AD FS
Le programme d’installation ESA définit les règles d’authentification AD FS suivantes :
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =
= "false"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authentica
tionmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value =
= "true"]
168
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authentica
tionmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
Les règles ci-dessus activent automatiquement l’authentification à 2 facteurs pour les réseaux internes et
externes.
Si vous utilisez une application AD FS tierce qui ne fonctionne pas correctement avec l’authentification à
2 facteurs et que vous souhaitez empêcher des utilisateurs spécifiques d’utiliser l’authentification à 2 facteurs
pour accéder à cette application.
1. Ouvrez Windows PowerShell et exécutez la commande suivante. Consultez ensuite la sortie de cette
commande pour vérifier que les seules règles d’authentification supplémentaires sont celles répertoriées au
début de cette section.
Get-AdfsAdditionalAuthenticationRule
2. Pour supprimer des règles d’authentification supplémentaires, exécutez la commande suivante :
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '
3. Ouvrez AD FS Management, cliquez sur Access Control Policies (Stratégies de contrôle d’accès) > Action >
Add Access Control Policy (Ajouter une stratégie de contrôle d’accès).
4. Ajoutez les deux règles Permit Users suivantes :
I.Permit Users
from esa_domain\ESA Users groups
and require multi-factor authentication
II.Permit Users
Si le serveur d’authentification est installé en mode Intégration Active Directory, le groupe esa_domain\ESA
Users est automatiquement créé lors de l’installation, tandis que esa_domain est remplacé par le nom de
domaine du serveur d’authentification.
Si le serveur d’authentification est installé en mode Autonome, vous devez créer un groupe d’utilisateurs et
affecter des utilisateurs ESA à ce groupe.
Les deux règles Permit Users ci-dessus permettent de garantir que l’authentification à 2 facteurs n’est requise
que pour les utilisateurs appartenant au groupe spécifié. Pour tous les autres utilisateurs, la page
d’authentification à 2 facteurs est ignorée.
5. Cliquez sur Relying Party Trusts (Approbations de partie de confiance), puis affectez la politique à la partie
de confiance applicable.
169
Compte de service ESA personnalisé
Pour renommer le compte de connexion ESET Secure Authentication Core Service en mode Intégration
Active Directory, procédez comme suit :
1. Ouvrez ADUC.
2. Accédez à <your_active_directory_domain> (Votre domaine Active Directory) > ESET Secure
Authentication.
3. Trouvez l’utilisateur ESET Secure Authentication Core Service. Son nom est créé à partir de ESASrv_ auquel
on ajoute le nom de l’ordinateur. Par exemple, ESASrv_PH2012R2NODC.
4. Cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Rename (Renommer).
5. Dans la fenêtre Rename User (Renommer l’utilisateur), définissez le nom souhaité dans les champs Full
name (Nom complet) et User logon name (Nom d’ouverture de session utilisateur), puis cliquez sur OK.
6. Cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Reset Password (Réinitialiser le mot de
passe).
7. Dans la fenêtre New Password (Nouveau mot de passe), tapez un mot de passe temporaire. ESET Secure
Authentication modifiera ce mot de passe lors de la prochaine exécution du programme d’installation ESA
(installation ou mise à niveau du serveur d’authentification). Cliquez ensuite sur OK.
8. Fermez ADUC.
9. Pour accéder aux services Windows, appuyez sur
170
+ R, tapez Services.msc et appuyez sur Entrée.
10. Cliquez avec le bouton droit de la souris sur le service « ESET Secure Authentication Core Service », puis
sélectionnez Properties (Propriétés).
11. Dans l’onglet Log On (Ouvrir une session), sélectionnez This account (Ce compte). Tapez le nom du compte
et le mot de passe temporaire que vous avez définis, puis cliquez sur Apply (Appliquer) et sur OK.
12. Cliquez avec le bouton droit de la souris sur le service « ESET Secure Authentication Core Service », puis
sélectionnez Restart (Redémarrer).
Intégration personnalisée via l’API et le SDK
ESET Secure Authentication fournit une prise en charge native pour une variété de systèmes d’accès à distance et
d’applications Web Microsoft. Pour une intégration avec des systèmes personnalisés, il fournit un large éventail
d’options d’extensibilité vous permettant d’ajouter l’authentification à 2 facteurs à presque tous les systèmes
nécessitant une authentification.
Il existe deux options d’extension : une interface de programmation d’application (API) et un kit de
développement logiciel (SDK). Il existe quelques différences clés entre les deux produits qui vous aideront
rapidement à décider lequel utiliser.
Si vous souhaitez implémenter l’authentification à 2 facteurs dans votre produit sans installer le serveur
d’authentification et que vous préférez inclure les bibliothèques essentielles dans votre environnement de
produit et stocker les données utilisateur dans votre base de données produit, utilisez le SDK.
Intégrations natives
• Systèmes basés sur RADIUS tels que les appliances VPN/UTM, Citrix® XenApp™, VMWare® Horizon View™,
etc. Voir plus d’exemples
• Application Web Microsoft Outlook
• Microsoft SharePoint
• Microsoft Dynamics CRM
• Accès Web des services Bureau à distance Microsoft
• AD FS
Pour en savoir plus sur l’ajout de l’authentification à 2 facteurs aux systèmes non répertoriés ci-dessus, consultez
les chapitres consacrés à l’API et au SDK ci-dessous.
API
L’API ESA (ESA API) est un service Web de type REST qui peut être utilisé pour ajouter facilement
l’authentification à 2 facteurs (2FA) à des applications existantes.
Dans la plupart des applications Web, les utilisateurs sont authentifiés avant d’être autorisés à accéder aux
ressources protégées. En demandant un facteur d’authentification supplémentaire pendant le processus
d’ouverture de session, il est possible de rendre ces applications plus résistantes aux attaques.
171
La documentation d’API complète pour les développeurs est disponible à la même adresse URL
qu’ESA Web Console, mais suivie de « /apidoc » sans guillemets. Par exemple, si ESA Web Console est disponible
à l’adresse https://127.0.0.1:8001/, la documentation de l’API est disponible à l’adresse
https://127.0.0.1:8001/apidoc.
Nouveautés de l’API pour ESET Secure Authentication 2.8 et versions
ultérieures
• Gestion des paramètres ESET Secure Authentication
• Gestion des utilisateurs
• Plus d’options d’authentification : clé de récupération principale, liste blanche, authentification push
• Auto-inscription
• Prise en charge des domaines d’utilisateurs : utilisateurs d’un autre domaine, utilisateurs hors domaine
Aperçu de l’intégration
L’API se compose de deux endpoints, qui sont tous deux appelés par du texte au format POSTing JSON aux URL
pertinentes de l’API. Toutes les réponses sont également codées sous forme de texte au format JSON, contenant
le résultat de la méthode et tous les messages d’erreur applicables. Le premier endpoint (Auth API) est destiné à
l’authentification des utilisateurs et le second endpoint (Management API) est destiné à la gestion des
utilisateurs.
L’API est disponible sur tous les serveurs sur lesquels le composant Authentication Core est installé et s’exécute
sur le protocole sécurisé HTTPS sur le port 8001, sauf si vous avez modifié le port lors de l’installation du serveur
d’authentification.
L’API d’authentification est disponible sur les URL au format https://127.0.0.1:8001/auth/v2/ et l’API
Management API est disponible sur les URL au format https://127.0.0.1:8001/manage/v2/. Les deux endpoints
sont protégés contre tout accès non autorisé via l’authentification HTTP de base (HTTP Basic Authentication),
nécessitant un jeu valide d’identifiants d’API (API Credentials) avant de traiter la moindre requête.
Le programme d’installation ESET Secure Authentication utilise automatiquement un certificat de sécurité SSL
approprié installé sur la machine ou génère un nouveau certificat auto-signé s’il n’en trouve aucun.
Configuration
L’API est désactivée par défaut et doit être activée avant utilisation. Lorsqu’elle est activée, des identifiants d’API
doivent être créés pour autoriser les requêtes.
Activation de l’API et configuration des identifiants d’API dans ESA Web
Console
1. Lancez ESET Secure Authentication Web Console et accédez à Settings (Paramètres) > API Credentials
(Identifiants d’API).
172
2. Cochez la case Enabled (Activé), puis enregistrez les modifications.
3. Cliquez sur l’action Add Credentials (Ajouter des identifiants) pour créer un nouveau jeu d’identifiants.
4. Tapez le nom souhaité, cochez la case Auth API (API d’authentification) et/ou la case Management API (API
de gestion), puis cliquez sur Enregistrer.
5. L’ID de compte et le mot de passe s’affichent alors.
Assurez-vous de conserver ce mot de passe en lieu sûr, car il ne pourra pas être affiché à nouveau.
Activation de l’API et configuration des identifiants d’API dans MMC
Console
1. Lancez ESET Secure Authentication Management Console et accédez au nœud Advanced Settings
(Paramètres avancés) de votre domaine.
2. Développez la section API, cochez la case API is enabled (L’API est activée), puis enregistrez les
modifications.
3. Ouvrez la console des services Windows standard, puis redémarrez le service ESET Secure Authentication
Core pour que la modification prenne effet.
4. Accédez au nouveau nœud API Credentials (Identifiants d’API) qui est apparu pour votre domaine.
5. Cliquez sur l’action Add Credentials (Ajouter des identifiants) pour créer un nouveau jeu d’identifiants.
173
6. Double-cliquez sur les identifiants nouvellement créés pour obtenir le nom d’utilisateur et le mot de passe à
utiliser pour l’authentification de l’API.
7. Cochez la case Enabled for Auth API (Activé pour l’API d’authentification) et/ou la case Enabled for User
Management API (Activé pour l’API de gestion des utilisateurs).
Identifiants d’API
De nombreux jeux d’identifiants d’API peuvent être créés. Il est recommandé de créer différents jeux pour
chaque application protégée, ainsi que pour les tests.
SDK
Le SDK ESET Secure Authentication fournit à la fois des fonctionnalités d’authentification et de gestion des
utilisateurs. Le SDK s’intègre aux applications personnalisées en stockant les données d’authentification à
2 facteurs dans la base de données utilisateur existante du système. Cela signifie qu’il existe des dépendances
externes minimales, ce qui permet aux architectes système d’ajouter l’authentification à 2 facteurs à presque
tous les systèmes personnalisés.
Avant l’intégration du SDK ESET Secure Authentication :
Après l’intégration du SDK ESET Secure Authentication :
174
Aperçu de l’intégration
Le SDK ESET Secure Authentication fournit toutes les fonctionnalités nécessaires pour intégrer tous les aspects de
l’authentification à 2 facteurs dans votre système personnalisé. Cela inclut l’authentification des utilisateurs, la
gestion, la journalisation, l’audit et l’utilisation de la passerelle de SMS personnalisés.
Le Kit de développement logiciel (SDK) pour ESET Secure Authentication (ESA) ne prend pas en charge les
jetons matériels, l’authentification push et FIDO.
Le SDK est disponible pour les langages .NET, PHP et Java et la parité fonctionnelle existe avec tous les langages.
Chaque langage est livré avec :
• Une bibliothèque côté client (code source)
• Un guide du développeur propre au langage
• Un guide de déploiement du kit de développement logiciel (SDK)
• Des exemples d’extraits de code d’utilisation du kit dans tous les langages
Pour obtenir une copie du SDK, veuillez remplir le formulaire de demande sur la page produit ESET Secure
Authentication.
Pour pouvoir utiliser le SDK ESA, vous devez générer une clé d’API et un secret d’API.
Activation de la licence SDK
Pour utiliser le SDK ESET Secure Authentication, vous avez besoin d’une clé d’API et d’un secret d’API (API secret).
Ces identifiants sont dérivés de votre licence ESET Secure Authentication.
Pour obtenir vos identifiants de SDK, enregistrez un compte sur https://eba.eset.com.
175
1. Connectez-vous au portail ESET Business Account.
2. Importez votre licence ESA sur le portail ESET Business Account.
3. Cliquez sur License (Licence) > SDK ESET Secure Authentication.
4. Cliquez sur Activer.
5. Sélectionnez un groupe de licences (site) qui contient votre licence ESA.
6. Cliquez sur Activer.
7. Le portail génère et affiche une clé d’API unique et un secret d’API à utiliser dans le SDK ESA.
Voir plus d’informations sur la gestion des clés SDK.
Le SDK en pratique
Le moyen le plus rapide d’utiliser le SDK est d’exécuter l’exemple de code.
Téléchargez l’exemple de fichier .zip d’application à partir de https://esa.eset.com/sdk/docs/samples/
Le fichier zip contient un fichier README.txt. Suivez les instructions qu’il contient.
Utilisation du SDK
Les utilisateurs du SDK peuvent consulter le Guide du développeur SDK ESET Secure Authentication pour obtenir
des instructions sur
l’intégration avec leur plateforme.
Le Guide du développeur SDK est disponible ici : https://esa.eset.com/sdk/docs/
176
Ce guide contient les éléments suivants :
• Comment référencer la bibliothèque SDK dans une application
• Une vue d’ensemble de l’utilisation du SDK
• Documentation de référence détaillée pour les espaces de noms et les classes
Intégration du SDK au système
Une fois le SDK évalué, il doit être intégré à votre système d’authentification existant.
Les étapes suivantes sont requises pour intégrer le SDK ESET Secure Authentication à un système :
• Étendre la base de données de stockage utilisateur avec des champs d’authentification à 2 facteurs
supplémentaires
• Mettre en œuvre des classes pour la lecture et l’écriture de données d’authentification à 2 facteurs pour
les utilisateurs
• Mettre à jour l’interface utilisateur de connexion existante pour accepter les mots de passe à usage
unique
• Mettre à jour l’interface utilisateur de gestion des utilisateurs existante pour gérer les paramètres
d’authentification à 2 facteurs d’un utilisateur
• Mettre en œuvre des composants facultatifs
Configuration requise pour la base de données
Le SDK ESET Secure Authentication stocke les données d’authentification à 2 facteurs d’un utilisateur dans votre
base de données existante sous forme de chaîne. Vous devrez donc ajouter une colonne capable de stocker des
chaînes unicode de longueur variable.
Utilisateurs MySQL
Il est recommandé d’utiliser le type de données TEXT.
Utilisateurs Postgres
Il est recommandé d’utiliser le type de données character_data.
Utilisateurs Oracle
Il est recommandé d’utiliser le type de données NCLOB.
Utilisateurs Microsoft SQL Server Il est recommandé d’utiliser le type de données nvarchar(max).
Si vous n’avez pas de champ de numéro de téléphone mobile pour chaque utilisateur, nous vous recommandons
fortement de créer un champ capable de stocker des numéros de téléphone mobile (chaînes numériques de
longueur variable). Cela contribuera à assurer la compatibilité avec les versions futures.
Lecture et écriture de données d’authentification à
177
2 facteurs
Le SDK ESET Secure Authentication expose l’interface IUserStorage qui transporte les données entre le SDK et
votre base de données ; cette interface doit être implémentée pour lire et écrire les données d’authentification à
2 facteurs (voir le Guide du développeur SDK pour plus de détails).
L’interface utilise deux méthodes qui doivent être implémentées, loadUser et saveUser.
loadUser
Cette méthode utilise le paramètre d’entrée suivant :
• string username : l’utilisateur dont les données d’authentification à 2 facteurs seront récupérées
Cette méthode a le type de retour suivant :
• string data : les données d’authentification à 2 facteurs pour l’utilisateur
En d’autres termes, le nom d’utilisateur fourni doit être utilisé pour renvoyer les données d’authentification à
2 facteurs pour cet utilisateur.
saveUser
Cette méthode possède les paramètres d’entrée suivants :
• string username : l’utilisateur dont vous souhaitez stocker les données d’authentification à 2 facteurs
• string data : les données d’authentification à 2 facteurs à stocker
Cette méthode n’a pas de valeur de retour. En d’autres termes, le SDK fournira le nom d’utilisateur et les données
d’authentification à 2 facteurs. Assurez-vous que ces données sont écrites dans le champ d’authentification à
2 facteurs de votre base de données utilisateur.
Mettre à jour l’interface utilisateur de connexion avec
les méthodes d’authentification à 2 facteurs
Cette section décrit la logique d’authentification qui doit être implémentée pour les utilisateurs de
l’authentification à 2 facteurs.
Lorsqu’un utilisateur a authentifié son mot de passe statique par rapport au système existant, la méthode de préauthentification doit être appelée pour cet utilisateur. Cette méthode vérifie le type d’authentification à
2 facteurs pour l’utilisateur (SMS, application mobile, etc.) et envoie un mot de passe à usage unique par SMS si
nécessaire. Il renvoie un résultat qui contient le type d’identifiant attendu, qui doit être utilisé pour guider
l’utilisateur pendant le processus d’ouverture de session. Des détails concernant ce type d’identifiant sont
disponibles dans le Guide du développeur.
178
Figure 4 : Logique d’authentification à facteur unique (avant intégration)
Un exemple de logique d’authentification après l’intégration du SDK ESET Secure Authentication est illustré à la
figure 5.
Notez que la logique varie d’un système à l’autre en fonction des exigences.
179
Figure 5 : Logique d’authentification à 2 facteurs avec le SDK ESA
180
Mettre à jour l’interface utilisateur de gestion afin
d’activer/désactiver l’authentification à 2 facteurs pour
les utilisateurs
La gestion des utilisateurs est effectuée via la classe TwoFactorUser. L’authentification à 2 facteurs peut être
activée pour les utilisateurs à l’aide de mots de passe à usage unique par application mobile ou par SMS. L’état de
transition permet à un utilisateur de passer des mots de passe à usage unique par SMS aux mots de passe à usage
unique par application mobile. Un administrateur peut effectuer la gestion des utilisateurs ou les utilisateurs
peuvent s’inscrire eux-mêmes.
La classe TwoFactorUser expose des méthodes (actions) qui peuvent être effectuées sur les utilisateurs.
Autres composants
Les composants suivants sont facultatifs.
Intégration de la journalisation (recommandé)
Le SDK ESET Secure Authentication enregistre les événements non critiques via un wrapper de journalisation, afin
que vous ne soyez pas limité à un framework de journalisation donné. Vous pouvez ainsi facilement utiliser votre
framework de journalisation existant. Consultez le Guide du développeur pour en savoir plus.
Intégration de l’audit (recommandé)
Le SDK audite divers événements critiques via l’interface IAuditor. Si cette interface n’est pas implémentée, les
événements d’audit sont envoyés à l’enregistreur d’événements configuré. L’implémentation est définie avec la
méthode de setAuditor de la classe TwoFactorConfiguration.
Utilisation d’une autre passerelle SMS (facultatif)
Le SDK ESET Secure Authentication envoie des SMS via la passerelle ESET SMS globale. Vous pouvez configurer
votre propre passerelle SMS en implémentant l’interface ITextMessageSender.
Résumé des différences
Le tableau suivant résume les fonctionnalités décrites dans ce document.
Fonctionnalité
API
SDK
Fournit l’authentification à 2 facteurs
✔
✔
Provisionne les utilisateurs via le serveur de provisionnement d’ESET
✔
✔
Utilise l’application mobile ESET Secure Authentication pour générer des mots de passe à
usage unique
✔
✔
Authentification push
✔
Clé de récupération principale
✔
181
Fonctionnalité
API
SDK
FIDO
✔
Peut être utilisé pour gérer les utilisateurs
✔
✔
Conçu pour les applications personnalisées
✔
✔
Peut être utilisé pour protéger l’ouverture de session
✔
✔
Nécessite que le développeur l’ajoute aux applications personnalisées
✔
✔
Peut être utilisé pour protéger des processus autres que l’ouverture de session
✔
✔
Fait partie du produit ESET Secure Authentication standard
✔
Nécessite très peu de développement pour être intégré
✔
Stocke les données utilisateur dans une base de données Active Directory ou ESA 1
✔
✔
Stocke les données utilisateur dans la propre base de données du client
Le client peut utiliser sa propre passerelle SMS 2
✔
✔
1 Dépend du type de déploiement du serveur d’authentification.
2 La propre passerelle SMS peut également être réalisée via une livraison personnalisée.
Rapports
Pour pouvoir utiliser l’écran Reports (Rapports) dans ESA Web Console, il est essentiel de disposer d’une
installation Elasticsearch.
Les rapports afficheront :
• Tout ce que le journal de vérification comprend
• Provisionnement des utilisateurs
• Activité d’auto-inscription
• Envoi de mots de passe à usage unique par SMS
• Messages d'erreur
• Actions ESA Web Console
L’écran Rapports propose diverses options de filtrage.
• Date : Aujourd’hui, 7 derniers jours, Ce mois-ci, Cette année, Date personnalisée
• Presets (Valeurs prédéfinies) : Toutes les authentifications, Enregistrement automatique des utilisateurs,
Authentifications refusées, Provisionnement des utilisateurs, Mots de passe à usage unique par SMS envoyés,
Authentifications réussies
• Filtre personnalisé : cliquez sur Select (Sélectionner) pour afficher la liste des options de filtrage
personnalisées disponibles. Vous pouvez combiner les options de filtrage disponibles.
182
Exemple : filtrer les connexions réussies à Web Console
1. Cliquez sur Select (Sélectionner) dans la fenêtre de filtre personnalisé, puis sélectionnez Event (Événement).
2. Cliquez sur la case Event (Événement), sélectionnez Web Console Login (Connexion à Web Console). Vous
pouvez commencer à taper « Web » et les options disponibles correspondant à cette chaîne s’afficheront.
3. Cliquez sur une zone vide dans la zone de filtre personnalisé, puis sélectionnez Result (Résultat).
4. Cliquez sur la case Result (Résultat), puis sélectionnez Success (Réussite).
5. Cliquez sur Apply.
183
Cliquez sur Export (Exporter) pour enregistrer les rapports filtrés dans un fichier .csv.
Audit
ESA enregistre les entrées d’audit dans les journaux d’événements Windows, en particulier le journal Application
de la section Windows Logs. Windows Event Viewer peut être utilisé pour afficher les entrées d’audit.
Si vous installez Reporting Engine (Elasticsearch), vous pouvez afficher ces journaux dans l’écran Reports
(Rapports) d’ESA Web Console.
Les entrées d’audit sont classées dans les catégories suivantes :
• Audit des utilisateurs
oTentatives d’authentification réussies et tentatives d’authentification infructueuses (Mot de passe à usage
unique ou clé de récupération principale incorrects)
oModifications de l’état de l’authentification à 2 facteurs (2FA), par exemple, lors du verrouillage du compte
d’un utilisateur
• Audit du système
oModification des paramètres ESA
oLorsque les services ESA sont démarrés ou arrêtés
L’utilisation de l’architecture standard de journalisation des événements Windows facilite l’utilisation d’outils
d’agrégation et de création de rapports tiers tels que LogAnalyzer.
184
Vue d’ensemble de la licence
Votre licence ESA comporte trois paramètres :
• License Validity
• Users
• OTP SMS Credits
Les détails de la licence sont obtenus à partir du système ESET Licensing et le système ESA vérifie
automatiquement la validité de la licence.
Le serveur de provisionnement ESA (ESA Provisioning) peut appliquer les licences en limitant les mots de passe à
usage unique (OTP) par SMS et le provisionnement des utilisateurs. En outre, le serveur d’authentification ESA
procède à l’application des licences en limitant les actions de gestion des utilisateurs et (dans les cas extrêmes) en
désactivant l’authentification des utilisateurs.
Les avertissements sont communiqués à ESA Administrator dans la section Dashboard (Tableau de bord) d’ESA
Web Console.
L’état complet de la licence est affiché dans la vignette License (Licence). Cela comprend l’état général de la
licence ainsi que les détails de son utilisation (numéros d’utilisateur, crédits SMS restants et jours de licence
restants).
États de licence
L’état complet de la licence s’affiche dans la vignette License (Licence) de l’écran Dashboard (Tableau de bord)
d’ESA Web Console. Consultez les états de licence serveur ESA suivants :
• OK : tous les paramètres de licence sont dans les limites prescrites
• Warning (Avertissement) : au moins un paramètre de licence est proche de la limite autorisée
• SMS Credits Expired (Crédis SMS expirés) : les crédits SMS sont épuisés et aucun SMS de mot de passe à
usage unique (OTP) ou de provisionnement ne sera envoyé.
• Violation (full functionality) [Violation (Fonctionnalités complètes)] : l’un des paramètres autorisés a
dépassé les limites autorisées, mais aucune application n’est imposée
• Violation (limited functionality)[Violation (Fonctionnalités limitées)] : un paramètre de licence a été dépassé
pendant plus de 7 jours et certaines fonctions de gestion des utilisateurs sont désactivées
• ESA Disabled (ESA désactivé) : la date d’expiration de la licence ESA est dépassée depuis plus de 30 jours et
l’authentification est désactivée. Dans ce cas, tous les appels d’authentification échoueront. L’authentification
sera verrouillée jusqu’à ce qu’ESA soit désinstallé ou désactivé par l’administrateur ou qu’une nouvelle licence
lui soit attribuée.
185
Détails des états de licence (License States)
Le tableau suivant résume comment chacun des paramètres de licence peut entraîner la licence dans l’un des
états d’avertissement ou d’erreur répertoriés ci-dessus.
Warning
SMS
Credits
depleted
Violation (full
functionality)
Violation (limited
functionality)
ESA Disabled
S/O
Pas plus de 7 jours
après l’expiration
Plus de
Plus de 7 jours après
30 jours après
l’expiration
l’expiration
Nombre
d'utilisateurs
Moins de 10 % ou
moins de 10 sièges
disponibles (selon
l’éventualité la plus
basse)
S/O
Le nombre
d’utilisateurs actifs
dépasse le nombre
d’utilisateurs sous
licence
Plus de 7 jours après
que le nombre
d’utilisateurs actifs a Jamais
dépassé le nombre
de licences
SMS Credits
Moins de 10 crédits
SMS restants
(Intégration +
Recharge)
0 crédit
SMS
restant
Jamais
Jamais
License Expiry
Moins de 30 jours
avant l’expiration
Jamais
Application des licences
Le tableau suivant décrit comment l’application des licences est effectuée sur le serveur d’authentification ESA.
Dans tous les cas, un administrateur pourra désactiver l’authentification ESA pour un sous-ensemble
d’utilisateurs, en désactivant l’authentification à 2 facteurs (2FA) pour ces utilisateurs, ou pour tous les
utilisateurs (au moyen de la configuration du système ou de la désinstallation du produit).
ESA Not
Activated
OK
Warning
SMS
Credits
depleted
Violation (full
functionality)
Violation
(limited
functionality)
ESA
Disabled
Activer
l’authentification à
2 facteurs pour les
utilisateurs
Désactivé
Autorisé Autorisé Autorisé
Autorisé
Désactivé
Désactivé
Provisionner des
utilisateurs
Désactivé
Autorisé Autorisé Désactivé
Autorisé
Désactivé
Désactivé
S’authentifier avec un Désactivé
mot de passe à usage
unique par SMS
Autorisé Autorisé Désactivé
Autorisé
Autorisé
Désactivé
S’authentifier avec
Désactivé
une application
mobile (mot de passe
à usage unique, push)
Autorisé Autorisé Autorisé
Autorisé
Autorisé
Désactivé
S’authentifier avec un Désactivé
jeton matériel
Autorisé Autorisé Autorisé
Autorisé
Autorisé
Désactivé
Gérer la configuration Désactivé
du système
Autorisé Autorisé Autorisé
Autorisé
Autorisé
Autorisé
186
ESA Not
Activated
Désactiver
l’authentification à
2 facteurs pour les
utilisateurs
Désactivé
OK
Warning
SMS
Credits
depleted
Autorisé Autorisé Autorisé
Violation (full
functionality)
Autorisé
Violation
(limited
functionality)
Autorisé
ESA
Disabled
Autorisé
Options de fournisseurs de services managés
Actuellement, les fournisseurs de services managés (MSP) disposent des options de service d’authentification à
2 facteurs suivantes, offertes par ESET Secure Authentication :
Serveur d’authentification dans les locaux des clients
• Le fournisseur de services managés installe le serveur d’authentification dans les locaux de chaque client et
active chaque serveur d’authentification à l’aide d’un compte EBA ou EMA.
• Web Console par client
Un serveur d’authentification dans les locaux du fournisseur de services
managés
• Le fournisseur de services managés installe le serveur d’authentification en mode haute disponibilité
(plusieurs serveurs d’authentification) et active le serveur d’authentification à l’aide d’un compte EBA ou EMA.
• Les composants ESA sont installés par client.
• Une Web Console pour gérer tous les clients. Chaque client est importé dans un domaine distinct.
Sélectionnez une unité d’organisation spécifique lors de la synchronisation avec LDAP.
Plusieurs serveurs d’authentification dans les locaux du fournisseur de
services managés
• Le fournisseur de services managés installe un serveur d’authentification par client et active chaque serveur
d’authentification à l’aide d’un compte EBA ou EMA.
• Web Console par client
Accès externe
L’accès externe à Web Console est recommandé.
187
Dépannage
Si vous rencontrez des problèmes d’installation ou des problèmes système avec ESET Secure Authentication, et
que vous avez un dossier ouvert avec l’assistance technique ESET, vous pouvez être invité à fournir des journaux
depuis votre ordinateur. Consultez notre guide sur la collecte des journaux.
Résolvez d’autres problèmes à l’aide des opérations suivantes :
• Authentification de domaine
• Connexion au serveur RADIUS
• Configuration du VPN pour la connexion à RADIUS
• Connexion via RDP sécurisé par l’authentification à 2 facteurs (installation du plugin Remote Desktop)
• Comment ajouter des crédits SMS ?
Problèmes de connexion des composants
Si les composants ESA ne parviennent pas à se connecter au serveur d’authentification ESA, ajustez les
paramètres de connexion dans le fichier C:\Program Files\ESET Secure
Authentication\EIP.Core.WindowsService.EXE.config.
• EsaServiceIdleTimeout : indiquez pendant combien de temps laisser les connexions ouvertes. S’applique au
mode Active Directory Integration (Intégration Active Directory).
Valeur par défaut : deux minutes
• http.sys : indiquez pendant combien de temps laisser les connexions HTTP ouvertes (console Web, API
client). S’applique au mode d’installation Standalone (Autonome).
Pour afficher le paramètre de délai d’expiration existant, exécutez la commande suivante dans PowerShell :
netsh http show timeout
Pour modifier le délai d’expiration, exécutez la commande suivante dans PowerShell :
netsh http add timeout timeouttype=idleconnectiontimeout value=<seconds>
Remplacez <seconds> par le délai d’expiration souhaité en secondes.
• EsaMaxSessions : Limitation - Nombre maximal de sessions simultanées
Valeur par défaut : 100 fois le nombre de processeurs
• EsaMaxCalls : Limitation - Nombre maximal d’appels simultanés
Valeur par défaut : 16 fois le nombre de processeurs
• EsaMaxThreads : pool de threads .NET - Nombre maximal de threads dans le pool ; influence le nombre
maximal de requêtes traitées simultanément
188
Valeur par défaut : 1 000
• EsaMinThreads : pool de threads .NET - Créez des threads immédiatement jusqu’à atteindre ce nombre ;
influence la rapidité avec laquelle le pool de threads réagit au nombre croissant de connexions entrantes
Valeur par défaut : Nombre de cœurs de processeur
Exemple de fichier EIP.Core.WindowsService.EXE.config modifié
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
<add key="EsaServiceIdleTimeout" value="00:01:00" />
<add key="EsaMaxSessions" value="100" />
<add key="EsaMaxCalls" value="20" />
<add key="EsaMaxThreads" value="2000" />
<add key="EsaMinThreads" value="1000" />
</appSettings>
</configuration>
• EsaServiceIdleTimeout : format hours:minutes:seconds
La protection de connexion Windows ne fonctionne pas
Vous avez installé le plugin Windows Login sur un ordinateur et activé l’authentification à 2 facteurs (2FA) pour
votre compte d’utilisateur. Toutefois, l’authentification à 2 facteurs n’envoie pas l’invite au compte d’utilisateur
approprié.
Si un autre fournisseur d’identifiants a désactivé le plugin Windows Login
de ESET Secure Authentication, essayez l’une des options suivantes.
▪Reconfigurez l’autre fournisseur d’identifiants pour qu’il ne bloque pas le plugin ESA Windows.
▪Désinstallez l’autre fournisseur d’identifiants.
▪Désactivez manuellement l’autre fournisseur d’identifiants en modifiant l’entrée de Registre suivante :
1. Recherchez l’entrée suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\C
redential Provider Filters/id
2. Ajoutez-y une nouvelle valeur DWORD avec les attributs suivants :
Nom : Disabled
Valeur : 1
Si plusieurs types de connexion sont disponibles, permettant à un
189
utilisateur de contourner l’authentification à 2 facteurs, essayez l’une des
options suivantes.
▪Désactivez les autres types de connexion dans Windows.
▪Reconfigurez l’autre fournisseur d’identifiants pour qu’il n’affiche pas ses types de connexion.
▪Supprimez l’autre fournisseur d’identifiants.
▪Désactivez manuellement l’autre fournisseur d’identifiants en modifiant l’entrée de Registre suivante :
1. Recherchez l’entrée suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\C
redential Provider Filters/id
2. Ajoutez-y une nouvelle valeur DWORD avec les attributs suivants :
Nom : Disabled
Valeur : 1
Échec de l’installation de Reporting Engine
(Elasticsearch)
L’installation de Reporting Engine (Elasticsearch) échoue si l’ordinateur dispose de moins de 2 Go de RAM
disponible.
S’applique à ESET Secure Authentication 2.8.20.0.
Nouvelle installation du serveur d’authentification et d’Elasticsearch
1. « Installation du service Elasticsearch… » s’affiche pendant une minute.
2. Le processus de restauration démarre.
3. Le message « Échec de l’installation » s’affiche.
À ce stade, le serveur d’authentification et Reporting Engine ne sont pas fonctionnels.
Modifier une installation existante du serveur d’authentification
1. « Installation du service Elasticsearch… » s’affiche pendant une minute.
2. Le message « Échec de l’installation » s’affiche.
À ce stade, seul le serveur d’authentification reste fonctionnel.
Dans les deux cas, il est essentiel de supprimer le service elasticsearch-service-x64 des services Windows.
190
1. Cliquez sur le menu Démarrer, puis tapez cmd.
2. Cliquez avec le bouton droit sur Invite de commandes dans le résultat de la recherche, puis sélectionnez
Exécuter en tant qu’administrateur.
3. Exécutez la commande suivante :
sc delete elasticsearch-service-x64
Glossaire
• 2FA - Authentification à 2 facteurs
• AD - Active Directory
• ADI - Active Directory Integration
• ADUC - Interface de gestion Active Directory Users and Computers
• ESA - ESET Secure Authentication
• Composant ESA - Plugin Windows Login, plugin Remote Desktop, plugin Web App, protection AD FS, serveur
RADIUS, Connecteur de fournisseur d’identité
• ESA core ou AS - Serveur d’authentification qui vérifie la validité d’un mot de passe à usage unique (OTP)
saisi.
• ECP – Panneau de configuration Exchange
• FQDN - Nom de domaine complet
• GPO - Objet de politique de groupe
• IdP - Fournisseur d’identité
• MRK - Clé de récupération principale
• Online (Mode en ligne) - Un composant ESA est en mode en ligne s’il peut contacter le serveur
d’authentification via une connexion TCP/IP ou s’il est installé sur la même machine que le serveur
d’authentification.
• Offline (Mode hors ligne) - Un composant ESA est en mode hors ligne s’il n’est pas installé sur la même
machine que le serveur d’authentification et qu’il ne peut même pas contacter le serveur d’authentification via
une connexion TCP/IP.
• OS - Système d'exploitation.
• OTP - Un mot de passe à usage unique, soit avec une validité limitée dans le temps (mot de passe à usage
unique basé sur le temps), soit sans validité limitée dans le temps (mot de passe à usage unique basé sur les
événements).
• OWA - Outlook Web Access
191
• Mobile Application Push - Notification push avec une validité limitée dans le temps
• RDP - Protocole Bureau à distance. Protocole propriétaire développé par Microsoft qui fournit à un
utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau.
Contrat de licence de l'utilisateur final
IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous
avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, EN INSTALLANT, EN
COPIANT OU EN UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ
AVOIR PRIS CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ.
Contrat de licence de l'utilisateur final
Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s
r. o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au Registre du
Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises :
31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »),
vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités
indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de
données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur
ou obtenu à partir d'autres sources.
CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le
Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage
commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent
Contrat.
En cliquant sur « J’accepte » ou « J’accepte ...» lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel,
vous acceptez les termes et conditions du présent Contrat. Si vous n’êtes pas d’accord avec tous les termes et
conditions du présent Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou
l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture
au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel.
VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE
PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS.
1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous
ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces
jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni
sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents
explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses
caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système
d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de
l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du
Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si
elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent
Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable.
2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier
électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources
192
nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au
moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la
Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel
susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les
ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils
électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera
installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes
spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de
l'extension de la durée de la Licence conformément au présent Contrat.
3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les
termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants
(« Licence ») :
a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le
disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de
stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel.
b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On
entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue
de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui
reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du
courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre
d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier
électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre
d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des
services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par
l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du
côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas
utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la
Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite
découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez
pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou
le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur.
c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des
serveurs de courrier, relais de courrier, passerelles de courrier ou passerelles Internet.
d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps.
e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel acheté à un fabricant
d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel vous l’avez obtenu. Elle ne peut pas être
transférée à un autre ordinateur.
f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou
comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou
d’évaluation des caractéristiques du Logiciel.
g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été
accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au
Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas
d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le
193
Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la
résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des
fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers.
4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner
correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs
du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité.
Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel :
a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du Logiciel (« Mises à jour ») de
temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel ;
les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé l’installation
automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la
Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur
lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité.
b) Transfert des Informations au Fournisseur. Le Logiciel contient des fonctions qui collectent des données sur le
processus d'installation, l'Ordinateur ou la plate-forme hébergeant le Logiciel, des informations sur les opérations
et fonctions du Logiciel et des informations sur d'autres ordinateurs utilisés comme destinataires des messages
d'authentification et/ou moyen d'authentification reposant sur la méthode d'authentification choisie par
l'Utilisateur Final les périphériques administrés (« Informations »), puis les envoient au Fournisseur. Les
Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la Politique de
confidentialité et conformément aux réglementations en vigueur.
Le Logiciel peut nécessiter un composant installé sur un autre ordinateur qui permet le transfert des messages
d'authentification et/ou fournit un moyen d'authentification. Les Informations sujettes au transfert contiennent
un ensemble limité de données requises pour garantir l'authentification reposant sur la méthode
d'authentification choisie par l'Utilisateur Final, comme stipulé dans la Politique de confidentialité et
conformément aux réglementations en vigueur.
Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au
Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur
vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent
Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées
pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses
partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir
les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur.
Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau
de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données
essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de
notifications sur votre Ordinateur. Vous acceptez de recevoir des notifications et des messages, notamment des
informations commerciales.
Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que
personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et
directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du
Logiciel.
5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par
l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos
opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence.
194
6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux
dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel :
a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à
condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes
les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat.
b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel
ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat.
c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour
offrir des services commerciaux.
d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de
découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi.
e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans
laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits
de propriété intellectuelle.
f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres
Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services
fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible
d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité
d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les
serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel.
g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux
termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à
utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de
licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une
source autre que le Fournisseur).
7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété
intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions
des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La
structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations
confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel,
sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent
Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel.
Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le
code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi
obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès
que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du
présent Contrat.
8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous
sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel.
9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs
plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le
Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une
Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des
195
versions ou des copies du Logiciel que vous n’utilisez pas.
10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous
pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos
frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou
ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux
articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée.
11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE
LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU
IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE
LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION
OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE
VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE
À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR
NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE
LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE
RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET
POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS.
12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent
Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence.
13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR,
SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE
QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU
SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE
DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE
GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE
D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE
RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME
SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE.
CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA
LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES
CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE.
14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant
comme client si l’exécution y est contraire.
15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur
discrétion, sans garantie ni déclaration solennelle. L’Utilisateur Final devra peut-être sauvegarder toutes les
données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers
mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque
perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la
fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si
l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre
l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des
données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance
technique.
16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins
d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer
196
de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec
l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i)
l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire
qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final
assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final
d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du
Logiciel, conformément à l’article 17.
17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de
l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par
le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un
courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur
et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la
Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel.
18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs
publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans
le présent Contrat.
19. Conformité aux contrôles à l'exportation.
a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le
Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner
ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités
contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences
négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent
i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la
réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées
par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du
Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au
titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses
activités (« Lois sur le contrôle des exportations ») et
ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction
d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou
mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis
d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout
pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses
filiales est établie ou mène ses activités (« Lois sur les sanctions »).
b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet
immédiat dans le cas où :
i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de
l'Article 19.a du Contrat ; ou
ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent,
ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner
ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle
à l'exportation.
c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir
197
ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée
ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable.
20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o.,
Einsteinova 24, 851 01 Bratislava, Slovak Republic.
21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à
celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable
et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent
pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur
ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction
pour de tels litiges ou conflits.
22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas
la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu
des conditions stipulées dans le présent Contrat. En cas de discordance entre les versions linguistiques du présent
Contrat, seule la version en langue anglaise fait foi. Le présent Contrat ne pourra être modifié que par un avenant
écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir à ce
titre en vertu d’un contrat de mandat.
Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute
représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel.
EULA ID: BUS-ESA-20-01
Politique de confidentialité
ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava, Slovaquie, enregistrée au
registre du commerce géré par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro
d'identification de l'entreprise 31333532, en tant que Contrôleur des données (« ESET » ou « Nous ») souhaite
faire preuve de transparence en ce qui concerne le traitement des données personnelles et la confidentialité des
clients. Pour cela, Nous publions cette Politique de confidentialité dans le seul but d'informer notre client
(« Utilisateur Final » ou « Vous ») sur les sujets suivants :
• traitement des données personelles,
• confidentialité des données,
• droits des personnes concernées.
Traitement des données personelles
Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du Contrat de Licence de
l'Utilisateur Final (« CLUF »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous
souhaitons Vous donner plus de détails sur la collecte de données liée à la fourniture de nos services. Nous
proposons différents services qui sont décrits dans le Contrat de Licence de L'utilisateur Final et la documentation
produit, tels qu'un service de mise à jour/mise à niveau, ESET LiveGrid®, une protection contre toute utilisation
abusive des données, une assistance, etc. Pour que tous ces services soient fonctionnels, Nous devons collecter
les informations suivantes :
Mise à jour et autres statistiques relatives aux informations concernant l'installation et votre ordinateur,
notamment la plate-forme sur laquelle notre produit est installé, et informations sur les opérations et
198
fonctionnalités de nos produits (système d'exploitation, informations matérielles, identifiants d'installation,
identifiants de licence, adresse IP rendue anonyme, paramètres de configuration du produit).
• Aux fins de l'authentification de l'approvisionnement et de l'approvisionnement en tant que tel et pour le
fonctionnement global des fonctionnalités du produit que Vous pouvez choisir d'utiliser, nous pouvons avoir
besoin d'informations telles que le nom d'utilisateur, le numéro de téléphone, le nom du jeton, l'ID du jeton,
d'autres informations sur le jeton, l'URL d'activation, les informations de licence, l'ID du téléphone, l'ID de la
notification et des informations sur la plateforme.
• Des vidages sur incident concernant les composants des produits peuvent être nécessaires pour permettre à
ESET de fournir un support et une maintenance appropriés.
• Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le nom,
le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de l'authenticité de la
licence et la fourniture de nos services.
• Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la fourniture
du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons collecter votre
adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le produit et la
description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir d'autres
informations pour faciliter la fourniture du service d'assistance.
Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des
données collectées accidentellement peuvent être incluses dans des journaux ou des vidages sur incident. Nous
ne souhaitons pas que ces données fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré
dans la présente Politique de confidentialité.
Confidentialité des données
ESET est une entreprise présente dans le monde entier par le biais d'entités affiliées et de partenaires du réseau
de distribution, de service et d'assistance ESET. Les informations traitées par ESET peuvent être transférées
depuis et vers les entités affiliées ou les partenaires pour l'exécution du CLUF (pour la fourniture de services,
l'assistance ou la facturation, par exemple). Selon votre position géographique et le service que Vous choisissez
d'utiliser, il est possible que Nous devions transférer vos données vers un pays en l'absence de décision
d'adéquation de la Commission européenne. Même dans ce cas, chaque transfert d'informations est soumis à la
législation en matière de protection des données et n'est effectué que si cela s'avère nécessaire. Des clauses
contractuelles standard, des règles d'entreprise contraignantes ou toute autre protection adéquate doivent être
mises en place, sans aucune exception.
Nous faisons tout notre possible pour éviter que les données soient stockées plus longtemps que nécessaire, tout
en fournissant les services en vertu du Contrat de Licence de l'Utilisateur Final. Notre période de rétention peut
être plus longue que la durée de validité de votre licence, pour vous donner le temps d'effectuer votre
renouvellement. Des statistiques réduites et rendues anonymes et d'autres données anonymes d'ESET LiveGrid®
peuvent être traitées ultérieurement à des fins statistiques.
ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité
adapté aux risques potentiels. Nous faisons tout notre possible pour garantir la confidentialité, l'intégrité, la
disponibilité et la résilience constantes des systèmes et des services de traitement. Toutefois, en cas de violation
de données entraînant un risque pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle
ainsi que les personnes concernées. En tant que personne concernée, Vous avez le droit de déposer une plainte
auprès d'une autorité de contrôle.
199
Droits des personnes concernées
ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la législation en matière de
protection des données de l'Union européenne. Sous réserve des conditions fixées par les lois applicables en
matière de protection des données, en tant que personne concernée, les droits suivants Vous sont conférés :
• droit de demander l'accès à vos données personnelles auprès d'ESET,
• droit à la rectification de vos données personnelles si elles sont inexactes (Vous avez également le droit de
compléter les données personnelles incomplètes),
• droit de demander l'effacement de vos données personnelles,
• droit de demander de restreindre le traitement de vos données personnelle,
• le droit de s'opposer au traitement des données
• le droit de porter plainte et
• droit à la portabilité des données.
Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute,
envoyez-nous un message à l'adresse suivante :
ESET, spol. s r.o.
Data Protection Officer
Einsteinova 24
85101 Bratislava
Slovak Republic
[email protected]
200
Fonctionnalités clés
- Authentification à 2 facteurs
- Notifications push
- Mots de passe à usage unique
- Gestion des utilisateurs
- Conformité aux normes de sécurité
- Connecteurs de fournisseur d'identité
- Authentification VPN
- Protection des applications Web
Manuels associés
Réponses et questions fréquentes
Quels sont les systèmes d'exploitation pris en charge par ESET Secure Authentication 3.0 ?
ESET Secure Authentication 3.0 prend en charge Windows 7, 8, 8.1, 10 et 11, ainsi que Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 et 2022.
Comment activer l'authentification à 2 facteurs pour un utilisateur ?
Vous pouvez activer l'authentification à 2 facteurs pour un utilisateur via la Web Console d'ESET Secure Authentication en sélectionnant l'utilisateur et en activant l'option "Authentification à 2 facteurs".
Comment ESET Secure Authentication 3.0 est-il compatible avec Active Directory ?
ESET Secure Authentication 3.0 peut être installé en mode Intégration Active Directory, ce qui permet de synchroniser les utilisateurs d'Active Directory avec la base de données ESA.