ESET Secure Authentication 3.0 Manuel du propriétaire
Ajouter à Mes manuels205 Des pages
ESET Secure Authentication 3.0 est un outil de sécurité qui ajoute une couche supplémentaire de protection à votre environnement Active Directory ou réseau local. Grâce à l'authentification à deux facteurs (2FA), vous pouvez mieux protéger l'accès à vos données et vos applications contre les accès non autorisés. Le système utilise des notifications push sur votre téléphone mobile et des mots de passe à usage unique pour renforcer la sécurité. ESET Secure Authentication 3.0 prend en charge divers composants (connecteur de fournisseur d'identité, plugins Web App et Windows Login, serveur RADIUS, etc.), ce qui le rend compatible avec une variété de scénarios d'utilisation.
▼
Scroll to page 2
of
205
ESET Secure Authentication Guide de l'utilisateur Cliquez ici pour consulter la version de l'aide en ligne de ce document Copyright ©2023 d'ESET, spol. s r.o. ESET Secure Authentication a été développé par ESET, spol. s r.o. Pour plus d’informations, consultez le site https://www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur. ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis. Assistance technique : https://support.eset.com RÉV. 26/10/2023 1 Aperçu ............................................................................................................................................... 1 2 Configuration requise ........................................................................................................................ 2 2.1 Systèmes d’exploitation pris en charge ......................................................................................... 3 2.1 TLS 1.0 et 1.1 obsolètes ................................................................................................................ 4 2.2 Navigateurs Web et résolution pris en charge pour ESA Web Console ............................................... 5 2.3 Applications Web prises en charge ............................................................................................... 5 2.4 Systèmes d’exploitation de téléphones mobiles pris en charge ........................................................ 6 2.5 Configuration requise pour l’installation ....................................................................................... 7 2.5 Composants ESA et compatibilité avec le système d’exploitation ................................................................. 11 2.5 Recommandations de performances ................................................................................................ 12 2.6 Environnements Active Directory pris en charge .......................................................................... 14 2.7 Exceptions de pare-feu .............................................................................................................. 15 2.8 Politiques ................................................................................................................................ 16 2.9 Gestion des ordinateurs clonés .................................................................................................. 16 2.10 Adresses IP utilisées par ESET Secure Authentication ................................................................. 17 3 Installation ...................................................................................................................................... 18 3.1 Installer le serveur d’authentification ......................................................................................... 18 3.1 Paramètres de proxy personnalisés .................................................................................................. 22 3.1 Vue haute disponibilité - Active Directory ........................................................................................... 22 3.1 Vue haute disponibilité - Mode Autonome ........................................................................................... 22 3.2 Installer Reporting Engine (Elasticsearch) ................................................................................... 23 3.3 Installer le plugin Remote Desktop ............................................................................................. 25 3.4 Installer le plugin Web App ........................................................................................................ 26 3.5 Installer le plugin Windows Login ............................................................................................... 28 3.6 Modifier, réparer et supprimer l’installation ................................................................................ 29 3.7 Installation à distance via ESET PROTECT .................................................................................... 31 3.8 Installer la protection de connexion Windows et RDP via GPO ........................................................ 32 3.8 Script de démarrage .................................................................................................................. 34 3.8 Tâche Installer un logiciel ............................................................................................................ 36 3.8 Arguments MSI ........................................................................................................................ 43 3.9 Installation de mise à niveau ..................................................................................................... 45 3.9 Compatibilité des composants ESA .................................................................................................. 47 3.10 Migration de base de données (Exporter les données) ................................................................ 47 4 Accès externe ................................................................................................................................. 50 4.1 Utilisation d’un proxy inverse .................................................................................................... 52 4.1 Configurer un proxy pour ESA ........................................................................................................ 52 4.2 Proxy transparent ..................................................................................................................... 55 5 Certificat SSL ................................................................................................................................... 55 5.1 Remplacement du certificat SSL ................................................................................................. 56 5.2 Générer un certificat SSL personnalisé ........................................................................................ 58 5.3 Faire en sorte que les certificats soient approuvés ....................................................................... 62 5.4 HSTS (HTTP Strict Transport Security) ........................................................................................ 63 6 Prise en charge du DNS géolocalisé ................................................................................................ 64 7 Prise en main d’ESET Secure Authentication Web Console ............................................................. 65 7.1 Activer ESET Secure Authentication ............................................................................................ 67 7.2 Gestion des utilisateurs - Provisionnement .................................................................................. 68 7.2 État de l’utilisateur ................................................................................................................... 72 7.2 Synchronisation avec AD/LDAP ....................................................................................................... 74 7.2 Importer des utilisateurs depuis un fichier .......................................................................................... 76 7.2 Auto-inscription ....................................................................................................................... 77 ............................................................................ 81 ............................................................................................................................... 82 7.5 Utiliser l’authentification de domaine ......................................................................................... 84 7.6 Notifications ............................................................................................................................ 86 8 Options d’authentification ............................................................................................................... 87 8.1 Application mobile .................................................................................................................... 89 8.2 Authentification push ................................................................................................................ 90 8.3 Jetons matériels ....................................................................................................................... 94 8.4 FIDO ....................................................................................................................................... 98 8.5 Options de livraison ................................................................................................................ 100 8.5 Exemples de scripts PowerShell .................................................................................................... 103 9 Fournisseurs d’identifiants pris en charge par ESA ....................................................................... 106 10 Protection de connexion Windows .............................................................................................. 106 11 Connecteur de fournisseur d’identité .......................................................................................... 110 11.1 Configurer le Connecteur de fournisseur d’identité dans ESA Web Console ................................. 113 11.2 Exemples de configuration d’IdP Connector ............................................................................. 117 12 Clé de récupération principale .................................................................................................... 126 13 Serveur RADIUS et protection VPN .............................................................................................. 128 13.1 Configuration RADIUS ............................................................................................................ 128 13.2 Utilisation de RADIUS ............................................................................................................ 131 13.3 Options d’authentification VPN .............................................................................................. 132 13.3 Mots de passe à usage unique par SMS .......................................................................................... 132 13.3 Mots de passe à usage unique par SMS à la demande .......................................................................... 132 13.3 Application mobile ................................................................................................................. 133 13.3 Jetons matériels ................................................................................................................... 134 13.3 Migration des mots de passe à usage unique par SMS vers l’application mobile .............................................. 134 13.3 Accès sans authentification à 2 facteurs ......................................................................................... 134 13.3 Contrôle d’accès à l’aide de l’appartenance à un groupe ....................................................................... 135 13.4 Méthodes d’authentification ESA et compatibilité PPP .............................................................. 135 13.5 Vérification du bon fonctionnement d’ESA RADIUS ................................................................... 135 13.5 S’assurer qu’ESA RADIUS Service est en cours d’exécution ..................................................................... 136 13.5 Configurer votre serveur RADIUS ................................................................................................. 136 13.5 Vérifier le bon fonctionnement (localhost) ....................................................................................... 138 13.5 Vérifier la connectivité réseau à partir d’une autre machine (facultatif) ....................................................... 139 13.5 Accès refusé ....................................................................................................................... 139 13.5 Erreur de connexion ............................................................................................................... 140 13.5 Expiration du délai d’attente ...................................................................................................... 141 14 Modules PAM RADIUS sous Linux/Mac ......................................................................................... 142 14.1 Créer des clients RADIUS ESA via l’API .................................................................................... 142 14.2 Configuration de PAM ............................................................................................................ 147 14.3 Autres configurations RADIUS ................................................................................................ 149 15 Web Application Protection ......................................................................................................... 153 15.1 Configuration ....................................................................................................................... 153 15.2 Utilisation ............................................................................................................................ 155 16 Remote Desktop Protection ........................................................................................................ 156 16.1 Configuration ....................................................................................................................... 157 16.2 Autoriser les utilisateurs qui n’utilisent pas l’authentification à 2 facteurs .................................. 158 16.3 Utilisation ............................................................................................................................ 158 16.4 Accès Web des services Bureau à distance .............................................................................. 160 16.5 Passerelle des services Bureau à distance et ESA RADIUS ......................................................... 161 7.3 Gestion des utilisateurs basée sur les groupes 7.4 Invitations 17 Liste blanche d’adresses IP ......................................................................................................... 18 AD FS .......................................................................................................................................... 18.1 Politiques AD FS ................................................................................................................... 19 Compte de service ESA personnalisé .......................................................................................... 20 Intégration personnalisée via l’API et le SDK .............................................................................. 20.1 API ...................................................................................................................................... 20.1 Aperçu de l’intégration ............................................................................................................ 20.1 Configuration ...................................................................................................................... 20.2 SDK ..................................................................................................................................... 20.2 Aperçu de l’intégration ............................................................................................................ 20.2 Activation de la licence SDK ...................................................................................................... 20.2 Le SDK en pratique ................................................................................................................ 20.2 Utilisation du SDK ................................................................................................................. 20.2 Intégration du SDK au système ................................................................................................... 20.2 Configuration requise pour la base de données ................................................................................. 20.2 Lecture et écriture de données d’authentification à 2 facteurs ................................................................. 20.2 Mettre à jour l’interface utilisateur de connexion avec les méthodes d’authentification à 2 facteurs ........................ 164 165 168 170 171 171 172 172 174 175 175 176 176 177 177 178 178 20.2 Mettre à jour l’interface utilisateur de gestion afin d’activer/désactiver l’authentification à 2 facteurs pour les utilisateurs ..................................................................................................................................... 181 20.2 Autres composants ................................................................................................................ 181 20.3 Résumé des différences ......................................................................................................... 181 20.4 Rapports .............................................................................................................................. 182 20.5 Audit ................................................................................................................................... 184 20.6 Vue d’ensemble de la licence ................................................................................................. 185 20.7 États de licence .................................................................................................................... 185 20.8 Application des licences ........................................................................................................ 186 21 Options de fournisseurs de services managés ............................................................................ 187 22 Dépannage .................................................................................................................................. 188 22.1 Problèmes de connexion des composants ................................................................................ 188 22.2 La protection de connexion Windows ne fonctionne pas ............................................................ 189 22.3 Échec de l’installation de Reporting Engine (Elasticsearch) ....................................................... 190 23 Glossaire ..................................................................................................................................... 191 24 Contrat de licence de l'utilisateur final ........................................................................................ 192 25 Politique de confidentialité .......................................................................................................... 198 Aperçu ESET Secure Authentication (ESA) ajoute l’authentification à 2 facteurs (2FA) aux domaines Microsoft Active Directory ou au réseau local, ce qui signifie qu’un mot de passe à usage unique est généré et fourni avec le nom d’utilisateur et le mot de passe généralement requis. Ou une notification push est générée et doit être approuvée sur le téléphone portable de l’utilisateur exécutant Android OS, iOS ou Windows une fois que l’utilisateur s’est authentifié avec succès à l’aide de ses identifiants d’accès général. Les notifications push nécessitent Android 4.1 et versions ultérieures, ainsi que les services Google Play 10.2.6 et versions ultérieures, ou iOS. Le produit ESA se compose des éléments suivants : • Le plugin Windows Login fournit une authentification à 2 facteurs pour les ordinateurs Windows. • Le plugin Remote Desktop fournit l’authentification à 2 facteurs (2FA) pour Remote Desktop Protocol. • Le RADIUS Server for VPN Protection ajoute l’authentification à 2 facteurs (2FA) à l’authentification VPN. • Les plugins Web Application fournissent l’authentification à 2 facteurs (2FA) à diverses applications Web Microsoft (Microsoft Web Applications). • Le plugin AD FS fournit l’authentification à 2 facteurs pour Active Directory Federation Services. • Connecteur de fournisseur d’identité • Le serveur d’authentification ESA (ESA Authentication Server) inclut une API REST qui peut être utilisée pour ajouter l’authentification à 2 facteurs (2FA) à des applications personnalisées. • ESA Management Tools: oESA installé dans un environnement Active Directory : ▪Le plugin ESA User Management pour Active Directory Users and Computers (ADUC) est utilisé pour gérer les utilisateurs ▪ESA Management Console, intitulée Paramètres ESET Secure Authentication, est utilisée pour configurer ESA Authentification à 2 facteurs activée pour l’utilisateur Administrateur de domaine Si un utilisateur Administrateur de domaine a activé l’authentification à 2 facteurs lors de sa mise à niveau vers ESA 2.7.x ou 2.8.x, l’accès à l’écran Active Directory Users and Computers > ESET Secure Authentication et à ESA Management Console sera supprimé. ESA Web Console doit être utilisée à la place. Vous pouvez également autoriser l’accès à la Web Console (s’applique aussi aux outils de gestion) via la liste blanche d’adresses IP, ou désactiver l’authentification à 2 facteurs pour l’utilisateur Administrateur de domaine, créer un autre utilisateur pour lequel l’authentification à 2 facteurs est désactivée et ajouter l’utilisateur au groupe ESA Admins, ou désactiver l’authentification à 2 facteurs pour ESA Web Console. ▪ESA Web Console, un outil de gestion tout-en-un, est le moyen privilégié de configurer ESET Secure Authentication et de gérer les utilisateurs oESA installé en mode Autonome : 1 ▪ESA Web Console, un outil de gestion tout-en-un, est utilisé pour configurer ESET Secure Authentication et gérer les utilisateurs Si ESA est installé dans un environnement Active Directory, il stocke les données dans le magasin de données Active Directory. Étant donné que les données ESA sont automatiquement incluses dans vos sauvegardes Active Directory, il n’est pas nécessaire d’utiliser des politiques de sauvegarde supplémentaires. Configuration requise Un domaine Active Directory, un réseau local ou un serveur d’authentification accessible au public est requis pour installer ESET Secure Authentication (ESA). Le niveau fonctionnel minimal pris en charge pour un domaine Active Directory est Windows 2000 Native. Seuls les DNS Windows (Windows DNS) sont pris en charge si vous installez ESA en mode Intégration Active Directory. Si vous utilisez un DNS personnalisé dans votre environnement Active Directory, vous devez créer un enregistrement SRV dans votre DNS avant d’installer le serveur d’authentification à l’aide des informations suivantes : • Type : SRV • Nom : _esetsecauth • Protocole : _tcp • Numéro de port : utilisez le numéro de port que vous avez configuré pour le port du domaine (Domain port) lors de l’installation du serveur d’authentification. Le port du domaine (Domain port) par défaut est 8000. • Hôte : <hostname>:<domain>. Si la vérification des conditions préalables d’ESA concernant les DNS Active Directory échoue, le nom correct s’affiche. Vérifiez la disponibilité d’un enregistrement SRV en exécutant la commande suivante à partir d’un ordinateur Windows dans votre environnement Active Directory : nslookup -type=SRV _esetsecauth._tcp Au moins une instance du serveur d’authentification doit être présente dans votre domaine/réseau ; Sélectionnez-la lors de la première installation d’ESA sur votre serveur (ordinateur principal). Si vous sélectionnez un composant qui ne peut pas être installé, le programme d’installation vous informe des conditions préalables exactes qui ne sont pas remplies. Les composants ESA peuvent communiquer avec le serveur d’authentification via IPv4 et IPv6. Si vous installez ESA en mode Autonome, assurez-vous que les composants ESA et le serveur d’authentification peuvent se détecter l’un l’autre (ping). Prise en charge limitée des produits tiers en fin de vie ESET Secure Authentication fournit une prise en charge limitée des produits tiers compatibles qui ont atteint la fin de leur cycle de vie d’assistance. 2 Systèmes d’exploitation pris en charge Vous trouverez ci-dessous une liste des systèmes d’exploitation pris en charge en général. Pour la prise en charge du système d’exploitation pour des composants spécifiques, reportez-vous à la configuration requise pour l’installation. Systèmes d’exploitation serveur • Windows Server 2008 * • Windows Server 2008 R2 SP1* • Windows Server 2012 • Windows Server 2012 R2 • Windows Small Business Server 2008 • Windows Small Business Server 2011 • Windows Server 2012 Essentials • Windows Server 2012 R2 Essentials • Windows Server 2016 • Windows Server 2016 Essentials • Windows Server 2019 • Windows Server 2019 Essentials • Windows Server 2022 * Modifiez la version TLS par défaut à utiliser Systèmes d’exploitation clients • Windows 7 • Windows 8 • Windows 8.1 • Windows 10 (y compris la mise à jour 22H2) • Windows 11 (y compris la mise à jour 22H2) 3 Serveur RADIUS (RADIUS Server) sur Windows Small Business Server Lorsque vous installez un serveur RADIUS (RADIUS Server) sur Windows Small Business Server 2008 ou 2011, modifiez le port NPS par défaut de 1812 à 1645. Vérifiez qu’aucun processus n’écoute sur le port 1812 avant l’installation d’ESA en exécutant la commande suivante : C:\> netstat -a -p udp | more Lors de l’installation de RADIUS ESA, vous pouvez aussi modifier le port RADIUS dans l’écran Configuration avancée. ESA Core et RADIUS sur un système d’exploitation client L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations (par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation serveur. Plates-formes CPU prises en charge • x86 • x64 TLS 1.0 et 1.1 obsolètes Depuis le 31 mars 2020, les versions 1.0 et 1.1 de Transport Layer Security (TLS) ne sont plus prises en charge. Si le serveur d’authentification s’exécute sur Windows Server 2008 ou Windows Server 2008 R2, il utilise l’ancien protocole TLS par défaut. Pour utiliser TLS 1.2, vous devez d’abord installer toutes les mises à jour Windows disponibles, puis modifier le Registre. Pour modifier le Registre, procédez comme suit : 1. Cliquez sur Démarrer > Exécuter. 2. Saisissez regedit dans le champ Ouvrir, puis cliquez sur OK. 3. Dans l’Éditeur du Registre, développez HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > SecurityProviders > SCHANNEL > Protocols > TLS 1.2 > Server. 4. Dans le menu, cliquez sur Modifier, puis sélectionnez Nouveau > Valeur DWORD. 5. Attribuez-lui le nom DisabledByDefault, appuyez sur Entrée. 6. Double-cliquez sur l’entrée DisabledByDefault, assurez-vous que les Données de la valeur sont définies sur 0, puis cliquez sur OK. 7. Fermez l’Éditeur du Registre et redémarrez le système d’exploitation. 4 Navigateurs Web et résolution pris en charge pour ESA Web Console ESET Secure Authentication Web Console fonctionne de façon optimale avec les navigateurs suivants : Microsoft Internet Explorer 11 Google Chrome à jour Mozilla Firefox à jour Microsoft Edge à jour Safari à jour Détails fonctionnels L’exécution de JavaScript doit être activée dans votre navigateur Web. L’authentification de domaine n’est pas prise en charge dans Safari. La résolution minimale requise est de 1024 x 768. Applications Web prises en charge ESET Secure Authentication fournit l’authentification à 2 facteurs (2FA) pour les produits Microsoft suivants : • Microsoft Exchange 2007 oOutlook Web Access - Exchange Client Access Server (CAS) • Microsoft Exchange 2010 oOutlook Web Access - Exchange Client Access Server (CAS) oPanneau de configuration Exchange • Microsoft Exchange 2013 oOutlook Web App - Exchange Mailbox Server Role (MBX) oCentre d’administration Exchange • Microsoft Exchange 2016 oOutlook Web App - Exchange Mailbox Server Role (MBX) oCentre d’administration Exchange • Microsoft Exchange 2019 oOutlook Web App - Exchange Mailbox Server Role (MBX) oCentre d’administration Exchange 5 Où l’authentification à 2 facteurs est-elle applicable ? ESA ajoute la protection par authentification à 2 facteurs (2FA) uniquement à l’interface Web d’Outlook Web Access. La connexion à Microsoft Outlook ou à des clients de messagerie similaires ne peut pas être protégée par ESA, en raison de la nature de leur protocole, que l’on appelle aussi RPC sur HTTPS. Nous vous recommandons de ne pas exposer ces clients de messagerie à un accès externe. Découvrez comment contrôler l’accès aux services Web Exchange. • Microsoft Dynamics CRM 2011 • Microsoft Dynamics CRM 2013 • Microsoft Dynamics CRM 2015 • Microsoft Dynamics CRM 2016 • Microsoft SharePoint 2010 • Microsoft SharePoint 2013 • Microsoft SharePoint 2016 • Microsoft SharePoint 2019 • Microsoft SharePoint Foundation 2010 • Microsoft SharePoint Foundation 2013 • Microsoft Accès Web des services Bureau à distance • Accès Web Terminal Services Microsoft • Microsoft Accès Web à distance Internet Explorer Les versions 9 et 10 du navigateur Web Internet Explorer sont prises en charge. Systèmes d’exploitation de téléphones mobiles pris en charge L’application mobile ESET Secure Authentication est compatible avec les systèmes d’exploitation de téléphones mobiles suivants : • iOS 12 à iOS 16 • Android™ 4.4 à Android™ 13 - Les services Google Play 10.2.6 sont requis pour les notifications push. oL’autorisation d’accéder à l’appareil photo et à la lampe torche est requise pour scanner le code QR 6 Configuration requise pour l’installation Liens rapides : Droits d’accès à l’installation, composants ESA dans un environnement distribué, conditions préalables de chaque composant, exigences .NET, exigences de base de données en mode autonome L’installation nécessite une connectivité sortante vers esa.eset.com sur le port TCP 443 et les serveurs de licences. Une autre exigence pour exécuter le programme d’installation est d’avoir NET Framework Version 4.5 [Full Install (Installation complète)]. Le programme d’installation tentera automatiquement d’installer .NET 4.5 s’il n’est pas déjà installé. Les exceptions du pare-feu Windows essentielles au bon fonctionnement de ESET Secure Authentication seront ajoutées automatiquement dans le cadre de l’installation. Si vous utilisez une autre solution de pare-feu, consultez Exceptions de pare-feu pour en savoir plus sur les exceptions essentielles que vous devrez créer. Droits d’accès à l’installation : • Environnement Active Directory : oDroits d’administration de domaine : le programme d’installation doit être exécuté par un membre du groupe de sécurité « Domain Administrators » ou par un utilisateur disposant de privilèges d’administrateur. Les droits d’administration de domaine peuvent être omis lors de l’installation/désinstallation de composants ESA dans un environnement AD via le programme d’installation .MSI à l’aide de paramètres de ligne de commande. Dans ce cas, utilisez le paramètre NO_DOMAIN_ADMIN_MODE=1, puis recherchez dans les journaux d’installation des instructions supplémentaires marquées comme « Manual configuration needed » (Configuration manuelle nécessaire). oDroits d’extension de schéma : essentiels lors de l’installation du serveur d’authentification. Le programme d’installation doit être exécuté par un utilisateur membre du groupe de sécurité « Schema Admins ». • Déploiement autonome : oDroits d’administrateur local Composants ESA dans un environnement distribué : ESA Prend en charge l’installation de composants dans un environnement distribué. Modèles disponibles : • Serveur d’authentification installé en mode Intégration Active Directory oLes composants installés en mode Intégration Active Directory doivent se trouver dans le même domaine, et ils se connectent automatiquement au serveur d’authentification. oLes composants installés en mode Autonome se connectent au serveur d’authentification via des invitations. • Serveur d’authentification installé en mode Autonome oLes composants doivent être installés en mode Autonome et se connecter au serveur d’authentification via des invitations. 7 Tableau de compatibilité des composants ESA et des systèmes d’exploitation pris en charge Conditions préalables pour l’installation de chaque composant : • Authentication Server: oWindows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge • Management Tools: oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge o.NET Framework version 3.5 oWindows Remote Server Administration Tools, Active Directory Domain Services composant (RSAT AD DS) RSAT (Outils d’administration de serveur distant) RSAT était auparavant connu sous le nom de Remote Administration Pack (adminpack). Vous pouvez le télécharger auprès de Microsoft. Sous Windows Server 2008 et versions ultérieures, vous pouvez installer ce composant via l’assistant Ajout de fonctionnalités du Server Manager (Gestionnaire de serveur). Ces composants sont déjà installés sur tous les contrôleurs de domaine. • Reporting Engine (Elasticsearch) : oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge oServer JRE (Java SE Runtime Environment) version 1.8.0_131 et versions ultérieures à 1.8.x, Java SE 11 ou OpenJDK 11 ou 13 oLes variables d’environnement système JAVA_HOME et PATH contiennent le chemin d’accès à votre installation de Server JRE ou OpenJDK o.NET Framework version 4.7.2 o2 Go de RAM disponible • Connecteur de fournisseur d’identité : oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge, Windows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge oIIS 7 ou version ultérieure avec ASP.NET Framework version 4.7.2 • RADIUS Server: oWindows7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge, Windows Server 2008 ou système d’exploitation serveur ultérieur présent dans la liste des 8 systèmes d’exploitation pris en charge • Plugin Web App pour Microsoft Exchange Server : oMicrosoft Exchange Server 2007 ou version ultérieure (64 bits uniquement), avec le rôle Client Access (Outlook Web App / Outlook Web Access) installé o.NET Framework version 3.5 oInternet Information Services 7 (IIS7) ou version ultérieure • Plugin Web App pour Microsoft SharePoint Server : oMicrosoft SharePoint Server 2010, 2013, 2016, 2019 (64 bits uniquement) oMicrosoft SharePoint Server 2010, 2013 Foundation (64 bits uniquement) o.NET Framework version 4.5 • Plugin Web App pour Microsoft Dynamics CRM : oMicrosoft Dynamics CRM 2011, 2013, 2015 ou 2016 o.NET Framework version 4.5 • Plugin Web App pour Microsoft Terminal Services Web Access : oRôle Terminal Services avec service de rôle Terminal Services installés sur Windows Server 2008 R2 o.NET Framework version 4.5 • Plugin Web App pour Microsoft Remote Desktop Services Web Access : oRôle Remote Desktop Services avec le service de rôle Remote Desktop Web Access installé sur Windows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge o.NET Framework version 4.5 • Plugin Web App pour Microsoft Remote Web Access : oService de rôle Remote Web Access installé sur Windows SBS 2008 (où il est appelé Remote Web Access), Windows SBS 2011, Windows Server 2012 Essentials, Windows Server 2012 Essentials R2 et Windows Server 2016 Essentials o.NET Framework version 4.5 • Remote Desktop Protection: oWindows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge oMicrosoft Windows 7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge 9 oSeuls les systèmes d’exploitation 64 bits sont pris en charge • Windows login protection: oWindows Server 2008 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge oWindows 7 ou système d’exploitation client ultérieur présent dans la liste des systèmes d’exploitation pris en charge • AD FS protection: oWindows Server 2012 R2 ou système d’exploitation serveur ultérieur présent dans la liste des systèmes d’exploitation pris en charge Configuration requise relative à .NET : • Tous les composants : .NET 4.5 Full Install (Installation complète) • Core Server: .NET 4.5 Full Install • RADIUS Server: .NET 4.5 Full Install • Management Tools : .NET 3.5 (4 sur Windows Server 2012) • Plugin Web App : .NET 4.5. Cependant, IIS Filters nécessite .NET 3.5 • Reporting Engine (Elasticsearch) et FIDO : .NET Framework 4.7.2 • Connecteur de fournisseur d’identité : .NET Framework 4.6.2 ESA Core et RADIUS sur un système d’exploitation client L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations (par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation serveur. Configuration requise en matière de base de données en mode Autonome : Si le serveur d’authentification est installé en mode Autonome, il utilise une base de données intégrée par défaut. Si vous préférez une base de données externe, la configuration minimale requise pour la base de données est la suivante : • Microsoft SQL/Microsoft SQL Express 2012 (11.0.2100.60) • Postgre SQL 9.4.24 10 Composants ESA et compatibilité avec le système d’exploitation Le tableau ci-après répertorie les systèmes d'exploitation Windows pris en charge pour chaque composant ESET Secure Authentication. Voir la configuration requise pour l’installation pour en savoir plus. Systèmes d’exploitation serveur Windows Windows Windows Windows Server 2008 Server 2008 Server 2012 Server 2012 R2 R2 Windows SBS 2008 Windows SBS 2011 Windows Windows Windows Windows Windows Windows Windows Server 2012 Server 2012 Server 2016 Server 2016 Server 2019 Server 2019 Server 2022 Essentials R2 Essentials Essentials Essentials Serveur d’authentification ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Management Tools ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Reporting Engine (Elasticsearch) ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ RADIUS Server ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Plugin Web App pour Microsoft Exchange Server ✔* ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Plugin Web App pour Microsoft SharePoint Server ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Plugin Web App pour Microsoft Dynamics CRM ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Plugin Web App pour l’accès Web aux services ✔** Bureau à distance Microsoft ✔ Plugin Web App pour l’accès Web à distance Microsoft ✔ ✔ Remote Desktop Protection ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Protection de connexion Windows ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ AD FS Connecteur de fournisseur d’identité ✔ ✔ * La version 64 bits du système d’exploitation est requise ** Microsoft Terminal Services sur Windows Server 2008 Systèmes d’exploitation clients Windows 7 Windows 8 Windows 8.1 Windows 10 Windows 11 Serveur d’authentification ✔ ✔ ✔ ✔ ✔ Management Tools ✔ ✔ ✔ ✔ ✔ Reporting Engine (Elasticsearch) ✔ ✔ ✔ ✔ ✔ Serveur RADIUS ✔ ✔ ✔ ✔ ✔ Plugin Web App pour Microsoft Exchange Server * Plugin Web App pour Microsoft SharePoint Server * Plugin Web App pour Microsoft Dynamics CRM 11 Windows 7 Windows 8 Windows 8.1 Windows 10 Windows 11 Plugin Web App pour l’accès Web Terminal Services Microsoft Plugin Web App pour l’accès Web aux services Bureau à distance Microsoft Plugin Web App pour l’accès Web à distance Microsoft Remote Desktop Protection* ✔ ✔ ✔ ✔ ✔ Protection de connexion Windows ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ AD FS Connecteur de fournisseur d’identité * La version 64 bits du système d’exploitation est requise Serveur RADIUS (RADIUS Server) sur Windows Small Business Server Lorsque vous installez un serveur RADIUS (RADIUS Server) sur Windows Small Business Server 2008 ou 2011, modifiez le port NPS par défaut de 1812 à 1645. Vérifiez qu’aucun processus n’écoute sur le port 1812 avant l’installation d’ESA en exécutant la commande suivante : C:\> netstat -a -p udp | more Lors de l’installation de RADIUS ESA, vous pouvez aussi modifier le port RADIUS dans l’écran Configuration avancée. ESA Core et RADIUS sur un système d’exploitation client L’installation d’ESA Core (serveur d’authentification) et de RADIUS Server sur un système d’exploitation client dans la liste des systèmes d’exploitation pris en charge peut ne pas être conforme à la politique de licence de Microsoft. Consultez la politique de licence de Microsoft ou contactez votre fournisseur de logiciels pour en savoir plus. De plus, un système d’exploitation client peut présenter d’autres limitations (par exemple, le nombre maximal de connexions TCP simultanées) par rapport à un système d’exploitation serveur. Recommandations de performances Les performances du serveur d’authentification peuvent varier et dépendent de plusieurs facteurs. Facteurs les plus importants : • Nombre de demandes d’authentification en fonction de l’intervalle défini (moyenne et pic) • Nombre total d’utilisateurs • Mode d’intégration [Active Directory Integration (Intégration Active Directory) ou Standalone (Autonome)] • Méthode d’authentification utilisée • Nombre de serveurs d’authentification utilisés • Bases de données externes utilisées avec le mode d’intégration Standalone (Autonome) 12 • Matériel et logiciel (système d’exploitation) utilisés dans l’ensemble de l’écosystème Il est impossible de définir un nombre unique représentant la performance, mais nous avons essayé de réduire l’éventail des réponses possibles en fonction de nos tests. Environnement de test Matériel de référence utilisé pour le serveur d’authentification : • Processeur : 2,5 GHz, 8 cœurs • Mémoire RAM : 32 Go • Disque dur : SSD Informations supplémentaires : • Un serveur d’authentification a été utilisé. • La base de données externe se trouvait sur du matériel distinct (similaire au matériel utilisé pour le serveur d’authentification) lors du test du type de déploiement Standalone (Autonome) avec une base de données externe. • En mode test Active Directory Integration (Intégration Active Directory), le contrôleur de domaine se trouvait sur du matériel distinct (similaire au matériel utilisé pour le serveur d’authentification). • Reporting Engine n’a pas été utilisé lors de ces tests. En termes de vitesse, le mode Active Directory Integration (Intégration Active Directory) était le plus lent de nos tests, bien que cela dépende également des performances du contrôleur de domaine et de certains autres paramètres. Le mode Standalone (Autonome) avec une base de données intégrée était aussi rapide que si une base de données externe était utilisée. Toutefois, une base de données intégrée ne permet pas de disposer de plusieurs serveurs d’authentification. Le mode Standalone (Autonome) avec base de données externe est le plus approprié pour les très grandes bases d’utilisateurs. Compte tenu des performances décrites ci-dessus, nous devons tenir compte du nombre de clients qui s’authentifient dans un intervalle donné. Par exemple, si tous les clients s’authentifient dans la minute, le mode Standalone (Autonome) avec base de données externe dans notre environnement est prêt à gérer 4 800 clients. Type de déploiement Mode Active Directory Integration Requêtes par seconde 30 Mode Standalone (Autonome) avec base de données intégrée 80 Mode Standalone (Autonome) avec base de données externe 80 Cependant, si les clients s’authentifient de manière régulière dans un intervalle d’une heure, le mode peut théoriquement gérer plus de 100 000 clients. 13 Le tableau ci-dessous est basé sur l’hypothèse que 10 % de tous les clients s’authentifient en une minute et tient compte d’autres contraintes de déploiement. S’il n’y a pas de ✔ dans le tableau ci-dessous, vous pouvez vous attendre à des problèmes de performances, sauf si vous optimisez votre environnement. Plage d’utilisateurs jusqu'à 5 000 5000 - 20000 Mode AD Integration ✔ Mode Standalone (Autonome) avec base de données intégrée Mode Standalone Mémoire (Autonome) avec base de données externe Espace de stockage sur disque dur ✔ ✔ 450 Mo 800 Mo ✔ ✔ 1 GB 2 GB plus ✔ *En supposant que plusieurs serveurs d’authentification sont utilisés Environnements Active Directory pris en charge ESET Secure Authentication (ESA) prend en charge les environnements Active Directory à domaine unique et à domaines multiples. Les différences entre ces environnements et leurs exigences d’installation sont détaillées cidessous. Domaine unique, forêt unique La configuration la plus simple. Le programme d’installation peut être exécuté en tant que n’importe quel administrateur du domaine. ESET Secure Authentication est disponible pour tous les utilisateurs du domaine. Domaines multiples, forêt unique Dans ce déploiement, un domaine parent tel que example.corp possède plusieurs sous-domaines tels que branch1.example.corp et branch2.example.corp. ESET Secure Authentication peut être déployé sur n’importe lequel des domaines de forêt, mais il n’y a pas de communication croisée entre les installations. Il n’y a pas de partage des identifiants entre les domaines enfant et parent. Pour installer ESET Secure Authentication sur un sous-domaine, le programme d’installation doit être lancé en tant qu’utilisateur Administrateur de domaine à partir du domaine de premier niveau. Par exemple, en utilisant les exemples de domaines définis précédemment : Pour installer ESET Secure Authentication sur server01.branch1.example.corp, connectez-vous à server01 en tant qu’utilisateur example.corp\Administrator (ou tout autre administrateur d’example.corp). Après l’installation, ESET Secure Authentication sera disponible pour tout utilisateur du domaine branch1.example.corp. Domaines multiples, forêts multiples Ceci est identique à l’environnement précédent. Les installations de ESET Secure Authentication situées dans des domaines distincts n’ont pas conscience les unes des autres. 14 Avantages de l’installation d’ESA en mode Active Directory Integration (Intégration Active Directory) Si vous installez le serveur d’authentification en mode Active Directory Integration (Intégration Active Directory) : • Les utilisateurs d’un même domaine sont automatiquement visibles dans ESA Web Console • Les composants ESA au sein du même domaine sont automatiquement enregistrés (aucune invitation n’est requise) Utilisateurs et composants issus d’autres domaines Vous pouvez ajouter manuellement des utilisateurs d’autres domaines ou les importer à l’aide de l’autoinscription ou de la synchronisation avec LDAP. Pour ajouter des composants à partir d’autres domaines, utilisez des invitations. Exceptions de pare-feu Les exceptions de pare-feu Windows qui sont essentielles au bon fonctionnement de ESET Secure Authentication seront ajoutées automatiquement dans le cadre de l’installation. Si vous utilisez un pare-feu différent, définissez manuellement les exceptions ci-dessous dans ce pare-feu. Nom de l’exception : ESET Secure Authentication Core Service • Champ d’application : Tout • Protocole : TCP • Port local : 8000 et 8001 • Ports distants : Tous Nom de l’exception : ESET Secure Authentication API • Champ d’application : Tout • Protocole : TCP • Port local : 8001 • Ports distants : Tous Nom de l’exception : ESET Secure Authentication RADIUS Service • Champ d’application : Tout • Protocole : UDP • Port local : 1812 15 • Ports distants : Tous Nom de l’exception : ESET Secure Authentication RADIUS Service (autre port) • Champ d’application : Tout • Protocole : UDP • Port local : 1645 • Ports distants : Tous Politiques Les informations ci-dessous s’appliquent uniquement au mode Intégration Active Directory. Lors de l’installation, ESA ajoute l’utilisateur ESA_<computer name> à l’entité Log on as a service (Ouvrir une session en tant que service) qui se trouve dans Local Security Policies > Local Policies > User Rights Assignments (Politiques de sécurité locales > Politiques locales > Affectations des droits d’utilisateurs), où <computer name> est remplacé par le nom de l’ordinateur où ESA est en cours d’installation. Cette étape est essentielle pour exécuter le service ESET Secure Authentication Service qui se lancer automatiquement lors du démarrage du système d’exploitation. Si vous utilisez la politique de groupe et que l’option Log on as a service (Ouvrir une session en tant que service) y est définie [Group Policy Management > <Forest> > Domains > <domain> > Default Domain Policy > Settings > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies (Gestion des politiques de groupe > <forêt> > Domaines > <domaine> > Politique de domaine par défaut > Paramètres > Configuration de l’ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques locales]), vous devez ajouter l’utilisateur ESA_<computer name> (<nom ordinateur>) à l’entité Log on as a service (Ouvrir une session en tant que service) ou ne pas définir du tout Log on as a service (Ouvrir une session en tant que service) ici. Pour trouver le nom de l’ordinateur sur lequel vous installez ESA, procédez comme suit : oAppuyez simultanément sur la touche Windows apparaisse. et sur la touche E pour que l’explorateur de fichiers oOu, dans le volet de droite, cliquez avec le bouton droit sur Ce PC ou Ordinateur et sélectionnez Propriétés. Une nouvelle fenêtre affiche le nom de l’ordinateur. Gestion des ordinateurs clonés Supposons que vous souhaitiez avoir des ordinateurs clonés dans votre réseau où ESET Secure Authentication (ESA) sera utilisé. Dans ce cas, les attributs ci-dessous doivent être uniques pour chaque ordinateur à protéger par ESA. • Pour l’enregistrement correct des composants ESA (plugin Windows Login, plugin Remote Desktop) qui 16 communiquent en mode Intégration Active Directory avec le serveur d’authentification : ▪Nom de l’ordinateur ▪SID de l’ordinateur ▪SID d’objet AD de l’ordinateur • Pour l’enregistrement correct des composants ESA (plugin Windows Login, plugin Remote Desktop) installés en mode Autonome : ▪Nom de l’ordinateur ▪Nom d’utilisateur de l’API dans C:\ProgramData\ESET Secure Authentication\ESA.config • Pour l’enregistrement correct des domaines pour les utilisateurs locaux : ▪Nom de l’ordinateur ▪SID de l’ordinateur Utilisez l’outil SysPrep de Microsoft pour vous assurer que des attributs uniques sont appliqués aux ordinateurs clonés. 1. Dans SysPrep, utilisez l’option Generalize (Généraliser) pour créer une image système Windows généralisée à cloner ultérieurement. Chaque image est configurée lors de son premier démarrage. 2. Si les ordinateurs clonés sont utilisés dans un domaine : a.Sur l’ordinateur cloné, exécutez l’outil SysPrep. b.Redémarrer l’ordinateur. c.Connectez l’ordinateur au domaine. 3. Installez ESA (plugin Windows Login, plugin Remote Desktop) sur chaque ordinateur cloné manuellement ou via GPO. Adresses IP utilisées par ESET Secure Authentication ESET Secure Authentication se connecte automatiquement aux adresses IP répertoriées dans notre article de la base de connaissances (sections ESET Data Framework, Services, Serveur de provisionnement ESET Secure Authentication, ESET PROTECT) ou ci-dessous. • 93.184.220.29 - Vérification de la révocation des certificats basée sur les listes de révocation de certificats accessibles au public • 23.42.27.27 - Vérification de la révocation des certificats concernant les signatures EXE/DLL 17 Installation Tous les composants suivants sont requis pour votre première installation d’ESA : • Au moins une instance du serveur d’authentification • Au moins un des endpoints d’authentification (API, Windows Login, Web Application, AD FS, Remote Desktop ou RADIUS) Vous pouvez installer tous les composants sur une seule machine ou sur plusieurs machines dans un environnement distribué, mais ESA Web Console fait partie du serveur d’authentification. Comme c’est le cas avec les systèmes distribués, il existe de nombreux scénarios d’installation possibles. Lors de l’installation du serveur d’authentification ESA dans un environnement Active Directory, vous n’avez pas besoin de l’installer spécifiquement sur le contrôleur de domaine. Il peut être installé sur n’importe quelle autre machine, même en mode autonome. L’exemple ci-dessous illustre un scénario d’installation générique dans un environnement Active Directory. Toutefois, cet exemple peut servir de guide de base pour d’autres scénarios de déploiement. L’exemple d’installation se compose de deux séquences : une fois les deux terminées, votre déploiement correspondra à l’illustration ci-dessous. Installer le serveur d’authentification 18 Windows Server 2008 et Windows Server 2008R2 Avant d’installer le serveur d’authentification sur Windows Server 2008 ou Windows Server 2008 R2, modifiez la version TLS à utiliser par défaut. 1. Exécutez le fichier .EXE fourni pour installer le serveur d’authentification sur la machine qui hébergera ESA Authentication Service. NET Framework version 4.5 sera automatiquement installé s’il n’est pas détecté. 2. Sélectionnez un type de déploiement : • Active Directory Integration (Intégration Active Directory) : ce type de déploiement convient aux clients exécutant un réseau de domaine Windows. Ils ne sont pas limités à l’authentification à 2 facteurs (2FA) pour protéger des ordinateurs appartenant à leur domaine Windows uniquement. Ils peuvent également inviter des ordinateurs en dehors de leur réseau, tant que le serveur d’authentification est disponible en ligne. • Standalone (Autonome) : ce type de déploiement convient également aux clients n’utilisant pas de domaine Windows. Ils peuvent aussi inviter des ordinateurs à partir de leur réseau local et d’autres réseaux. Les services en lien avec ESA s’exécutent avec le compte utilisateur SYSTEM. 3. Un certain nombre de vérifications préalables seront effectuées pour s’assurer que le domaine ou l’environnement d’installation est sain et qu’ESA peut être installé. Tout problème doit être corrigé avant que l’installation puisse commencer. L’installation se poursuivra lorsque toutes les conditions préalables seront remplies. Si le bouton Next (Suivant) n’est pas disponible pendant plus de 5 secondes, attendez ou faites défiler la page vers le bas pour voir quelles exigences sont toujours en cours de vérification. 19 4. Lorsque vous y êtes invité, vérifiez que le composant Authentication Server (Serveur d’authentification) est sélectionné, comme indiqué dans la figure ci-dessous. Si le type de déploiement Active Directory Integration (Intégration Active Directory) a été sélectionné initialement, les composants Authentication Server (Serveur d’authentification), Management Tools (Outils de gestion) (Microsoft Management Console pour ESA), et Reporting Engine (Elasticsearch) seraient sélectionnés automatiquement. 5. Si le numéro de port 8000 [Active Directory Integration (Active Directory Integration) uniquement] ou 8001 est déjà utilisé sur votre réseau, sélectionnez un autre port de domaine (Domain port) ou un autre Port pour ESA Web Console. Si vous préférez utiliser un proxy transparent, sélectionnez Paramètres de proxy personnalisés et saisissez les valeurs correspondantes. Le numéro de port 8001 est également utilisé pour 20 l’API. Si vous installez le serveur d’authentification en mode autonome et préférez utiliser une base de données externe, sélectionnez une base de données externe prise en charge dans Database Type (Type de base de données) et saisissez les détails de connexion de la base de données existante. Cliquez sur Next (Suivant). 6. Définissez le nom d’utilisateur et le mot de passe, puis cliquez sur Next (Suivant). 7. L’écran Check prerequisites (Vérifier les conditions préalables) suivant s’affiche si les ports sélectionnés sont disponibles. 8. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée. 21 9. Utilisez ESA Web Console pour configurer votre installation de ESET Secure Authentication, les composants associés et les utilisateurs. Paramètres de proxy personnalisés Si l’administrateur préfère utiliser un proxy transparent lors de l’installation du serveur d’authentification, sélectionnez Custom proxy settings (Paramètres de proxy personnalisés), puis saisissez les valeurs correspondantes. Si l’option Custom proxy settings (Paramètres de proxy personnalisés) n’est pas sélectionnée, les paramètres de proxy système par défaut sont utilisés. Les paramètres par défaut sont spécifiés dans l’écran Internet Options (Options Internet) de l’utilisateur actuel. Déterminer l’utilisateur actuel : • Si AS est installé en mode Intégration Active Directory, l’utilisateur actuel est ESASrv_<computer name>. • Si AS est installé en mode Autonome, l’utilisateur actuel est Système local. • Pendant l’installation du serveur d’authentification, l’utilisateur actuel est l’utilisateur qui exécutait le programme d’installation au moment de la vérification des conditions préalables. • Si Custom proxy settings (Paramètres de proxy personnalisés) est sélectionné et que Proxy server (Serveur proxy) est vide, le serveur d’authentification n’utilisera pas de proxy. Vue haute disponibilité - Active Directory Lorsque vous utilisez le type de déploiement Active Directory Integration (Intégration Active Directory) dans un environnement AD, tous les serveurs installés sont affichés dans la vignette Servers (Serveurs) de l’écran Dashboard (Tableau de bord) dans ESA Web Console. Lorsque plusieurs services principaux sont détectés sur le réseau, tous les serveurs sont répertoriés. Chaque serveur d’authentification ESA (ESA Authentication Server) installé sur le domaine s’enregistre lui-même dans AD DNS à l’aide d’un enregistrement SRV (comme _esetsecauth._tcp). Lorsqu’un endpoint (comme une application Web ou une appliance VPN) commence l’authentification, il vérifie d’abord sa liste interne de serveurs connus. Si la liste est vide, il effectue une recherche de SRV. La recherche de SRV renverra tous les serveurs d’authentification (Authentication Servers) du domaine. L’endpoint choisit ensuite un serveur d’authentification auquel se connecter. Si la connexion échoue, il sélectionne un autre serveur dans la liste et tente de se connecter à nouveau. Si la redondance du réseau est un problème lors de la protection de votre VPN avec ESA, il est recommandé de configurer les authentificateurs RADIUS principaux et secondaires sur votre appliance VPN. Vous devez ensuite installer deux serveurs ESA RADIUS sur votre réseau et les configurer en conséquence. Plusieurs serveurs d’authentification utilisant le type de déploiement Autonome Vue haute disponibilité - Mode Autonome Dans ESET Secure Authentication (ESA) version 3.0, vous pouvez avoir plusieurs serveurs d’authentification même en mode d’installation Standalone (Autonome). 22 1. Lors de l’installation de chaque serveur d’authentification, définissez les mêmes détails de connexion à une base de données externe. 2. Une fois installés, tous les serveurs d’authentification seront visibles dans ESA Web Console. 3. Configurez un serveur proxy en tant qu’équilibreur de charge. Reportez-vous à « Exemple d’extrait de configuration - Plusieurs serveurs d’authentification ». 4. Dans les invitations, utilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification. 5. Si un serveur d’authentification est ajouté/supprimé, mettez à jour la configuration du proxy. Tous les serveurs installés seront affichés dans la vignette Servers (Serveurs) de l’écran Dashboard (Tableau de bord) d’ESA Web Console. Plusieurs serveurs d’authentification dans un environnement Active Directory. Installer Reporting Engine (Elasticsearch) Pour pouvoir voir les rapports dans ESA Web Console, il est essentiel d’installer Elasticsearch. Vous pouvez installer le composant Reporting Engine (Elasticsearch) dans le programme d’installation ESA ou utiliser votre composant Elasticsearch tiers existant. 2 Go de RAM disponibles requis Elasticsearch nécessite 2 Go de RAM en permanence. Assurez-vous d’avoir suffisamment de RAM disponible. Sinon, l’installation échouera. Découvrez comment définir une taille de tas différente. Installation à partir du programme d’installation ESA Le composant Reporting Engine (Elasticsearch) du programme d’installation ESA peut être installé avec le serveur d’authentification sur le même ordinateur ou séparément sur un autre ordinateur. Installation du serveur d’authentification et d’Elasticsearch sur le même ordinateur 1. Suivez les instructions d’installation du serveur d’authentification et laissez le composant Reporting Engine (Elasticsearch) sélectionné avec le composant Authentication Server (Serveur d’authentification). 2. À l’écran Reporting Engine configuration (Configuration Reporting Engine), saisissez un nom d’utilisateur et un mot de passe, puis cliquez sur Next (Suivant). 23 3. Si le programme d’installation vous avertit que certaines conditions requises ne sont pas remplies, assurezvous de les remplir avant de procéder à l’installation. 4. Suivez les instructions du programme d’installation pour terminer le reste des étapes et fermez le programme d’installation lorsque vous avez terminé. Installer Elasticsearch séparément Si vous avez déjà installé le serveur d’authentification et que vous installez Elasticsearch séparément, exécutez à nouveau le fichier .EXE fournir. 1. Cliquez sur Change (Modifier), sélectionnez Reporting Engine (Elasticsearch), puis cliquez sur Next (Suivant). 2. À l’écran Reporting Engine configuration (Configuration Reporting Engine), saisissez un nom d’utilisateur et un mot de passe, puis cliquez sur Next (Suivant). 3. Si le programme d’installation vous avertit que certaines conditions requises ne sont pas remplies, assurezvous de les remplir avant de procéder à l’installation. 4. Suivez les instructions du programme d’installation pour terminer le reste des étapes et fermez le programme d’installation lorsque vous avez terminé. Installation en mode silencieux L’installation en mode silencieux est disponible via le programme d’installation .MSI, aussi bien pour le mode Intégration Active Directory que pour le mode Autonome. Utilisation de l’installation tierce d’Elasticsearch Si vous utilisez une installation tierce d’Elasticsearch et que vous souhaitez utiliser Rapports dans ESA Web Console, ajoutez les informations relatives à votre installation Elasticsearch dans ESA Web Console dans 24 Settings (Paramètres) > Reports (Rapports). Si vous accédez à Elasticsearch via Kibana, vous pouvez générer différents graphiques à partir des données collectées. Installer le plugin Remote Desktop 1. Pour démarrer l’installation, sur la machine Remote Desktop Access (Accès Bureau à distance) appropriée, exécutez le fichier .EXE fourni. Le programme d’installation exécutera plusieurs vérifications préalables comme cela a été fait lors de l’installation du serveur d’authentification. 2. Lorsque vous y êtes invité, cochez la case à côté de l’option Remote Desktop (Bureau à distance) et cliquez sur Next (Suivant). 3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au mode d’installation Autonome), puis cliquez sur Next (Suivant). 25 4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au magasin de la machine) si disponible, puis cliquez sur Next (Suivant). Corriger les problèmes signalés par les vérifications préalables Des vérifications préalables seront effectuées pour vérifier que le plugin ESA Remote Desktop peut être installé. Tout problème doit être corrigé avant que l’installation puisse commencer. 5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée. Installer le plugin Web App 1. Pour démarrer l’installation, sur la machine appropriée exécutant la Web App (Application Web), exécutez le fichier .EXE fourni. Le programme d’installation exécutera plusieurs vérifications préalables comme cela a été fait lors de l’installation du serveur d’authentification. 2. Lorsque vous y êtes invité, cochez la case à côté de l’option applicable Web App (Application Web) et cliquez sur Next (Suivant). 26 3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au mode d’installation Autonome), puis cliquez sur Next (Suivant). 4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au magasin de la machine) si disponible, puis cliquez sur Next (Suivant). Vérifications préalables Des vérifications préalables seront effectuées pour s’assurer que la Web App (Application Web) est en cours d’exécution sur le serveur et que le plugin ESA Web App peut être installé. Corrigez toutes les erreurs pour poursuivre l’installation. 5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée. 27 Programme d’installation MSI Lorsque vous utilisez le programme d’installation .MSI pour installer la protection par authentification à 2 facteurs (2FA) pour Microsoft SharePoint Server, Remote Desktop Web Access, ou Microsoft Dynamics CRM, exécutez le programme d’installation avec des privilèges élevés. Installer le plugin Windows Login La protection de connexion Windows est disponible uniquement pour les comptes d’utilisateurs locaux et les comptes d’utilisateurs Active Directory. 1. Pour installer le plugin ESA Windows Login sur la machine applicable, exécutez le fichier .EXE fourni. S’il n’est pas détecté, .NET Framework version 4.5 est installé automatiquement. 2. Lorsque vous y êtes invité, cliquez sur Select components (Sélectionner des composants), cochez la case à côté de l’option Windows Login (Connexion Windows) et cliquez sur Next (Suivant). 3. Tapez les informations de connexion du serveur d’authentification lorsque vous y êtes invité (s’applique au mode d’installation Autonome), puis cliquez sur Next (Suivant). 28 4. Si la connexion au serveur d’authentification est réussie et que le certificat du serveur a été vérifié, cochez la case Add certificate with this thumbprint to machine store (Ajouter le certificat avec cette empreinte au magasin de la machine) si disponible, puis cliquez sur Next (Suivant). 5. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée. Modifier, réparer et supprimer l’installation 1. Exécutez à nouveau le fichier .EXE fourni ou, dans le Panneau de configuration Windows, cliquez sur Programmes > Programmes et fonctionnalités, sélectionnez ESET Secure Authentication, puis cliquez sur Modifier. 29 2. Pour installer de nouveaux composants ou supprimer des composants existants, cliquez sur Change (Modifier) ou Remove (Supprimer). 3. Suivez le reste des étapes du programme d’installation, puis fermez celui-ci une fois l’installation terminée. Suppression du serveur d’authentification Pour désinstaller le serveur d’authentification, à l’écran Additional configuration (Configuration supplémentaire), cochez la case à côté de Remove all program and user data including product configuration (Supprimer toutes les données d’utilisateur et du programme y compris la configuration du produit). Cette option n’est pas 30 disponible si le serveur d’authentification n’est pas le dernier composant du domaine Active Directory que vous vous préparez à désinstaller ou si vous ne disposez pas des privilèges de désinstallation en tant qu’administrateur du domaine. Cette option est disponible en tant que paramètre AUTHENTICATION_SERVER_CLEAN_DATA (Données propres du serveur d’authentification) lors de l’exécution d’une désinstallation silencieuse via le package .MSI : msiexec /x ESA.MSI /qn AUTHENTICATION_SERVER_CLEAN_DATA=1 Privilèges d’administrateur de domaine Si ESA Core a été installé sur un sous-domaine à l’aide de privilèges d’administrateur de domaine, vous ne pourrez pas effectuer une désinstallation complète à l’aide des privilèges d’administrateur de sousdomaine. Installation à distance via ESET PROTECT Pour installer les composants ESA via ESET PROTECT, procédez comme suit : 1. Connectez-vous à la console Web ESET PROTECT, accédez à Plus > Gestion des licences et assurez-vous qu’une licence ESET Secure Authentication est importée. Pour en savoir plus, consultez Gestion des licences. 2. Accédez à Tâches, cliquez sur Nouveau, puis sélectionnez Tâche client. 3. Dans la section Général, donnez un nom à la tâche, sélectionnez Installer un logiciel dans le menu déroulant Tâches, puis cliquez sur Continuer. 4. Cliquez sur Sélectionner une licence ESET, sélectionnez ESET Secure Authentication, puis cliquez sur OK. 5. Cliquez sur Sélectionner un package, sélectionnez ESET Secure Authentication, puis cliquez sur OK. 6. Cochez la case J’accepte les termes du contrat de licence utilisateur final de l’application et reconnais avoir pris connaissance de la politique de confidentialité. 31 7. Dans les paramètres d’installation, définissez les arguments .MSI pour installer les composants ESA souhaités. 8. Cliquez sur Continuer, puis sur Terminer. Exemples d’utilisation d’arguments .MSI ESA lors du déploiement de composants ESA via ESET PROTECT Exemple : installer Windows Login et Remote Desktop (mode Autonome) ADDLOCAL="Win_Credential_Provider,Credential_Provider" ESA_COMPUTER_CONFIG_INTEGRATI ON_MODE=2 ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS=192.168.0.15:8001 ESA_CO MPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS=DKNO-XESE-WXUA-QNXWJAEI TRUSTED_CERT_HASH=2CD61594DDE3E63E6BEBB9BF3DC95B85550FD5D8 Exemple : installer Windows Login et Remote Desktop en tant qu’utilisateur administrateur sans domaine (mode Intégration Active Directory) ADDLOCAL="Win_Credential_Provider,Credential_Provider" NO_DOMAIN_ADMIN_MODE=1 N’oubliez pas d’ajouter manuellement le ou les ordinateurs à EsaServices. Installer la protection de connexion Windows et RDP via GPO Cet article s’applique uniquement au type de déploiement Active Directory Integration (Intégration Active Directory). Conditions préalables requises Serveur (ou ordinateur principal) sur lequel le serveur d’authentification est installé • Doit appartenir au même domaine Active Directory que le ou les ordinateurs clients, où la protection de connexion Windows et la protection RDP seront installées • La console de gestion des stratégies de groupe Microsoft (GPMC) doit être installée sur votre serveur. Consultez les instructions pour installer GPMC • L’ordinateur sur lequel vous installerez la protection de connexion Windows doit être ajouté à EsaServices via Utilisateurs et ordinateurs Active Directory Ordinateur(s) client(s) • .NET Framework 4.5 ou version ultérieure doit être installé sur l’ordinateur client 32 • Appartenance à Active Directory : l’ordinateur doit appartenir au même domaine Active Directory que votre serveur (ordinateur principal) sur lequel le serveur d’authentification est installé • Privilèges d’administrateur de domaine : le programme d’installation doit être exécuté par un membre du groupe de sécurité « Administrateurs de domaine » • Windows 7/Windows Server 2008 R2 ou version ultérieure • La connexion Remote Desktop doit être activée sur l’ordinateur spécifique (Démarrer > Panneau de configuration > Propriétés système > onglet Distant) Ajout d’un ordinateur à EsaServices 1. Ouvrez l’outil de gestion Utilisateurs et ordinateurs Active Directory. 2. Cliquez sur View (Afficher) > Advanced Features (Fonctionnalités avancées). 3. Accédez à <your_active_directory_domain> (<Votre domaine Active Directory>) > ESET Secure Authentication, cliquez avec le bouton droit sur EsaServices, puis sélectionnez Properties (Propriétés). 4. Cliquez sur l’onglet Members (Membres) > Add (Ajouter) > Object Types (Types d’objets), puis sélectionnez Computers (Ordinateurs) et OK. 5. Dans le champ Enter the object names to select (Entrez les noms des objets à sélectionner), tapez le nom de l’ordinateur sur lequel vous souhaitez installer la protection de connexion Windows. Cliquez sur Check Names (Vérifier les noms) pour vous assurer que le nom de l’ordinateur est correct. 6. Si le nom de l’ordinateur est correct, cliquez sur OK, puis à nouveau sur OK. Obtention du fichier d’installation .MSI Si le serveur d’authentification est installé à l’aide du programme d’installation .EXE, les programmes d’installation .MSI sont automatiquement créés dans « C:\Program Files\ESET Secure Authentication\msi\ ». Vous pouvez également obtenir le programme d’installation en suivant les étapes ci-dessous : 1. Télécharger le programme d’installation .EXE pour ESA à l’adresse https://www.eset.com/us/products/secure-authentication/ 2. Extrayez le fichier d’installation .MSI (nommé ESET Secure Authentication x64.MSI ou ESET Secure Authentication x86.MSI) à partir du fichier .EXE téléchargé. 3. Chargez le fichier d’installation .MSI dans un dossier partagé sur votre serveur (ordinateur principal) accessible par les membres de votre domaine AD. Suivez l’une des options de déploiement ci-dessous : • Script de démarrage • Tâche Installer un logiciel Le programme d’installation .MSI est également disponible dans le référentiel ESET PROTECT. 33 Script de démarrage Préparer un script de démarrage (fichier .bat) avec les paramètres essentiels 1. Appuyez sur touche Windows + R, tapez bloc-notes.EXE dans la boîte de dialogue Exécuter, puis appuyez sur Entrée. 2. Lorsque le bloc-notes s’ouvre, tapez le code suivant : msiexec /i "<path_to_msi_file>" NO_DOMAIN_ADMIN_MODE=1 ADDLOCAL="Credential_Provider,Win_Credential_Provider" /qn /L*v "c:\esa_install_log.txt" où <path_to_msi_file> doit être remplacé par un chemin UNC (Universal Naming Convention) valide (chemin réseau) vers le package d’installation partagé (par exemple, \\serveurfichier\partage\nomdefichier.MSI). Le code doit être en ligne. Termes Credential_Provider représente la protection de connexion RDP, Win_Credential_Provider représente la protection de connexion Windows. Voir les arguments MSI pour en savoir plus. 3. Dans le Bloc-notes, cliquez sur Fichier > Enregistrer sous, sélectionnez Tous les fichiers dans le menu déroulant Type de fichier, puis tapez : esainstall.bat comme nom de fichier. Déploiement du script de démarrage 1. Ouvrez Gestion des stratégies de groupe, localisez votre domaine, cliquez avec le bouton droit sur la politique de groupe souhaitée, puis sélectionnez Modifier. 34 2. Dans l’Éditeur de gestion des stratégies de groupe, dans votre politique de domaine, développez Configuration de l’ordinateur > Stratégies > Paramètres Windows, cliquez avec le bouton droit sur Démarrage, puis sélectionnez Propriétés. 3. Cliquez sur Ajouter > Parcourir, puis accédez au fichier esainstall.bat chargé dans le dossier partagé de votre domaine AD, cliquez sur Ouvrir, puis sur OK. 4. Cliquez sur OK pour appliquer les modifications et fermer la fenêtre Propriétés de démarrage. 35 Tâche Installer un logiciel Avant de créer une tâche d’installation de logiciel via GPO, il est essentiel de créer un fichier de transformation .MST. Conditions préalables requises Installez l’outil d’édition de base de données Orca sur votre ordinateur. Orca est disponible dans le SDK Windows. Pour obtenir des instructions sur le téléchargement et l’installation d’Orca, reportez-vous à l’article suivant de la Base de connaissances Microsoft : Orca.EXE. Création d’un fichier de transformation .mst 1. Cliquez sur Démarrer > Tous les programmes > Orca pour lancer l’éditeur de base de données Orca. 2. Cliquez sur File (Fichier) > Open (Ouvrir), accédez au fichier d’installation .MSI que vous souhaitez transformer, sélectionnez-le, puis cliquez sur Open (Ouvrir). 3. Cliquez sur Transform (Transformer) > New Transform (Nouvelle transformation). 4. Sélectionnez Features (Fonctionnalités) dans la colonne Tables, sélectionnez Windows Login (Connexion Windows) et définissez le niveau (Level) sur 1. Sélectionnez ensuite Remote Desktop (Bureau à distance) et définissez le niveau (Level) sur 1. 36 Couleur des modifications Toutes les modifications sont marquées en vert. 5. Dans la colonne Tables , sélectionnez Property (Propriété), cliquez avec le bouton droit sur une ligne vide et sélectionnez Add row (Ajouter une ligne). 37 6. Dans la boîte de dialogue Add Row (Ajouter une ligne), tapez NO_DOMAIN_ADMIN_MODE dans le champ Property (Propriété). Définissez le champ Value (Valeur) sur 1, puis cliquez sur OK. 38 7. Cliquez sur Transform (Transformer) > Generate Transform (Générer la transformation). Créer une tâche d’installation de logiciel via un objet de politique de groupe Les étapes ci-dessous sont illustrées dans Microsoft Server 2022. 1. Ouvrez Group Policy Management (Gestion des stratégies de groupe). Trouvez votre domaine, puis 39 effectuez un clic droit sur Default Domain Policy (Domaine de politique par défaut) ou sur une politique personnalisée que vous avez créée, puis sélectionnez Edit (Modifier). 2. Dans l’Éditeur de gestion des stratégies de groupe, dans votre politique de domaine, développez Configuration de l’ordinateur > Stratégies > Paramètres logiciels. 3. Cliquez avec le bouton droit sur Software installation (Installation du logiciel), sélectionnez New (Nouveau) > Package, puis accédez à l’emplacement où le programme d’installation .MSI ESA est enregistré. Saisissez le chemin d’accès UNC (Universal Naming Convention) complet du package d’installation partagé (par exemple, \\fileserver\share\filename.msi), puis cliquez sur Open (Ouvrir). 40 4. Sélectionnez Advanced (Avancé), puis cliquez sur OK. 5. Sélectionnez l’onglet Modifications, puis cliquez sur Add (Ajouter). 41 6. Accédez au fichier de transformation du programme d’installation ESA (à l’emplacement que vous avez référencé à l’étape 3), tapez le chemin UNC du fichier .MST (par exemple, \\fileserver\share\filename.mst), puis cliquez sur Open (Ouvrir). 7. Cliquez sur OK. Le package sera affiché dans l’Éditeur de gestion des stratégies de groupe. 42 8. Le package sera installé sur tous les ordinateurs clients auxquels la politique de groupe modifiée s’applique. Consultez la Base de connaissances Microsoft sur l’installation de logiciels à distance dans Windows Server 2003 et 2008 à l’aide de la politique de groupe. Arguments MSI Plusieurs arguments peuvent être utilisés lors de l’utilisation du programme d’installation .MSI en tant que script d’ouverture de session ou tâche d’installation. Lancez le programme d’installation .MSI pour voir tous les arguments disponibles avec une explication et des exemples. Pour installer ou supprimer des composants ESA sans utilisateur Administrateur de domaine, utilisez NO_DOMAIN_ADMIN_MODE=1. Consultez ensuite les journaux d’installation pour obtenir d’autres instructions marquées comme « Manual configuration needed » (Configuration manuelle nécessaire). Exemples lors du déploiement de composants ESA via ESET PROTECT Liste partielle des arguments du .MSI d’ESA Pour spécifier les composants ESA à installer, l’argument ADDLOCAL est utilisé. Les valeurs possibles sont les suivantes : 43 • Core_Service - Serveur d’authentification • Reports_Elasticsearch - Reporting Engine (Elasticsearch) • Win_Credential_Provider - Windows Login • Radius_Server - Serveur RADIUS pour la protection VPN • Credential_Provider - Remote Desktop • Web_Exchange - Microsoft Exchange Server • Web_SharePoint - Microsoft SharePoint Server • Web_RemoteDesktop - Accès Web des services Bureau à distance • Web_Dynamics - Microsoft Dynamics CRM • Web_RemoteAccess - Accès Web à distance • ADFS3 - AD FS 3 ou version ultérieure • Connecteur de fournisseur d’identité - Connecteur de fournisseur d’identité Pour installer d’autres fonctionnalités, séparez-les par des virgules, par exemple : ADDLOCAL="Credential_Provider,Win_Credential_Provider" Pour spécifier un type de déploiement, l’argument ESA_COMPUTER_CONFIG_INTEGRATION_MODE est utilisé. Les valeurs possibles sont les suivantes : • 1 = Active Directory Integration (Intégration Active Directory) (valeur par défaut) • 2 = Standalone (Autonome) Si la valeur numéro 2 est utilisée, les arguments suivants doivent également être configurés, sauf si vous installez des composants ESA sur la même machine que celle sur laquelle le serveur d’authentification est installé : • ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS - Adresse IP du serveur d’authentification à utiliser dans les invitations. • ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS - Code d’invitation. • TRUSTED_CERT_HASH - hachage du certificat de confiance à ajouter au magasin de certificats. Pour définir un nom d’utilisateur et un mot de passe initiaux pour ESA Web Console lors de l’installation du serveur d’authentification (Core_service), utilisez : • ESA_CONFIG_WEB_CONSOLE_USER • ESA_CONFIG_WEB_CONSOLE_PASSWORD Arguments de configuration avancés pour Core_Service (Serveur d’authentification) : 44 • ESA_CONFIG_DB_TYPE (type de base de données, mode Autonome uniquement, utilisez « sqlite », « postgresql » ou « mssql ») • ESA_CONFIG_DB_CONNECTION_STRING (chaîne de connexion à la base de données, mode Autonome uniquement) • ESA_CONFIG_PROXY_ENABLED (utilisez la valeur true pour activer les paramètres de proxy HTTP personnalisé) • ESA_CONFIG_PROXY_SERVER (laissez vide pour ne pas utiliser de proxy) • ESA_CONFIG_PROXY_PORT • ESA_CONFIG_PROXY_USER • ESA_CONFIG_PROXY_PASSWORD Pour définir un port RADIUS personnalisé, utilisez ESA_CONFIG_RADIUS_PORT. Pour supprimer complètement le serveur d’authentification ESA, y compris les données de configuration, utilisez AUTHENTICATION_SERVER_CLEAN_DATA=1. Exemples d’utilisation d’arguments .MSI ESA lors du déploiement de composants ESA via ESET PROTECT Exemple : installer Windows Login et Remote Desktop (mode Autonome) ADDLOCAL="Win_Credential_Provider,Credential_Provider" ESA_COMPUTER_CONFIG_INTEGRATI ON_MODE=2 ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS=192.168.0.15:8001 ESA_CO MPUTER_CONFIG_AUTHENTICATION_SERVER_ACCESS=DKNO-XESE-WXUA-QNXWJAEI TRUSTED_CERT_HASH=2CD61594DDE3E63E6BEBB9BF3DC95B85550FD5D8 Exemple : installer Windows Login et Remote Desktop en tant qu’utilisateur administrateur sans domaine (mode Intégration Active Directory) ADDLOCAL="Win_Credential_Provider,Credential_Provider" NO_DOMAIN_ADMIN_MODE=1 N’oubliez pas d’ajouter manuellement le ou les ordinateurs à EsaServices. Installation de mise à niveau Dans ESET Secure Authentication 2.5.X et versions ultérieures, vous pouvez effectuer une mise à niveau d’ESA en lançant le programme d’installation. Il n’est pas nécessaire de désinstaller manuellement la version précédente. 45 Ordre de mise à niveau Pour préserver la compatibilité, vous devez d’abord mettre à niveau le serveur d’authentification, puis mettre à niveau les autres composants situés sur les ordinateurs sécurisés par ESA. Si vous avez plusieurs serveurs d’authentification, mettez-les tous à niveau. Avant de mettre à niveau l’un d’entre eux, les autres doivent être arrêtés pour préserver la compatibilité des données. 1.Lisez le contrat de licence et la politique de confidentialité et cliquez sur I accept (J’accepte) pour continuer. 2.Saisissez le nom d’utilisateur et le mot de passe souhaités pour accéder à ESA Web Console si vous y êtes invité. 3.Lorsque toutes les conditions préalables sont remplies, cliquez sur Next (Suivant). 4.Suivez les instructions du programme d’installation pour terminer la mise à niveau. Fermez le programme d’installation lorsque vous avez terminé. Une fois la mise à niveau terminée, un raccourci intitulé ESA Web Console est automatiquement créé sur le bureau de votre système d’exploitation Windows. Double-cliquez sur le raccourci pour ouvrir Web Console. Certificat ESA Web Console ESA Web Console utilise un certificat auto-signé. Si vous accédez à Web Console à partir d’une machine différente de celle du serveur d’authentification, vous recevrez un message indiquant un problème de certificat. L’accès à Web Console via Mozilla Firefox à partir de la machine hébergeant le serveur d’authentification entraînera également l’apparition d’un message indiquant un problème de certificat. Saisissez les identifiants de connexion que vous avez configurés lors de la mise à niveau dans Web Console. Si vous effectuez une mise à niveau à partir de la version 2.7, où ESA Web Console était déjà utilisé, les identifiants de connexion sont les mêmes qu’auparavant. Dans le tableau de bord (Dashboard), la vignette Components (Composants) indique le nombre de composants obsolètes. Les composants obsolètes incluent les composants sur les ordinateurs utilisant une version antérieure à la version installée sur le serveur d’authentification. Cliquez sur le numéro dans la colonne Out of date (Obsolète) pour afficher les ordinateurs concernés. Utilisez le programme d’installation de la même version que celle de votre serveur d’authentification pour mettre à niveau les composants ESA (Windows Login, Remote Desktop Protection, IIS, AD FS et RADIUS) sur les ordinateurs concernés. Comparatif entre le programme d’installation .EXE et le programme d’installation .MSI Vous pouvez combiner le programme d’installation .EXE (également appelé programme d’amorçage) et le programme d’installation .MSI dans certains cas. État d’origine Opération Pris en charge Installé via le programme d’installation .MSI Mise à niveau via le programme d’installation .EXE Oui Installé via le programme d’installation .MSI Modification via le programme d’installation .EXE Non Installé via le programme d’installation .MSI Réparation via le programme d’installation .EXE Non Installé via le programme d’installation .MSI Désinstallation via le programme d’installation .EXE Oui Installé via le programme d’installation .EXE Mise à niveau via le programme d’installation .MSI Oui Installé via le programme d’installation .EXE Modification via le programme d’installation .MSI Non Installé via le programme d’installation .EXE Réparation via le programme d’installation .MSI Non Installé via le programme d’installation .EXE Désinstallation via le programme d’installation .MSI Oui 46 Compatibilité des composants ESA La compatibilité des versions entre ESA Core (serveur d’authentification) et les autres composants (Windows Login, Remote Desktop Protection, IIS, AD FS, RADIUS, ADUC) d’ESET Secure Authentication a été améliorée. Le tableau ci-dessous indique les versions d’ESA core, des composants ESA et de la console de gestion qui sont compatibles les unes avec les autres. Tableau de compatibilité - Composant se connectant au serveur d’authentification 3.0 Composant Composant v2.4 Composant v2.5 Composant v2.6 Composant v2.7 Composant v2.8 Composant v3.0 Connexion Windows OK* OK* OK OK OK OK RDP OK* OK* OK OK OK OK AD FS OK* OK* OK OK OK OK RADIUS FAIL FAIL OK OK OK OK IIS FAIL FAIL OK OK OK OK Outils de gestion (ADUC, console de FAIL gestion) FAIL FAIL FAIL OK OK Connecteur de fournisseur d’identité OK * Fonctionne si le composant a été enregistré (utilisé) avec la version correspondante du serveur d’authentification (2.4 ou 2.5) avant la mise à niveau du serveur d’authentification vers la version 3.0. Impossible d’enregistrer un nouveau composant auprès d’un ancien serveur Vous ne pouvez pas enregistrer des versions de composants ultérieures avec une version antérieure du serveur. La connexion échouera en raison de problèmes de compatibilité et vous recevrez une notification de l’erreur. Migration de base de données (Exporter les données) Utilisez la fonctionnalité de migration de base de données de ESET Secure Authentication 3.0 et versions ultérieures (Export Data) (Exporter les données) pour : • Passer du mode Activate Directory Integration (Intégration Active Directory) au mode Standalone (Autonome) • Passer d’une base de données intégrée à une base de données externe lorsque le serveur d’authentification est installé en mode Standalone (Autonome) 47 Types de bases de données pris en charge ; Passage du mode Intégration Active Directory au mode Autonome ; Sauvegarde de la clé de récupération principale pour la connexion Windows La migration n’est disponible que pour les types de bases de données pris en charge. Lors du passage du mode Activate Directory Integration (Intégration Active Directory) au mode Standalone (Autonome), les informations sur les composants ESA se connectant en mode Activate Directory Integration (Intégration Active Directory) ne sont pas migrées. Ces composants doivent être réinstallés en mode Autonome une fois la migration terminée. La clé de récupération principale pour la connexion Windows peut être demandée après la migration. Sauvegardez votre clé de récupération principale pour la connexion Windows avant de commencer la migration. Restauration d’une ancienne sauvegarde Si vous utilisez Export Data (Exporter les données) pour sauvegarder les données du serveur d’authentification, la sauvegarde contient des compteurs d’authentification. Par exemple, si vous continuez à utiliser l’instance ESA spécifique et que vous restaurez ultérieurement les données de sauvegarde ou que vous les utilisez dans une nouvelle instance ESA, les utilisateurs pourront se connecter à l’aide des anciens mots de passe à usage unique (utilisés avant la sauvegarde), ce qui représente un problème de sécurité. Comment exporter des données 1. Connectez-vous à ESA Web Console. 2. Sélectionnez Settings (Paramètres) > Export Data (Exporter les données). 3. Sélectionnez un type de base de données pour Target Database Type (Type de base de données cible) : • SQLite oCréez un répertoire sur l’ordinateur sur lequel le serveur d’authentification est installé. oTapez le chemin menant à ce répertoire dans le champ Répertoire SQLite. • Microsoft SQL Server, PostgreSQL oDéfinissez les informations de connexion à la base de données dans le champ Connection string (Chaîne de connexion). Cliquez sur Show examples (Afficher des exemples) pour afficher le format correct. 4. Cliquez sur Export. L’authentification à 2 facteurs est inactive pendant la migration de la base de données Il est essentiel de désactiver le service ESACore (serveur d’authentification) pour éviter les problèmes de migration. Pour cette raison, l’authentification à 2 facteurs ne fonctionnera pas pendant la migration. Exemple de scénario pour passer à un autre type de déploiement (mode Intégration Active Directory à mode Autonome) ou de base de données 1. Exporter les données. 2. Arrêtez le service ESACore (serveur d’authentification) dans les services Windows. 48 3. Installez le nouveau serveur d’authentification en mode Standalone (Autonome) : a.Dans l’écran Advanced Configuration (Configuration avancée), sélectionnez le type de base de données (Database type) que vous avez utilisé lors de l’exportation des données. • SQLite oCopiez les fichiers de base de données exportés vers C:\ProgramData\ESET Secure Authentication\db, puis poursuivez l’installation • Microsoft SQL Server, PostgreSQL oDéfinir les informations de connexion de la base de données contenant les données exportées b.Définissez de nouvelles informations de compte administrateur Web Console (Web Console Administrator Account) si le programme d’installation vous invite à le faire. c.Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis fermez le programme d’installation lorsque vous avez terminé. 4. Supprimer l’installation précédente du serveur d’authentification : • Ne sélectionnez pas Remove all program and user data including product configuration (Supprimer toutes les données d’utilisateur et du programme y compris la configuration du produit) si vous souhaitez revenir à l’installation précédente plus tard. 5. Si l’option Remove all program and user data including product configuration (Supprimer toutes les données d’utilisateur et du programme y compris la configuration du produit) a été sélectionnée à l’étape précédente, réactivez votre licence ESA sur votre nouveau serveur d’authentification. 6. Si vous passez du mode Intégration Active Directory au mode Autonome, réinstallez tous les composants ESA en mode Standalone (Autonome). 7. Faites approuver les nouveaux certificats du serveur d’authentification sur les ordinateurs sur lesquels les composants ESA sont installés. 8. Si d’anciennes entrées du serveur d’authentification apparaissent dans ESA Web Console, supprimez-les. Exemple de scénario de déplacement du serveur d’authentification vers un autre ordinateur Mode Active Directory Integration 1. Arrêter le service ESACore (serveur d’authentification) dans les services Windows 2. Installez le serveur d’authentification sur le nouvel ordinateur appartenant au même domaine Windows 3. Supprimez l’ancien serveur d’authentification. Mode Standalone 1. Arrêtez le service ESACore (serveur d’authentification) dans les services Windows. 49 2. Installez le nouveau serveur d’authentification sur le nouvel ordinateur : • Dans l’écran Advanced Configuration (Configuration avancée), sélectionnez le type de base de données (Database type) de l’installation du serveur d’authentification d’origine : oSQLite (base de données intégrée) : 1. Copiez le contenu du répertoire C:\ProgramData\ESET Secure Authentication\db sur l’ordinateur cible au même emplacement. 2. Définissez de nouvelles informations de Web Console Administrator Account (Compte administrateur Web Console) si le programme d’installation vous invite à le faire. 3. Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis fermez le programme d’installation lorsque vous avez terminé. 4. Dans ESA Web Console, supprimez l’entrée de l’ancien serveur d’authentification. oMicrosoft SQL Server, PostgreSQL 1. Définissez la chaîne de connexion de la base de données externe. 2. Parcourez les étapes restantes en suivant les instructions du programme d’installation, puis fermez le programme d’installation lorsque vous avez terminé. 3. Faites approuver les nouveaux certificats du serveur d’authentification sur les ordinateurs sur lesquels les composants ESA sont installés. Accès externe Quels seront les éléments disponibles ? • Serveur d’authentification oAccès à la console Web Console oLes composants installés en mode Autonome peuvent se connecter au serveur d’authentification à l’aide d’invitations oSolutions personnalisées utilisant l’API : ▪Endpoints de la nouvelle API (ESA 2.8 et versions ultérieures) : /, /auth/v2, /manage/v2 ▪Endpoints de l’ancienne API (ESA 2.7 et versions antérieures) : auth/v1, manage/useres/v • Page Web du Connecteur de fournisseur d’identité Types d’accès externe • VPN 50 • Proxy inverse • Proxy transparent Après avoir configuré un proxy inverse ou transparent, vous devez configurer ESA afin d’utiliser l’adresse externe pour les invitations et le Connecteur de fournisseur d’identité. Configurer ESA pour l’accès externe Pour rendre le serveur d’authentification ou le Connecteur de fournisseur d’identité accessibles publiquement, procédez comme suit : I.Serveur d’authentification Configurez l’adresse externe pour utiliser des invitations lors de l’installation des composants ESA en mode Autonome. 1. Dans ESA Web Console, accédez à Components (Composants) > Invitations > Server Access (Accès au serveur). 2. Cliquez sur Edit (Modifier) (icône en forme de crayon) sous External Access (Accès externe). 3. Saisissez l’adresse externe en prenant soin d’inclure le port, puis appuyez sur Enter (Entrée). 4. Si vous ne souhaitez pas que l’adresse interne du serveur d’authentification soit incluse dans les détails de l’invitation, cochez la case correspondante. 5. Cliquez sur Save. II.Connecteur de fournisseur d’identité (IdP Connector) 1. Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité), sélectionnez un connecteur de fournisseur d’identité configuré, puis cliquez sur Settings (Paramètres). 2. Remplacez l’URL du site (Site URL) par l’adresse externe où le serveur d’authentification est disponible. 3. Cliquez sur Apply. Plusieurs adresses pour le serveur d’authentification Les composants ESA se connectent au serveur d’authentification via l’adresse indiquée dans l’invitation. Pour fournir plusieurs adresses auxquelles les composants peuvent se connecter, procédez comme suit. Installation à l’aide du programme d’installation .EXE 1. Une fois le composant installé, ouvrez C:\ProgramData\ESET Secure Authentication\ESA.config. 2. Ajoutez <add key="AuthenticationServerAddress_Other" value="<desired_addresses>" 51 /> juste au-dessus de </appSettings>. 3. Remplacez <desired_addresses> par les adresses supplémentaires du serveur d’authentification, en les séparant par un point-virgule. 4. Enregistrez les modifications. Installation silencieuse (.MSI) Si vous utilisez le programme d’installation .MSI, utilisez l’argument ESA_COMPUTER_CONFIG_AUTHENTICATION_SERVER_ADDRESS_OTHER pour définir les adresses supplémentaires du serveur d’authentification en les séparant par un point-virgule. Utilisation d’un proxy inverse Le proxy inverse possède son propre certificat, déchiffre la communication entrante et la chiffre à nouveau à l’aide du certificat du serveur cible. Lorsque vous utilisez ESET Secure Authentication derrière un serveur proxy inverse (par exemple, pour rendre le serveur d’authentification accessible via une adresse du domaine public), tenez compte des informations cidessous. • Dans les détails de l’invitation : oUtilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification. oUtilisez le hachage de certificat du certificat du serveur proxy. • Si le serveur d’authentification est installé en mode Active Directory Integration (Intégration Active Directory) : oLes composants ESA (par exemple, Windows Login, Remote Desktop Protection, RADIUS) doivent être installés en mode Standalone (Autonome). oDans l’invitation, utilisez l’adresse IP du serveur proxy au lieu du nom du serveur d’authentification. oImpossible de se connecter à ESA Web Console à l’aide de l’authentification de domaine Si vous souhaitez utiliser un serveur proxy pour la redirection de port uniquement, vous devez toujours régénérer un certificat de serveur avec le nouveau IP_address:port en tant que nom alternatif. Découvrez comment configurer un proxy pour ESA Configurer un proxy pour ESA L’exemple ci-dessous fait référence à l’utilisation de Nginx comme serveur proxy inverse pour ESET Secure Authentication. Configurez le proxy inverse Nginx tout en appliquant les paramètres ci-dessous. Utilisez l’un des exemples de 52 scripts de configuration ci-dessous dans le fichier nginx.conf, par exemple juste après la partie events { ... }. 1. Utilisez ip_hash pour vous assurer que les conditions suivantes sont remplies : • Un composant se connecte toujours au même serveur • Lorsque vous accédez à la console Web, le navigateur contacte toujours le même serveur 2. Définissez le port d’écoute sur 443. 3. Définissez le certificat SLL que vous avez généré. Exemple de génération d’un certificat auto-signé. Les exemples d’extraits de code de configuration partent du principe que le certificat et la clé de certificat générés de façon personnalisée se trouvent dans « D:\ESAcustomCertificate.crt » et « D:\ESAcustomCertificate.key ». Exemple d’extrait de code de configuration - Un seul serveur d’authentification http { sendfile on; upstream esa_servers { ip_hash; server esa01.local:8001; } server { listen 443 ssl; ssl_certificate D:\ESAcustomCertificate.crt; ssl_certificate_key D:\ESAcustomCertificate.key; location / { proxy_pass https://esa_servers; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; } } } 53 Exemple d’extrait de code de configuration - Plusieurs serveurs d’authentification http { sendfile on; upstream esa_servers { ip_hash; server esa01.local:8001; server esa02.local:8001; } server { listen 443 ssl; ssl_certificate D:\ESAcustomCertificate.crt; ssl_certificate_key D:\ESAcustomCertificate.key; location / { proxy_pass proxy_redirect proxy_set_header proxy_set_header proxy_set_header proxy_set_header } https://esa_servers; off; Host $host; X-Real-IP $remote_addr; X-Forwarded-For $proxy_add_x_forwarded_for; X-Forwarded-Host $server_name; } } Serveur d’authentification et Nginx sur une autre machine Windows Server Si Nginx se trouve sur une machine Windows Server différente de celle du serveur d’authentification, importez le certificat de ESET Secure Authentication dans le magasin de certificats de la machine Nginx, en particulier dans Certificats (Ordinateur local) > Personnes de confiance. Si vous recevez un message indiquant un problème de certificat lorsque vous tentez d’accéder à ESA Web Console à partir d’un ordinateur, 54 ajoutez une exception. Ajoutez une exception de certificat Mozilla Firefox 1. Cliquez sur Advanced (Avancé) > Add Exception (Ajouter une exception). 2. Dans la fenêtre Add Security Exception (Ajouter une exception de sécurité), assurez-vous que l’option Permanently store this exception (Stocker définitivement cette exception) est sélectionnée. 3. Cliquez sur Confirm Security Exception (Confirmer l’exception de sécurité). Google Chrome 1. Cliquez sur Advanced (Avancé). 2. Cliquez sur Proceed to <web address of ESA Web Console> (unsafe) [Passer à <adresse Web ESA Web Console> (non sécurisé)]. 3. À ce stade, Google Chrome mémorise l'exception. Internet Explorer 11 1. Cliquez sur Continue to this website (not recommended) [Continuer sur ce site Web (non recommandé)]. 2. Dans la section droite de la barre d’adresses, cliquez sur Certificate error (Erreur de certificat) > View certificates (Afficher les certificats), puis cliquez sur Install Certificate (Installer le certificat). 3. Dans la fenêtre Certificate Import Wizard (Assistant Importation de certificat), sélectionnez Local Machine (Ordinateur local) pour Store Location (Emplacement du magasin), puis cliquez sur Next (Suivant). 4. Sur l’écran suivant, sélectionnez Place all certificates in the following store (Placer tous les certificats dans le magasin suivant), puis cliquez sur Browse (Parcourir). 5. Cochez la case Show physical stores (Afficher les magasins physiques), sélectionnez Trusted Root Certification Authorities (Autorités de certification racines de confiance), puis cliquez sur OK. 6. Cliquez sur Next (Suivant), puis sur Finish (Terminer). 7. Redémarrer l’ordinateur. Microsoft Edge Essayez d’abord d’accéder à Web Console dans Internet Explorer 11, puis effectuez les étapes d’ajout d’exception de certificat comme décrit pour Internet Explorer 11. Proxy transparent Un proxy transparent transfère la communication sécurisée (flux HTTPS) sans lui apporter la moindre modification. 1. Régénérez le certificat du serveur. 2. Remplacez le certificat du serveur par le certificat régénéré. 3. Faites approuver le certificat de serveur le cas échéant. Certificat SSL Le serveur d’authentification et l’API utilisent un certificat SSL pour sécuriser les communications contre les écoutes. Le programme d’installation sélectionne automatiquement un certificat approprié installé sur la machine ou génère un nouveau certificat auto-signé s’il n’en trouve aucun. • Générer un certificat SSL personnalisé • Remplacer le certificat SSL 55 Remplacement du certificat SSL Liens rapides : Importation du nouveau certificat, Remplacement du certificat ESA, Remplacement du certificat ESA IdP Connector Le serveur d’authentification et l’API utilisent un certificat SSL pour sécuriser les communications contre les écoutes. Le programme d’installation sélectionne automatiquement un certificat approprié installé sur la machine ou génère un nouveau certificat auto-signé s’il n’en trouve aucun. Cette section explique comment remplacer le certificat par un autre certificat de votre choix. Il vous aide à importer votre nouveau certificat dans Windows, puis à l’utiliser pour ESA. Conditions préalables requises Pour suivre ce guide, vous aurez besoin des éléments suivants : • Une installation du composant ESA Authentication Server • Un accès administrateur à l’ordinateur sur lequel ESET Secure Authentication est installé • Le certificat SSL que vous souhaitez utiliser au format PKCS12 (.pfx ou .p12) oLe fichier de certificat doit contenir une copie de la clé privée ainsi que de la clé publique Importation du nouveau certificat Le nouveau certificat doit être placé dans le magasin personnel de l’ordinateur local avant utilisation. 1. Lancez la console de gestion Microsoft (MMC) : a.Cliquez sur Démarrer, tapez « mmc.EXE » et appuyez sur Enter (Entrée). 2. Ajoutez le composant logiciel enfichable Certificats : a.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable. b.Sélectionnez Certificats dans la colonne de gauche. c.Cliquez sur Ajouter. d.Sélectionnez Compte d’ordinateur. e.Cliquez sur Suivant. f.Sélectionnez Ordinateur local. g.Cliquez sur Terminer. h.Cliquez sur OK. 3. Pour enregistrer le composant logiciel enfichable en vue d’une utilisation ultérieure, cliquez sur Fichier > Enregistrer. 56 4. Sélectionnez le nœud Certificats (ordinateur local) > Personnel dans l’arborescence. 5. Cliquez avec le bouton droit de la souris et sélectionnez Toutes les tâches > Importer. 6. Suivez l’Assistant Importation et veillez à ajouter le certificat à l’emplacement Personnel du magasin de certificats. 7. Double-cliquez sur le certificat et vérifiez que la ligne Vous avez une clé privée qui correspond à ce certificat s’affiche. Remplacement du certificat ESA Le serveur d’authentification ne démarre pas sans certificat Le service ESACore (serveur d’authentification) ne démarre pas sans certificat configuré. Si vous supprimez le certificat, vous devez en ajouter un autre pour que le service ESACore s’exécute correctement. Déterminer le certificat correct à utiliser 1. Ouvrez le Gestionnaire de certificats MMC en suivant les étapes ci-dessus. 2. Dans le dossier Personnel, double-cliquez sur le certificat applicable. 3. Dans l’onglet Général, vérifiez que le message Vous avez une clé privée qui correspond à ce certificat s’affiche. 4. Dans l’onglet Détails, sélectionnez le champ Empreinte. 5. L’empreinte du certificat est affichée dans le volet inférieur (ensembles de deux chiffres hexadécimaux séparés par des espaces). Windows Server 2008+ 1. Cliquez sur Démarrer et tapez « cmd.EXE ». 2. Dans la liste des programmes, cliquez avec le bouton droit sur l’élément cmd.EXE et sélectionnez Exécuter en tant qu’administrateur. 3. Saisissez netsh http show sslcert ipport=0.0.0.0:8001, puis appuyez sur Enter. 4. Copiez et collez le contenu du champ Certificate Hash (Hachage du certificat) dans un endroit sûr si vous souhaitez ajouter à nouveau le certificat existant plus tard. 5. Tapez netsh http delete sslcert ipport=0.0.0.0:8001 et appuyez sur la touche Enter (Entrée). 6. Le message SSL Certificate successfully deleted (Le certificat SSL a bien été supprimé) devrait s’afficher. 7. Tapez netsh http add sslcert ipport=0.0.0.0:8001 appid={BA5393F7-AEB1-4AC6B759-1D824E61E442} certhash=<THUMBPRINT>, mais remplacez <THUMBPRINT> par les valeurs de l’empreinte du certificat sans espaces et appuyez sur Entrée. 8. Le message SSL Certificate successfully added (Le certificat SSL a bien été ajouté) devrait s’afficher. 57 9. Redémarrez le service ESACore pour que le nouveau certificat prenne effet. Remplacement du certificat ESA IdP Connector 1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS). 2.Accédez à <your_domain> (<votre domaine>) > Sites. 3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons). 4.Double-cliquez sur https. 5. Sélectionnez le nouveau certificat dans SSL certificate (Certificat SSL). 6. Cliquez sur OK > Close (Fermer). Pour modifier le port d’ESA IdP Connector, procédez comme suit : 1.Sur votre serveur Windows, lancez le Gestionnaire des services Internet Information Services (IIS). 2.Accédez à <your_domain> (<votre domaine>) > Sites. 3.Cliquez avec le bouton droit de la souris et sélectionnez ESA Identity Provider Connector (Connecteur de fournisseur d’identité ESA) > Edit Bindings (Modifier les liaisons). 4.Double-cliquez sur https. 5. Modifiez la valeur de Port. 6. Cliquez sur OK > Close (Fermer). La clé privée du certificat IdP Connector n’est lisible que par l’utilisateur Local System (système local). Par conséquent, il peut y avoir un problème lors de la reconfiguration de la liaison dans le gestionnaire IIS sur certains systèmes. Si vous rencontrez ce problème, vous pouvez générer un certificat personnalisé et remplacer le certificat par défaut. Générer un certificat SSL personnalisé (auto-signé) Générer un certificat auto-signé à l’aide de Windows PowerShell Générez un certificat SSL personnalisé et importez-le dans les magasins essentiels sur Windows Server 2012 R2. 1. Ouvrez Windows PowerShell. 2. Exécutez les commandes suivantes : a.$customcertificate = New-SelfSignedCertificate -DnsName "<FQDN>" CertStoreLocation "cert:\localmachine\my" 58 Dans la commande ci-dessus, remplacez <FQDN> par la version de nom d’objet correspondante affichée dans ESA Web Console > Components (Composants) > Invitations > Server access (Accès au serveur). Si vous définissez plusieurs noms DNS, par exemple : -DnsName "my.esa.installation.com", "my.authentication.server", "twofactor.auth" La première entrée (« my.esa.installation.com » dans l’exemple ci-dessus) sera utilisée dans le champ Subject (Objet), et les entrées suivantes seront utilisées dans le champ Subject Alternative Name (Nom alternatif de l’objet) du certificat. b.$exportpassword = ConvertTo-SecureString -String '<password>' -Force AsPlainText Dans la commande ci-dessus, remplacez <password> par le mot de passe de votre choix. c.$certPath = 'cert:\localMachine\my\' + $customcertificate.thumbprint d.Export-PfxCertificate -cert $certPath -FilePath $env:USERPROFILE\Desktop\ESAcustomCertificate.pfx -Password $exportpassword Cette dernière commande placera le certificat ESAcustomCertificate.pfx sur votre bureau. 3. Pour ouvrir la boîte de dialogue Exécuter, appuyez sur les touches Windows + R. 4. Ajoutez le composant logiciel enfichable Certificat : a.Saisissez mmc, puis appuyez sur Entrée. b.Cliquez sur Fichier > Ajouter/supprimer un composant logiciel enfichable. c.Sélectionnez Certificats > Ajouter. d.Sélectionnez Compte d’ordinateur, cliquez sur Suivant, puis sur Terminer. Cliquez ensuite sur OK pour fermer la fenêtre Ajouter ou supprimer des composants logiciels enfichables. 5. Importer le certificat applicable : a.Dans le volet de gauche de la console MMC, développez Certificats (Ordinateur local) > Personnel, puis cliquez avec le bouton droit sur Certificats. b.Sélectionnez Toutes les tâches > Importer. c.Dans l’assistant d’importation, cliquez sur Suivant, puis sur Parcourir. Dans le menu déroulant d’extension de fichier, sélectionnez Personal Information Exchange (*.pfx, *.p12), recherchez le fichier de certificat exporté, cliquez sur Ouvrir, puis sur Suivant. d.Tapez le mot de passe utilisé dans la deuxième commande ci-dessus, puis cliquez sur Suivant. e.Sélectionnez Placer tous les certificats dans le magasin suivant, puis tapez le nom de magasin Personnel. Cliquez sur Suivant, puis sur Terminer. 6. Dans le volet de gauche de la console MMC, développez Certificats (ordinateur local) > Autorités de certification racines de confiance, puis cliquez avec le bouton droit sur Certificats. 59 7. Sélectionnez Toutes les tâches >, Importer, puis répétez les étapes 6a à 6c. 8. Double-cliquez sur le certificat dans Certificats (ordinateur local) > Personnel > Certificats, puis vérifiez que la ligne Vous disposez d’une clé privée qui correspond à ce certificat s’affiche. Si vous avez besoin de fichiers .crt et .key au lieu d’un fichier .pfx, convertissez le fichier .pfx en fichier .crt et .key à l’aide d’OpenSSL ou d’une autre méthode de votre choix. Convertir un fichier .pfx en fichiers .crt et .key à l’aide d’OpenSSL Vérifiez qu’OpenSSL pour Windows est installé, puis exécutez les commandes ci-dessous. openssl pkcs12 -in D:\ESAcustomCertificate.pfx -clcerts -nokeys out D:\ESAcustomCertificate.crt Lorsque Enter Import Password (Entrer le mot de passe d’importation) s’affiche, tapez le mot de passe défini dans la commande Export-PfxCertificate lors de la génération du certificat via Windows PowerShell. openssl pkcs12 -in D:\ESAcustomCertificate.pfx -nocerts out D:\ESAcustomCertificate_encrypted.key Pour Enter PEM pass phrase (Entrer la phrase secrète PEM), définissez un nouveau mot de passe d’au moins quatre caractères. openssl rsa -in D:\ESAcustomCertificate_encrypted.key out D:\ESAcustomCertificate.key Lorsque vous y êtes invité, tapez le même mot de passe que celui que vous avez défini pour Enter PEM pass phrase (Entrer la phrase secrète PEM). Générer un certificat auto-signé à l’aide d’OpenSSL Vérifiez qu’OpenSSL pour Windows est installé. Créer un fichier de configuration Pour éviter un avertissement « Certificat non valide », le fichier ESAcustomCertificate.conf doit inclure la liste des noms DNS alternatifs via lesquels le serveur d’authentification sera disponible. La commande ci-dessus générera les fichiers newKey.rsa et newCertificate.crt. Exemple de contenu du fichier ESAcustomCertificate.conf : [ req ] default_bits 60 = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext x509_extensions = x509_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = SK stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Slovakia localityName = Locality Name (eg, city) localityName_default = Bratislava organizationName = Organization Name (eg, company) organizationName_default = My company running ESA commonName = Common Name (e.g. server FQDN) commonName_default = my.esa.installation.com [ req_ext ] subjectAltName = @alternative_names [ x509_ext ] subjectAltName = @alternative_names [alternative_names] DNS.1 = my.esa.installation.com DNS.2 = my.authentication.server DNS.3 = twofactor.auth DNS.4 = 192.168.0.1 IP.1 = 192.168.0.1 Générez un certificat et une clé OpenSSL à l’aide de la ligne de commande Windows. openssl req -config D:\ESAcustomCertificate.conf -new -x509 -sha256 - 61 newkey rsa:2048 -nodes -keyout D:\ESAcustomCertificate.key -days 365 out D:\ESAcustomCertificate.crt Si commonName a été préconfiguré correctement dans le fichier de configuration, appuyez sur Entrée lorsque l’invite CommonName s’affiche. Faire en sorte que les certificats soient approuvés Les certificats signés par une autorité de certification généralement approuvée seront automatiquement approuvés partout. Certificats qui doivent être approuvés : • Certificats auto-signés • Certificats signés à l’aide d’une autorité de certification personnalisée. L’autorité de certification personnalisée doit également être approuvée. La plupart des navigateurs peuvent fonctionner avec des certificats non approuvés, mais affichent un avertissement. Vous pouvez éviter l’avertissement en ajoutant une exception de certificat. Cependant, cela n’est pas recommandé. Ajout de certificats au magasin système Avec quoi cela fonctionne-t-il ? • Les composants qui se connectent au serveur d’authentification • Certains navigateurs, par exemple, Internet Explorer, Microsoft Edge, Google Chrome Avec quoi cela ne fonctionne-t-il pas ? • Firefox • Accès à l’API client via des solutions qui n’utilisent pas le magasin système pour vérifier les certificats Où importer au sein du magasin système ? • Utilisateur actuel/Ordinateur local oUtilisateur actuel : fonctionne uniquement pour l’utilisateur actuel (par exemple, l’accès à partir d’un navigateur) oMachine locale : fonctionne partout (par exemple, les composants ESA qui s’exécutent en tant que système local) • Personnes de confiance/Autorités de certification racines de confiance oUtilisez des autorités de certification racines de confiance s’il s’agit d’un certificat d’autorité de certification 62 Comment importer ? À l’aide d’un fichier de certificat : 1. Double-cliquez sur le fichier de certificat (par exemple, .crt). 2. Sélectionnez Installer le certificat et suivez les instructions de l’assistant d’installation. À l’aide de la console MMC : 1. Appuyez sur + R, saisissez mmc.EXE, puis appuyez sur Entrée. 2. Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable > Certificats > Ajouter. 3. Sélectionnez Compte d’ordinateur, puis cliquez sur Suivant. 4. Sélectionnez Ordinateur local, cliquez sur Terminer, puis sur OK. 5. Dans le volet de navigation de gauche, développez l’un des éléments suivants : a)Certificats > Personnes de confiance pour importer un certificat auto-signé b)Certificats > Autorités de certification racines de confiance 6. Cliquez avec le bouton droit sur Certificats, sélectionnez Toutes les tâches > Importer. 7. Suivez les instructions de l’assistant Importation de certificat. Lors de l’installation d’un composant ESA sur un ordinateur en mode Autonome, l’invitation ajoute les informations de certificat envoyées par le serveur d’authentification au magasin Personnes de confiance. HSTS (HTTP Strict Transport Security) L’en-tête de réponse HTTP Strict-Transport-Security (HSTS) permet à un site Web (domaine) d’indiquer aux navigateurs qu’il ne doit être accessible qu’avec le protocole HTTPS et non avec le protocole HTTP. Ce mécanisme permet de protéger les sites Web contre les cyberattaques. Pour activer HSTS pour ESA Authentication Server, procédez comme suit : 1. Ouvrez le fichier C:\Program Files\ESET Secure Authentication\EIP.Core.WindowsService.exe.config avec un éditeur de texte, par exemple, le Bloc-notes. 2. Ajoutez <add key="StrictTransportSecurityEnabled" value="true" /> à ce fichier après la balise <appSettings>. 63 Exemple de fichier EIP.Core.WindowsService.EXE.config modifié <?xml version="1.0" encoding="utf-8"?> ... <configuration> <appSettings> <add key="StrictTransportSecurityEnabled" value="true" /> ... </appSettings> ... </configuration> ... ... représente le code existant à laisser intact dans le fichier .config. 3. Redémarrer le service ESACore Pour activer HSTS pour le Connecteur de fournisseur d’identité d’ESA, appliquez les modifications mentionnées cidessus dans le fichier C:\Program Files\ESET Secure Authentication\IdentityProviderConnector\Web.config. Faites attention aux navigateurs qui se souviennent du paramètre HSTS par domaine. L’activation de HSTS dans votre instance ESA peut influencer d’autres sites Web accessibles à partir du même domaine (ou nom d’hôte) que votre instance ESA. Pour éviter un tel problème, rendez votre instance ESA accessible sur un domaine distinct (nom d’hôte). Ajoutez le domaine aux enregistrements DNS ou aux fichiers d’hôte et régénérez le certificat ESA pour inclure ce domaine dans le nom d’objet (et/ou l’autre nom d’objet) du certificat. Prise en charge du DNS géolocalisé Cette rubrique s’applique uniquement si ESA est installé en mode Intégration Active Directory. S’il existe plusieurs sites dans votre domaine Active Directory basés sur un emplacement géographique, chaque ordinateur connecté à votre domaine appartient à un site spécifique. Si un serveur d’authentification est installé sur chaque site, vérifiez que les ordinateurs appropriés s’authentifient auprès du serveur d’authentification correspondant. Les étapes ci-dessous décrivent comment ajouter un enregistrement d’emplacement du service (SRV) dans un système d’exploitation Windows Server 2012 R2. 1. Sur votre ordinateur principal, qui est le contrôleur du domaine, cliquez sur Démarrer > Outils d’administration > DNS. 2. Dans Gestionnaire DNS, développez Zones de recherche directe > <your domain> (<votre domaine>) > _sites. 3. Recherchez _tcp pour chaque site sous _sites. 4. Cliquez avec le bouton droit sur une occurrence de _tcp, sélectionnez Autres nouveaux enregistrements > Emplacement du service (SRV), puis cliquez sur Créer un enregistrement. 5. Tapez _esetsecauth dans le champ Service et _tcp dans le champ Protocole . 6. Définissez la priorité et le poids sur 100. 64 7. Définissez le numéro de port sur 8000, sauf si vous avez modifié le numéro de port lors de l’installation du serveur d’authentification. 8. Tapez le nom de domaine complet (FQDN) du serveur d’authentification applicable dans le site correspondant. 9. Cliquez sur OK, puis sur Terminé. Prise en main d’ESET Secure Authentication Web Console Lorsque tous les composants ESA requis ont été installés, une configuration de base est nécessaire via ESA Web Console. Sur votre bureau, double-cliquez sur le raccourci ESA Web Console. Certificat ESA Web Console ESA Web Console utilise un certificat auto-signé. Si vous accédez à Web Console à partir d’une machine différente de celle du serveur d’authentification, vous recevrez un message indiquant un problème de certificat. L’accès à Web Console via Mozilla Firefox à partir de la machine hébergeant le serveur d’authentification entraînera également l’apparition d’un message indiquant un problème de certificat. Pour éviter un message indiquant un problème de certificat, ajoutez une exception. Ajoutez une exception de certificat Mozilla Firefox 1. Cliquez sur Advanced (Avancé) > Add Exception (Ajouter une exception). 2. Dans la fenêtre Add Security Exception (Ajouter une exception de sécurité), assurez-vous que l’option Permanently store this exception (Stocker définitivement cette exception) est sélectionnée. 3. Cliquez sur Confirm Security Exception (Confirmer l’exception de sécurité). Google Chrome 1. Cliquez sur Advanced (Avancé). 2. Cliquez sur Proceed to <web address of ESA Web Console> (unsafe) [Passer à <adresse Web ESA Web Console> (non sécurisé)]. 3. À ce stade, Google Chrome mémorise l'exception. Internet Explorer 11 1. Cliquez sur Continue to this website (not recommended) [Continuer sur ce site Web (non recommandé)]. 2. Dans la section droite de la barre d’adresses, cliquez sur Certificate error (Erreur de certificat) > View certificates (Afficher les certificats), puis cliquez sur Install Certificate (Installer le certificat). 3. Dans la fenêtre Certificate Import Wizard (Assistant Importation de certificat), sélectionnez Local Machine (Ordinateur local) pour Store Location (Emplacement du magasin), puis cliquez sur Next (Suivant). 4. Sur l’écran suivant, sélectionnez Place all certificates in the following store (Placer tous les certificats dans le magasin suivant), puis cliquez sur Browse (Parcourir). 5. Cochez la case Show physical stores (Afficher les magasins physiques), sélectionnez Trusted Root Certification Authorities (Autorités de certification racines de confiance), puis cliquez sur OK. 6. Cliquez sur Next (Suivant), puis sur Finish (Terminer). 7. Redémarrer l’ordinateur. Microsoft Edge Essayez d’abord d’accéder à Web Console dans Internet Explorer 11, puis effectuez les étapes d’ajout d’exception de certificat comme décrit pour Internet Explorer 11. 65 Connectez-vous à ESA Web Console. Connectez-vous à l’aide des identifiants d’accès ESA Web Console que vous avez créés lors de l’installation du serveur d’authentification. Dans un environnement Active Directory (AD), si le type de déploiement Intégration Active Directory a été utilisé, connectez-vous en cliquant sur Use domain authentication (Utiliser l’authentification du domaine) dans un navigateur pris en charge. L’authentification du domaine utilise l’identité de l’utilisateur qui est actuellement connecté sur la machine. Activez votre installation de ESET Secure Authentication. La console Web fournit un aperçu rapide des éléments suivants : • Users (Utilisateurs) : nombre total d’utilisateurs, nombre d’utilisateurs avec l’authentification à 2 facteurs activée, nombre d’utilisateurs avec une configuration incomplète de l’authentification à 2 facteurs, nombre d’utilisateurs bloqués. Si le nombre d’utilisateurs avec Authentification à 2 facteurs activée, d’utilisateurs avec Configuration incomplète ou d’utilisateurs Verrouillés est supérieur à 0, cliquez sur le nombre en question pour répertorier les utilisateurs associés. • Servers (Serveurs) : état (en ligne/hors ligne) et version du serveur d’authentification installé. S’il y a plusieurs sites dans votre domaine Active Directory et que le serveur d’authentification est installé dans chaque site, la section Serveurs répertorie chaque serveur d’authentification. • Components (Composants) : liste et nombre de composants ESA utilisés, nombre de composants ESA obsolètes. Cliquez sur le numéro dans la colonne Out of date (Obsolète) pour afficher les ordinateurs/services associés. 66 • License (Licence) : nombre d’utilisateurs, crédits SMS restants, jours de licence restants. Pour configurer l’authentification à 2 facteurs (2FA) pour une application Web prise en charge, reportez-vous à la section Web Application Protection. Pour configurer l’authentification à 2 facteurs (2FA) sur votre VPN, reportezvous à la section Protection VPN. Pour configurer l’authentification à 2 facteurs (2FA) pour Remote Desktop, reportez-vous à la section Remote Desktop Protection. Pour protéger la connexion Windows avec l’authentification à 2 facteurs (2FA), reportez-vous à l’installation du plugin Windows Login. Pour ajouter l’authentification à 2 facteurs à un processus d’authentification unique, reportez-vous à Connecteur de fournisseur d’identité. Commentaires Vous pouvez fournir des commentaires sur ESET Secure Authentication via la section Submit feedback (Envoyer les commentaires) dans ESA Web Console. Cette section n’apparaît que si votre installation de ESET Secure Authentication a été activée. Activer ou désactiver l’authentification à 2 facteurs ou FIDO pour ESA Web Console Pour activer ou désactiver l’authentification à 2 facteurs pour ESA Web Console, accédez à Components (Composants) > ESA Web Console, puis activez Enable 2FA for Web Console (Activer l’authentification à 2 facteurs pour Web Console) ou FIDO. Si l’authentification à 2 facteurs (par défaut) ou FIDO est activé pour un utilisateur Administrateur de domaine , l’accès à l’écran Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory) > ESET Secure Authentication et à ESA Management Console est supprimé. Pour permettre l’accès à ces écrans, désactivez l’authentification à 2 facteurs et/ou FIDO pour ESA Web Console. Activer ESET Secure Authentication Activez votre système ESA à l’aide d’une licence ESA ou d’identifiants de connexion ESET Business Account (EBA) ou ESET MSP Administrator (EMA). Vous pouvez obtenir une licence auprès de votre distributeur ESET. Pour activer votre serveur ESA (ESA Server), procédez comme suit : 1. Lancez ESA Web Console. 2. Cliquez sur Settings (Paramètres) > License (Licence), puis sélectionnez la méthode d’activation appropriée : • ESET Business Account : pour les utilisateurs ESET Business Account (EBA) enregistrés qui possèdent une licence ESET Secure Authentication importée dans EBA. Votre nom d’utilisateur et votre mot de passe EBA (ou EMA) sont requis. De plus, si vous souhaitez utiliser des mots de passe à usage unique par SMS, vous avez besoin de ce type d’activation pour pouvoir ajouter des crédits SMS. • Enter a License Key (Entrez la clé de licence) : pour les utilisateurs ayant acheté une clé de licence ESET Secure Authentication. • Offline License (Licence hors ligne) : utilisez cette option si le serveur d’authentification ESA (ESA Authentication Server) ne parvient pas à se connecter à Internet et que ESA sera utilisé dans un environnement hors ligne. Dans ce cas, le serveur de provisionnement n’est pas disponible et seules certaines 67 méthodes d’authentification sont disponibles. 3. Lorsque votre licence est active, configurez le nom de votre jeton [le nom qui sera affiché dans l’application mobile (Mobile Application) sur le téléphone des utilisateurs] sous Settings (Paramètres) > Mobile application (Application mobile) > Account name (Nom du compte). Activation d’ESA à l’aide des identifiants de connexion EBA ou EMA 1. Dans ESA Web Console, cliquez sur Settings (Paramètres) > License (Licence). 2. Sélectionner ESET Business Account. 3. Saisissez vos identifiants de connexion EBA ou EMA. 4. S’il n’y a qu’une seule licence ESA dans votre compte EBA ou EMA et qu’aucun site n’a été créé, l’activation se fera instantanément. Sinon, vous devrez sélectionner une licence spécifique ou un site (groupe de licences) pour activer ESA. 5. Cliquez sur Activate. Plus d’informations sur l’activation d’ESA via EBA. Consommation de sièges de licence Chaque utilisateur pour lequel une méthode d’authentification est activée (même si elle n’est pas fonctionnelle) consomme un siège de licence. Si un type d’authentification par défaut est activé dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification par défaut), chaque nouvel utilisateur consommera un siège de licence. Gestion des utilisateurs - Provisionnement Toute la gestion des utilisateurs s’effectue dans la section Users (Utilisateurs) de Web Console. Le provisionnement est le processus consistant à fournir aux utilisateurs la possibilité de s’authentifier avec un deuxième facteur lors de l’accès aux appareils/services protégés par ESET Secure Authentication. Depuis ESA 3.0, le numéro de téléphone n’est plus indispensable pour utiliser l’application mobile ESA, sauf si le provisionnement par SMS est utilisé. Le numéro de téléphone de chaque utilisateur est saisi manuellement lors de la création/modification de l’utilisateur dans Web Console, ou importé automatiquement avec les informations utilisateur lors de la synchronisation avec LDAP, ou tapé par l’utilisateur si l’auto-inscription est activée. Chaque utilisateur appartient à un domaine (domaine, nom d’ordinateur, etc.). Les domaines et les utilisateurs sont créés automatiquement lorsqu’un utilisateur ouvre une session sur une machine sur laquelle un composant ESA est installé, se connecte à un service protégé par ESA ou si ESA est synchronisé avec LDAP. Vous pouvez aussi créer manuellement des domaines personnalisés. L’image ci-dessous montre un domaine personnalisé et un domaine automatique. Le domaine personnalisé a été créé manuellement (Custom Realm) et l’utilisateur Test User y a été ajouté. Le domaine automatique et ses deux utilisateurs (admin, Test) ont été créés automatiquement. Le nom de domaine provient de l’ordinateur sur lequel la protection de connexion Windows est installée et sue lequel les deux utilisateurs ont ouvert une session. 68 La colonne Status (État) indique si l’utilisateur a activé l’authentification à 2 facteurs (et s’il l’a utilisé au moins une fois) ou si la configuration de l’authentification à 2 facteurs est en attente. La colonne Display Name (Nom d’affichage) affiche la valeur du champ Display Name (Nom d’affichage). Il peut être défini manuellement par utilisateur ou synchronisé automatiquement à partir d’Active Directory (ou LDAP) en fonction de la configuration en accédant à Settings (Paramètres) > Default Fields (Champs par défaut) et en sélectionnant Default display name field (Champ de type de nom par défaut) en tant que type de champ (Field type). Créer manuellement un domaine personnalisé 1. Cliquez sur l’icône à côté de Realms (Domaines), puis cliquez sur Create custom Realm (Créer un domaine personnalisé). 2. Tapez la chaîne souhaitée pour l’ID de domaine (Realm ID) et le nom du domaine (Realm Name). Sélectionnez Category (Catégorie), puis cliquez sur Save (Enregistrer). Pour créer manuellement un domaine correspondant à un domaine Active Directory, vous devez trouver le GUID. Obtenir un GUID de domaine à partir d’ADUC 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Cliquez avec le bouton droit sur le nom de domaine, sélectionnez Propriétés. 3. Cliquez sur l’onglet Éditeur d’attributs, puis recherchez ObjectGUID. 4. Utilisez la valeur ObjectGUID dans le champ Realm ID (ID de domaine) lors de la création manuelle du 69 domaine. Obtenir un GUID de domaine via PowerShell 1. Ouvrez Windows PowerShell. 2. Exécutez l’une des commandes suivantes : Get-ADDomain | select -Property ObjectGUID OU wmic ntdomain list full Pour créer manuellement un domaine qui correspond à un ordinateur local (utilisateurs autres que le domaine), vous avez besoin du SID. 1. Téléchargez PsGetSid. 2. Exécutez PsGetsid.EXE ou PsGetsid64.EXE (selon votre version de bits de Windows) à partir de l’invite de commandes Windows ou de Windows PowerShell. Ajouter manuellement un utilisateur à un domaine 1. Sélectionnez le domaine dans lequel vous souhaitez ajouter l’utilisateur. 2. Cliquez sur Add user. 3. Saisissez le nom, le numéro de téléphone et éventuellement l’adresse e-mail de l’utilisateur. 4. Cliquez sur Create user. Format du numéro de téléphone Les numéros de téléphone mobile doivent être au format international « +421987654321 », où +421 est l’indicatif du pays. Par exemple, pour saisir le numéro de téléphone slovaque 0987654321 le zéro (« 0 ») du début doit être remplacé par l’indicatif de pays « +421 », ce qui donne +421987654321. Idem pour le numéro de téléphone américain « 201-321-4567 » qui donnerait « +12013214567 » (« 1 » étant l’indicatif du pays). Vous pouvez également importer des utilisateurs dans un domaine personnalisé à partir d’un fichier. Envoyer l’application mobile aux utilisateurs La méthode de provisionnement par défaut est ESET servers, c’est-à-dire la remise par SMS, qui nécessite un téléphone valide pour envoyer le lien d’installation. 1. Cochez la case correspondant aux utilisateurs qui recevront l’application mobile. 2. Cliquez sur Send application. 70 3. Fermez la fenêtre de confirmation. Validité du lien de provisionnement La durée de validité du lien de provisionnement est de 24 heures ou jusqu’à la première utilisation. Activation de l'authentification à 2 facteurs par utilisateur Cliquez sur un utilisateur et sélectionnez les options d’authentification souhaitées. Le mot de passe à usage unique (OTP) et l’authentification Push sont les plus pratiques. Si les mots de passe à usage unique par jeton matériel (Hard Token OTPs) ont été activés et importés, les jetons matériels seront disponibles dans le menu déroulant sous le bouton bascule Hard Token (Jeton matériel). Cliquez sur Save (Enregistrer) pour enregistrer les modifications. Si une méthode d’authentification nécessite des informations, une notification s’affiche. Vous pouvez toujours enregistrer le profil de l’utilisateur et, si l’auto-inscription est activée, l’utilisateur peut renseigner les informations manquantes après s’être inscrit à l’authentification à 2 facteurs (2FA). Si les mots de passe à usage unique par application mobile ( Mobile Application OTP) ou l’authentification push par application mobile (Mobile Application Push) ont été activés, une notification s’affiche pour vous rappeler d’envoyer le message d’inscription/provisionnement à l’utilisateur pour activer l’application mobile. 71 Si vous cliquez sur Do not send (Ne pas envoyer) ou sur Cancel (Annuler), vous pouvez utiliser le bouton Actions pour envoyer le message d’inscription/provisionnement ultérieurement. Si vous cliquez sur Send (Envoyer), une fenêtre d’informations affiche l’URL unique de l’application envoyée à l’utilisateur. Activation de l’authentification à 2 facteurs pour plusieurs utilisateurs à la fois 1. Cochez la case correspondant aux utilisateurs pour lesquels vous activez l’authentification à 2 facteurs. 2. Cliquez sur 2FA (Authentification à 2 facteurs), sélectionnez Enable (Activer), puis sélectionnez l’option d’authentification souhaitée. 3. Fermez la fenêtre de confirmation. Pour obtenir des instructions sur l’installation et l’utilisation de l’application mobile, cliquez sur le système d’exploitation mobile souhaité pour être redirigé vers l’article correspondant : • Android • iPhone Consultez la liste des adresses IP et des ports utilisés pour la communication avec le serveur de provisionnement ESET Secure Authentication. État de l’utilisateur Un utilisateur peut avoir différents états lors d’un fonctionnement normal. Avant d’activer l’authentification à 2 facteurs (2FA) pour un utilisateur, ou lorsque l’état n’est pas initialisé, la colonne Status (État) de l’écran Users (Utilisateurs) est vide. • Incomplete setup: (Configuration incomplète) : l’authentification à 2 facteurs est activée, mais l’utilisateur n’a utilisée aucune des méthodes activées pour s’authentifier. • 2FA enabled: (Authentification à 2 facteurs activée) : l’utilisateur s’est authentifié avec l’authentification à 2 facteurs pour accéder à un ordinateur ou à un service protégé par ESA. Cet état s’applique également si seuls les mots de passe à usage unique par SMS et/ou les jetons matériels sont activés pour l’utilisateur et même si l’utilisateur ne s’est pas encore authentifié. 72 Des informations supplémentaires concernant l’état Incomplete setup (Configuration incomplète) sont disponibles dans le profil de l’utilisateur à côté de chaque méthode d’authentification à 2 facteurs activée. Les mots de passe à usage unique (OTP) par SMS, les mots de passe à usage unique (OTP) par application mobile (Mobile Application) ou l’authentification push par application mobile (Mobile Application Push) ou tous ces types d’authentification peuvent être activés pour un utilisateur. S’ils sont tous activés, l’utilisateur est dans ce que l’on appelle l’état de transition. Ce type d’état n’est visible que dans le profil des utilisateurs. Dans cet état, un utilisateur reçoit des mots de passe à usage unique par SMS (SMS-based OTP) lorsque des tentatives d’authentification sont lancées, mais dès qu’un mot de passe à usage unique (OTP) par application mobile valide est utilisé pour l’authentification ou qu’une notification push (demande d’authentification) est approuvée, les mots de passe à usage unique par SMS (SMS-based OTP) sont désactivés et l’utilisateur ne peut s’authentifier qu’à l’aide de mots de passe à usage unique (OTP) par application mobile ou de notifications Push. Lorsqu’un utilisateur s’est authentifié avec succès à l’aide d’un mot de passe à usage unique (OTP) d’application mobile, un drapeau vert s’affiche dans les détails de l’utilisateur. Lors de l’authentification avec un mot de passe à usage unique (OTP), un utilisateur peut saisir 10 fois un mot de passe à usage unique incorrect (OTP). Lors de la 11e tentative de mot de passe à usage unique (OTP) infructueuse, l’authentification à 2 facteurs (2FA) est verrouillée pour l’utilisateur. Cela permet d’éviter à une personne malveillante de deviner un mot de passe à usage unique (OTP) par force brute. Lorsque l’authentification à 2 facteurs (2FA) est verrouillée pour un utilisateur, le nom est surligné en rouge dans l’écran Users (Utilisateurs), l’état devient 2FA locked (Authentification à 2 facteurs verrouillée), et un triangle rouge avec un point d’exclamation, ainsi que des informations supplémentaires, s’affichent dans le profil : 73 S’il a été confirmé que l’identité de l’utilisateur ne fait pas l’objet d’une attaque, cliquez sur Actions, puis sur Unlock (Déverrouiller) pour déverrouiller l’authentification à 2 facteurs (2FA) pour l’utilisateur. Si les mots de passe à usage unique (OTP) par jeton matériel ont été activés et importés, il y a alors des états supplémentaires dans lesquels l’utilisateur peut potentiellement se retrouver. L’utilisateur peut se trouver dans un état où seuls les mots de passe à usage unique par jeton matériel (Hard Token OTP) sont activés, ou n’importe quelle combinaison des trois types de mots de passe à usage unique (OTP) est activée. L’utilisateur peut aussi se trouver dans un état de transition où les trois types de mots de passe à usage unique (OTP) sont activés. Dans cet état, l’utilisateur reçoit un mot de passe à usage unique (OTP) par SMS lorsque des tentatives d’authentification sont lancées, mais dès qu’un mot de passe à usage unique (OTP) par application mobile valide est utilisé pour l’authentification, les mots de passe à usage unique par SMS (SMS OTP) sont désactivés et l’utilisateur ne peut s’authentifier qu’à l’aide de mots de passe à usage unique par jeton matériel (Hard Token OTP) ou par application mobile. L’utilisateur peut également se trouver dans un état ou les mots de passe à usage unique par jeton matériel (Hard Token OTPs) et par SMS sont tous les deux autorisés. Synchronisation avec LDAP ESET Secure Authentication prend en charge la synchronisation avec LDAP. 74 Un administrateur peut synchroniser l’intégralité du domaine AD ou sélectionner uniquement une sousarborescence d’unité d’organisation spécifique du domaine AD. Dans le cas d’un domaine Windows, une seule sous-arborescence d’unité d’organisation peut être synchronisée par domaine AD (service d’annuaire), car l’intégralité du GUID AD devient l’ID du domaine créé. Si l’administrateur tente de synchroniser une autre sous-arborescence d’unité d’organisation de cette AD (domaine Windows), le message d’erreur « Realm '<ID>' already exists » (Le domaine <Domaine> existe déjà) s’affiche. Exemple de chemin d’accès au serveur LDAP pour synchroniser une sous-arborescence d’unité d’organisation du domaine AD « esa.local » (domaine Windows) : LDAP://<serverName>/OU=sub_OU,OU=first_OU,DC=esa,DC=local Lors de la synchronisation d’un type d’annuaire différent, l’ensemble du chemin d’accès au serveur LDAP (Server LDAP Path) devient l’ID du domaine créé. 1. Sélectionnez ESA Web Console et cliquez sur Users (Utilisateurs). 2. À côté de Realms (Domaines), cliquez sur domaine synchronisé). , puis sélectionnez Create Synchronized Realm (Créer un 3. Saisissez l’adresse de votre serveur LDAP, sélectionnez le type de serveur LDAP applicable dans le menu déroulant Sync Server type (Type de serveur de synchronisation), puis saisissez votre nom d’utilisateur et votre mot de passe LDAP. 4. S’il s’agit d’une importation unique, ne modifiez pas l’intervalle de synchronisation (Sync interval). Sinon, sélectionnez l’intervalle de synchronisation applicable. 5. Cochez la case à côté de Run immediately (Exécuter immédiatement), puis cliquez sur Save (Enregistrer). 75 Lorsque votre instance ESA est synchronisée avec LDAP, procédez comme suit pour la synchroniser à nouveau manuellement : 1. Dans la section Realms (Domaines), sélectionnez le serveur LDAP enregistré et synchronisé. 2. Cliquez sur l’icône en forme d’engrenage , puis sur Synchronize Now (Synchroniser maintenant). Paramètres de configuration pris en charge • objFilter - Obligatoire ; utilisé comme filtre pour sélectionner l’objet utilisateur dans LDAP. • AttrName - Optionnel ; nom de la propriété utilisateur LDAP stockant le nom d’utilisateur. Si Windows LDAP (LDAP Windows) est sélectionné pour Sync Server Type (Type de serveur de synchronisation), le nom d’utilisateur est lu à partir de la propriété « sAMAccountName ». Sinon, le nom d’utilisateur est lu à partir de la propriété « cn ». • AttrPhone - Optionnel ; nom de la propriété de l’utilisateur LDAP contenant le numéro de téléphone. Si le paramètre AttrPhone n’est pas utilisé, le numéro de mobile est extrait du champ utilisateur défini par défaut dans ESA Web Console > dans Settings (Paramètres) > Mobile Number Field (Champ Numéro de portable). • AuthType - Optionnel ; définit le type d’authentification utilisé lors de la connexion au serveur LDAP. La valeur par défaut est 1 (Secure) pour la plateforme Windows et 0 (None) pour l’autre plateforme. Valeurs disponibles : o0 (None) o1 (Secure) o2 (Encryption/SecureSocketsLayer) o4 (ReadonlyServer) o16 (Anonymous) o32 (FastBind) o64 (Signing) o128 (Sealing) o256 (Delegation) o512 (ServerBind) Pour en savoir plus sur chaque type d’authentification, consultez la documentation officielle de Microsoft. Importer des utilisateurs depuis un fichier ESET Secure Authentication 2.7 et versions ultérieures permettent d’importer des utilisateurs dans des domaines personnalisés à partir d’un fichier CSV ou LDF. Le fichier doit au moins contenir le nom de l’utilisateur. 76 Pour importer des utilisateurs dans un domaine personnalisé, procédez comme suit : 1. Sélectionnez un domaine personnalisé. 2. Cliquez sur l’icône d’engrenage le type de fichier. , sélectionnez Import Users (Importer des utilisateurs) puis sélectionnez 3. Accédez au fichier, puis cliquez sur Open (Ouvrir). 4. Dans la boîte de dialogue d’importation, modifiez les paramètres si nécessaire en fonction du format de votre fichier CSV. 5. Cliquez sur Import. Pour importer des utilisateurs d’un environnement Active Directory vers une installation Autonome de ESET Secure Authentication, exportez le fichier CSV ou LDF approprié à l’aide de la ligne de commande de votre contrôleur de domaine (ordinateur principal). Exporter des utilisateurs Active Directory dans un fichier • Exporter dans un fichier CSV : csvde -f output.csv -r "(objectclass=user)" -l "dn,c,l,st,postalCode,mobile,telephoneNumber,displayName,co" • Exporter dans un fichier LDF : ldifde -f export.ldf -s mydomain.com -r "(objectclass=user)" -l "cn, memberOf, distinguishedName, mobile, pager, facsimileTelephoneNumber" Auto-inscription 77 Consommation de sièges de licence Chaque utilisateur pour lequel une méthode d’authentification est activée (même si elle n’est pas fonctionnelle) consomme un siège de licence. Si un type d’authentification par défaut est activé dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification par défaut), chaque nouvel utilisateur consommera un siège de licence. Si l’auto-inscription n’est pas activée, mais que l’utilisateur possède une méthode d’authentification à 2 facteurs qui est activée, mais qui ne fonctionne pas encore en raison d’informations manquantes, il ne peut pas se connecter à une machine protégée par ESET Secure Authentication (par exemple, la protection de connexion Windows). L’utilisateur doit contacter l’administrateur pour générer une clé de récupération principale pour s’authentifier. Activer l’auto-inscription 1. Dans ESA Web Console, accédez à Settings (Paramètres) > Enrollment (Inscription). 78 2. Cliquez sur le bouton bascule souhaité sous Default authentication types (Types d’authentification par défaut) pour activer automatiquement des options d’authentification pour les nouveaux utilisateurs. 3. Cliquez sur le bouton bascule dans la section Self enrollment (Auto-inscription). 4. Cliquez sur Save. Si l’auto-inscription est activée, l’utilisateur peut s’authentifier à l’aide d’une clé de récupération principale. Pour vous inscrire, cliquez sur Set up (Configurer) et complétez les informations manquantes. Types d’authentification par défaut Pour attribuer une méthode d’authentification par défaut à de nouveaux utilisateurs (importés ou créés automatiquement après la première connexion à un environnement protégé par ESA), activez la méthode d’authentification souhaitée dans ESA Web Console dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification par défaut). Composants ESA pris en charge L’auto-inscription fonctionne avec les composants ESA suivants : • Plugin Windows Login • Plugin Remote Desktop • Plugin Web App • Connecteur de fournisseur d’identité • AD FS • ERA Web Console Ajouter une autre option d’authentification Si l’authentification par jeton matériel (Hard Token) avec push par application mobile (Mobile Application Push) comme deuxième facteur d’authentification est activée pour un utilisateur, mais que l’utilisateur a utilisé jusqu’à présent l’authentification par jeton matériel (Hard Token) avec mot de passe à usage unique (OTP) pour s’authentifier (si l’application mobile ESA n’est pas installée ou provisionnée), et souhaite maintenant utiliser une autre option d’authentification à 2 facteurs, l’auto-inscription lui permet de choisir (activer) une nouvelle option. 1. Connectez-vous à une machine protégée par ESET Secure Authentication (par exemple, la protection de connexion Windows). 2. Lorsque vous êtes invité à taper un mot de passe à usage unique associé au jeton matériel (Hard Token), cliquez sur Add another authentication method (Ajouter une autre méthode d’authentification). 3. Tapez un mot de passe à usage unique associé au jeton matériel (Hard Token). 4. Cliquez sur Setup. 5. Scannez le code QR à l’aide de l’application mobile ESA en appuyant sur l’icône + au sein de l’application, 79 effectuez l’installation et/ou le provisionnement de l’application mobile ESA. 6. Le processus d’auto-inscription nécessite que l’utilisateur vérifie que la nouvelle méthode d’authentification a bien été inscrite en approuvant les notifications push. Exemple d’auto-inscription 1. Un utilisateur a activé l’authentification push par application mobile (Mobile Application Push) comme type d’authentification par défaut ou l’administrateur l’a activée dans ESA Web Console. 2. Lors de la prochaine connexion à un ordinateur protégé par la protection de connexion Windows ESA, l’utilisateur est invité à s’inscrire dans ESET Secure Authentication. Cliquez sur Setup (Configurer). 80 3. Si l’application mobile ESA est installée, ouvrez-la, appuyez sur + et scannez le code QR affiché dans la boîte de dialogue, puis cliquez sur Continue (Continuer). Si l’application mobile n’est pas installée, scannez le code QR pour télécharger et installer l’application mobile, puis cliquez sur Continue (Continuer). 4. Confirmez la notification push envoyée sur votre téléphone. La fenêtre Verify enrollment (Vérifier l’inscription) affiche un numéro et la notification push apparaît sur votre téléphone (cela peut prendre jusqu’à deux minutes). Approuvez la notification push si le numéro qu’elle contient correspond au numéro affiché à l’écran Verify enrollment (Vérifier l’inscription). 5. À l’écran Enrollment successful (Inscription réussie), cliquez sur Finish (Terminer). Gestion des utilisateurs basée sur les groupes Dans les domaines de grande taille, il est difficile de garder une trace des utilisateurs du domaine pour lesquels l’authentification à 2 facteurs est activée. Pour résoudre ce problème, ESET Secure Authentication fournit une comptabilisation automatique de vos utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) grâce à des groupes Active Directory. Plusieurs groupes Active Directory sont créés au moment de l’installation : 81 • ESA Users Le groupe ESA Users ne contient aucun utilisateur directement, mais contient les groupes ESA SMS Users, ESA Mobile Application Users, ESA Hard Token Users et ESA FIDO Users. L’appartenance transitive à un groupe peut donc être utilisée pour localiser tous les utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) dans votre domaine à l’aide de ce groupe. • ESA SMS Users Le groupe ESA SMS Users contient tous les utilisateurs de votre domaine pour lesquels les mots de passe à usage unique par SMS ont été activés. • ESA Mobile App Users Le groupe ESA Mobile App Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par application mobile ont été activés. • ESA Hard Token Users Le groupe ESA Hard Token Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par jeton matériel ont été activés. • ESA FIDO Users Le groupe ESA FIDO Users contient tous les utilisateurs pour lesquels les mots de passe à usage unique par application mobile ont été activés. • EsaCoreAuthServices, EsaServices et ESA Admins ne stockent aucun utilisateur réel. Ils sont liés à la sécurité interne de ESET Secure Authentication. L’appartenance à un groupe est mise à jour en temps réel lorsque les utilisateurs sont configurés dans ADUC ou ESA Web Console. Trouver tous les utilisateurs pour lesquels les mots de passe à usage unique par SMS ont été activés (par exemple) est un jeu d’enfant : 1. Lancez ADUC 2. Cliquez avec le bouton droit sur le nœud de votre domaine, puis sélectionnez Find (Rechercher). 3. Tapez « ESA SMS » et appuyez sur Entrée. Le groupe s’affichera dans la section Search Result (Résultats de recherche). 4. Double-cliquez sur le groupe, puis sélectionnez l’onglet Members (Membres) pour afficher tous les utilisateurs de votre domaine pour lesquels les mots de passe à usage unique par SMS ont été activés. Invitations Les invitations ont été introduites dans ESET Secure Authentication 2.7 pour pouvoir déployer la protection par authentification à 2 facteurs (2FA) d’ESA dans un environnement de domaine/réseau non établi par Active Directory Domain Services. Les invitations peuvent également être utilisées dans un environnement hors domaine, mais assurez-vous que les composants ESA et le serveur d’authentification pourront se détecter les uns les autres (ping). 82 Une invitation contient les informations de connexion du serveur d’authentification, l’empreinte numérique du certificat et l’expiration, ainsi qu’un code unique basé sur l’invitation qui est identifiée. Chaque invitation est limitée par le temps et par le nombre d’utilisations. Si vous utilisez ESET Secure Authentication dans un domaine établi par Active Directory Domain Services et que vous souhaitez déployer l’authentification à 2 facteurs (2FA) sur des ordinateurs en dehors de ce domaine, vous pouvez le faire grâce aux invitations. Générer une invitation 1. Dans ESA Web Console, cliquez sur Components (Composants) > Invitations. 2. Cliquez sur Create invitation. 3. Tapez un nom d’invitation, un délai d’expiration et un nombre d’utilisations, puis cliquez sur Create (Créer). 4. Les détails de l’invitation s’affichent. Pour enregistrer les détails dans un fichier texte ou pour les copier ailleurs, cliquez sur Copy data to clipboard (Copier dans le Presse-papiers). 83 5. Cliquez sur Close (Fermer). La liste des invitations s’affiche. Cliquez sur le nom d’une invitation pour rouvrir les détails de l’invitation. Cliquez sur Server access (Accès serveur) pour afficher les informations de connexion du serveur d’authentification, l’empreinte numérique du certificat et l’expiration. Utiliser l’authentification de domaine Dans un environnement Active Directory (AD), si le type de déploiement Active Directory Integration (Intégration Active Directory) est utilisé, vous pouvez vous connecter dans ESA Web Console en cliquant sur Use domain authentication (Utiliser l’authentification de domaine) dans les navigateurs pris en charge. Ce type d’authentification fonctionne si vous ouvrez une session avec un utilisateur qui appartient au même domaine Active Directory et qui appartient également au groupe « ESA Admins » (Administrateurs ESA). Si vous avez un nom NetBIOS différent pour le domaine, l’utilisation de l’authentification de domaine peut ne pas fonctionner. Si l’authentification de domaine ne fonctionne pas immédiatement, essayez de résoudre les problèmes en suivant les étapes ci-dessous : 84 Ajouter des entrées HTTP au servicePrincipalName du compte ESASrv_<computer name> (ESASrv_<computer name>) Important L’application de cette solution peut créer un conflit de servicePrincipalName avec un autre service, par exemple perturber le fonctionnement d’un autre service Web hébergé sur le même ordinateur, par exemple, Outlook Web Access. Si cette solution ne vous convient pas, passez à la solution de contournement 1 ou 2 ci-dessous. 1. Ouvrez ADUC. 2. Cliquez sur View (Afficher), puis sélectionnez Advanced Features (Fonctionnalités avancées). 3. Développez <domain> (<domaine>), puis cliquez sur ESET Secure Authentication. 4. Cliquez avec le bouton droit de la souris sur ESASrv_<computer name> (<nom_ordinateur>), puis sélectionnez Properties (Propriétés). 5. Basculez vers l’onglet Attribute Editor (Éditeur d’attributs), puis double-cliquez sur servicePrincipalName. 6. Saisissez HTTP/<hostname> (HTTP/<nom_hôte>), puis cliquez sur Add (Ajouter). 7. Saisissez HTTP/<hostname>.<domain> (HTTP/<nom_hôte>.<domaine>), puis cliquez sur Add (Ajouter). 8. Cliquez sur OK pour fermer l’éditeur et la fenêtre Properties (Propriétés). Solution de contournement 1 Ouvrez ESA Web Console sur l’ordinateur sur lequel le serveur d’authentification est installé. Solution de contournement 2 Lorsque vous ouvrez une session à distance, utilisez l’adresse IP du serveur d’authentification, et non le nom de domaine complet ou le nom d’hôte. Ajuster la configuration du navigateur • Internet Explorer 11 1. Cliquez sur Outils, puis sélectionnez Options Internet. 2. Sélectionnez l’onglet Sécurité. 3. Cliquez sur Sites de confiance. 4. Cliquez sur Personnaliser le niveau. 5. Faites défiler jusqu’à Authentification utilisateur, sélectionnez Ouverture de session automatique avec le nom d’utilisateur et le mot de passe actuels. 6. Cliquez sur OK dans les deux fenêtres de configuration ouvertes. • Microsoft Edge, Google Chrome 85 1. Suivez les étapes répertoriées pour Internet Explorer. L’authentification de domaine concernant ESA Web Console fonctionnera dans Microsoft Edge et Google Chrome. • Mozilla Firefox 1. Tapez about:config dans la barre d’adresses. 2. Cliquez sur le bouton Accepter le risque et poursuivre. 3. Tapez network.negotiate-auth.trusted-uris dans la barre de recherche. 4. Double-cliquez sur le résultat trouvé. 5. Tapez le nom de domaine d’ESA Web Console sans protocole (https://), numéro de port ni barre oblique de fin. 6. Appuyez sur la touche Entrée. Notifications Cette fonctionnalité est destinée à l’administrateur de ESET Secure Authentication (ESA). Quels types de notifications sont inclus ? • Démarrage du serveur : chaque fois que le serveur d’authentification est démarré (redémarré). • Erreur : si une erreur se produit qui pourrait affecter le processus d’authentification. • Connexion à Web Coonsole : chaque fois qu’un administrateur de console se connecte à ESA Web Console • Utilisateur verrouillé : chaque fois qu’un utilisateur a été verrouillé en raison d’un échec d’authentification (n’a pas fourni le deuxième facteur d’authentification correct) • Utilisateur déverrouillé • Licence : si l’état de la licence passe de OK à un autre état Fonctionnement ESA utilise un serveur SMTP que vous avez défini pour envoyer des notifications par e-mail concernant les types d’actions sélectionnés. 1. Définissez les informations d’un serveur SMTP fonctionnel : a.Dans ESA Web Console, accédez à Settings (Paramètres) > SMTP Server (Serveur SMTP) et saisissez les informations requises. b.Utilisez l’option Send test email (Envoyer un courrier de test) pour tester la configuration. Si un e-mail est remis à l’adresse e-mail fournie, la configuration est correcte. 2. Activez la fonction Notifications et sélectionnez le type et la fréquence des notifications : a.Dans ESA Web Console, accédez à Settings (Paramètres) > Notifications (Notifications). 86 b.Sélectionner Enable notifications. c.Pour Recipient Email Address (Adresse e-mail du destinataire), saisissez l’adresse e-mail à laquelle les notifications seront remises. d.Sélectionnez les types de notification (Notification Types) de votre choix. e.Dans la section Throttling (Limitation), sélectionnez la fréquence de remise des notifications : • Immediately (Immédiatement) : dès qu’un type d’action sélectionné se produit, un e-mail de notification est envoyé. • 10 minutes : si, au cours des 10 dernières minutes, l’un des types d’actions sélectionnés s’est produit, un résumé par e-mail est envoyé. • 1 hour (1 heure) : si, au cours de la dernière heure, l’un des types d’actions sélectionnés s’est produit, un résumé par e-mail est envoyé. • 1 day (1 jour) : résumé reprenant les types d’actions sélectionnés et qui est envoyé quotidiennement par e-mail. f.Cliquez sur Save. Plusieurs serveurs d’authentification Si vous avez plusieurs serveurs d’authentification, des notifications sont envoyées par chacun d’eux, quelle que soit la limitation (Throttling) sélectionnée. Options d’authentification ESET Secure Authentication (ESA) fournit plusieurs options pour authentifier les utilisateurs afin de leur permettre d’accéder à des ordinateurs ou à des services protégés par l’authentification à 2 facteurs. • Mot de passe à usage unique reçu par SMS : nécessite des crédits SMS ou une livraison personnalisée à l’aide d’une passerelle SMS personnalisée • Mot de passe à usage unique généré via l’application mobile ESA oMot de passe à usage unique basé sur des événements : expire lorsqu’il est utilisé ou lors de la génération d’un nouveau mot de passe à usage unique oMot de passe à usage unique basé sur le temps : expire en quelques secondes (animation d’expiration affichée dans l’application mobile) même s’il n’est pas utilisé • Mot de passe à usage unique livré par e-mail • Authentification push • Jetons matériels • Mot de passe à usage unique reçu via une option de livraison personnalisée • FIDO : un seul authentificateur FIDO peut être enregistré par utilisateur 87 Sécurité des options d’authentification ESA propose une large gamme de méthodes d’authentification à 2 facteurs qui s’adaptent aux différentes préférences de nos clients. La méthode la plus sure et la plus facile à utiliser est le push par application mobile (authentification Push). D’autres méthodes sont également très fiables, mais moins pratiques dans certaines situations : mot de passe à usage unique par application mobile, jeton matériel et FIDO. Bien qu’ils soient également disponibles, les mots de passe à usage unique par SMS, ne sont pas considérés comme les plus sûrs, principalement en raison de la sécurité sous-jacente utilisée dans les systèmes de livraison de SMS. Lorsque vous choisissez la livraison de mots de passe à usage unique par e-mail, la sécurité peut-être plus faible selon le schéma d’utilisation. Fiabilité de la livraison des SMS En raison de la nature technique des SMS, qui sont généralement traités par les opérateurs locaux de services de télécommunication, la fiabilité de la livraison des SMS au téléphone mobile de l’utilisateur final ne peut pas être garantie par ESET. Options d’authentification disponibles hors connexion Avant l’utilisation hors connexion 1. ESA doit être activé à l’aide d’une clé de licence ou d’identifiants ESET Business Account. 2. Pour inscrire et provisionner des utilisateurs, ESA Core doit pouvoir accéder à esa.eset.com. Lorsque le serveur d’authentification ne parvient pas se connecter à Internet, les options suivantes sont disponibles pour authentifier une tentative de connexion : • Jetons matériels • FIDO • Mot de passe à usage unique par SMS utilisant la livraison personnalisée au sein de votre réseau interne non connecté à Internet • Mot de passe à usage unique via l’application mobile ESA. Il est toutefois nécessaire d’activer (provisionner) l’application mobile en ligne Protection de connexion Windows en mode hors ligne Lorsque vous utilisez la protection de connexion Windows en mode hors ligne, les options suivantes sont disponibles pour authentifier une tentative de connexion : • Jetons matériels (mot de passe à usage unique basé sur des événements uniquement) • Mot de passe à usage unique généré via l’application mobile ESA (mot de passe à usage unique basé sur des événements uniquement) • FIDO 88 Mots de passe à usage unique hors ligne En mode hors ligne, seuls 20 mots de passe à usage unique sont mis en cache par défaut. Le renouvellement du cache s’effectue des manières suivantes : • Automatiquement après une connexion réussie en mode en ligne • 10 minutes après une connexion hors ligne réussie, le composant ESA tente de télécharger de nouveaux mots de passe à usage unique. Les prochaines tentatives ont lieu toutes les 60 minutes • Si un nouveau réseau est connecté (par exemple, la carte réseau est redémarrée), le composant ESA tente de télécharger immédiatement les nouveaux mots de passe à usage unique Application mobile L’application mobile de ESET Secure Authentication permet de générer des mots de passe à usage unique (OTP) facilement ou d’approuver des demandes d’authentification push pour accéder à des ordinateurs ou des services protégés par l’authentification à 2 facteurs . À partir de la version 2.40, l’application mobile prend en charge l’authentification de plusieurs utilisateurs, ce qui signifie que si vous utilisez plusieurs comptes d’utilisateurs dans un domaine/réseau protégé par l’authentification à 2 facteurs, les jetons d’authentification de tous vos comptes d’utilisateurs peuvent être stockés dans votre application mobile. À partir de la version 3.0, l’application mobile prend en charge les jetons Google Authenticator. Au lieu d’installer l’application Google Authenticator, cliquez sur le bouton + dans l’application mobile de ESET Secure Authentication pour scanner le code QR lors de la configuration de la vérification en 2 étapes avec Google Authenticator. Ensuite, lorsque vous vous connecterez à un service Google protégé par la vérification en 2 étapes, vous pourrez générer des mots de passe à usage unique avec l’application mobile ESA au lieu de l’application Google Authenticator. Pour obtenir des instructions sur l’installation et l’utilisation de l’application mobile, cliquez sur le système d’exploitation mobile souhaité pour être redirigé vers l’article correspondant : • Android • iPhone Consultez la liste des adresses IP et des ports utilisés pour la communication avec le serveur de provisionnement ESET Secure Authentication. Vous pouvez protéger l’application mobile contre tout accès non autorisé en définissant un code PIN. Pour accéder plus rapidement à l’application mobile, autorisez l’utilisation du scanner d’empreintes digitales (Android, iOS) ou de la reconnaissance faciale (iOS) si l’authentification biométrique est configurée sur votre appareil mobile. Notez qu’en cas de protection de l’application mobile (Mobile Application) par code PIN, le message Approve on phone (Approuver sur téléphone) s’affiche sur la montre Android lorsqu’une notification push est générée. 89 Application mobile (Mobile Application) protégée par code PIN Si la protection par code PIN est activée pour l’application mobile (Mobile Application) , elle permettra à un utilisateur de se connecter à l’aide d’un code PIN incorrect afin de protéger le code PIN correct contre les attaques par force brute. Par exemple, si un attaquant tente de se connecter à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, il peut se voir accorder l’accès , mais aucun mot de passe à usage unique (OTP) ne fonctionnera. Après avoir entré plusieurs mots de passe à usage unique (OTP) erronés, l’authentification à 2 facteurs (2FA) du compte utilisateur auquel appartient l’application mobile (Mobile Application) sera automatiquement verrouillée. Cela représente un problème mineur pour un utilisateur général : si l’utilisateur se connecte à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, puis remplace le code PIN par un nouveau, tous les jetons inclus dans l’application mobile (Mobile Application) deviendront inutilisables. Il n’existe aucun moyen de réparer de tels jetons : la seule solution consiste à réapprovisionner des jetons dans l’application mobile (Mobile Application). Par conséquent, nous conseillons aux utilisateurs d’essayer un mot de passe à usage unique avant de modifier leur code PIN. Si le mot de passe à usage unique fonctionne, la modification du code PIN peut se faire en toute sécurité. Mots de passe à usage unique et espaces blancs Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Toutes les méthodes d’authentification, à l’exception de MSCHAPv2, suppriment les espaces blancs dans les identifiants fournis, de sorte qu’un utilisateur peut inclure ou exclure des espaces sans affecter l’authentification. Authentification push La méthode d’authentification push, qui utilise des notifications push sur les appareils mobiles, a été introduite dans ESET Secure Authentication (ESA) version 2.5.X et n’était disponible que pour les appareils Android. ESA 2.6.X a également étendu l’authentification push aux appareils iOS, et ESA 2.7 l’a également étendue aux Windows phones. L’authentification par mot de passe à usage unique (OTP) et l’authentification Push peut être activée par utilisateur ou pour plusieurs utilisateurs en une seule fois dans la section Users (Utilisateurs) d’ESA Web Console. Pour activer les notifications push sur les appareils iOS, lorsque vous y êtes invité, appuyez sur Allow (Autoriser). Sur les appareils Android, les notifications sont activées automatiquement. 90 Remarque Après l’approvisionnement du téléphone de l’utilisateur ou l’activation des notifications push dans ESA Web Console, un certain temps peut être nécessaire pour que les notifications push commencent à fonctionner. Les utilisateurs peuvent approuver ou rejeter la demande d’authentification directement à partir de la zone de notification de leur appareil mobile. 91 Android, iOS Appuyez sur la notification ailleurs que sur les boutons Approve (Approuver) et Reject (Refuser) pour ouvrir l’application mobile (Mobile application) où vous pouvez approuver ou refuser la demande d’authentification. Application mobile ESA Vous pouvez aussi gérer les demandes d’authentification push sur les montres intelligentes fonctionnant sous Android OS ou iOS. 92 Chaque notification push contient un ID qui correspond à l’ID de l’écran de demande d’authentification. Que se passe-t-il si je refuse la notification push ? Si la notification push est refusée, la bulle/fenêtre de notification est fermée, mais aucun retour n’est envoyé au serveur d’authentification. Si le serveur d’authentification ne reçoit pas d’approbation dans les 150 secondes, l’utilisateur n’est pas autorisé à accéder au service/ordinateur protégé par l’authentification à 2 facteurs. Montre intelligente Android Lorsqu’une notification ESET s’affiche sur une montre intelligente Android, faites glisser l’écran vers la droite ou vers la gauche pour afficher les options disponibles. Si une application mobile (Mobile Application) protégée par mot de passe est utilisée, le message « Approve on phone » (Approuver sur téléphone) s’affiche. Apple Watch Lorsqu’une notification ESET s’affiche sur une Apple Watch, faites défiler jusqu’à Approve (Approuver) ou Reject (Refuser). Une notification est arrivée. Faites défiler l’écran jusqu’aux boutons d’action Si une application mobile (Mobile Application) protégée par mot de passe est utilisée, seule l’option Reject (Refuser) est disponible. 93 Jetons matériels Un jeton matériel est un appareil qui génère un mot de passe à usage unique (OTP) et peut être utilisé conjointement avec un mot de passe en tant que clé électronique pour accéder à quelque chose. Les jetons matériels sont disponibles dans de nombreux formats différents : porte-clés à accrocher à un trousseau de clés ou format carte de crédit à ranger dans un portefeuille. • HOTP signifie « HMAC-based One-time Password » (Mot de passe à usage unique basé sur HMAC), un mot de passe à usage unique (OTP) basé sur des événements. • TOTP signifie « Time-based One-time Password » (Mot de passe à usage unique basé sur le temps). Les mot de passe à usage unique basés sur HMAC (HOTP) et les mots de passe à usage unique basés sur le temps (TOTP) peuvent tous les deux être générés par un matériel (jetons matériels) ou par un logiciel (par exemple, ESA Mobile App). ESA prend en charge tous les jetons matériels conformes à OATH, mais ESET ne les fournit pas. Les mots de passe à usage unique basé sur HMAC (HOTP) du jeton matériel peuvent être utilisés de la même manière que les mots de passe à usage unique basé sur HMAC (HOTP) générés par l’application mobile ou envoyés à l’utilisateur via SMS. Cela peut notamment être utile pour prendre en charge la migration de jetons hérités, pour des questions de conformité ou si cela correspond à la politique de l’entreprise. Les données de jeton peuvent être importées dans ESET Secure Authentication à l’aide d’un fichier XML au format PSKC. La plupart des fournisseurs de jetons matériels vous fournissent un fichier PSKC lorsque vous achetez vos jetons matériels. Nous vous recommandons de vérifier auprès du fournisseur que le jeton matériel que vous êtes sur le point d’utiliser est conforme à OATH. Pour utiliser et gérer les jetons matériels, consultez les instructions ci-dessous. Activer et importer des jetons matériels 1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels). 94 2. Cochez la case Enabled (Activé) si elle n’a pas été activée par défaut. 3. Cliquez sur le bouton Import Hard Tokens. 4. Sélectionnez le fichier à importer. Il doit s’agir d’un fichier XML au format PSKC. Contactez votre fournisseur de jetons matériels s’il ne vous a pas envoyé un tel fichier. Si le fichier XML est protégé par mot de passe ou par une clé de chiffrement, saisissez le mot de passe ou la clé de chiffrement (format HEX ou base64) dans le champ Mot de passe de la fenêtre Importer des jetons matériels. 5. Cliquez sur le bouton Import tokens. 6. Une notification de résultat apparaîtra indiquant combien de jetons matériels ont été importés et les jetons matériels importés seront affichés. Attribuer un jeton matériel à un utilisateur 1. Dans ESA Web Console, cliquez sur Users (Utilisateurs). 2. Cliquez sur le nom de l’utilisateur approprié. 3. Cliquez sur le bouton bascule à côté de Hard Token (Jeton matériel), puis sélectionnez un jeton matériel dans la liste. 4. Cliquez sur Save (Enregistrer). 95 Révoquer des jetons matériels La révocation d’un jeton matériel pour un utilisateur désactivera également l’authentification par jeton matériel pour cet utilisateur. 1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels). 2. Sélectionnez les jetons appropriés, puis cliquez sur Revoke (Révoquer). Resynchroniser un jeton matériel Il est possible qu’un jeton matériel ne soit plus synchronisé avec le système. Cela peut se produire dans les cas suivants : • Un utilisateur génère de nombreux nouveaux mots de passe à usage unique pour un jeton matériel basé sur un événement, mais ne les utilise pas. • L’heure interne d’un jeton matériel basé sur le temps n’est pas synchronisée. Dans ces scénarios, une resynchronisation sera nécessaire. Un jeton peut être resynchronisé comme suit : 1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels). 2. Dans la ligne appropriée, cliquez sur jeton matériel). 96 , puis sélectionnez Resynchronize Hard Token (Resynchroniser le 3. Générez et tapez deux mots de passe à usage unique consécutifs à l’aide du jeton matériel sélectionné. 4. Cliquez sur le bouton Resynchronize. 5. Un message de réussite s’affiche. Supprimer des jetons matériels 1. Dans ESA Web Console, cliquez sur Hard Tokens (Jetons matériels). 2. Sélectionnez les jetons appropriés, puis cliquez sur Delete (Supprimer). 97 FIDO À partir de la version 2.8, ESET Secure Authentication (ESA) prend en charge l’authentification à 2 facteurs sur les appareils prenant en charge les normes d’authentification FIDO2 (et FIDO U2F). Voir plus d’informations sur la norme FIDO. Configuration requise • Navigateur Web prenant en charge l’API d’authentification Web oMozilla Firefox oGoogle Chrome oMicrosoft Edge Pour obtenir des informations à jour sur les navigateurs pris en charge, consultez https://platform-status.mozilla.org/ et recherchez « API d’authentification Web ». • Connexion sécurisée (HTTPS) (des certificats auto-signés peuvent également être utilisés) • .NET Framework 4.7.2 installé sur l’ordinateur sur lequel le serveur d’authentification ESA est installé Environnement pris en charge • Environnement de connexion Web protégé par ESA : oERA Web Console oIIS oAD FS oConnecteur de fournisseur d’identité • Protection de connexion Windows REMARQUE La mise en œuvre de FIDO dans ESET Secure Authentication n’a pas encore été certifiée par l’alliance FIDO. Configuration dans ESA Web Console La configuration dans Settings (Paramètres) > FIDO est destinée aux administrateurs FIDO avancés. Il n’est pas nécessaire d’apporter des modifications à cette section. • Vérification de l’utilisateur oObligatoire : l’authentificateur compatible FIDO doit prendre en charge la vérification de l’utilisateur (par exemple, par biométrie ou code PIN). S’il n’y a pas de vérification de l’utilisateur, l’authentificateur compatible FIDO ne peut pas être utilisé comme deuxième facteur d’authentification. 98 oPréférable : il est préférable que l’authentificateur compatible FIDO prenne en charge la vérification de l’utilisateur, mais ce n’est pas essentiel. oDéconseillé : le fait que l’authentificateur compatible FIDO prenne en charge ou non la vérification de l’utilisateur n’a pas d’importance. • Type d’authentification oPlateforme (intégré) : l’authentificateur FIDO est une solution intégrée (logicielle, matérielle) sur l’appareil où il est utilisé comme deuxième facteur d’authentification. oMultiplateforme (itinérant) : l’authentificateur FIDO est détachable et peut être utilisé avec plusieurs appareils. oNon spécifié : le fait que l’authentificateur FIDO soit détachable ou non n’a pas d’importance. Enregistrer l’origine FIDO Si vous souhaitez utiliser FIDO comme second facteur d’authentification afin d’accéder à ESA Web Console disponible à l’adresse https://my-web-console.com:8001, https://my-web-console.com:8001 doit être enregistrée en tant qu’origine. 1. Dans ESA Web Console, accédez à Components (Composants) > Web Console. 2. Activer FIDO. 3. Saisissez l’URL ESA Web Console dans la fenêtre FIDO Origin (Origine FIDO). Dans notre exemple, https://my-web-console.com:8001. 4. Cliquez sur Apply (Appliquer) > Save (Enregistrer). Origine FIDO Chaque composant SEA dans lequel FIDO sera utilisé comme deuxième facteur d’authentification doit être enregistré en tant qu’origine. Pour utiliser FIDO pour un autre composant ESA qu’ESA Web Console, l’auto-inscription pour FIDO doit être activée, afin que l’origine FIDO puisse être configurée automatiquement. Activer FIDO pour un administrateur Web Console Dans notre exemple, nous activons FIDO comme deuxième facteur pour un administrateur ESA Web Console qui souhaite utiliser une clé USB FIDO en tant qu’authentificateur matériel. 1. Accédez à Settings (Paramètres) > Web Console Administrators (Administrateurs Web Console), cliquez sur le nom de l’administrateur. 2. Dans le profil de l’utilisateur, activez FIDO. 3. Branchez la clé USB FIDO à l’ordinateur sur lequel vous avez accédé à ESA Web Console. 4. Cliquez sur Actions, puis sur Register FIDO credentials (Enregistrer les identifiants FIDO) > Apply (Appliquer). 5. Lorsque la clé USB clignote, touchez le capteur tactile de la clé USB FIDO. 99 6. ESA Web Console confirmera l’enregistrement réussi des identifiants FIDO. Dorénavant, lorsqu’il tentera d’accéder à ESA Web Console, l’administrateur devra approuver l’authentification en appuyant sur la clé USB FIDO après avoir tapé les identifiants de connexion corrects. Activer FIDO pour un utilisateur 1. Accédez à Settings (Paramètres) > Enrollment (Inscription). 2. Activez FIDO, puis cliquez sur Save (Enregistrer). 3. Accédez à Users (Utilisateurs) et sélectionnez l’utilisateur concerné. 4. Activez FIDO, puis cliquez sur Save (Enregistrer). 5. L’utilisateur devra terminer la configuration lors de l’auto-inscription. Options de livraison Les options de livraison de mot de passe à usage unique (OTP) (SMS, application mobile) par défaut fonctionnent parfaitement pour la plupart des utilisateurs. ESA peut également prendre en charge des options de livraison personnalisées. Dans ESA Web Console, cliquez sur Settings (Paramètres) > Delivery Options (Options de livraison). Sélectionnez Email (E-mail), ou spécifiez le chemin d’accès à votre script personnalisé grâce auquel vous souhaitez gérer l’approvisionnement ou la livraison de mots de passe à usage unique. Cliquez sur Insert attribute (Insérer 100 un attribut) pour afficher la liste des paramètres disponibles que vous pouvez transmettre à votre script personnalisé. Par exemple, pour livrer le mot de passe à usage unique, vous devez utiliser le paramètre [OTP] (Mot de passe à usage unique). Vous pouvez également spécifier une chaîne personnalisée à transmettre à votre script (voir parameter1 dans la capture d’écran ci-dessus). Autoriser les commandes Dans ESET Secure Authentication 3.0.21 et versions ultérieures, l’option Use custom application (Utiliser une application personnalisée) nécessite une autorisation de commande. 1. Créez un dossier « authorized_command » dans le dossier qui s’affiche sous le champ de commande. Dans notre exemple, C:\Program Files\ESET Secure Authentication\. 2. Conformément aux instructions sous le champ de ligne de commande, créez le fichier « delivery_provisioning.txt » ou « delivery_opt.txt » dans le dossier « authorized_command », puis enregistrez le hachage fourni dans le dossier. 3. Cliquez sur Save (Enregistrer). Utiliser l’e-mail comme option de livraison/provisionnement par défaut Pour fournir des mots de passe à usage unique et/ou des informations de provisionnement par e-mail, définissez d’abord les informations d’un serveur SMTP fonctionnel : 1. Dans ESA Web Console, cliquez sur Settings (Paramètres) > SMTP Server (Serveur SMTP), puis complétez les informations requises. a.Si le protocole SSL/TLS est utilisé, le certificat SSL du serveur SMTP doit être approuvé par le serveur hébergeant le serveur d’authentification. 2. Utilisez l’option Send test email (Envoyer un courrier de test) pour tester la configuration. Si un e-mail est remis à l’adresse e-mail fournie, la configuration est correcte. 3. Dans Settings (Paramètres) > Delivery Options (Options de livraison), sélectionnez Email (E-mail), puis cliquez sur Save (Enregistrer). 4. Activez les mots de passe à usage unique par SMS par utilisateur : a.Cliquez sur Users (Utilisateurs). b.Cliquez sur un utilisateur, activez les mots de passe à usage unique par SMS, puis cliquez sur Save (Enregistrer). 5. Si l’auto-inscription est activée, assurez-vous que les mots de passe à usage unique par SMS sont activés dans Settings (Paramètres) > Enrollment (Inscription) > Default authentication types (Types d’authentification par défaut). 101 Sécurité des options d’authentification ESA propose une large gamme de méthodes d’authentification à 2 facteurs qui s’adaptent aux différentes préférences de nos clients. La méthode la plus sure et la plus facile à utiliser est le push par application mobile (authentification Push). D’autres méthodes sont également très fiables, mais moins pratiques dans certaines situations : mot de passe à usage unique par application mobile, jeton matériel et FIDO. Bien qu’ils soient également disponibles, les mots de passe à usage unique par SMS, ne sont pas considérés comme les plus sûrs, principalement en raison de la sécurité sous-jacente utilisée dans les systèmes de livraison de SMS. Lorsque vous choisissez la livraison de mots de passe à usage unique par e-mail, la sécurité peut-être plus faible selon le schéma d’utilisation. Exemple de scénario disponible dans le type de déploiement Active Directory Integration (Intégration Active Directory) - Livraison de mot de passe à usage unique (OTP) via une solution de messagerie personnalisée (application) Conditions préalables requises • Connaître les informations SMTP de la passerelle de messagerie que vous souhaitez utiliser pour envoyer l’email contenant le mot de passe à usage unique (OTP) • Disposer d’un script personnalisé pour l’envoi d’e-mails • Disposer d’un script .BAT personnalisé dont vous définissez le chemin d’accès dans ESA Web Console, comme illustré dans la capture d’écran ci-dessus. Ce script .BAT va appeler votre script personnalisé qui est censé envoyer l’e-mail • Chaque utilisateur pour lequel l’authentification à 2 facteurs (2FA) est activée et qui reçoit des mots de passe à usage unique (OTP passwords) par e-mail doit avoir son adresse e-mail définie dans le champ Email (E-mail) de l’onglet General (Général) lors de la consultation de ces informations via l’interface de gestion Active Directory Users and Computers (Utilisateurs et ordinateurs Active Directory). Informations SMTP Dans l’exemple de script python ci-dessus, smtpserver:port, username et password sont censés être remplacés par les informations SMTP correspondantes. Exemple de script .BAT permettant d’appeler le script sendmail.py tout en lui transmettant les paramètres essentiels. Ce fichier est nommé CustomMail.bat c:\Python\python.EXE c:\work\sendmail.py %1 %2 Conditions préalables requises Cet exemple de scénario part du principe que la bibliothèque python est installée sur votre ordinateur principal sur lequel le composant du serveur d’authentification ESA est installé, et que vous connaissez le chemin d’accès au fichier python.exe. Dans le champ Sending OTP by (Envoi du mot de passe à usage unique par), définissez le chemin menant au script CustomMail.bat, sélectionnez les paramètres essentiels tels que [E-mail-Addresses] et [OTP], puis cliquez sur 102 Save (Enregistrer). Le provisionnement (livraison de l’application mobile) peut être personnalisé de la même manière à l’aide des paramètres [PHONE] et [URL]. Comparaison entre livraison par e-mail et livraison par SMS Par rapport à la livraison par SMS (ou à l’utilisation d’une application mobile provisionnée), la livraison d’un mot de passe à usage unique par e-mail est légèrement moins sécurisée, car l’e-mail peut être lu sur n’importe quel appareil que l’utilisateur possède. Cette méthode ne permet pas de confirmer que le destinataire prévu est le propriétaire du téléphone enregistré (numéro de téléphone). Exemples de scripts PowerShell Vous trouverez ci-dessous deux exemples de scripts PowerShell à utiliser pour fournir un mot de passe à usage unique via une solution de messagerie personnalisée (application). 103 Script PowerShell utilisant Send-MailMessage : ce fichier est nommé sendmail.ps1 param ( [string] $toAddress, [string] $otp ) $smtpServer = "<server>" $smtpPort = "<port>" $smtpUsername = "<username>" $smtpPassword = "<password>" $fromAddress = "esa@localhost" $subject = "ESA OTP" $body = "Your OTP: $otp" $smtpPassword_sec = ConvertTo-SecureString $smtpPassword -AsPlainText -Force $credential = NewObject System.Management.Automation.PSCredential ($smtpUsername, $smtpPassword_sec) Send-MailMessage -SmtpServer $smtpServer -Port $smtpPort -Credential $credential UseSsl -From $fromAddress -To $toAddress -Subject $subject -Body $body Script PowerShell utilisant System.Net.Mail : ce fichier est nommé sendmail.ps1 param ( [string] $toAddress, [string] $otp ) 104 $smtpServer = "<server>" $smtpPort = "<port>" $smtpUsername = "<username>" $smtpPassword = "<password>" $fromAddress = "esa@localhost" $subject = "ESA OTP" $body = "Your OTP: $otp" $mailMessage = NewObject System.Net.Mail.MailMessage($fromAddress, $toAddress, $subject, $body) $smtpClient = New-Object System.Net.Mail.SmtpClient($smtpServer, $smtpPort) $smtpClient.EnableSsl = $true $smtpClient.Credentials = NewObject System.Net.NetworkCredential($smtpUsername, $smtpPassword); $smtpClient.Send($mailMessage) Remplacer les espaces réservés Dans les exemples de scripts ci-dessus, remplacez les espaces réservés <server> (<serveur>), <port>, <username> (<nom_utilisateur>) et <password> (<mot_de_passe>) par les informations SMTP correspondantes. Test et utilisation 1. Enregistrez le script à l’emplacement souhaité, par exemple c:\work\sendmail.ps1. 2. Testez le script en dehors d’ESET Secure Authentication (ESA) à l’aide de la ligne de commande Windows : a.Appuyez sur la combinaison de touches Windows + R. b.Tapez cmd.EXE, puis appuyez sur Entrée. c.Dans la fenêtre de ligne de commande, exécutez : powershell c:\scripts\sendmail.ps1 [email protected] 123456 Remplacez [email protected] par une adresse e-mail valide. Vous pouvez consulter votre boîte de réception. d.Si le test réussit, passez à l’étape suivante. 105 3. Dans la section Delivery Options (Options de livraison) d’ESA, faites référence au script de la façon suivante : powershell c:\scripts\sendmail.ps1 [E-mail-Addresses] [OTP] Fournisseurs d’identifiants pris en charge par ESA Connexion Windows La protection de connexion Windows par ESA fournit une authentification à 2 facteurs uniquement aux comptes Windows protégés par mot de passe (comptes de domaine ou locaux). Dans ce cas, le « fournisseur de mot de passe d’identification » d’origine est protégé par l’authentification à 2 facteurs. Si un compte Windows est accessible à l’aide de Windows Hello, d’un code PIN ou d’un compte Microsoft, ESA ne peut pas fournir de protection par authentification à 2 facteurs pour ces types de connexions. Protocole RDP (Remote Desktop Protocol) ESA fournit une authentification à 2 facteurs uniquement si le client RDP requiert le premier facteur (mot de passe et nom d’utilisateur) avant de créer la session à distance. Windows RDP fonctionne de cette manière. La protection RDP ESA désactive les autres fournisseurs d’identifiants. Protection de connexion Windows ESA offre une protection de connexion locale pour Windows dans un domaine ou un environnement LAN. Pour utiliser cette fonction, sélectionnez le composant Windows Login lors de l’installation d’ESA. Une fois l’installation terminée, accédez à ESA Web Console, cliquez sur Components (Composants) > Windows Login. La liste des ordinateurs sur lesquels le composant Windows Login d’ESA est installé s’affiche. À partir de cet écran, vous pouvez activer/désactiver la protection par authentification à 2 facteurs (2FA) par ordinateur. 106 Si vous avez une longue liste d’ordinateurs, utilisez le champ Filter (Filtrer) pour rechercher un ordinateur spécifique en tapant son nom. Si le composant Windows Login d’ESA 2.6 ou version ultérieure est désinstallé d’un ordinateur spécifique, l’ordinateur est automatiquement supprimé de la liste des ordinateurs (Computer List) d’ESA Web Console. Une entrée d’ordinateur peut également être supprimée manuellement à partir de Web Console. Sélectionnez une entrée d’ordinateur et cliquez sur Delete (Supprimer), ou passez le curseur de la souris sur un ordinateur, cliquez sur et sélectionnez Delete (Supprimer). Cliquez sur Delete (Supprimer) également dans la fenêtre de confirmation. Supposons qu’une entrée d’ordinateur soit supprimée de la liste des ordinateurs (Computer List), mais que le composant Windows Login ne soit pas supprimé de l’ordinateur spécifique. Dans ce cas, l’ordinateur apparaîtra à nouveau dans Web Console avec les paramètres par défaut. Cliquez sur l’onglet Settings (Paramètres) pour afficher les paramètres disponibles. 107 À partir de cet écran, vous pouvez voir différentes options permettant d’appliquer l’authentification à 2 facteurs (2FA), y compris l’option permettant d’appliquer la protection par authentification à 2 facteurs (2FA) une protection pour le mode sans échec, l’écran de verrouillage Windows et le contrôle du compte utilisateur (UAC). Supposons que la machine sur laquelle le composant Windows Login d’ESA est installé doit être hors ligne une partie du temps et que vous avez des utilisateurs pour lesquels l’authentification par SMS est activée. Dans ce cas, vous pouvez activer Allow access without 2FA for users with SMS-based OTP or Mobile Push authentication only (Autoriser l’accès sans authentification à 2 facteurs pour les utilisateurs disposant uniquement du mot de passe à usage unique par SMS ou de l’authentification mobile push). Si un utilisateur utilisant la livraison par SMS pour les mots de passe à usage unique (OTP) veut qu’un mot de passe à usage unique (OTP) lui soit renvoyé, il peut fermer la fenêtre demandant un mot de passe à usage unique (OTP) et, après 30 secondes, taper à nouveau son nom d’utilisateur et son mot de passe pour recevoir un nouveau mot de passe à usage unique (OTP). La protection par authentification à 2 facteurs (2FA) ne peut pas être contournée par un attaquant, même si l’attaquant connaît le nom d’utilisateur et le mot de passe, ce qui offre une meilleure protection des données sensibles. Bien sûr, nous supposons que le disque dur n’est pas accessible par l’attaquant ou que le contenu du disque est chiffré. Nous vous recommandons de combiner la protection par authentification à 2 facteurs (2FA) avec le chiffrement de l’ensemble du disque pour atténuer le risque de violation si un attaquant dispose d’un accès physique au disque. 108 Authentification à 2 facteurs activée pour le mode hors ligne Si la protection par authentification à 2 facteurs (2FA) est activée pour le mode hors ligne, tous les utilisateurs dont les comptes sont sécurisés par l’authentification à 2 facteurs (2FA) et qui souhaitent utiliser un PC protégé par l’authentification à 2 facteurs (2FA) doivent se connecter à ce PC pour la première fois lorsque le PC est en ligne (online). Par « online », nous voulons dire que l’ordinateur principal sur lequel le serveur d’authentification est installé et le service ESET Secure Authentication Service est en cours d’exécution et peut être interrogé par ping à partir de l’ordinateur sécurisé par l’authentification à 2 facteurs (2FA). Supposons que le composant Windows Login est installé sur le même ordinateur que le serveur d’authentification et que la protection par authentification à 2 facteurs (2FA) pour le mode sans échec est activée. Simultanément, le mode hors ligne est désactivé [Do not allow access (Ne pas autoriser l’accès) est sélectionné dans la section Offline behavior (Comportement hors ligne)]. Dans ce cas, l’utilisateur sera autorisé à se connecter en mode sans échec (sans réseau) sans mot de passe à usage unique (OTP). Le mode hors ligne permet de se connecter 20 fois en utilisant un mot de passe à usage unique (OTP) valide à chaque fois. Si la limite est dépassée, la machine doit être en ligne lorsque vous essayez de vous connecter. Chaque fois que la machine est en ligne pendant que vous essayez de vous connecter, le compteur de limite est réinitialisé. Vous pouvez augmenter le nombre de connexions hors ligne dans la Web Console dans Components (Composants) > Windows Login > Settings (Paramètres) > Number of offline OTPs (Nombre de mots de passe à usage unique hors ligne). Les mots de passe à usage unique basés sur le temps ne sont pas mis en cache Les mots de passe à usage unique générés par un jeton matériel basé sur le temps ou les mots de passe à usage unique basés sur le temps générés par l’application mobile ne sont pas stockés dans le cache hors ligne du plugin Windows Login. Supposons que la connexion Windows 10 est sécurisée par ESA. Après avoir saisi un nom d’utilisateur et un mot de passe valides, les utilisateurs sont invités à approuver la connexion sur leur appareil mobile Android/iOS ou sur leur montre Android/Apple, ou à saisir un mot de passe à usage unique (OTP). 109 Connecteur de fournisseur d’identité (IdP Connector) Certains services en ligne (également appelés « fournisseurs de services ») vous permettent de vous connecter à l’aide de services en ligne tiers (également appelés « fournisseurs d’identité »). Le Connecteur de fournisseur d’identité (IdP Connector) d’ESA permet d’ajouter une authentification à 2 facteurs entre n’importe quel service cloud (fournisseur de services) et n’importe quel fournisseur d’identité, qui utilisent la norme SAML. Fournisseur de service et fournisseurs d’identité utilisant la norme SAML 1. Il y a toujours un fournisseur de services et un fournisseur d’identité, et ils ont besoin de se connaître l’un l’autre. Par exemple, le fournisseur de services doit connaître l’URL des métadonnées du fournisseur d’identité et vice versa. 2. L’utilisateur accède au fournisseur de services pour se connecter, mais est redirigé vers le fournisseur d’identité. 110 3. Après s’être connecté avec succès au fournisseur d’identité, l’utilisateur est redirigé vers le fournisseur de services avec des informations signées concernant son identité. 4. Le fournisseur de services vérifie la signature, puis lit les informations utilisateur, également appelées « revendications ». Certains services (fournisseurs de service/d’identité) fournissent leur configuration (URL, détails de certificat) sous forme de fichier de métadonnées SAML. Lorsqu’ESA IdP Connector est implémenté entre un fournisseur de services et un fournisseur d’identité (appelé plus tard « fournisseur d’identité d’origine »), les rôles de communication sont les suivants : • Le fournisseur de services utilise ESA IdP Connector comme fournisseur d’identité. • Le fournisseur d’identité d’origine utilise ESA IdP Connector comme fournisseur de services. • ESA IdP Connector gère la demande du fournisseur de services et contacte le fournisseur d’identité d’origine pour vérifier le premier facteur. • ESA IdP Connector fournit une interface d’authentification à 2 facteurs pour vérifier le deuxième facteur. 111 Configuration requise • Le Connecteur de fournisseur d’identité ESA (ESA IdP Connector) doit être installé. • Le fournisseur d’identité et le fournisseur de services doivent tous deux utiliser la norme SAML. • Tous les certificats impliqués dans la communication (certificat de signature, certificat de décryptage, certificat SSL) doivent être valides. Fournisseurs d’identité testés avec ESET Secure Authentication • OpenAM • Okta • Azure AD 112 • AD FS • Shibboleth • Keycloak Fournisseurs de services testés avec ESET Secure Authentication • Dropbox • Confluence Logo personnalisé Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé. 1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de 350 x 100 px (largeur x hauteur). 2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le « logo.png ». Passez à la configuration du Connecteur de fournisseur d’identité dans ESA, ou consultez nos exemples de configuration. Instructions pour remplacer le certificat du connecteur du fournisseur d’identité ESA Configurer le Connecteur de fournisseur d’identité (IdP Connector) dans ESA Web Console Pour la configuration, vous aurez besoin d’informations sur le fournisseur d’identité et sur le fournisseur de services. 1. Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité). 2. Cliquez sur Create New Identity Provider Configuration. 3. Entrante Basic settings : oTapez le nom de configuration (Configuration Name) de votre choix. Il sera utilisé dans la liste des configurations d’IdP Connector. oTapez le nom du chemin d’accès (Path Name) de votre choix qui sera utilisé dans l’URL de configuration (Configuration URL) utilisé dans une configuration ultérieure. 113 4. Entrante 2FA settings : oLaissez l’option 2FA enabled (Authentification à 2 facteurs activée) sélectionnée pour exiger des utilisateurs qui ont configuré l’authentification à 2 facteurs de fournir un deuxième facteur d’authentification. oPour permettre aux utilisateurs qui n’ont configuré aucune authentification à 2 facteurs (2FA) de se connecter via cette configuration d’IdP Connector, laissez l’option Allow non-2FA (Autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs) sélectionnée. 5. Entrante Original Identity Provider : oConfiguration from the Original Identity Provider • Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration du fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS) ou sous forme de fichier local. Tapez cette URL sécurisée (commençant par https:// ou file://) dans le champ Metadata URL (URL des métadonnées). • Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer et taper manuellement les informations suivantes concernant le fournisseur d’identité : oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié est redirigé pour se connecter. Certains fournisseurs d’identité l’appellent URL de connexion. oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est redirigé pour se déconnecter. Certains fournisseurs d’identité l’appellent URL de déconnexion. oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du fournisseur d’identité. oConfiguration to the Original Identity provider Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector. i. Si le fournisseur d’identité peut lire la configuration à partir des métadonnées, fournissez-lui l’URL affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs [Identifier (Identificateur), Sign-on response URL (URL de réponse de connexion), Logout response URL (URL de réponse de déconnexion), Logout URL (URL de déconnexion)], puis exportez le certificat de connexion et le certificat de décryptage si votre fournisseur d’identité l’exige. ii. Configurez le fournisseur d’identité pour qu’il émette une revendication Name ID au format <username>@<domain> (les options courantes sont l’adresse e-mail ou le nom UPN). ESA IdP Connector enregistrera ensuite l’utilisateur identifié par <username> auprès du serveur d’authentification ESA dans le domaine <domain>. 6. Ajustez-les paramètres de sécurité avancée (Advanced Security Settings) en fonction de vos préférences et des exigences de votre fournisseur d’identité. oSign Requests to the original Identity Provider (Signer les requêtes au fournisseur d’identité d’origine) : si cette option est sélectionnée, le certificat de signature (Singing Certificate) d’ESA doit être configuré comme approuvé sur la machine hébergeant le fournisseur d’identité. 114 oValidate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) : si cette option est sélectionnée, le certificat de signature du fournisseur d’identité doit être configuré comme approuvé sur la machine hébergeant ESA. oCheck original Identity Provider certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) : si cette option est sélectionnée, ESA vérifie si le certificat de signature du fournisseur d’identité est toujours valide. 7. Cliquez sur Add Service Provider (Ajouter un fournisseur de services), puis saisissez le nom d’affichage (Display Name) de votre choix. Il sera utilisé dans la liste des fournisseurs de services configurés dans le connecteur de fournisseur d’identité en cours de configuration. oConfiguration from the Service Provider i. Use metadata (Utiliser les métadonnées) : utilisez cette option si les métadonnées de configuration du fournisseur d’identité sont disponibles via une connexion sécurisée (HTTPS). Saisissez cette URL sécurisée (commençant par https://) dans le champ URL des métadonnées du fournisseur de services. ii. Configure manually (Configurer manuellement) : si vous utilisez cette option, vous devez récupérer et taper manuellement les informations suivantes concernant le fournisseur de services : oIssuer (Émetteur) : certains fournisseurs de services l’appellent Audience URL (URL de public) ou Entity ID (ID d’entité). oSingle Sign-on Destination (Destination de connexion unique) vers laquelle l’utilisateur authentifié est redirigé. Certains fournisseurs de services l’appellent URL Assertion Consumer Service. oSingle Logout Destination (Destination de déconnexion unique) vers laquelle l’utilisateur est redirigé après la déconnexion. oSignature Validation Certificate (Certificat de validation de signature) : certificat de signature du fournisseur de services. b.Configuration to the Service Provider: Cette section fournit toutes les informations et données essentielles pour configurer le fournisseur d’identité d’origine afin qu’il fonctionne avec ESA IdP Connector i. Si le fournisseur de services peut lire la configuration à partir des métadonnées, fournissez-lui l’URL affichée dans Metadata URL (URL des métadonnées). Sinon, utilisez les informations des autres champs [Identifier (Identificateur), Sign-on URL (URL de connexion), Logout URL (URL de déconnexion)], puis exportez le Singing Certificatecertificat de signature et le Decryption Certificate (Certificat de décryptage) si votre fournisseur de services l’exige. ii. Pour supprimer, ajouter ou mettre à jour les informations d’identité collectées (revendication) avant de les transmettre au fournisseur de services, créez les règles souhaitées dans la section Claims Translation (Traduction des revendications). Consultez des exemples de traductions de revendications ci-dessous. 8. Ajustez-les Advanced Security Settings (Paramètres de sécurité avancée) en fonction de vos préférences et des exigences de votre fournisseur de services. 115 oCheck signature of requests from the Service Provider (Vérifier la signature des requêtes du fournisseur de services) : si cette option est sélectionnée, le certificat du fournisseur de services doit être configuré dans ESA. oValidate Service Provider certificate (Valider le certificat du fournisseur de services) : si cette option est sélectionnée, le certificat du fournisseur de services doit être configuré comme approuvé sur la machine hébergeant ESA. oCheck Service Provider certificate revocation (Vérifier la révocation du certificat du fournisseur de services) : si cette option est sélectionnée, ESA vérifie si le certificat du fournisseur de services est toujours valide. 9. Cliquez sur Save. Exemples de traduction de revendications Dans les exemples ci-dessous, nous partons du principe que nous nous sommes connectés via un fournisseur d’identité et que les revendications suivantes ont été reçues par ESA IdP Connector : http://original_identity_provider/claim/nameid: [email protected] http://original_identity_provider/claim/displayname: SU http://original_identity_provider/claim/name: Sample User http://original_identity_provider/claim/nameid: [email protected] http://original_identity_provider/claim/saml2nameid: [email protected] http://original_identity_provider/claim/samle2nameidformat: urn:oasis:names:tc:SAML: 1.1:nameid-format:emailAddress Supprimer une certaine revendication Pour supprimer « http://original_identity_provider/claim/displayname: SU » de l’ensemble de revendications ci-dessus, configurez la règle suivante dans ESA IdP Connector : 1. Cliquez sur Add. 2. Sélectionnez Remove (Supprimer) dans la zone de liste. 3. Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets. 4. Cliquez sur Save. Créer une revendication avec une valeur personnalisée ou mettre à jour une revendication existante (remplacer sa valeur) Pour remplacer « SU » par « sampleuser » dans « http://original_identity_provider/claim/displayname: SU », configurez la règle suivante dans 116 ESA IdP Connector : 1. Cliquez sur Add. 2. Sélectionnez Add (Ajouter) dans la zone de liste. 3. Pour Type, tapez « http://original_identity_provider/claim/displayname » sans guillemets. 4. Pour Constant value (Valeur de constante), tapez « sampleuser ». 5. Cliquez sur Save. Si « http://original_identity_provider/claim/displayname » n’existait pas dans l’ensemble de revendications reçu, il serait créé avec la valeur définie dans Constant value (Valeur de constante) : "http://original_identity_provider/claim/displayname: sampleuser" Créer une revendication avec la valeur d’une revendication existante Pour créer une revendication « http://original_identity_provider/claim/profilename » avec la valeur de la revendication « http://original_identity_provider/claim/displayname », configurez la règle suivante dans ESA IdP Connector : 1. Cliquez sur Ajouter. 2. Sélectionnez Copy (Copier) dans la zone de liste. 3. Pour From type (Type De), tapez « http://original_identity_provider/claim/displayname » sans guillemets. 4. Pour To type (Type À), tapez « http://original_identity_provider/claim/profilename » sans guillemets. 5. Cliquez sur Save. Exemples de configuration d’IdP Connector Dans les exemples de configuration ci-dessous, nous partons du principe que les paramètres suivants sont définis comme suit : • URL d’installation d’ESA : https://esa.test.local:44322/ • Path Name (Nom du chemin d’accès) configuré dans le Connecteur de fournisseur d’identité ESA (ESA IdP Connector) : test Liens vers les exemples de configuration ci-dessous : Open AM, Okta, Azure AD, AD FS, Shibboleth, Dropbox, Confluence Fournisseurs d’identité 117 OpenAM Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Fournisseur d’identité d’origine > Configuration issue du fournisseur d’identité d’origine, définissez l’URL des métadonnées sur https://<OpenAM_FQDN>/openam/saml2/jsp/exportmetadata.jsp?entityid=https://<OpenAM _FQDN>/openam&realm=/ <OpenAM_FQDN> doit être remplacé par le nom de domaine que vous avez spécifié lors de la création du fournisseur d’identité hébergé dans la console OpenAM. 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature OpenAM doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Configurer OpenAM 1. Connectez-vous à OpenAM. 2. Dans Realms (Domaines), sélectionnez un domaine, puis sélectionnez Create SAML v2 Providers (Créer des fournisseurs SAML v2). 3. Cliquez sur Register Remote Service Provider (Enregistrer le fournisseur de services distants). 4. Saisissez l’URL des métadonnées obtenues auprès d’ESA : a.Dans ESA Web Console, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, puis Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées). Dans notre exemple : https://esa.test.local:44322/test/metadata/ToIdentityProvider 5. Dans Circle of Trust (Cercle de confiance) : a.Sélectionnez Add to existing (Ajouter à l’existant). b.Sélectionnez le cercle de confiance existant auquel appartient votre fournisseur d’identité hébergé. 6. Accédez à Federation (Fédération) > Entity Providers (Fournisseurs d’identité). Sélectionnez le fournisseur d’identité utilisé, puis Name ID Format (Format de l’ID de nom). 7. Attribuez une valeur à Name ID Value Map (Correspondance de valeur de l’ID de nom) s’il n’y en a pas. 8. Importez les certificats ESA IdP Connector dans OpenAM à l’aide de l’outil de ligne de commande. 118 keytool -importcert -alias esa_signing -keystore <openam_keystore.jks> file <esa_signing_certificate> keytool -importcert -alias esa_decryption -keystore <openam_keystore.jks> file <esa_decryption_certificate> Dans le code situé au-dessus de <openam_keystore.jks>, <esa_signing_ceritificate> et <esa_decryption_ceritificate> doivent être remplacés par le chemin correspondant menant à leur emplacement. Okta Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonées) sur l’URL que vous récupérerez d’Okta une fois sa configuration terminée : a.Connectez-vous en tant qu’administrateur à l’application Okta créée. b.Sélectionnez l’onglet Sign On (Connexion), cliquez avec le bouton droit sur Identity Provider metadata (Métadonnées du fournisseur d’identité) dans la section Settings (Paramètres) et copiez son adresse de lien (emplacement du lien). 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Okta doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Configurer Okta 1. Connectez-vous au compte administrateur Okta. 2. Accédez Applications > Applications. 3. Cliquez sur Add Application (Ajouter une application), puis sur Create New App (Créer une application). 4. Sélectionnez Web pour Platform (Plateforme) et SAML 2.0 pour Sign on method (Méthode de connexion). 5. Cliquez sur Créer. 6. Lors de la configuration de l’application : a. Single sign-on URL (URL d’authentification unique) : récupérez l’URL à partir d’ESA Web Console lors de la configuration d’ESA IdP Connector : i. Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity 119 Provider (Configuration du fournisseur d’identité d’origine) > Sign-on URL (URL de connexion unique). Dans notre exemple : https://esa.test.local:44322/test/Auth/LoginResponse b.Audience URI (SP Entity ID) [URI d’audience (ID d’entité du fournisseur d’identité)] : récupérez la valeur correspondante à partir d’ESA Web Console lors de la configuration d’ESA IdP Connector : i. Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Identifier (URL de connexion unique). Dans notre exemple : https://esa.test.local:44322/test/ c.Dans SAML Settings (Paramètres SAML), sélectionnez Email (E-mail) pour Application username (Nom d’utilisateur de l’application). Azure AD Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL sur l’URL que vous récupérerez d’Azure une fois sa configuration terminée : a.Dans le portail Azure, accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise) et sélectionnez l’application dans la liste. b.Cliquez sur Single sign-on (Authentification unique), puis copiez l’URL du champ App Federation Metadata URL (URL des métadonnées de la fédération d’applications) dans la section SAML Signing Certificate (Certificat de signature SAML). 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Azure doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Vous pouvez télécharger le certificat de signature Azure à partir du portail Azure : a.Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise). Sélectionnez l’application que vous avez configurée pour l’authentification unique, puis Single sign-on (Authentification unique). b.Dans la section SAMLE Signing Certificate (Certificat de signature SAMLE), cliquez sur Download (Télécharger) à côté de Certificate (Raw) [Certificat (Brut)] 120 Configurer Azure AD 1. Connectez-vous au portail Azure. 2. Accédez à Azure Active Directory > Enterprise applications (Applications d’entreprise) > New Application (Nouvelle application). 3. Cliquez sur Non-gallery application (Application hors galerie). 4. Dans la section Single sign-on (Authentification unique), configurez les champs suivants en fonction des informations récupérées lors de la configuration d’ESA IdP Connector : a.Identifier (Entity ID) [Identificateur (ID d’entité)] : utilisez la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Identifier (Identificateur). Dans notre exemple : https://esa.test.local:44322/test b.Reply URL (Assertion Consumer Service URL) [URL de réponse (URL Assertion Consumer Service)], Signon URL (URL d’authentification unique) : servez-vous de la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Sign-on URL (URL d’authentification unique). Dans notre exemple : https://esa.test.local:44322/test/Auth/LoginResponse c.Logout Url (URL de déconnexion) : utilisez la valeur de Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Logout URL (URL de déconnexion). Dans notre exemple : https://esa.test.local:44322/test/Auth/LogoutResponse AD FS Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur https://AD FS_FQDN>/FederationMetadata/2007-06/FederationMetadata.xml où <AD FS_FQDN> doit être remplacé par le nom de domaine de votre serveur AD FS. 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature AD FS doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). 121 Configurer AD FS 1. Ouvrez AD FS Management. 2. Cliquez sur Relations d’approbation > Approbations de partie de confiance > Ajouter une approbation de partie de confiance. 3. Sélectionnez Prise en charge des revendications , puis cliquez sur Démarrer. 4. Sélectionnez Importer les données, publiées en ligne ou sur un réseau local, concernant la partie de confiance et, dans le champ Adresse des métadonnées de fédération (nom d’hôte ou URL), saisissez l’URL des métadonnées fournie dans ESA IdP Connector : a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées) 5. Terminez la configuration. 6. Lorsque vous cliquez sur Close (Fermer) sur la page Finish (Terminer), la boîte de dialogue Edit Claim Rules (Modifier les règles de revendication) s’ouvre automatiquement. 7. Sélectionnez l’onglet Issuance Transform Rules (Règles de transformation d’émission), puis cliquez sur Add Rule (Ajouter une règle). 8. Dans Claim rule template (Modèle de règle de revendication), sélectionnez Send LDAP Attributes as Claims (Envoyer des attributs LDAP en tant que revendications), puis cliquez sur Next (Suivant). 9. Dans Attribute store (Magasin d’attributs), sélectionnez Active Directory. 10. Sélectionnez User-Principal-Name (Nom principal d’utilisateur) pour LDAP Attribute (Attribut LDAP) et Name ID (ID de nom) pour Outgoing Claim (Revendication sortante). 11. Cliquez sur Finish (Terminer), puis sur OK dans la boîte de dialogue Edit Claim Rules (Modifier les règles de revendications). 12. Appliquez la configuration suivante via PowerShell : Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" SigningCertificateRevocationCheck "none" Set-ADFSRelyingPartyTrust -Targetname "<relying_party_name>" EncryptionCertificateRevocationCheck "none" Dans le code ci-dessus, remplacez <relying_party_name> par le nom de l’approbation de partie de confiance que vous avez configuré dans les étapes précédentes. 13. Téléchargez les certificats à partir de la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine) de ESA IdP Connector, et importez-les dans le magasin de certificats Windows pour les approuver. 122 Shibboleth Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur file://C:\Program Files (x86)\Shibboleth\IdP\metadata\idp-metadata.xml si ESA IdP Connector est installé sur la même machine que Shibboleth. Sinon, copiez le fichier idpmetadata.xml de Shibboleth sur l’ordinateur où ESA IdP Connector est installé et faites référence à ce chemin. 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature de Shibboleth (situé à l’emplacement C:\Program Files (x86)\Shibboleth\IdP\credentials\idp-signing.crt par défaut) doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Configurer Shibboleth 1. Téléchargez le fichier de métadonnées ESA IdP Connector à partir de l’URL fournie dans ESA IdP Connector : a.Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées) b.Enregistrez-le sur l’ordinateur où Shibboleth est installé et faites référence à son emplacement dans « C:\Program Files (x86)\Shibboleth\IdP\conf\metadata-providers.xml » : <MetadataProvider id="spmetadata" xsi:type="FilesystemMetadataProvider" metadataFile="<metadata_xml_fil e_from_esa>"/> Dans le code ci-dessus, <metadata_xml_file_from_esa> fait référence au chemin du fichier de métadonnées ESA IdP Connector téléchargé. 2. Faites en sorte que Shibboleth envoie des données, qui identifient l’utilisateur, au format e-mail en tant que valeur du paramètre NameID. Par exemple, l’attribut LDAP mail : a.Définissez shibboleth.SAML2NameIDGenerators dans « C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.xml » : <bean parent="shibboleth.SAML2AttributeSourcedGenerator" p:omitQualifiers="true " p:format="urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress" p:attributeSourceIds="#{ {'mail'} }" /> 123 b.Ajoutez le contenu ci-dessous à « C:\Program Files (x86)\Shibboleth\IdP\conf\saml-nameid.properties » : idp.nameid.saml2.default = urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress Keycloak Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Dans la section Original Identity Provider (Fournisseur d’identité d’origine) > Configuration from the original Identity Provider (Configuration du fournisseur d’identité d’origine), définissez Metadata URL (URL des métadonnées) sur https://<keycloak>/auth/realms/<realm>/protocol/saml/descriptor Dans l’URL ci-dessus, remplacez <keycloak> par le nom de domaine (et le port) de votre instance Keycloak et <realm> par le nom de domaine correspondant. 3. Si, dans les paramètres avancés de la configuration d’ESA IdP Connector, les options Validate original Identity Provider certificate (Valider le certificat du fournisseur d’identité d’origine) et Check original Identity Provider Certificate revocation (Vérifier la révocation du certificat du fournisseur d’identité d’origine) sont sélectionnées, le certificat de signature Keycloak doit être configuré comme approuvé sur la machine sur laquelle ESA IdP Connector est installé (par exemple, en l’ajoutant à Personnes de confiance). Configurer Keycloak 1. Téléchargez les métadonnées ESA IdP Connector sous forme de fichier XML à partir d’ESA Web Console : a.Dans un navigateur, accédez à Components (Composants) > Identity Provider Connector (Connecteur du fournisseur d’identité). Sélectionnez le connecteur du fournisseur d’identité configuré, Original Identity Provider (Fournisseur d’identité d’origine) > Configuration to the Original Identity Provider (Configuration du fournisseur d’identité d’origine) > Metadata URL (URL des métadonnées), puis ouvrez l’URL des métadonnées. b.Appuyez sur CTRL + S, sélectionnez « XML » pour Type de fichier si disponible, puis cliquez sur Enregistrer. 2. Connectez-vous à la console d’administration de Keycloak. 3. Cliquez sur Clients > Create (Créer). 4. À côté d’Import (Importer), cliquez sur Select file (Sélectionner un fichier), puis accédez au fichier .xml des métadonnées téléchargé à l’étape 1. 5. Dans Client Protocol (Protocole client), sélectionnez SAML. 124 6. Renseignez le reste des champs et cliquez sur Save (Enregistrer). 7. Dans l’onglet Settings (Paramètres) du client créé, désactivez Sign Assertions (Signer les assertions). 8. Dans Name ID Format (Format d’ID de nom), sélectionnez email (e-mail). Fournisseurs de services Dropbox Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de services). 3. Pour Issuer (Émetteur), tapez http://Dropbox. 4. Définissez Single Sign-on Destination (Destination d’authentification unique) sur https://www.dropbox.com/saml_login. 5. Copiez la valeur de Sign-on URL (URL d’authentification) et de Logout URL (URL de déconnexion) dans un fichier texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de la configuration de votre fournisseur de services. 6. Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de services). Configurer Dropbox 1. Connectez-vous à Dropbox en tant qu’administrateur. 2. Accédez à Settings (Paramètres) > Single sign-on (Authentification unique). 3. Dans le champ Sign-in URL (URL de connexion), tapez l’URL d’authentification que vous avez copiée à partir du ESA IdP Connector configuré. 4. Dans le champ Sign-out URL (URL de déconnexion), tapez l’URL de déconnexion que vous avez copiée à partir du ESA IdP Connector configuré. 5. Pour le certificat X.509, importez le certificat de signature que vous avez exporté précédemment à partir du ESA IdP Connector configuré. 125 Confluence Configurer ESA IdP Connector 1. Suivez les instructions génériques sur la configuration d’IdP Connector dans ESA Web Console. 2. Lorsque vous ajoutez un fournisseur de services, sélectionnez Configure manually (Configurer manuellement) dans la section Configuration from the Service Provider (Configuration du fournisseur de services). 3. Pour Issuer (Émetteur), copiez et collez l’adresse URL trouvée dans la console d’administration Confluence dans SAML Authentication (Authentification SAML) > Audience URL (Entity ID) [URL d’audience (ID d’entité)]. 4. Pour Single Sign-on Destination (Destination d’authentification unique), copiez et collez l’adresse URL trouvée dans la console d’administration Confluence dans SAML Authentication (Authentification SAML) > Assertion Consumer Service URL (URL Assertion Consumer Service). 5. Copiez la valeur de Identifier (Identificateur) et de Sign-on URL (URL d’authentification) dans un fichier texte, puis exportez le Singing Certificate (Certificat de signature) pour une utilisation ultérieure lors de la configuration de votre fournisseur de services. 6. Dans Advanced Security Settings (Paramètres de sécurité avancés), désélectionnez Check signature of requests from the Service Provider (Vérifier la signature des requêtes envoyées par le fournisseur de services). Configurer Confluence 1. Connectez-vous à Confluence en tant qu’administrateur. 2. Cliquez sur SAML Authentication (Authentification SAML). 3. Dans la section SAML SSO 2.0 settings (Paramètres d’authentification unique SAML 2.0) : a.Dans le champ Single sing-on Issuer (Émetteur d’authentification unique), saisissez l’identifiant que vous avez copié à partir de ESA IdP Connector. b.Dans le champ Identity provider single sign-on URL (URL d’authentification unique du fournisseur d’identité), saisissez l’URL d’authentification unique que vous avez copiée à partir de ESA IdP Connector. c.Dans le champ X.509 Certificate (Certificat X.509), collez le contenu du certificat de signature que vous avez exporté à partir de ESA IdP Connector. Clé de récupération principale Une clé de récupération principale (MRK) est un mot de passe à usage unique (OTP) alternatif qui peut être utilisé pour se connecter à un ordinateur ou à un service protégé par l’authentification à 2 facteurs (2FA) dans les situations où l’utilisateur n’est pas en mesure de saisir un mot de passe à usage unique (OTP) valide ou ne peut pas s’authentifier en approuvant une notification push. Par exemple, l’utilisateur a perdu son téléphone sur lequel l’application mobile ESA était installée. Une clé de récupération principale (MRK) est propre à un utilisateur et à un composant ESA, ce qui signifie qu’Utilisateur1 et Utilisateur2 auraient une clé de récupération principale 126 (MRK) différente pour PC1. L’accès via une clé de récupération principale (MRK) est disponible même en mode en ligne et hors ligne pour la protection de connexion Windows. L’utilisation hors connexion de la clé de récupération principale (MRK) est disponible uniquement si le mode hors connexion pour un ordinateur donné est activé dans ESA Web Console, dans la section des paramètres de connexion Windows. Si le mode hors ligne est activé, la clé de récupération principale (MRK) est également stockée localement sur l’ordinateur dans le cache chiffré et protégé. Dans ESA 2.6 et versions ultérieures, vous pouvez également utiliser la clé de récupération principale (MRK) pour d’autres composants que Windows Login. Utiliser la clé de récupération principale (MRK) pour l’authentification L’exemple ci-dessous utilise la clé de récupération principale pour Windows Login. 1. Les utilisateurs ne peuvent pas obtenir de mot de passe à usage unique (OTP). Ils doivent donc appeler l’administrateur. 2. L’administrateur ouvre ESA Web Console, navigue jusqu’à Users (Utilisateurs), clique sur le nom de l’utilisateur spécifique, puis sur Actions. Il sélectionne ensuite Show MRK (Afficher la clé de récupération), le type de module de protection dans la section Choose type (Choisir le type), puis l’ordinateur spécifique dans la liste Choose component (Choisir le composant). Il clique enfin sur Show MRK (Afficher la clé principale de récupération). À ce stade, une clé de récupération principale (MRK) est générée. Plusieurs composants SEA Si l’utilisateur avait plusieurs composants ESA répertoriés dans un module de protection spécifique (par exemple, plusieurs ordinateurs dans le module de protection de connexion Windows), le composant réel pour lequel l’utilisateur demande une clé principale de récupération est répertorié en haut de la liste en tant que Last used (Dernière utilisation). 3. L’administrateur fournit la clé de récupération principale (MRK) obtenue à l’utilisateur, qui peut se connecter en tapant la clé de récupération principale (MRK) au lieu du mot de passe à usage unique (OTP). 127 Lorsque l’ordinateur est en mode hors connexion, une clé de récupération principale (MRK) peut être utilisée pour se connecter plusieurs fois à la machine Windows spécifique. Après la première connexion réussie à ESA Authentication Server, la clé de récupération principale (MRK) précédemment générée devient non valide et ne peut plus être utilisée, même si elle n’a pas été utilisée du tout. Les clés de récupération principales (MRK) générées pour d’autres modules de protection ESA sont valables au maximum pendant une heure ou jusqu’à une connexion réussie à l’aide de la clé de récupération principale ou d’une autre option d’authentification. Réinitialiser les identifiants d’administrateur ESA Web Console Dans le cas où l’administrateur d’ESA Web Console n’est pas en mesure de s’authentifier (par exemple, réinstallation de l’application mobile ESA, perte du code PIN, perte du téléphone sur lequel l’application mobile ESA était installée), réinitialisez les identifiants ESA Web Console : 1. Exécutez à nouveau le programme d’installation de ESET Secure Authentication. 2. Cliquez sur Change. 3. Pour remplacer l’ancien compte par un nouveau, tapez le nom d’utilisateur de l’administrateur d’origine et un nouveau mot de passe lorsque vous y êtes invité. Pour créer un autre compte, tapez un nouveau nom d’utilisateur et un nouveau mot de passe. 4. Fermez le programme d’installation lorsque vous avez terminé. 5. Redémarrez le service ESET Secure Authentication Core pour que la modification prenne effet. Serveur RADIUS et protection VPN ESA est fourni avec un serveur RADIUS autonome utilisé pour authentifier les connexions VPN. Après avoir installé le composant serveur ESA RADIUS, le service démarre automatiquement. Assurez-vous qu’il est en cours d’exécution en vérifiant son état dans la console des services Windows. ESA RADIUS n’a pas nécessairement besoin d’être utilisé pour permettre la protection VPN seule. Pour en savoir plus, consultez Modules PAM RADIUS sous Linux/Mac. Configuration RADIUS Pour configurer l’authentification à 2 facteurs (2FA) pour votre VPN, ajoutez votre appliance VPN en tant que client RADIUS : 1. Dans ESA Web Console, accédez à Components (Composants) > RADIUS, sélectionnez un serveur RADIUS, puis cliquez sur Create new RADIUS client (Créer un client RADIUS). 2. Dans la section Paramètres de base, procédez comme suit : a.Donnez au client RADIUS un nom mémorable pour pouvoir le retrouver facilement. 128 b.Configurez l’adresse IP (IP Address) et le secret partagé (Shared Secret) pour le Client afin qu’ils correspondent à ceux configurés pour votre appliance VPN. L’adresse IP est l’adresse IP interne de votre appliance. Si votre appliance communique via IPv6, utilisez cette adresse IP avec l’ID d’étendue associé (ID d’interface). c.Le secret partagé est le secret partagé RADIUS pour l’authentificateur externe que vous allez configurer sur votre appliance. 3. Dans la section Authentication (Authentification), procédez comme suit : a.Sélectionnez le type de client. b.Sélectionnez la méthode d’authentification souhaitée. La méthode d’authentification optimale dépend de la marque et du modèle de votre appliance VPN. Consultez les directives d’intégration de VPN ESA dans la base de connaissances ESET pour en savoir plus. c.Si vous le souhaitez, vous pouvez autoriser n’importe quel utilisateur n’utilisant pas l’authentification à 2 facteurs (non-2FA) à utiliser le VPN. Utilisateurs n’utilisant pas l’authentification à 2 facteurs Si vous autorisez les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) à se connecter au VPN sans restreindre l’accès à un groupe de sécurité, tous les utilisateurs du domaine pourront se connecter à l’aide du VPN. L’utilisation de cette configuration n’est pas recommandée. Supposons qu’un client ESA RADIUS soit configuré pour permettre aux utilisateurs n’utilisant pas l’authentification à 2 facteurs de se connecter à l’aide de leurs identifiants génériques. Si l’auto-inscription avec un type d’authentification par défaut est activée, tous les utilisateurs seront invités à fournir une authentification à 2 facteurs ou une clé de récupération principale pour s’authentifier. 129 4. Dans la section Users (Utilisateurs), dans la zone de sélection Realm (Domaine), sélectionnez Current AD domain (Domaine AD actuel) ou Current AD domain and domains in trust (Domaine AD actuel et domaines de confiance) pour que le domaine de l’utilisateur soit automatiquement enregistré lorsque l’utilisateur s’authentifie pour la première fois à l’aide du VPN et de l’authentification à 2 facteurs (2FA). Vous pouvez également sélectionner un domaine spécifique dans la zone de sélection pour que tous les utilisateurs soient enregistrés dans le même domaine. 5. Si votre client VPN requiert l’envoi d’attributs RADIUS supplémentaires par ESA RADIUS, dans la section Attributes (Attributs), cliquez sur Add (Ajouter) pour les configurer. 130 6. Lorsque vous avez terminé d’apporter des modifications, cliquez sur Save (Enregistrer). 7. Redémarrez le serveur RADIUS. a.Localisez ESA RADIUS Service dans les services Windows (sous Panneau de configuration > Outils d’administration > Afficher les services locaux). b.Cliquez avec le bouton droit sur ESA Radius Service, puis sélectionnez Redémarrer dans le menu contextuel. Authentification push Si la méthode d’authentification push par application mobile (Mobile Application Push) est activée, définissez le délai d’expiration de l’authentification de votre serveur VPN sur plus de 2,5 minutes. Options de type de client • Le client ne valide pas le nom d’utilisateur et le mot de passe • Le client valide le nom d’utilisateur et le mot de passe • Utiliser la fonction Access-Challenge de RADIUS • Le client ne valide pas le nom d’utilisateur et le mot de passe - éviter les mots de passe composés Plus d’informations sur les options de type de client Les clients RADIUS suivants prennent en charge la fonctionnalité Access-Challenge de RADIUS : ▪Pulse Connect Secure (anciennement Junos Pulse (VPN)) ▪Linux PAM module Le client RADIUS Microsoft RRAS ne doit pas être utilisé avec la fonctionnalité Access-Challenge. Utilisation de RADIUS Lorsque vous avez configuré votre client RADIUS, il est recommandé de vérifier la connectivité RADIUS à l’aide d’un utilitaire de test, par exemple NTRadPing, avant de reconfigurer votre appliance VPN. Après avoir vérifié la connectivité RADIUS, vous pouvez configurer votre appliance pour utiliser le serveur ESA RADIUS comme authentificateur externe pour vos utilisateurs VPN. Étant donné que la méthode d’authentification optimale et l’utilisation dépendent de la marque et du modèle de votre appliance, reportez-vous au guide d’intégration du VPN ESET Secure Authentication correspondant, disponible dans la base de connaissances ESET. 131 Options d’authentification VPN Cette section passe en revue les options de configuration disponibles pour un client RADIUS utilisant ESA Web Console dans un environnement AD. Mots de passe à usage unique par SMS Ce scénario se produit si l’utilisateur est configuré pour utiliser uniquement les mots de passe à usage unique (OTP) par SMS et que le client RADIUS est configuré pour utiliser l’authentification par mot de passe à usage unique (OTP) par SMS. Dans cette configuration, un utilisateur se connecte avec son mot de passe Active Directory. La première tentative d’authentification par le client VPN échouera et l’utilisateur sera invité à saisir à nouveau son mot de passe. Dans le même temps, l’utilisateur recevra un SMS contenant son mot de passe à usage unique (OTP). L’utilisateur se connecte ensuite avec le mot de passe à usage unique (OTP) contenu dans le SMS. La deuxième tentative d’authentification accordera l’accès si le mot de passe à usage unique (OTP) est correct. Cette séquence est représentée dans la figure : RADIUS SMS OTP Authentication (Authentification par mot de passe à usage unique par SMS Radius). Protocoles d’authentification pris en charge : PAP, MSCHAPv2. RADIUS SMS OTP Authentication Mot de passe à usage unique par SMS à la demande ESET Secure Authentication prend en charge les mots de passe à usage unique par SMS à la demande (Ondemand SMS OTP) pour certains systèmes qui prennent en charge l’authentification principale avec Active Directory et l’authentification secondaire avec un serveur RADIUS. Dans ce scénario, les utilisateurs qui ont déjà été authentifiés avec Active Directory doivent taper les lettres « sms » dans le champ ESA OTP (Mot de passe à usage unique ESA) pour recevoir un mot de passe à usage unique (One Time Password) via SMS. 132 Cette fonctionnalité ne doit être utilisée que lorsqu’un guide d’intégration (Integration Guide) ESET Secure Authentication officiel vous demande de le faire. En effet, si elle est utilisée de manière incorrecte, elle peut permettre aux utilisateurs de s’authentifier avec un mot de passe à usage unique (OTP) uniquement. Application mobile Ce scénario se produit si l’utilisateur est configuré pour utiliser uniquement le mot de passe à usage unique (OTP) et/ou le Push, et que le client RADIUS est configuré pour utiliser les mots de passe à usage unique par application mobile (Mobile Application OTPs) et/ou l’authentification push par application mobile (Mobile Application Push). L’utilisateur se connecte avec un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile Application) ou en approuvant une notification push générée sur son appareil mobile Android/iOS ou sa montre Android/Apple. Notez que l’application d’un code PIN est fortement recommandée dans cette configuration pour fournir un deuxième facteur d’authentification. Application mobile (Mobile Application) protégée par code PIN Si la protection par code PIN est activée pour l’application mobile (Mobile Application) , elle permettra à un utilisateur de se connecter à l’aide d’un code PIN incorrect afin de protéger le code PIN correct contre les attaques par force brute. Par exemple, si un attaquant tente de se connecter à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, il peut se voir accorder l’accès , mais aucun mot de passe à usage unique (OTP) ne fonctionnera. Après avoir entré plusieurs mots de passe à usage unique (OTP) erronés, l’authentification à 2 facteurs (2FA) du compte utilisateur auquel appartient l’application mobile (Mobile Application) sera automatiquement verrouillée. Cela représente un problème mineur pour un utilisateur général : si l’utilisateur se connecte à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, puis remplace le code PIN par un nouveau, tous les jetons inclus dans l’application mobile (Mobile Application) deviendront inutilisables. Il n’existe aucun moyen de réparer de tels jetons : la seule solution consiste à réapprovisionner des jetons dans l’application mobile (Mobile Application). Par conséquent, nous conseillons aux utilisateurs d’essayer un mot de passe à usage unique avant de modifier leur code PIN. Si le mot de passe à usage unique fonctionne, la modification du code PIN peut se faire en toute sécurité. Protocoles PPTP pris en charge : PAP, MSCHAPv2. Compound Authentication Enforced Ce scénario se produit si le client RADIUS est configuré pour utiliser l’authentification composée (Compound Authentication). Cette méthode d’authentification est limitée aux utilisateurs pour lesquels l’utilisation des mots de passe à usage unique par application mobile (Mobile Application OTPs) est configurée. Dans ce scénario, un utilisateur se connecte au VPN en entrant son mot de passe Active Directory (AD), en plus d’un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile Application). Par exemple, si le mot de passe AD est « motdepasse » et que le mot de passe à usage unique est « 123456 », l’utilisateur tape « motdepasse123456 » dans le champ de mot de passe de son client VPN. Mots de passe à usage unique et espaces blancs Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Toutes les méthodes d’authentification, à l’exception de MSCHAPv2, suppriment les espaces blancs dans les identifiants fournis, de sorte qu’un utilisateur peut inclure ou exclure des espaces sans affecter l’authentification. 133 Jetons matériels Ce scénario se produit si l’utilisation des Hard Token OTPs (mots de passe à usage unique avec jeton matériel) est configurée à la fois pour l’utilisateur et pour le client RADIUS. En fonction de la configuration de votre client VPN, vous pouvez utiliser une authentification avec jeton matériel (Hard Token) unique ou une authentification avec jeton matériel (Hard Token) composée. Lors de l’utilisation d’une authentification avec jeton matériel (Hard Token) composée, un utilisateur se connecte au VPN en tapant son mot de passe Active Directory (AD), en plus d’un mot de passe à usage unique (OTP) généré par son jeton matériel (Hard Token). Par exemple, si le mot de passe AD est « password » et que le mot de passe à usage unique (OTP) est « 123456 », l’utilisateur tape « password123456 » dans le champ de mot de passe de son client VPN. Protocoles d’authentification pris en charge : PAP. Migration des mots de passe à usage unique par SMS vers l’application mobile Ce scénario se produit si l’utilisateur est configuré pour utiliser à la fois les mots de passe à usage unique (OTP) par SMS et l’application mobile (Mobile Application), et que le client RADIUS est configuré pour utiliser l’authentification par mot de passe à usage unique (OTP). Dans cette configuration, l’utilisateur peut utiliser les scénarios de mots de passe à usage unique (OTP) par SMS ou par application mobile (Mobile Application OTP), comme décrit ci-dessus, pour se connecter. Si l’utilisateur se connecte avec un mot de passe à usage unique (OTP) généré avec son application mobile (Mobile Application), L’authentification par mot de passe à usage unique par SMS (SMS OTP) sera automatiquement désactivée. Lors des tentatives ultérieures, les mots de passe à usage unique (OTP) par SMS ne seront pas acceptés en tant qu’identifiants de connexion. Protocoles d’authentification pris en charge : PAP, MSCHAPv2. Accès sans authentification à 2 facteurs Ce scénario se produit si les mots de passe à usage unique par SMS (SMS-based OTP), les mots de passe à usage unique par application mobile (Mobile Application OTP) et les jetons matériels (Hard Token) ne sont pas configurés pour l’utilisateur et que l’option de configuration du client RADIUS permettant d’autoriser les mots de passe Active Directory sans mots de passe à usage unique (Active Directory passwords without OTPs) est sélectionnée. Dans cette configuration, l’utilisateur se connecte avec son mot de passe Active Directory. Protocoles d’authentification pris en charge : PAP, MSCHAPv2. 134 À propos de la mise à niveau Pour les VPN PPPT de Microsoft Routing & Remote Access Server (RRAS) [Microsoft Routing & Remote Access Server (RRAS) PPTP VPN], le chiffrement de la connexion VPN n’est pas effectué lorsque le protocole d’authentification PAP est utilisé et n’est donc pas recommandé. La plupart des autres fournisseurs de VPN chiffrent la connexion quel que soit le protocole d’authentification utilisé. Contrôle d’accès à l’aide de l’appartenance à un groupe ESA permet d’autoriser uniquement les membres d’un groupe de sécurité AD spécifique à se connecter au VPN à l’aide de l’authentification à 2 facteurs (2FA). Cette option est configurée par client RADIUS sous l’en-tête Access Control (Contrôle d’accès). Méthodes d’authentification ESA et compatibilité PPP Le serveur VPN doit être configuré pour autoriser tous les protocoles que les clients peuvent vouloir utiliser. Les clients utilisateurs finaux VPN ne doivent être configurés que pour un seul protocole. Chaque fois que plusieurs protocoles sont pris en charge, les clients VPN doivent être configurés pour utiliser MSCHAPv2 avec 128-bit MPPE. Cela signifie que PAP n’est recommandé que pour l’authentification composée (Compound Authentication). Méthode d'authentification PAP MS-CHAPv2 SMS-Based OTPs Pris en charge Pris en charge On-demand SMS-Based OTPs Pris en charge Pris en charge Mobile-Application (OTP ou Push) Pris en charge Pris en charge Mobile Application (Compound Authentication) Pris en charge Non pris en charge Hard Token OTPs Pris en charge Pris en charge Hard Token (Compound Authentication) Pris en charge Non pris en charge Mots de passe Active Directory sans mot de passe à usage unique (OTPs) Pris en charge Pris en charge Vérification du bon fonctionnement d’ESA RADIUS Les articles suivants décrivent les étapes nécessaires pour vérifier la connectivité de votre serveur ESA RADIUS. Chaque client se connectant au serveur RADIUS doit être explicitement configuré dans ESA Web Console en tant que client RADIUS. Le dépannage d’un serveur RADIUS comprend les étapes suivantes : • Vérification que votre serveur RADIUS écoute les demandes entrantes • Test de la connectivité au serveur RADIUS à partir de votre localhost • Test de la connectivité au serveur RADIUS sur le réseau Les deux dernières étapes nécessitent l’utilitaire NTRadPing. Pour effectuer les tests de ce guide, vous aurez besoin d’un compte d’utilisateur Active Directory (AD) à des fins 135 de test. L’utilisateur Alice est désigné tout au long de ce guide comme le compte d’utilisateur AD utilisé pour les tests. Le mot de passe AD statique Esa132 est utilisé comme mot de passe pour ce compte de test dans le cadre de ce guide. Notes Avant de commencer, assurez-vous qu’aucune méthode d’authentification à 2 facteurs n’est activée pour Alice dans ESA Web Console. Ce guide est écrit pour un scénario de déploiement dans lequel ESA RADIUS Server s’exécute sur le même serveur que le serveur d’authentification ESA. S’assurer qu’ESA RADIUS Service est en cours d’exécution 1. Ouvrez la console de services Windows et vérifiez que ESET Secure Authentication RADIUS Service est à l’état En cours d’exécution, comme illustré dans la figure 1. 2. Dans cette étape, nous vérifions que le processus ESA RADIUS Server écoute sur le port sélectionné lors de l’installation du composant RADIUS Server for VPN Protection (Serveur RADIUS pour protection VPN) (port UDP 1812 par défaut). Si vous avez défini un autre port RADIUS (RADIUS Port), recherchez ce port dans la sortie de la commande ci-dessous. a.Ouvrez une invite de commandes et tapez la commande suivante : C:\>netstat –a –p udp –b | more b.Vérifiez que EIP Radius.WindowsService.EXE est le seul service à écouter sur le port UDP 1812 Connexions actives Proto Local Address State Foreign Address UDP *:* 0.0.0.0:1812 [EIP.Radius.WindowsService.EXE] Figure 1 : Vérifier que ESET Secure Authentication RADIUS Service est en cours d’exécution Configurer votre serveur RADIUS Procédez comme suit pour configurer un client RADIUS factice : 1. Connectez-vous à ESA Web Console et assurez-vous qu’une licence ESA active est utilisée par 136 l’installation (l’état de la licence peut être consulté dans le tableau de bord). 2. Accédez à Components (Composants) > RADIUS, Puis cliquez sur le nom de votre serveur RADIUS. Cliquez ensuite sur Create new RADIUS client (Créer un client RADIUS). 3. Entrante Basic Settings : a.Donnez au client RADIUS un nom mémorable pour pouvoir le retrouver facilement. b.Configurez l’adresse IP et le secret partagé (Shared Secret) pour le client afin qu’ils correspondent à ceux configurés pour votre appliance VPN. L’adresse IP est l’adresse IP interne de votre appliance. Si votre appliance communique via IPv6, utilisez cette adresse IP avec l’ID d’étendue associé (ID d’interface). Le secret partagé est le secret partagé RADIUS pour l’authentificateur externe que vous allez configurer sur votre appliance. 4. Dans Authentication, (Authentification), complétez les informations comme indiqué dans la capture d’écran ci-dessous : 5. Dans Users (Utilisateurs) > Realm (Domaine), sélectionnez Current AD domian (Domaine AD actuel). 137 6. Cliquez sur Save. Vérifier le bon fonctionnement (localhost) 1. Lancez NTRadPing et remplissez les valeurs comme indiqué dans la capture d’écran suivante : 2. Cliquez sur Send. 3. Vérifiez que vous avez reçu une réponse Access-Accept : 4. Si vous avez reçu une réponse autre que Access-Accept, passez à la section de dépannage. 138 Vérifier la connectivité réseau à partir d’une autre machine (facultatif) Cette étape est utile pour vous assurer qu’il n’y a pas de problèmes de réseau entre vos machines. 1. Si vous avez reçu une réponse Access Accept lors du premier test et que vous utilisez Microsoft RRAS/NPS comme serveur VPN, répétez les étapes de test localhost, mais lancez NTRadPing sur votre serveur RRAS et suivez les étapes a et b ci-dessous : a.Modifiez l’adresse IP NTRadPing pour qu’elle pointe vers votre serveur ESA RADIUS. b.Modifiez l’adresse IP de votre client factice pour qu’elle corresponde à celle de votre serveur RRAS. 2. Si vous utilisez une appliance VPN dédiée, effectuez les étapes détaillées ci-dessus en utilisant une autre machine sur le même segment réseau que votre appliance VPN. Accès refusé Symptôme Vous recevez la réponse suivante : Étapes de résolution à suivre Vérifiez les points suivants : 1. Assurez-vous d’avoir saisi correctement le mot de passe d’Alice dans le champ Password (Mot de passe), puis réessayez en cliquant à nouveau sur le bouton Send (Envoyer). 2. Assurez-vous de bien saisir le mot de passe AD d’Alice. Réinitialisez le mot de passe si nécessaire. 3. Dans Web Console, vérifiez qu’aucune méthode d’authentification à 2 facteurs n’est activée pour Alice. Assurez-vous que les mots de passe à usage unique par application mobile ou par SMS ne sont PAS 139 sélectionnés. 4. Assurez-vous le compte d’Alice n’est pas verrouillé et déverrouillez-le si nécessaire. 5. Vérifiez votre configuration RADIUS et votre configuration NTRadPing. 6. Si, après avoir terminé les étapes ci-dessus, votre problème n’est toujours pas résolu, contactez le service client ESET et fournissez-lui votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure Authentication\logs. Erreur de connexion Symptôme Au lieu de recevoir le paquet Access-Accept (Accès autorisé), vous rencontrez les problèmes suivants : Étapes de résolution à suivre 1. Assurez-vous d’avoir créé le client RADIUS factice avec l’adresse IP correcte, conformément aux instructions de la section Configurer votre serveur RADIUS. Vérifiez que l’état de votre service ESA RADIUS est Started (Démarré). 2. Assurez-vous d’avoir tapé les informations correctes dans NTRadPing, conformément à la capture d’écran de la section Vérifier la fonctionnalité (localhost). 3. Vérifiez que votre serveur RADIUS écoute sur le port approprié. Lancez une invite de commandes et exécutez la commande suivante : netstat –a –p UDP –b C:\temp.txt 4. Ouvrez le fichier C:\temp.txt et vérifiez que les entrées suivantes existent pour votre serveur RADIUS : Proto 140 Local Address Foreign Address State UDP 0.0.0.0:1812 *:* [EIP.Radius.WindowsService.EXE] 5. Si aucune des solutions ci-dessus ne résout le problème, contactez le service client ESET et fournissez-lui votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure Authentication\logs. Expiration du délai d’attente Symptôme Au lieu de recevoir le paquet Access-Accept (Accès autorisé), vous recevez les messages suivants : Étapes de résolution à suivre 1. Assurez-vous d’avoir créé le client RADIUS factice avec l’adresse IP correcte, conformément aux instructions de la section Configurer votre serveur RADIUS. 2. Assurez-vous d’avoir tapé les informations correctes dans NTRadPing, conformément à la capture d’écran de la section Vérifier la fonctionnalité (localhost). 3. Vérifiez que votre serveur RADIUS écoute sur le port approprié. Lancez une invite de commandes et exécutez la commande suivante : netstat –a –p UDP –b C:\temp.txt 4. Ouvrez le fichier C:\temp.txt et vérifiez qu’il existe une entrée pour votre serveur RADIUS qui ressemble à ceci : Proto Local Address UDP 0.0.0.0:1812 [EIP.Radius.WindowsService.EXE] 141 Foreign Address *:* State 5. Si, après avoir effectué les étapes ci-dessus, votre problème n’est toujours pas résolu, contactez le service client ESET et fournissez-lui votre fichier journal RADIUS, situé dans C:\ProgramData\ESET Secure Authentication\logs. Modules RADIUS PAM sur Linux/Mac Les machines Linux/Mac peuvent utiliser ESA pour l’authentification à 2 facteurs (2FA) en implémentant un Pluggable Authentication Module (PAM), qui servira de client RADIUS communiquant avec le serveur ESA RADIUS. En général, tout service utilisant RADIUS peut être configuré pour utiliser le serveur ESA RADIUS. PAM est un ensemble de bibliothèques C dynamiques (.so) permettant d’ajouter des couches personnalisées au processus d’authentification. Elles peuvent effectuer des vérifications supplémentaires et par la suite autoriser/refuser l’accès. Dans ce cas, nous utilisons un module PAM pour demander à l’utilisateur de fournir un mot de passe à usage unique (OTP) sur un ordinateur Linux ou Mac joint à un domaine Active Directory et de le vérifier par rapport à un serveur ESA RADIUS. Le module d’authentification et de Comptabilité The PAM par FreeRADIUS est utilisé dans ce guide. D’autres clients RADIUS PAM peuvent également être utilisés. La configuration de base décrite ici utilisera la fonctionnalité Access-Challenge de RADIUS prise en charge par le serveur ESA RADIUS et par le client RADIUS PAM utilisé. Il existe d’autres options qui n’utilisent pas la méthode Access-Challenge. Elles sont abordées brièvement dans la section Autres configurations RADIUS de ce manuel. Important Tout d’abord, configurez le client RADIUS Linux/Mac dans ESA Web Console. Tapez l’adresse IP de votre ordinateur Linux/Mac dans le champ IP Address (Adresse IP). Sélectionnez Client does not validate user name and password - use Access-Challenge (Le client valide le nom d’utilisateur et le mot de passe Utiliser la fonction Access-Challenge) dans le menu déroulant Client Type (Type de client). Lorsque vous avez effectué ces étapes, configurez votre ordinateur Linux ou Mac en fonction des instructions des sous-chapitres suivants. Créer des clients RADIUS ESA via l’API Si vous avez intégré la protection ESA pour de nombreuses connexions de bureau Linux/Mac via des modules PAM et que vous devez configurer de nombreux clients RADIUS dans ESA, le script PowerShell suivant vous facilitera la tâche. Conditions préalables requises 1. Configurez un client RADIUS dans ESA Web Console. • Basic Settings (Paramètres de base) > IP address (Adresse IP) : saisissez l’adresse IP de l’ordinateur hébergeant le module PAM pour que le serveur RADIUS ESA puisse y accéder. • Basic Settings (Paramètres de base) > Shared Secret (Secret partagé) : saisissez le même secret partagé que celui que vous avez défini dans votre appliance VPN. • Authentication (Authentification) > Client Type (Type de client) > Client validates user name and 142 password - use Access-Challenge (Le client valide le nom d’utilisateur et le mot de passe - Utiliser la fonction Access-Challenge) 2. Activez l’API ESA et ajoutez les identifiants d’API pour Management API (API de gestion) dans ESA Web Console. 3. Répertoriez l’adresse IP et le secret partagé de chaque appliance VPN dans un fichier .csv en tant que paires <adresse IP>;<secret partagé> (<IP address>;<Shared Secret>). par exemple 192.168.0.11;test1 192.168.0.12;test2 192.168.0.13;test3 Si vous exécutez le script sur une autre machine que celle qui héberge le serveur d’authentification, procédez comme suit : 1. Assurez-vous que le certificat ESA est approuvé sur cet ordinateur. 2. Assurez-vous que le certificat inclut le nom de domaine complet du serveur d’authentification dans la liste des autres noms DNS. Comment fonctionne le script ? Le script lit chaque ligne du fichier .csv et crée autant de clients RADIUS que le nombre de lignes de paires Adresse IP/Secret partagé trouvées. La section Authentication (Authentification) de chaque client RADIUS sera configurée en fonction du client RADIUS préconfiguré. Exemple de script PowerShell permettant de créer des clients RADIUS ESA via l’API ESA. Ce fichier est nommé create_radius_clients.ps1 # configuration # Management API credentials - username:password $credentials = "kjssgmarkm:dapweburnx" # IP address or FQDN of the Authentication Server $esaAuthenticationServer = "127.0.0.1:8001" # Name of ESA RADIUS Server foudn in ESA Web Console at Componets > RADIUS $radiusServerName = "BTSH00049D (Authentication Server computer)" 143 # Name of the pre-configured ESA RADIUS client $baseRadiusClientName = "Base Client" # List of IP Address and Shared Secret of each VPN appliance is saved in the clients .csv file. # The clients.csv file is in the same directory where the this PowerShell script res ides $csvImportFilePath = $PSScriptRoot + "\\clients.csv" # headers preparation $ErrorActionPreference = "Stop" $encodedCredentials = [System.Convert]::ToBase64String([System.Text.Encoding]::ASCII .GetBytes($credentials)) $basicAuthHeader = "Basic $encodedCredentials" $headers = @{Authorization = $basicAuthHeader} # find RADIUS server $body = @{ componentType = "radius" } $bodyStr = $body | ConvertTo-Json $response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/GetComponentSettings -Method POST -Bo dy $bodyStr -ContentType "application/json" -Headers $headers $components = $response.Content | ConvertFrom-Json $radiusServerKey = $null foreach ($component in $components) 144 { if ($component.Info.Name -ceq $radiusServerName) { $radiusServerKey = $component.Info.Key } } if ($radiusServerKey -ceq $null) { Throw "RADIUS server not found: " + $radiusServerName } # base RADIUS client $body = @{ componentKey = $radiusServerKey } $bodyStr = $body | ConvertTo-Json $response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/GetRadiusClients -Method POST -Body $ bodyStr -ContentType "application/json" -Headers $headers $clients = $response.Content | ConvertFrom-Json $baseRadiusClientSettings = $null foreach ($client in $clients) { if ($client.ClientName -ceq $baseRadiusClientName) { $baseRadiusClientSettings = $client } } if ($baseRadiusClientSettings -ceq $null) { Throw "RADIUS client not found: " + $baseRadiusClientName 145 } # create clients foreach($line in [System.IO.File]::ReadLines($csvImportFilePath)) { $fields = $line.Split(';') if ($fields.Count -cne 2) { Throw "Invalid fields count: " + $line } $ip = $fields[0] $sharedSecret = $fields[1] $newClientSettings = $baseRadiusClientSettings | ConvertTo-Json | ConvertFrom-Json $newClientSettings.Id = [guid]::NewGuid().ToString("d") $newClientSettings.ClientName = "Generated - " + $ip $newClientSettings.ClientIp = $ip $newClientSettings.SharedSecret = $sharedSecret $body = @{ componentKey = $radiusServerKey; client = $newClientSettings } $bodyStr = $body | ConvertTo-Json $response = Invoke-WebRequest Uri https://$esaAuthenticationServer/manage/v2/CreateRadiusClient -Method POST -Body $bodyStr -ContentType "application/json" -Headers $headers } echo "success" 146 Configuration de PAM Configurer un domaine personnalisé 1. Créez un domaine personnalisé pour les utilisateurs qui se connectent via un module PAM. 2. Lors de la configuration du client RADIUS, sélectionnez le domaine personnalisé dans la section Utilisateurs. Comparaison entre domaine personnalisé et domaine AD actuel Si un domaine personnalisé est sélectionné et que le module PAM envoie « domaine\nom_utilisateur » au serveur ESA RADIUS, un utilisateur portant le nom d’utilisateur « domaine\nom_utilisateur » est créé dans le domaine personnalisé. Si vous sélectionnez Domaine AD actuel ou Domaine AD actuel et domaines approuvés au lieu d’un domaine personnalisé et que le module PAM envoie « domaine\nom_utilisateur » au serveur ESA RADIUS, un utilisateur portant le nom d’utilisateur « nom_utilisateur » sera créé dans le domaine « domaine ». Module d’authentification PAM 1. Téléchargez PAM RADIUS tar.gz à partir de https://freeradius.org/sub_projects/ 2. Extrayez le package téléchargé en exécutant la commande suivante dans une fenêtre de terminal : tar xzvf pam_radius-release_2_0_0.tar.gz 3. Générez la bibliothèque .so en exécutant les commandes suivantes dans une fenêtre de terminal : cd pam_radius-release_2_0_0 ./configure make Sous Linux, par exemple OpenSuse, en fonction de la sortie de la commande configure, des dépendances peuvent devoir être installées. sudo zypper install gcc make pam-devel 4. Copier la bibliothèque générée à l’emplacement par défaut des modules PAM Linux: cp pam_radius_auth.so /lib/security OU cp pam_radius_auth.so /lib64/security Mac: cp pam_radius_auth.so /usr/lib/pam Dans OS X El Capitan et versions ultérieures, cet emplacement est protégé par Protection de l’intégrité du système (System Integrity Protection). Pour utiliser cet emplacement, vous devez désactiver cette fonctionnalité pour la commande copy. 5. Créez un fichier de configuration de serveur nommé server dans /etc/raddb/. Dans celui-ci, tapez les détails du serveur RADIUS sous la forme suivante : <radius server>:<port> <shared secret> <timeout in seconds> 147 par exemple 1.1.1.1 test 60 où : • 1.1.1.1 représente l’adresse IP du serveur ESA RADIUS • test est le secret partagé d’un client RADIUS configuré dans ESA Web Console • 60 est le temps d’attente en secondes pour l’approbation de la notification push 6. Appliquer les autorisations de sécurité appropriées au fichier de configuration chown root /etc/raddb chown root /etc/raddb/server chmod 600 /etc/raddb chmod 600 /etc/raddb/server Voir INSTALL pour obtenir des recommandations de sécurité pour le fichier de configuration et USAGE pour les paramètres qui peuvent être transmis à la bibliothèque. Par exemple, vous pouvez utiliser le paramètre « debug » pour identifier les problèmes potentiels. Intégration du module PAM Les modules PAM peuvent être incorporés dans différents types de connexions, par exemple, login, sshd, su, sudo, etc. La liste des types de connexions se trouve dans /etc/pam.d/. • sshd - Connexion à distance à l’aide de SSH Assurez-vous de définir ChallengeResponseAuthentication sur yes dans /etc/ssh/sshd_config. • sudo • su • common-auth - OpenSUSE (toutes les authentifications) • login - OpenSUSE (connexion console) • authorization - Écran d’ouverture de session macOS Pour activer l’authentification à 2 facteurs pour l’un des services ci-dessus, ajoutez la ligne suivante au fichier de configuration correspondant dans /etc/pam.d : auth required pam_radius_auth.so use_first_pass Dans la commande ci-dessus, pam_radius_auth.so représente le chemin d’accès à un module PAM configuré précédemment, ou simplement « pam_radius_auth.so » dans le cas contraire. use_first_pass fait en sorte 148 que le module PAM ne demande pas de mot de passe à usage unique supplémentaire pour rien, sauf si ESA RADIUS requiert le deuxième facteur. Par exemple, si l’authentification Push est activée pour un utilisateur bénéficiant de la protection par authentification à 2 facteurs, le module PAM attend uniquement l’approbation de la notification Push sans demander à taper un mot de passe à usage unique. Pour vous assurer que l’authentification à 2 facteurs n’est pas demandée lorsque le premier facteur a échoué, remplacez auth required pam_unix.so par auth requisite pam_unix.so. Certaines interfaces de connexion, y compris l’écran d’ouverture de session de macOS, ne peuvent pas afficher un champ distinct pour l’authentification à 2 facteurs. Dans de tels cas, seuls les utilisateurs utilisant l’authentification push (push d’application mobile), les utilisateurs n’utilisant pas l’authentification à 2 facteurs ou les utilisateurs dont l’adresse IP est sur liste blanche peuvent se connecter. Pour vous assurer que seule l’authentification push par application mobile est utilisée sans demander de mot de passe à usage unique, même si l’utilisateur a activé des options supplémentaires d’authentification à 2 facteurs, ajoutez client_id=challenge_never à la ligne de configuration : auth required pam_radius_auth.so use_first_pass client_id=challenge_never Valeurs disponibles pour client_id : • challenge_if_possible - L’option par défaut demande toujours un mot de passe à usage unique si l’utilisateur a activé un type de mot de passe à usage unique, même si l’envoi du « push par application mobile » a réussi. • challenge_always - Demande toujours un mot de passe à usage unique, même si l’envoi du « push par application mobile » a réussi et que l’utilisateur n’a activé aucun type de mot de passe à usage unique. Cette option vous permet toujours de saisir une clé de récupération principale en cas de problème (ceci est recommandé pour les scénarios critiques, par exemple, la connexion SSH à un serveur distant qui n’est pas facilement accessible autrement). • challenge_if_needed - Ne demande jamais de mot de passe à usage unique si l’envoi du « push par application mobile » a réussi, évitant ainsi un champ ou une demande de mot de passe à usage unique supplémentaire et permettant une connexion plus rapide. • challenge_never - Ne demande jamais de mot de passe à usage unique. Sur certaines distributions Linux, il est possible de changer facilement le gestionnaire de connexion. Par exemple, gdm est compatible avec la demande d’informations supplémentaires. Autres configurations RADIUS Dans les exemples ci-dessous, nous avons utilisé un environnement de domaine Active Directory. Type de client - Le client ne valide pas le nom d’utilisateur et le mot de passe Si vous définissez Client Type (Type de client) sur Client does not validate username and password (Le client ne valide pas le nom d’utilisateur et le mot de passe) lors de la configuration d’un client RADIUS dans ESA Management Tool, les deux facteurs [nom d’utilisateur et mot de passe comme premier facteur et mot de passe à usage unique (OTP) comme second facteur] sont vérifiés par ESA : 149 Ensuite, dans /etc/pam.d/sshd (ou une autre intégration), ajoutez la ligne suivante : auth required /usr/lib/pam/pam_radius_auth.so et commentez (placez une balise # au début) toutes les autres lignes auth. Vérification requise L’administrateur de domaine doit vérifier si ce scénario (à savoir, la désactivation de tous les autres modules) convient à son déploiement. Dans ce cas, un processus de connexion SSH ressemblerait à ceci : • Livraison de mot de passe à usage unique (OTP) par SMS - Lors de la première tentative de mot de passe, 150 l’utilisateur est invité à saisir un mot de passe AD. Lors de la deuxième tentative de mot de passe, il saisit son mot de passe à usage unique (OTP). • Autre type de mot de passe à usage unique (OTP) (authentification composée) - L’utilisateur doit saisir le mot de passe AD suivi immédiatement du mot de passe à usage unique (OTP) sous la forme suivante : ADpasswordOTP. Par exemple, si votre mot de passe AD est Test et que le mot de passe à usage unique (OTP) reçu est 123456, vous devez taper Test123456. Type de client - Le client valide le nom d’utilisateur et le mot de passe Si vous définissez Clien Type (Type de client) sur Client validates username and password (Le client valide le nom d’utilisateur et le mot de passe) lors de la configuration d’un client RADIUS dans ESA Management Tool, le premier facteur (nom d’utilisateur et mot de passe) est validé par l’autre module PAM : 151 Lors de la configuration de RADIUS de cette manière, ajoutez la ligne suivante dans /etc/pam.d/sshd (ou dans l’intégration appropriée) : auth required /usr/lib/pam/pam_radius_auth.so force_prompt prompt=RADIUS Dans ce cas, un processus de connexion SSH ressemblerait à ceci : • Les invites qui commencent par la chaîne Password: (Mot de passe :) sont gérées par d’autres modules PAM. Les invites qui commencent par la chaîne RADIUS: (RADIUS :) sont gérées par notre module PAM. Voir l’argument « prompt=RADIUS » dans l’exemple de code ci-dessus. • SMS - À la première invite, un utilisateur doit saisir son mot de passe AD. À la deuxième invite, il doit saisir le texte « sms » (sans les guillemets). À la troisième invite, il doit saisir son mot de passe AD. À la quatrième invite, 152 il doit saisir le mot de passe à usage unique (OTP) reçu. • Autre type de mot de passe à usage unique (OTP) [Mot de passe à usage unique (OTP) reçu via une application mobile ou un jeton matériel (hard token)] - À la première tentative, saisissez le mot de passe AD. À la deuxième tentative, saisissez le mot de passe à usage unique (OTP). Web Application Protection Le module ESA Web Application Protection ajoute automatiquement l’authentification à 2 facteurs (2FA) au processus d’authentification de toutes les applications Web prises en charge. Le module sera chargé la prochaine fois qu’un utilisateur accédera à l’application Web (Web Application) après l’installation d’ESA. Les utilisateurs se connecteront à l’aide du processus d’authentification normal de l’application Web (Web Application). Après avoir été authentifié par l’application Web (Web Application), l’utilisateur sera redirigé vers une page Web ESA et invité à saisir un mot de passe à usage unique (OTP), à approuver la notification push ou à s’authentifier à l’aide de FIDO. L’utilisateur ne sera autorisé à accéder à l’application Web (Web Application) que si une valeur de mot de passe à usage unique (OTP) valide est saisie, si la notification push est approuvée ou si l’authentification FIDO réussit. La session d’authentification à 2 facteurs (2FA) de l’utilisateur restera active jusqu’à ce qu’il se déconnecte de l’application Web (Web Application) ou ferme son navigateur. Configuration L’intégration Web Application peut être configurée à partir de la page Components (Composants) d’ESA Web Console. Vous y trouverez la liste des applications Web prises en charge pour lesquelles ESA a été installé. 153 La protection par authentification à 2 facteurs (2FA) peut être activée ou désactivée pour chaque application Web (Web Application). La protection par authentification à 2 facteurs (2FA) est activée par défaut après l’installation. Le service de publication sur le Web (World Wide Web Publishing) devra être redémarré sur tous les serveurs hébergeant l’application Web (Web Application) pour que les modifications apportées à cette option de configuration soient rechargées. Autorisation des utilisateurs n’utilisant pas l’authentification à 2 facteurs (Non-2FA) Le module peut être configuré pour autoriser ou interdire aux utilisateurs pour lesquels l’authentification à 2 facteurs (2FA) n’est pas activée d’accéder à l’application Web (Web Application) via l’option de configuration Allow non 2FA (Autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs). Ce scénario se produit si aucune méthode d’authentification n’est configurée pour l’utilisateur et que l’option de configuration de l’application Web (Web Application) permettant aux utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) de se connecter est activée. L’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) est activée par défaut après l’installation. Dans cette configuration, un utilisateur peut se connecter dans l’application Web (Web Application) avec son mot de passe Active Directory. Si l’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) est désactivée, l’utilisateur ne pourra pas se connecter à l’application Web (Web Application). Plusieurs instances OWA/ECP gérées comme une seule Supposons que vous disposez de plusieurs instances OWA/ECP pour la même installation Microsoft Exchange. Par défaut, si un utilisateur pour lequel l’authentification à 2 facteurs est activée se connecte et s’authentifie à l’aide de l’authentification à 2 facteurs sur une instance, l’utilisateur doit utiliser à nouveau l’authentification à 2 facteurs lorsqu’il se connecte à une autre instance. Pour ne pas exiger l’authentification à 2 facteurs lors de la connexion à l’autre instance, procédez comme suit : 1. Dans ESA Web Console, cliquez sur Components (Composants) > Outlook Web App Exchange Control Panel. 2. Cliquez sur l’icône à trois points correspondant à une instance OWA/ECP, puis sélectionnez Change Solution (Changer de solution). 3. Dans Solution Identifier (Identifiant de solution), saisissez une chaîne facile à retenir. 4. Cliquez sur Save (Enregistrer). 5. Répétez les étapes 2 à 4 pour chaque instance correspondante. 6. Redémarrez les composants en redémarrant Internet Information Services (IIS) : 1. Cliquez sur Démarrer. 2. Dans la zone de recherche, tapez cmd. 3. Dans les résultats, cliquez avec le bouton droit sur Invite de commandes et sélectionnez Exécuter en 154 tant qu’administrateur. 4. Dans l’invite de commandes, saisissez iisreset, puis appuyez sur Entrée. 5. Lorsque « Internet services successfully restarted » (Les services Internet ont bien été redémarrés) s’affiche, quittez l’invite de commande. Utilisation Le même processus d’authentification à 2 facteurs (2FA) est suivi pour toutes les applications Web (Web Apps) prises en charge. Le bon fonctionnement du module Web Application Protection peut être vérifié comme suit : 1. Un utilisateur pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée dans ESA Web Console est requis pour les tests. L’utilisateur doit également être autorisé à accéder à l’application Web (Web App). 2. Ouvrez l’application Web (Web App) dans un navigateur de bureau et authentifiez-vous à l’aide des identifiants Active Directory de l’utilisateur de test. 3. La page d’authentification ESA devrait maintenant apparaître, comme indiqué dans la figure ci-dessous. a.Si les mots de passe à usage unique par SMS (SMS OTP) sont activés pour un utilisateur, un SMS contenant un mot de passe à usage unique (OTP) à saisir pour s’authentifier sera envoyé. b.Si l’utilisateur a installé l’application mobile ESA sur son téléphone, elle peut être utilisée pour générer un mot de passe à usage unique (OTP) pour s’authentifier. Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Le module Web Application Protection supprime les espaces, de sorte qu’un utilisateur peut inclure ou 155 exclure des espaces lors de la saisie d’un mot de passe à usage unique (OTP) sans affecter l’authentification. c.Si l’utilisateur a installé l’application mobile ESA sur son téléphone et qu’il est autorisé à utiliser à la fois les mots de passe à usage unique (OTP) et l’authentification Push, l’écran indiquera l’approbation de la notification push ou invitera l’utilisateur à saisir un mot de passe à usage unique (OTP). 4. Si une notification push est approuvée, si un mot de passe à usage unique (OTP) valide est saisi ou si FIDO est utilisé pour s’authentifier, l’utilisateur est redirigé vers la page qu’il a demandée à l’origine. Il peut alors interagir avec l’application Web (Web App). 5. Si la notification push n’est pas approuvée dans les deux minutes, l’utilisateur est redirigé vers une page demandant un mot de passe à usage unique (OTP). Si un mot de passe à usage unique (OTP) non valide est saisi, un message d’erreur s’affiche et l’utilisateur n’est pas autorisé à accéder à l’application Web. Logo personnalisé Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé. 1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de 350 x 100 px (largeur x hauteur). 2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le « logo.png ». Remote Desktop Protection Le module ESA Remote Desktop Protection ajoute l’authentification à 2 facteurs (2FA) au processus d’authentification des utilisateurs Remote Desktop. Le module sera chargé la prochaine fois qu’un utilisateur utilisant l’authentification à 2 facteurs (2FA) tentera d’utiliser Remote Desktop pour se connecter à un ordinateur distant sur lequel le plugin Remote Desktop d’ESA a été installé. Les utilisateurs se connecteront à l’aide du processus d’authentification standard de Remote Desktop. Après avoir été authentifiés par Remote Desktop, les utilisateurs sont invités à fournir un mot de passe à usage unique (OTP), à approuver la notification push ou à s’authentifier à l’aide de FIDO. Les utilisateurs ne sont autorisés à accéder à leur ordinateur que si un mot de passe à usage unique (OTP) valide est saisi, si la notification push est approuvée ou si l’authentification FIDO réussit. La session des utilisateurs qui utilisent l’authentification à 2 facteurs (2FA) reste active jusqu’à ce qu’ils se déconnectent de leur compte ou de la session Remote Desktop. Client RDP sans nom d’utilisateur ni mot de passe ESA ne peut pas protéger les clients RDP qui ne fournissent pas de nom d’utilisateur ni de mot de passe. Si un client RDP n’a pas configuré de nom d’utilisateur ni de mot de passe et qu’il n’en demande pas non plus, aucun mot de passe à usage unique (OTP) ne lui sera demandé. 156 Configuration Pour configurer l’authentification à 2 facteurs Remote Desktop (Remote Desktop 2FA) pour le ou les utilisateurs de votre choix, activez l’authentification à 2 facteurs (2FA) dans leur profil. Ils doivent également être des utilisateurs Remote Desktop autorisés. Pour utiliser Remote Desktop Protection, l’hôte de session Remote Desktop doit être configuré pour utiliser une option SSL (TLS) disponible ou Negotiate. Habituellement, la couche de sécurité est configurée correctement. Si vous rencontrez des problèmes, vérifiez et ajustez les paramètres comme décrit ci-dessous. RDP sans services Bureau à distance Utilisez la politique de groupe pour ajuster les paramètres. Par exemple, pour modifier la politique de l’ordinateur local, procédez comme suit : 1. Appuyez simultanément sur la touche Windows et sur R. 2. Saisissez gpedit.msc et appuyez sur Entrée. 3. Dans le volet de gauche, cliquez sur Configuration ordinateur > Modèles d’administration > Composants Windows > Services Bureau à distance > Hôte de session Bureau à distance > Sécurité. 4. Dans le volet de droite, double-cliquez sur Exiger l’utilisation d’une couche de sécurité spécifique pour les connexions distantes (RDP). 5. Sélectionnez Activé. 6. Dans Couche de sécurité, sélectionnez une option SSL (TLS) disponible ou Negotiate. RDP avec services Bureau à distance Pour modifier les paramètres sur Windows Server 2008, procédez comme suit : 1. Accédez au menu Démarrer, puis à Outils d’administration > Services Bureau à distance > Configuration d’hôte de session Bureau à distance. 2. Dans la section Connexions, ouvrez RDP-Tcp. 3. Cliquez sur l’onglet Général. 4. Dans la section Sécurité, le paramètre Couche de sécurité doit être configuré pour utiliser une option SSL (TLS) disponible ou Negotiate. Pour modifier les paramètres sur Windows Server 2012 et versions ultérieures, procédez comme suit : 1. Ouvrez Gestionnaire de serveur. 2. Cliquez sur Services Bureau à distance dans le volet de gauche. 3. Ouvrez les propriétés Collections. 157 4. Dans la section Sécurité, le paramètre Couche de sécurité doit être configuré pour utiliser une option SSL (TLS) disponible ou Negotiate. Autoriser les utilisateurs qui n’utilisent pas l’authentification à 2 facteurs Le module peut être configuré pour autoriser ou interdire aux utilisateurs pour lesquels l’authentification à 2 facteurs (2FA) n’est pas activée de se connecter aux ordinateurs distants avec Remote Desktop Protocol. Ce scénario se produit si aucune méthode d’authentification ni l’application mobile (Mobile Application) n’est configurée pour l’utilisateur et si l’option de configuration Remote Desktop permettant aux utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) de se connecter n’est pas activée. L’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) est activée par défaut après l’installation. Dans cette configuration, un utilisateur peut se connecter à l’ordinateur distant avec son mot de passe Active Directory. Si l’option de configuration permettant d’autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs (non-2FA) est désactivée, l’utilisateur ne pourra pas se connecter aux ordinateurs distants avec Remote Desktop Protocol. Pour modifier la configuration du module, accédez à Components (Composants) dans ESA Web Console, puis cliquez sur RDP. La fenêtre Computer list (Liste des ordinateurs) apparaît, répertoriant tous les ordinateurs sur lesquels le service Remote Desktop Protection d’ESA est installé. Utilisation Le bon fonctionnement du module Remote Desktop Protection peut être vérifié comme suit : Un utilisateur pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée dans ESA Web Console et qui a accès à l’ordinateur distant est requis pour les tests. Dans un environnement Active Directory, un utilisateur de domaine pour lequel l’authentification à 2 facteurs ESA (ESA 2FA) est activée et qui est ajouté en tant qu’utilisateur Remote Desktop autorisé sur l’ordinateur distant est requis pour les tests. Un ordinateur sur lequel Remote Desktop Access est activé est également requis. 1. Connectez-vous à l’ordinateur distant à l’aide d’un client Remote Desktop et authentifiez-vous à l’aide des identifiants de connexion de l’utilisateur test. 2. L’écran d’invite de mot de passe à usage unique (OTP) devrait maintenant apparaître, comme indiqué dans la figure ci-dessous. 158 a.Si les mots de passe à usage unique (OTP) par SMS sont activés pour un utilisateur, un SMS contenant un mot de passe à usage unique (OTP) à saisir pour s’authentifier sera envoyé. b.Si l’utilisateur a installé l’application mobile ESA sur son téléphone, elle peut être utilisée pour générer un mot de passe à usage unique (OTP) pour s’authentifier. Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Le module Remote Desktop Protection supprime les espaces, de sorte qu’un utilisateur peut inclure ou exclure des espaces lors de la saisie d’un mot de passe à usage unique (OTP) sans affecter l’authentification. c.Si l’utilisateur a installé l’application mobile ESA sur son téléphone et qu’il est autorisé à utiliser à la fois les mots de passe à usage unique (OTP) et l’authentification Push, l’écran indiquera l’approbation de la notification push. L’utilisateur peut également procéder à l’authentification par mot de passe à usage unique (OTP) en cliquant sur Enter OTP (Saisir le mot de passe à usage unique). 3. Si un mot de passe à usage unique (OTP) valide est saisi, l’utilisateur sera autorisé à accéder à l’ordinateur auquel il a tenté de se connecter. 4. Si un mot de passe à usage unique (OTP) non valide est saisi, un message d’erreur s’affiche et l’utilisateur n’est pas autorisé à accéder à l’ordinateur distant. 159 Accès Web des services Bureau à distance Si vous utilisez la protection par authentification à 2 facteurs (2FA) de RDP sur votre serveur où Accès Web des services Bureau à distance (RDWA) est hébergé, les paramètres par défaut nécessitent une authentification à 2 facteurs (2FA) pour lancer les applications disponibles votre RDWA. Cela signifie que si un utilisateur tente d’accéder à votre site Web RDWA, il est invité à entrer un mot de passe à usage unique (OTP). Une fois que l’utilisateur a fourni un mot de passe à usage unique (OTP) valide et qu’il a essayé de lancer une application disponible sur votre site Web, l’utilisateur est à nouveau invité à fournir un mot de passe à usage unique (OTP). Si vous ne souhaitez pas qu’un utilisateur authentifié (qui a utilisé un mot de passe à usage unique valide pour accéder à votre site Web RDWA) soit invité à fournir un mot de passe à usage unique (OTP) lors du lancement d’une application sur votre site Web, procédez comme suit : 1. Dans ESA Web Console, accédez à Settings (Paramètres) > Liste blanche d’adresses IP. 2. Cochez la case à côté de Allow access without 2FA from: (Autoriser l’accès sans authentification à 2 facteurs depuis :). 3. Tapez l’adresse IP localhost : 127.0.0.1,::1 dans la zone de texte. 4. Cochez la case à côté de RDP. 5. Cliquez sur Save RDWA et serveur d’authentification ESA sur des hôtes différents Si RDWA est hébergé sur une machine différente du serveur d’authentification ESA (ESA Authentication Server), vous devez ajouter l’adresse IP de l’hôte RDWA à la liste blanche. Pour vous assurer que vous ajoutez l’adresse IP correcte à la liste blanche, recherchez-la dans le fichier journal EsaCore.log situé à l’adresse C:\ProgramData\ESET Secure Authentication\EsaCore.log. 1. Effacez le contenu du fichier journal. 2. Essayez de vous connecter à RDWA avec un compte d’utilisateur protégé par l’authentification à 2 facteurs (2FA). 3. Dans ce fichier journal, recherchez « _RDWeb ». 4. Quelques lignes plus bas, vous devriez voir une ligne indiquant « Démarrage de l’authentification à 2 facteurs pour l’utilisateur : nom d’utilisateur avec l’adresse IP 1.2.3.4 » où « 1.2.3.4 » est remplacé par l’adresse IP réelle de votre hôte RDWA. HTML5 Accès Web des services Bureau à distance Il existe actuellement deux façons d’accéder à la version HTML5 de l’accès Web des services Bureau à distance. Un utilisateur pour lequel les mots de passe à usage unique par SMS ou les mots de passe à usage unique par application mobile sont activés : 1. Connectez-vous à l’accès Web des services Bureau à distance classique (nom_hôte.domaine/rdweb) tout 160 en vous authentifiant à l’aide d’un mot de passe à usage unique. 2. Dans le même navigateur, connectez-vous à la version HTML5 de l’accès Web des services Bureau à distance (nom_hôte.domaine/rdweb/webclient). Un utilisateur pour lequel le push par application mobile est activé peut accéder directement à la version HTML5 de l’accès Web des services Bureau à distance. Il lui suffit d’approuver la notification push lorsqu’elle l’invite à s’authentifier. Passerelle des services Bureau à distance et ESA RADIUS Un serveur de passerelle des services Bureau à distance permet aux utilisateurs de se connecter à des ordinateurs distants sur un réseau d’entreprise à partir de n’importe quel ordinateur externe. Utilisez ESA RADIUS pour sécuriser l’authentification via la passerelle des services Bureau à distance avec un deuxième facteur : l’approbation d’une notification push. Conditions préalables requises • Serveur d’authentification et RADIUS installés • Passerelle des services Bureau à distance fonctionnelle Intégration d’ESA RADIUS avec la passerelle des services Bureau à distance L’intégration se compose de deux parties, la configuration de la passerelle des services Bureau à distance et la configuration d’ESA. Configuration de la passerelle des services Bureau à distance - Utilisez NPS (recommandé) 1. Ouvrez l’application Gestionnaire de passerelle de Bureau à distance. a.Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez sur Propriétés. b.Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et sélectionnez Serveur central exécutant NPS. c.Tapez l’adresse IP du serveur NPS, puis cliquez sur Ajouter > OK. 2. Ouvrez l’application Network Policy Server. a.Dans l’arborescence de navigation, développez Clients et serveurs RADIUS, cliquez avec le bouton droit 161 sur Groupes de serveurs RADIUS distants, puis cliquez sur Nouveau. b.Définissez le nom de groupe souhaité. c.Cliquez sur Ajouter. i. Dans l’onglet Adresse, tapez l’adresse IP d’ESA RADIUS dans le champ Serveur. ii. Dans l’onglet Authentification/Comptabilité : A.Conservez la valeur par défaut 1812 dans le champ Port d’authentification. B.Saisissez le secret partagé de votre choix dans Secret partagé, puis saisissez-le aussi dans le champ Confirmer le secret partagé. C.Activez la case à cocher à côté de La demande doit contenir l’attribut d’authentificateur de message. iii. Dans l’onglet Équilibrage de charge, définissez un nombre raisonnablement élevé (par exemple, 120) pour les champs Nombre de secondes sans réponse avant que la demande ne soit considérée comme abandonnée et Nombre de secondes entre les demandes lorsque le serveur est identifié comme indisponible. Cela permet d’éviter que NPS ne tente à nouveau l’authentification pendant le traitement de la demande push (cela peut prendre un certain temps). iv. Cliquez sur OK. d.Cliquez sur OK. e.Dans l’arborescence de navigation, développez Stratégies, sélectionnez Stratégies de demande de connexion, puis double-cliquez sur STRATÉGIE D’AUTORISATION DE PASSERELLE TS. i. Dans l’onglet Paramètres, sélectionnez Authentification > Transférer les demandes au groupe de serveurs RADIUS distant suivant pour l’authentification, puis sélectionnez le groupe ESA créé dans les étapes précédentes. ii. Cliquez sur OK. Configuration de la passerelle des services Bureau à distance - Intégration directe (non recommandée) Lorsque ce type d’intégration est appliqué, il peut y avoir un problème avec un délai d’expiration très court pour la communication RADIUS. Cela signifie que davantage de notifications push seraient reçues pour la même demande d’authentification. 1. Ouvrez l’application Gestionnaire de passerelle de Bureau à distance. 2. Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez sur Propriétés. 3. Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et sélectionnez Serveur central exécutant NPS. 162 4. Saisissez l’adresse IP d’ESA RADIUS, qui est l’adresse IP de l’ordinateur hôte sur lequel le composant ESA RADIUS est installé, y compris le numéro de port, puis cliquez sur Ajouter. 5. Définissez le secret partagé de votre choix, puis cliquez sur OK. 6. Cliquez sur OK. ESA Configuration 1. Connectez-vous à ESA Web Console. 2. Accédez à Components (Composants) > RADIUS, puis cliquez sur le serveur RADIUS que vous utilisez. 3. Cliquez sur Create new RADIUS client. 4. Tapez le nom (Name) de votre choix. 5. Tapez l’adresse IP (IP address) du client (NSP ou passerelle des services Bureau à distance selon la méthode d’intégration choisie) telle que le serveur RADIUS la voit. a.L’adresse IP du client se trouve dans : C:\ProgramData\\ESET Secure Authenticationlogs\Radius.log b.Recherchez la chaîne suivante dans ce fichier journal : « Invalid Auth. packet received from : <IP address><port> » <IP address> et <port> représentent respectivement l’adresse IP réelle et le numéro du port. 6. Dans le champ Shared secret (Secret partagé), tapez le même secret partagé que celui que vous avez configuré dans le Gestionnaire de passerelle de Bureau à distance. 7. Dans le menu déroulant Client Type (Type de client), sélectionnez Client validates user name and password (Le client valide le nom d’utilisateur et le mot de passe). 8. Cochez la case à côté de Mobile Application Push (Push par application mobile). 9. Pour Realm (Domaine), sélectionnez Current AD domain (Domaine AD actuel) ou ( or ) Current AD domain and domains in trust (Domaine AD actuel et domaines approuvés). Utilisateurs n’utilisant pas l’authentification à 2 facteurs Si vous souhaitez autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs à se connecter, sélectionnez également Non-2FA users (Utilisateurs n’utilisant pas l’authentification à 2 facteurs). 10. Cliquez sur Save. Comment ça marche 1. L’utilisateur saisit ses identifiants de connexion de domaine (premier facteur) dans la boîte de dialogue de connexion de la passerelle des services Bureau à distance. 2. L’utilisateur reçoit et approuve la notification push (deuxième facteur) sur son téléphone mobile. 3. Dans la boîte de dialogue de connexion suivante, l’utilisateur saisit ses identifiants de connexion pour l’ordinateur cible. 163 Liste blanche d’adresses IP Si vous souhaitez que certains emplacements, par exemple certaines succursales, puissent accéder à Remote Desktop ou à des applications Web prises en charge sécurisées par l’authentification à 2 facteurs (2FA) sans qu’ils aient besoin de fournir de mot de passe à usage unique (OTP), vous pouvez ajouter leur adresse IP à la liste blanche. Pour ce faire, ouvrez ESA Web Console et accédez à Settings (Paramètres) > IP Whitelisting (Liste blanche d’adresses IP). Cochez la case à côté de Enable global IP whitelisting (Activer la liste blanche d’adresses IP globale), définissez les adresses IP appropriées (la version IPv6 également, le cas échéant), sélectionnez les services à mettre sur liste blanche, puis cliquez sur Save (Enregistrer). Pour définir différentes listes blanches pour des composants ESA spécifiques en plus de la liste globale, cochez la case à côté de Enable per feature IP whitelisting (Activer la liste blanche d’adresses IP par fonctionnalité), sélectionnez les services à mettre sur liste blanche, définissez les adresses IP appropriées (la version IPv6 164 également, le cas échéant), puis cliquez sur Save (Enregistrer). Ne confondez pas Accès Web à distance avec Accès Web des services Bureau à distance. RADIUS Le serveur ESA RADIUS lit l’adresse IP de l’utilisateur à partir du premier attribut RADIUS non vide, à savoir : • 66 Tunnel-Client-Endpoint • 31 Calling-Station-Id Le but recherché est que l’adresse IP soit lue par le composant le plus proche. Il s’agit du serveur VPN dans la plupart des cas. AD FS ESA est un excellent choix en matière de sécurité si vous utilisez Active Directory Federation Services (AD FS) 3 ou version ultérieure et que vous souhaitez le sécuriser avec l’authentification à 2 facteurs (2FA). Pendant l’installation d’ESA sur l’ordinateur exécutant AD FS, sélectionnez le composant AD FS et effectuez l’installation. Lors de l’installation d’AD FS, la configuration est modifiée : la méthode d’authentification ESET Secure Authentication est ajoutée et si aucun emplacement n’est spécifié, les deux emplacements Intranet et Extranet seront inclus. L’image ci-dessous montre les modifications de configuration avec l’emplacement Intranet sélectionné avant l’installation du composant AD FS d’ESA. 165 Une fois l’installation terminée, ouvrez ESA Web Console, accédez à Components (Composants), cliquez sur AD FS et vous verrez les options 2FA is enabled (L’authentification à 2 facteurs est activée) et Allow non 2FA (Autoriser les utilisateurs qui n’utilisent pas l’authentification à 2 facteurs) activées. 166 Si un site Web nécessitant une authentification vérifie l’identité au moyen d’AD FS, et que la protection par authentification à 2 facteurs (2FA) via ESA est appliquée à l’AD FS spécifique, vous serez invité à taper un mot de passe à usage unique (OTP), à approuver la notification push ou à vous authentifier via FIDO après la vérification réussie de l’identité : 167 Mot de passe à usage unique requis (à gauche) ; Approbation de la notification push requise (à droite) Logo personnalisé Si vous souhaitez qu’un logo personnalisé s’affiche sur l’écran de saisie du mot de passe à usage unique ou d’approbation de la notification au lieu du logo ESET Secure Authentication par défaut, procédez comme suit. Toutes les étapes sont effectuées sur l’ordinateur sur lequel le composant ESA compatible (plugin Web App, Protection AD FS, Connecteur de fournisseur d’identité) est installé. 1. Enregistrez le logo souhaité en tant que fichier image .png. La dimension maximale recommandée est de 350 x 100 px (largeur x hauteur). 2. Placez le logo dans C:\ProgramData\ESET Secure Authentication\Customization\ nommez-le « logo.png ». Internet Explorer Les versions 9 et 10 du navigateur Web Internet Explorer sont prises en charge. Politiques AD FS Le programme d’installation ESA définit les règles d’authentification AD FS suivantes : c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value = = "false"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authentica tionmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn"); c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value = = "true"] 168 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authentica tionmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn"); Les règles ci-dessus activent automatiquement l’authentification à 2 facteurs pour les réseaux internes et externes. Si vous utilisez une application AD FS tierce qui ne fonctionne pas correctement avec l’authentification à 2 facteurs et que vous souhaitez empêcher des utilisateurs spécifiques d’utiliser l’authentification à 2 facteurs pour accéder à cette application. 1. Ouvrez Windows PowerShell et exécutez la commande suivante. Consultez ensuite la sortie de cette commande pour vérifier que les seules règles d’authentification supplémentaires sont celles répertoriées au début de cette section. Get-AdfsAdditionalAuthenticationRule 2. Pour supprimer des règles d’authentification supplémentaires, exécutez la commande suivante : Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' ' 3. Ouvrez AD FS Management, cliquez sur Access Control Policies (Stratégies de contrôle d’accès) > Action > Add Access Control Policy (Ajouter une stratégie de contrôle d’accès). 4. Ajoutez les deux règles Permit Users suivantes : I.Permit Users from esa_domain\ESA Users groups and require multi-factor authentication II.Permit Users Si le serveur d’authentification est installé en mode Intégration Active Directory, le groupe esa_domain\ESA Users est automatiquement créé lors de l’installation, tandis que esa_domain est remplacé par le nom de domaine du serveur d’authentification. Si le serveur d’authentification est installé en mode Autonome, vous devez créer un groupe d’utilisateurs et affecter des utilisateurs ESA à ce groupe. Les deux règles Permit Users ci-dessus permettent de garantir que l’authentification à 2 facteurs n’est requise que pour les utilisateurs appartenant au groupe spécifié. Pour tous les autres utilisateurs, la page d’authentification à 2 facteurs est ignorée. 5. Cliquez sur Relying Party Trusts (Approbations de partie de confiance), puis affectez la politique à la partie de confiance applicable. 169 Compte de service ESA personnalisé Pour renommer le compte de connexion ESET Secure Authentication Core Service en mode Intégration Active Directory, procédez comme suit : 1. Ouvrez ADUC. 2. Accédez à <your_active_directory_domain> (Votre domaine Active Directory) > ESET Secure Authentication. 3. Trouvez l’utilisateur ESET Secure Authentication Core Service. Son nom est créé à partir de ESASrv_ auquel on ajoute le nom de l’ordinateur. Par exemple, ESASrv_PH2012R2NODC. 4. Cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Rename (Renommer). 5. Dans la fenêtre Rename User (Renommer l’utilisateur), définissez le nom souhaité dans les champs Full name (Nom complet) et User logon name (Nom d’ouverture de session utilisateur), puis cliquez sur OK. 6. Cliquez avec le bouton droit sur l’utilisateur, puis sélectionnez Reset Password (Réinitialiser le mot de passe). 7. Dans la fenêtre New Password (Nouveau mot de passe), tapez un mot de passe temporaire. ESET Secure Authentication modifiera ce mot de passe lors de la prochaine exécution du programme d’installation ESA (installation ou mise à niveau du serveur d’authentification). Cliquez ensuite sur OK. 8. Fermez ADUC. 9. Pour accéder aux services Windows, appuyez sur 170 + R, tapez Services.msc et appuyez sur Entrée. 10. Cliquez avec le bouton droit de la souris sur le service « ESET Secure Authentication Core Service », puis sélectionnez Properties (Propriétés). 11. Dans l’onglet Log On (Ouvrir une session), sélectionnez This account (Ce compte). Tapez le nom du compte et le mot de passe temporaire que vous avez définis, puis cliquez sur Apply (Appliquer) et sur OK. 12. Cliquez avec le bouton droit de la souris sur le service « ESET Secure Authentication Core Service », puis sélectionnez Restart (Redémarrer). Intégration personnalisée via l’API et le SDK ESET Secure Authentication fournit une prise en charge native pour une variété de systèmes d’accès à distance et d’applications Web Microsoft. Pour une intégration avec des systèmes personnalisés, il fournit un large éventail d’options d’extensibilité vous permettant d’ajouter l’authentification à 2 facteurs à presque tous les systèmes nécessitant une authentification. Il existe deux options d’extension : une interface de programmation d’application (API) et un kit de développement logiciel (SDK). Il existe quelques différences clés entre les deux produits qui vous aideront rapidement à décider lequel utiliser. Si vous souhaitez implémenter l’authentification à 2 facteurs dans votre produit sans installer le serveur d’authentification et que vous préférez inclure les bibliothèques essentielles dans votre environnement de produit et stocker les données utilisateur dans votre base de données produit, utilisez le SDK. Intégrations natives • Systèmes basés sur RADIUS tels que les appliances VPN/UTM, Citrix® XenApp™, VMWare® Horizon View™, etc. Voir plus d’exemples • Application Web Microsoft Outlook • Microsoft SharePoint • Microsoft Dynamics CRM • Accès Web des services Bureau à distance Microsoft • AD FS Pour en savoir plus sur l’ajout de l’authentification à 2 facteurs aux systèmes non répertoriés ci-dessus, consultez les chapitres consacrés à l’API et au SDK ci-dessous. API L’API ESA (ESA API) est un service Web de type REST qui peut être utilisé pour ajouter facilement l’authentification à 2 facteurs (2FA) à des applications existantes. Dans la plupart des applications Web, les utilisateurs sont authentifiés avant d’être autorisés à accéder aux ressources protégées. En demandant un facteur d’authentification supplémentaire pendant le processus d’ouverture de session, il est possible de rendre ces applications plus résistantes aux attaques. 171 La documentation d’API complète pour les développeurs est disponible à la même adresse URL qu’ESA Web Console, mais suivie de « /apidoc » sans guillemets. Par exemple, si ESA Web Console est disponible à l’adresse https://127.0.0.1:8001/, la documentation de l’API est disponible à l’adresse https://127.0.0.1:8001/apidoc. Nouveautés de l’API pour ESET Secure Authentication 2.8 et versions ultérieures • Gestion des paramètres ESET Secure Authentication • Gestion des utilisateurs • Plus d’options d’authentification : clé de récupération principale, liste blanche, authentification push • Auto-inscription • Prise en charge des domaines d’utilisateurs : utilisateurs d’un autre domaine, utilisateurs hors domaine Aperçu de l’intégration L’API se compose de deux endpoints, qui sont tous deux appelés par du texte au format POSTing JSON aux URL pertinentes de l’API. Toutes les réponses sont également codées sous forme de texte au format JSON, contenant le résultat de la méthode et tous les messages d’erreur applicables. Le premier endpoint (Auth API) est destiné à l’authentification des utilisateurs et le second endpoint (Management API) est destiné à la gestion des utilisateurs. L’API est disponible sur tous les serveurs sur lesquels le composant Authentication Core est installé et s’exécute sur le protocole sécurisé HTTPS sur le port 8001, sauf si vous avez modifié le port lors de l’installation du serveur d’authentification. L’API d’authentification est disponible sur les URL au format https://127.0.0.1:8001/auth/v2/ et l’API Management API est disponible sur les URL au format https://127.0.0.1:8001/manage/v2/. Les deux endpoints sont protégés contre tout accès non autorisé via l’authentification HTTP de base (HTTP Basic Authentication), nécessitant un jeu valide d’identifiants d’API (API Credentials) avant de traiter la moindre requête. Le programme d’installation ESET Secure Authentication utilise automatiquement un certificat de sécurité SSL approprié installé sur la machine ou génère un nouveau certificat auto-signé s’il n’en trouve aucun. Configuration L’API est désactivée par défaut et doit être activée avant utilisation. Lorsqu’elle est activée, des identifiants d’API doivent être créés pour autoriser les requêtes. Activation de l’API et configuration des identifiants d’API dans ESA Web Console 1. Lancez ESET Secure Authentication Web Console et accédez à Settings (Paramètres) > API Credentials (Identifiants d’API). 172 2. Cochez la case Enabled (Activé), puis enregistrez les modifications. 3. Cliquez sur l’action Add Credentials (Ajouter des identifiants) pour créer un nouveau jeu d’identifiants. 4. Tapez le nom souhaité, cochez la case Auth API (API d’authentification) et/ou la case Management API (API de gestion), puis cliquez sur Enregistrer. 5. L’ID de compte et le mot de passe s’affichent alors. Assurez-vous de conserver ce mot de passe en lieu sûr, car il ne pourra pas être affiché à nouveau. Activation de l’API et configuration des identifiants d’API dans MMC Console 1. Lancez ESET Secure Authentication Management Console et accédez au nœud Advanced Settings (Paramètres avancés) de votre domaine. 2. Développez la section API, cochez la case API is enabled (L’API est activée), puis enregistrez les modifications. 3. Ouvrez la console des services Windows standard, puis redémarrez le service ESET Secure Authentication Core pour que la modification prenne effet. 4. Accédez au nouveau nœud API Credentials (Identifiants d’API) qui est apparu pour votre domaine. 5. Cliquez sur l’action Add Credentials (Ajouter des identifiants) pour créer un nouveau jeu d’identifiants. 173 6. Double-cliquez sur les identifiants nouvellement créés pour obtenir le nom d’utilisateur et le mot de passe à utiliser pour l’authentification de l’API. 7. Cochez la case Enabled for Auth API (Activé pour l’API d’authentification) et/ou la case Enabled for User Management API (Activé pour l’API de gestion des utilisateurs). Identifiants d’API De nombreux jeux d’identifiants d’API peuvent être créés. Il est recommandé de créer différents jeux pour chaque application protégée, ainsi que pour les tests. SDK Le SDK ESET Secure Authentication fournit à la fois des fonctionnalités d’authentification et de gestion des utilisateurs. Le SDK s’intègre aux applications personnalisées en stockant les données d’authentification à 2 facteurs dans la base de données utilisateur existante du système. Cela signifie qu’il existe des dépendances externes minimales, ce qui permet aux architectes système d’ajouter l’authentification à 2 facteurs à presque tous les systèmes personnalisés. Avant l’intégration du SDK ESET Secure Authentication : Après l’intégration du SDK ESET Secure Authentication : 174 Aperçu de l’intégration Le SDK ESET Secure Authentication fournit toutes les fonctionnalités nécessaires pour intégrer tous les aspects de l’authentification à 2 facteurs dans votre système personnalisé. Cela inclut l’authentification des utilisateurs, la gestion, la journalisation, l’audit et l’utilisation de la passerelle de SMS personnalisés. Le Kit de développement logiciel (SDK) pour ESET Secure Authentication (ESA) ne prend pas en charge les jetons matériels, l’authentification push et FIDO. Le SDK est disponible pour les langages .NET, PHP et Java et la parité fonctionnelle existe avec tous les langages. Chaque langage est livré avec : • Une bibliothèque côté client (code source) • Un guide du développeur propre au langage • Un guide de déploiement du kit de développement logiciel (SDK) • Des exemples d’extraits de code d’utilisation du kit dans tous les langages Pour obtenir une copie du SDK, veuillez remplir le formulaire de demande sur la page produit ESET Secure Authentication. Pour pouvoir utiliser le SDK ESA, vous devez générer une clé d’API et un secret d’API. Activation de la licence SDK Pour utiliser le SDK ESET Secure Authentication, vous avez besoin d’une clé d’API et d’un secret d’API (API secret). Ces identifiants sont dérivés de votre licence ESET Secure Authentication. Pour obtenir vos identifiants de SDK, enregistrez un compte sur https://eba.eset.com. 175 1. Connectez-vous au portail ESET Business Account. 2. Importez votre licence ESA sur le portail ESET Business Account. 3. Cliquez sur License (Licence) > SDK ESET Secure Authentication. 4. Cliquez sur Activer. 5. Sélectionnez un groupe de licences (site) qui contient votre licence ESA. 6. Cliquez sur Activer. 7. Le portail génère et affiche une clé d’API unique et un secret d’API à utiliser dans le SDK ESA. Voir plus d’informations sur la gestion des clés SDK. Le SDK en pratique Le moyen le plus rapide d’utiliser le SDK est d’exécuter l’exemple de code. Téléchargez l’exemple de fichier .zip d’application à partir de https://esa.eset.com/sdk/docs/samples/ Le fichier zip contient un fichier README.txt. Suivez les instructions qu’il contient. Utilisation du SDK Les utilisateurs du SDK peuvent consulter le Guide du développeur SDK ESET Secure Authentication pour obtenir des instructions sur l’intégration avec leur plateforme. Le Guide du développeur SDK est disponible ici : https://esa.eset.com/sdk/docs/ 176 Ce guide contient les éléments suivants : • Comment référencer la bibliothèque SDK dans une application • Une vue d’ensemble de l’utilisation du SDK • Documentation de référence détaillée pour les espaces de noms et les classes Intégration du SDK au système Une fois le SDK évalué, il doit être intégré à votre système d’authentification existant. Les étapes suivantes sont requises pour intégrer le SDK ESET Secure Authentication à un système : • Étendre la base de données de stockage utilisateur avec des champs d’authentification à 2 facteurs supplémentaires • Mettre en œuvre des classes pour la lecture et l’écriture de données d’authentification à 2 facteurs pour les utilisateurs • Mettre à jour l’interface utilisateur de connexion existante pour accepter les mots de passe à usage unique • Mettre à jour l’interface utilisateur de gestion des utilisateurs existante pour gérer les paramètres d’authentification à 2 facteurs d’un utilisateur • Mettre en œuvre des composants facultatifs Configuration requise pour la base de données Le SDK ESET Secure Authentication stocke les données d’authentification à 2 facteurs d’un utilisateur dans votre base de données existante sous forme de chaîne. Vous devrez donc ajouter une colonne capable de stocker des chaînes unicode de longueur variable. Utilisateurs MySQL Il est recommandé d’utiliser le type de données TEXT. Utilisateurs Postgres Il est recommandé d’utiliser le type de données character_data. Utilisateurs Oracle Il est recommandé d’utiliser le type de données NCLOB. Utilisateurs Microsoft SQL Server Il est recommandé d’utiliser le type de données nvarchar(max). Si vous n’avez pas de champ de numéro de téléphone mobile pour chaque utilisateur, nous vous recommandons fortement de créer un champ capable de stocker des numéros de téléphone mobile (chaînes numériques de longueur variable). Cela contribuera à assurer la compatibilité avec les versions futures. Lecture et écriture de données d’authentification à 177 2 facteurs Le SDK ESET Secure Authentication expose l’interface IUserStorage qui transporte les données entre le SDK et votre base de données ; cette interface doit être implémentée pour lire et écrire les données d’authentification à 2 facteurs (voir le Guide du développeur SDK pour plus de détails). L’interface utilise deux méthodes qui doivent être implémentées, loadUser et saveUser. loadUser Cette méthode utilise le paramètre d’entrée suivant : • string username : l’utilisateur dont les données d’authentification à 2 facteurs seront récupérées Cette méthode a le type de retour suivant : • string data : les données d’authentification à 2 facteurs pour l’utilisateur En d’autres termes, le nom d’utilisateur fourni doit être utilisé pour renvoyer les données d’authentification à 2 facteurs pour cet utilisateur. saveUser Cette méthode possède les paramètres d’entrée suivants : • string username : l’utilisateur dont vous souhaitez stocker les données d’authentification à 2 facteurs • string data : les données d’authentification à 2 facteurs à stocker Cette méthode n’a pas de valeur de retour. En d’autres termes, le SDK fournira le nom d’utilisateur et les données d’authentification à 2 facteurs. Assurez-vous que ces données sont écrites dans le champ d’authentification à 2 facteurs de votre base de données utilisateur. Mettre à jour l’interface utilisateur de connexion avec les méthodes d’authentification à 2 facteurs Cette section décrit la logique d’authentification qui doit être implémentée pour les utilisateurs de l’authentification à 2 facteurs. Lorsqu’un utilisateur a authentifié son mot de passe statique par rapport au système existant, la méthode de préauthentification doit être appelée pour cet utilisateur. Cette méthode vérifie le type d’authentification à 2 facteurs pour l’utilisateur (SMS, application mobile, etc.) et envoie un mot de passe à usage unique par SMS si nécessaire. Il renvoie un résultat qui contient le type d’identifiant attendu, qui doit être utilisé pour guider l’utilisateur pendant le processus d’ouverture de session. Des détails concernant ce type d’identifiant sont disponibles dans le Guide du développeur. 178 Figure 4 : Logique d’authentification à facteur unique (avant intégration) Un exemple de logique d’authentification après l’intégration du SDK ESET Secure Authentication est illustré à la figure 5. Notez que la logique varie d’un système à l’autre en fonction des exigences. 179 Figure 5 : Logique d’authentification à 2 facteurs avec le SDK ESA 180 Mettre à jour l’interface utilisateur de gestion afin d’activer/désactiver l’authentification à 2 facteurs pour les utilisateurs La gestion des utilisateurs est effectuée via la classe TwoFactorUser. L’authentification à 2 facteurs peut être activée pour les utilisateurs à l’aide de mots de passe à usage unique par application mobile ou par SMS. L’état de transition permet à un utilisateur de passer des mots de passe à usage unique par SMS aux mots de passe à usage unique par application mobile. Un administrateur peut effectuer la gestion des utilisateurs ou les utilisateurs peuvent s’inscrire eux-mêmes. La classe TwoFactorUser expose des méthodes (actions) qui peuvent être effectuées sur les utilisateurs. Autres composants Les composants suivants sont facultatifs. Intégration de la journalisation (recommandé) Le SDK ESET Secure Authentication enregistre les événements non critiques via un wrapper de journalisation, afin que vous ne soyez pas limité à un framework de journalisation donné. Vous pouvez ainsi facilement utiliser votre framework de journalisation existant. Consultez le Guide du développeur pour en savoir plus. Intégration de l’audit (recommandé) Le SDK audite divers événements critiques via l’interface IAuditor. Si cette interface n’est pas implémentée, les événements d’audit sont envoyés à l’enregistreur d’événements configuré. L’implémentation est définie avec la méthode de setAuditor de la classe TwoFactorConfiguration. Utilisation d’une autre passerelle SMS (facultatif) Le SDK ESET Secure Authentication envoie des SMS via la passerelle ESET SMS globale. Vous pouvez configurer votre propre passerelle SMS en implémentant l’interface ITextMessageSender. Résumé des différences Le tableau suivant résume les fonctionnalités décrites dans ce document. Fonctionnalité API SDK Fournit l’authentification à 2 facteurs ✔ ✔ Provisionne les utilisateurs via le serveur de provisionnement d’ESET ✔ ✔ Utilise l’application mobile ESET Secure Authentication pour générer des mots de passe à usage unique ✔ ✔ Authentification push ✔ Clé de récupération principale ✔ 181 Fonctionnalité API SDK FIDO ✔ Peut être utilisé pour gérer les utilisateurs ✔ ✔ Conçu pour les applications personnalisées ✔ ✔ Peut être utilisé pour protéger l’ouverture de session ✔ ✔ Nécessite que le développeur l’ajoute aux applications personnalisées ✔ ✔ Peut être utilisé pour protéger des processus autres que l’ouverture de session ✔ ✔ Fait partie du produit ESET Secure Authentication standard ✔ Nécessite très peu de développement pour être intégré ✔ Stocke les données utilisateur dans une base de données Active Directory ou ESA 1 ✔ ✔ Stocke les données utilisateur dans la propre base de données du client Le client peut utiliser sa propre passerelle SMS 2 ✔ ✔ 1 Dépend du type de déploiement du serveur d’authentification. 2 La propre passerelle SMS peut également être réalisée via une livraison personnalisée. Rapports Pour pouvoir utiliser l’écran Reports (Rapports) dans ESA Web Console, il est essentiel de disposer d’une installation Elasticsearch. Les rapports afficheront : • Tout ce que le journal de vérification comprend • Provisionnement des utilisateurs • Activité d’auto-inscription • Envoi de mots de passe à usage unique par SMS • Messages d'erreur • Actions ESA Web Console L’écran Rapports propose diverses options de filtrage. • Date : Aujourd’hui, 7 derniers jours, Ce mois-ci, Cette année, Date personnalisée • Presets (Valeurs prédéfinies) : Toutes les authentifications, Enregistrement automatique des utilisateurs, Authentifications refusées, Provisionnement des utilisateurs, Mots de passe à usage unique par SMS envoyés, Authentifications réussies • Filtre personnalisé : cliquez sur Select (Sélectionner) pour afficher la liste des options de filtrage personnalisées disponibles. Vous pouvez combiner les options de filtrage disponibles. 182 Exemple : filtrer les connexions réussies à Web Console 1. Cliquez sur Select (Sélectionner) dans la fenêtre de filtre personnalisé, puis sélectionnez Event (Événement). 2. Cliquez sur la case Event (Événement), sélectionnez Web Console Login (Connexion à Web Console). Vous pouvez commencer à taper « Web » et les options disponibles correspondant à cette chaîne s’afficheront. 3. Cliquez sur une zone vide dans la zone de filtre personnalisé, puis sélectionnez Result (Résultat). 4. Cliquez sur la case Result (Résultat), puis sélectionnez Success (Réussite). 5. Cliquez sur Apply. 183 Cliquez sur Export (Exporter) pour enregistrer les rapports filtrés dans un fichier .csv. Audit ESA enregistre les entrées d’audit dans les journaux d’événements Windows, en particulier le journal Application de la section Windows Logs. Windows Event Viewer peut être utilisé pour afficher les entrées d’audit. Si vous installez Reporting Engine (Elasticsearch), vous pouvez afficher ces journaux dans l’écran Reports (Rapports) d’ESA Web Console. Les entrées d’audit sont classées dans les catégories suivantes : • Audit des utilisateurs oTentatives d’authentification réussies et tentatives d’authentification infructueuses (Mot de passe à usage unique ou clé de récupération principale incorrects) oModifications de l’état de l’authentification à 2 facteurs (2FA), par exemple, lors du verrouillage du compte d’un utilisateur • Audit du système oModification des paramètres ESA oLorsque les services ESA sont démarrés ou arrêtés L’utilisation de l’architecture standard de journalisation des événements Windows facilite l’utilisation d’outils d’agrégation et de création de rapports tiers tels que LogAnalyzer. 184 Vue d’ensemble de la licence Votre licence ESA comporte trois paramètres : • License Validity • Users • OTP SMS Credits Les détails de la licence sont obtenus à partir du système ESET Licensing et le système ESA vérifie automatiquement la validité de la licence. Le serveur de provisionnement ESA (ESA Provisioning) peut appliquer les licences en limitant les mots de passe à usage unique (OTP) par SMS et le provisionnement des utilisateurs. En outre, le serveur d’authentification ESA procède à l’application des licences en limitant les actions de gestion des utilisateurs et (dans les cas extrêmes) en désactivant l’authentification des utilisateurs. Les avertissements sont communiqués à ESA Administrator dans la section Dashboard (Tableau de bord) d’ESA Web Console. L’état complet de la licence est affiché dans la vignette License (Licence). Cela comprend l’état général de la licence ainsi que les détails de son utilisation (numéros d’utilisateur, crédits SMS restants et jours de licence restants). États de licence L’état complet de la licence s’affiche dans la vignette License (Licence) de l’écran Dashboard (Tableau de bord) d’ESA Web Console. Consultez les états de licence serveur ESA suivants : • OK : tous les paramètres de licence sont dans les limites prescrites • Warning (Avertissement) : au moins un paramètre de licence est proche de la limite autorisée • SMS Credits Expired (Crédis SMS expirés) : les crédits SMS sont épuisés et aucun SMS de mot de passe à usage unique (OTP) ou de provisionnement ne sera envoyé. • Violation (full functionality) [Violation (Fonctionnalités complètes)] : l’un des paramètres autorisés a dépassé les limites autorisées, mais aucune application n’est imposée • Violation (limited functionality)[Violation (Fonctionnalités limitées)] : un paramètre de licence a été dépassé pendant plus de 7 jours et certaines fonctions de gestion des utilisateurs sont désactivées • ESA Disabled (ESA désactivé) : la date d’expiration de la licence ESA est dépassée depuis plus de 30 jours et l’authentification est désactivée. Dans ce cas, tous les appels d’authentification échoueront. L’authentification sera verrouillée jusqu’à ce qu’ESA soit désinstallé ou désactivé par l’administrateur ou qu’une nouvelle licence lui soit attribuée. 185 Détails des états de licence (License States) Le tableau suivant résume comment chacun des paramètres de licence peut entraîner la licence dans l’un des états d’avertissement ou d’erreur répertoriés ci-dessus. Warning SMS Credits depleted Violation (full functionality) Violation (limited functionality) ESA Disabled S/O Pas plus de 7 jours après l’expiration Plus de Plus de 7 jours après 30 jours après l’expiration l’expiration Nombre d'utilisateurs Moins de 10 % ou moins de 10 sièges disponibles (selon l’éventualité la plus basse) S/O Le nombre d’utilisateurs actifs dépasse le nombre d’utilisateurs sous licence Plus de 7 jours après que le nombre d’utilisateurs actifs a Jamais dépassé le nombre de licences SMS Credits Moins de 10 crédits SMS restants (Intégration + Recharge) 0 crédit SMS restant Jamais Jamais License Expiry Moins de 30 jours avant l’expiration Jamais Application des licences Le tableau suivant décrit comment l’application des licences est effectuée sur le serveur d’authentification ESA. Dans tous les cas, un administrateur pourra désactiver l’authentification ESA pour un sous-ensemble d’utilisateurs, en désactivant l’authentification à 2 facteurs (2FA) pour ces utilisateurs, ou pour tous les utilisateurs (au moyen de la configuration du système ou de la désinstallation du produit). ESA Not Activated OK Warning SMS Credits depleted Violation (full functionality) Violation (limited functionality) ESA Disabled Activer l’authentification à 2 facteurs pour les utilisateurs Désactivé Autorisé Autorisé Autorisé Autorisé Désactivé Désactivé Provisionner des utilisateurs Désactivé Autorisé Autorisé Désactivé Autorisé Désactivé Désactivé S’authentifier avec un Désactivé mot de passe à usage unique par SMS Autorisé Autorisé Désactivé Autorisé Autorisé Désactivé S’authentifier avec Désactivé une application mobile (mot de passe à usage unique, push) Autorisé Autorisé Autorisé Autorisé Autorisé Désactivé S’authentifier avec un Désactivé jeton matériel Autorisé Autorisé Autorisé Autorisé Autorisé Désactivé Gérer la configuration Désactivé du système Autorisé Autorisé Autorisé Autorisé Autorisé Autorisé 186 ESA Not Activated Désactiver l’authentification à 2 facteurs pour les utilisateurs Désactivé OK Warning SMS Credits depleted Autorisé Autorisé Autorisé Violation (full functionality) Autorisé Violation (limited functionality) Autorisé ESA Disabled Autorisé Options de fournisseurs de services managés Actuellement, les fournisseurs de services managés (MSP) disposent des options de service d’authentification à 2 facteurs suivantes, offertes par ESET Secure Authentication : Serveur d’authentification dans les locaux des clients • Le fournisseur de services managés installe le serveur d’authentification dans les locaux de chaque client et active chaque serveur d’authentification à l’aide d’un compte EBA ou EMA. • Web Console par client Un serveur d’authentification dans les locaux du fournisseur de services managés • Le fournisseur de services managés installe le serveur d’authentification en mode haute disponibilité (plusieurs serveurs d’authentification) et active le serveur d’authentification à l’aide d’un compte EBA ou EMA. • Les composants ESA sont installés par client. • Une Web Console pour gérer tous les clients. Chaque client est importé dans un domaine distinct. Sélectionnez une unité d’organisation spécifique lors de la synchronisation avec LDAP. Plusieurs serveurs d’authentification dans les locaux du fournisseur de services managés • Le fournisseur de services managés installe un serveur d’authentification par client et active chaque serveur d’authentification à l’aide d’un compte EBA ou EMA. • Web Console par client Accès externe L’accès externe à Web Console est recommandé. 187 Dépannage Si vous rencontrez des problèmes d’installation ou des problèmes système avec ESET Secure Authentication, et que vous avez un dossier ouvert avec l’assistance technique ESET, vous pouvez être invité à fournir des journaux depuis votre ordinateur. Consultez notre guide sur la collecte des journaux. Résolvez d’autres problèmes à l’aide des opérations suivantes : • Authentification de domaine • Connexion au serveur RADIUS • Configuration du VPN pour la connexion à RADIUS • Connexion via RDP sécurisé par l’authentification à 2 facteurs (installation du plugin Remote Desktop) • Comment ajouter des crédits SMS ? Problèmes de connexion des composants Si les composants ESA ne parviennent pas à se connecter au serveur d’authentification ESA, ajustez les paramètres de connexion dans le fichier C:\Program Files\ESET Secure Authentication\EIP.Core.WindowsService.EXE.config. • EsaServiceIdleTimeout : indiquez pendant combien de temps laisser les connexions ouvertes. S’applique au mode Active Directory Integration (Intégration Active Directory). Valeur par défaut : deux minutes • http.sys : indiquez pendant combien de temps laisser les connexions HTTP ouvertes (console Web, API client). S’applique au mode d’installation Standalone (Autonome). Pour afficher le paramètre de délai d’expiration existant, exécutez la commande suivante dans PowerShell : netsh http show timeout Pour modifier le délai d’expiration, exécutez la commande suivante dans PowerShell : netsh http add timeout timeouttype=idleconnectiontimeout value=<seconds> Remplacez <seconds> par le délai d’expiration souhaité en secondes. • EsaMaxSessions : Limitation - Nombre maximal de sessions simultanées Valeur par défaut : 100 fois le nombre de processeurs • EsaMaxCalls : Limitation - Nombre maximal d’appels simultanés Valeur par défaut : 16 fois le nombre de processeurs • EsaMaxThreads : pool de threads .NET - Nombre maximal de threads dans le pool ; influence le nombre maximal de requêtes traitées simultanément 188 Valeur par défaut : 1 000 • EsaMinThreads : pool de threads .NET - Créez des threads immédiatement jusqu’à atteindre ce nombre ; influence la rapidité avec laquelle le pool de threads réagit au nombre croissant de connexions entrantes Valeur par défaut : Nombre de cœurs de processeur Exemple de fichier EIP.Core.WindowsService.EXE.config modifié <?xml version="1.0" encoding="utf-8"?> <configuration> <appSettings> <add key="EsaServiceIdleTimeout" value="00:01:00" /> <add key="EsaMaxSessions" value="100" /> <add key="EsaMaxCalls" value="20" /> <add key="EsaMaxThreads" value="2000" /> <add key="EsaMinThreads" value="1000" /> </appSettings> </configuration> • EsaServiceIdleTimeout : format hours:minutes:seconds La protection de connexion Windows ne fonctionne pas Vous avez installé le plugin Windows Login sur un ordinateur et activé l’authentification à 2 facteurs (2FA) pour votre compte d’utilisateur. Toutefois, l’authentification à 2 facteurs n’envoie pas l’invite au compte d’utilisateur approprié. Si un autre fournisseur d’identifiants a désactivé le plugin Windows Login de ESET Secure Authentication, essayez l’une des options suivantes. ▪Reconfigurez l’autre fournisseur d’identifiants pour qu’il ne bloque pas le plugin ESA Windows. ▪Désinstallez l’autre fournisseur d’identifiants. ▪Désactivez manuellement l’autre fournisseur d’identifiants en modifiant l’entrée de Registre suivante : 1. Recherchez l’entrée suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\C redential Provider Filters/id 2. Ajoutez-y une nouvelle valeur DWORD avec les attributs suivants : Nom : Disabled Valeur : 1 Si plusieurs types de connexion sont disponibles, permettant à un 189 utilisateur de contourner l’authentification à 2 facteurs, essayez l’une des options suivantes. ▪Désactivez les autres types de connexion dans Windows. ▪Reconfigurez l’autre fournisseur d’identifiants pour qu’il n’affiche pas ses types de connexion. ▪Supprimez l’autre fournisseur d’identifiants. ▪Désactivez manuellement l’autre fournisseur d’identifiants en modifiant l’entrée de Registre suivante : 1. Recherchez l’entrée suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\C redential Provider Filters/id 2. Ajoutez-y une nouvelle valeur DWORD avec les attributs suivants : Nom : Disabled Valeur : 1 Échec de l’installation de Reporting Engine (Elasticsearch) L’installation de Reporting Engine (Elasticsearch) échoue si l’ordinateur dispose de moins de 2 Go de RAM disponible. S’applique à ESET Secure Authentication 2.8.20.0. Nouvelle installation du serveur d’authentification et d’Elasticsearch 1. « Installation du service Elasticsearch… » s’affiche pendant une minute. 2. Le processus de restauration démarre. 3. Le message « Échec de l’installation » s’affiche. À ce stade, le serveur d’authentification et Reporting Engine ne sont pas fonctionnels. Modifier une installation existante du serveur d’authentification 1. « Installation du service Elasticsearch… » s’affiche pendant une minute. 2. Le message « Échec de l’installation » s’affiche. À ce stade, seul le serveur d’authentification reste fonctionnel. Dans les deux cas, il est essentiel de supprimer le service elasticsearch-service-x64 des services Windows. 190 1. Cliquez sur le menu Démarrer, puis tapez cmd. 2. Cliquez avec le bouton droit sur Invite de commandes dans le résultat de la recherche, puis sélectionnez Exécuter en tant qu’administrateur. 3. Exécutez la commande suivante : sc delete elasticsearch-service-x64 Glossaire • 2FA - Authentification à 2 facteurs • AD - Active Directory • ADI - Active Directory Integration • ADUC - Interface de gestion Active Directory Users and Computers • ESA - ESET Secure Authentication • Composant ESA - Plugin Windows Login, plugin Remote Desktop, plugin Web App, protection AD FS, serveur RADIUS, Connecteur de fournisseur d’identité • ESA core ou AS - Serveur d’authentification qui vérifie la validité d’un mot de passe à usage unique (OTP) saisi. • ECP – Panneau de configuration Exchange • FQDN - Nom de domaine complet • GPO - Objet de politique de groupe • IdP - Fournisseur d’identité • MRK - Clé de récupération principale • Online (Mode en ligne) - Un composant ESA est en mode en ligne s’il peut contacter le serveur d’authentification via une connexion TCP/IP ou s’il est installé sur la même machine que le serveur d’authentification. • Offline (Mode hors ligne) - Un composant ESA est en mode hors ligne s’il n’est pas installé sur la même machine que le serveur d’authentification et qu’il ne peut même pas contacter le serveur d’authentification via une connexion TCP/IP. • OS - Système d'exploitation. • OTP - Un mot de passe à usage unique, soit avec une validité limitée dans le temps (mot de passe à usage unique basé sur le temps), soit sans validité limitée dans le temps (mot de passe à usage unique basé sur les événements). • OWA - Outlook Web Access 191 • Mobile Application Push - Notification push avec une validité limitée dans le temps • RDP - Protocole Bureau à distance. Protocole propriétaire développé par Microsoft qui fournit à un utilisateur une interface graphique pour se connecter à un autre ordinateur via une connexion réseau. Contrat de licence de l'utilisateur final IMPORTANT : Veuillez lire soigneusement les termes et conditions d’application du produit stipulés ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, EN INSTALLANT, EN COPIANT OU EN UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS ET RECONNAISSEZ AVOIR PRIS CONNAISSANCE DE LA POLITIQUE DE CONFIDENTIALITÉ. Contrat de licence de l'utilisateur final Selon les termes du présent Contrat de Licence pour l'Utilisateur Final (« Contrat ») signé par et entre ESET, spol. s r. o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au Registre du Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises : 31333532 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »), vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités indiquées ci-dessous, le Logiciel défini à l'article 1 du présent Contrat peut être enregistré sur un support de données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d'autres sources. CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent Contrat. En cliquant sur « J’accepte » ou « J’accepte ...» lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel, vous acceptez les termes et conditions du présent Contrat. Si vous n’êtes pas d’accord avec tous les termes et conditions du présent Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel. VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D’EN RESPECTER LES TERMES ET CONDITIONS. 1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent Contrat. Le Logiciel est fourni exclusivement sous la forme d'un code objet exécutable. 2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier électronique, téléchargé à partir d'Internet ou de serveurs du Fournisseur ou obtenu à partir d'autres sources 192 nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de l'extension de la durée de la Licence conformément au présent Contrat. 3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence ») : a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel. b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur. c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des serveurs de courrier, relais de courrier, passerelles de courrier ou passerelles Internet. d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps. e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel acheté à un fabricant d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel vous l’avez obtenu. Elle ne peut pas être transférée à un autre ordinateur. f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel. g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le 193 Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers. 4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de confidentialité. Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel : a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du Logiciel (« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé l’installation automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité. b) Transfert des Informations au Fournisseur. Le Logiciel contient des fonctions qui collectent des données sur le processus d'installation, l'Ordinateur ou la plate-forme hébergeant le Logiciel, des informations sur les opérations et fonctions du Logiciel et des informations sur d'autres ordinateurs utilisés comme destinataires des messages d'authentification et/ou moyen d'authentification reposant sur la méthode d'authentification choisie par l'Utilisateur Final les périphériques administrés (« Informations »), puis les envoient au Fournisseur. Les Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Le Logiciel peut nécessiter un composant installé sur un autre ordinateur qui permet le transfert des messages d'authentification et/ou fournit un moyen d'authentification. Les Informations sujettes au transfert contiennent un ensemble limité de données requises pour garantir l'authentification reposant sur la méthode d'authentification choisie par l'Utilisateur Final, comme stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur. Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de notifications sur votre Ordinateur. Vous acceptez de recevoir des notifications et des messages, notamment des informations commerciales. Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du Logiciel. 5. Exercice des droits de l’Utilisateur Final. Vous devez exercer les droits de l'Utilisateur Final en personne ou par l'intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence. 194 6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel : a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat. b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat. c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour offrir des services commerciaux. d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi. e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits de propriété intellectuelle. f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel. g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une source autre que le Fournisseur). 7. Droit d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel, sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel. Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent Contrat. 8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur final du Logiciel. 9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des 195 versions ou des copies du Logiciel que vous n’utilisez pas. 10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée. 11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS. 12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence. 13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE. 14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant comme client si l’exécution y est contraire. 15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur discrétion, sans garantie ni déclaration solennelle. L’Utilisateur Final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance technique. 16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer 196 de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i) l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du Logiciel, conformément à l’article 17. 17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel. 18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans le présent Contrat. 19. Conformité aux contrôles à l'exportation. a) Vous ne devez en aucun cas, directement ou indirectement, exporter, réexporter, transférer ou mettre le Logiciel à la disposition de quiconque, ou l'utiliser d'une manière ou participer à un acte qui pourrait entraîner ESET ou ses sociétés de holding, ses filiales et les filiales de l'une de ses sociétés de holding, ainsi que les entités contrôlées par ses sociétés de holding (« Sociétés affiliées ») à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle à l'exportation, qui comprennent i. les lois qui contrôlent, limitent ou imposent des exigences en matière de licence pour l'exportation, la réexportation ou le transfert de marchandises, de logiciels, de technologies ou de services, émises ou adoptées par un gouvernement, un état ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses activités (« Lois sur le contrôle des exportations ») et ii. toute sanction économique, financière, commerciale ou autre, sanction, restriction, embargo, interdiction d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou tout pays dans lequel les obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses filiales est établie ou mène ses activités (« Lois sur les sanctions »). b) ESET a le droit de suspendre ses obligations en vertu des présentes Conditions ou d'y mettre fin avec effet immédiat dans le cas où : i. ESET estime raisonnablement que l'Utilisateur a enfreint ou est susceptible d'enfreindre la disposition de l'Article 19.a du Contrat ; ou ii. l'Utilisateur final et/ou le Logiciel deviennent soumis aux Lois sur le contrôle à l'exportation et, par conséquent, ESET estime raisonnablement que l'exécution continue de ses obligations en vertu de l'accord pourrait entraîner ESET ou ses affiliés à enfreindre ou faire l'objet des conséquences négatives de l'enfreinte des Lois sur le contrôle à l'exportation. c) Rien dans le Contrat ne vise, et rien ne doit être interprété comme incitant ou obligeant l'une des parties à agir 197 ou à s'abstenir d'agir (ou à accepter d'agir ou à s'abstenir d'agir) d'une manière qui soit incompatible, pénalisée ou interdite en vertu de toute loi sur le contrôle à l'exportation applicable. 20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être adressés à : ESET, spol. s r. o., Einsteinova 24, 851 01 Bratislava, Slovak Republic. 21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction pour de tels litiges ou conflits. 22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu des conditions stipulées dans le présent Contrat. En cas de discordance entre les versions linguistiques du présent Contrat, seule la version en langue anglaise fait foi. Le présent Contrat ne pourra être modifié que par un avenant écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir à ce titre en vertu d’un contrat de mandat. Cela constitue l'intégralité du Contrat entre le Fournisseur et vous en relation avec le Logiciel, et il remplace toute représentation, discussion, entreprise, communication ou publicité antérieure en relation avec le Logiciel. EULA ID: BUS-ESA-20-01 Politique de confidentialité ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava, Slovaquie, enregistrée au registre du commerce géré par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise 31333532, en tant que Contrôleur des données (« ESET » ou « Nous ») souhaite faire preuve de transparence en ce qui concerne le traitement des données personnelles et la confidentialité des clients. Pour cela, Nous publions cette Politique de confidentialité dans le seul but d'informer notre client (« Utilisateur Final » ou « Vous ») sur les sujets suivants : • traitement des données personelles, • confidentialité des données, • droits des personnes concernées. Traitement des données personelles Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du Contrat de Licence de l'Utilisateur Final (« CLUF »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons Vous donner plus de détails sur la collecte de données liée à la fourniture de nos services. Nous proposons différents services qui sont décrits dans le Contrat de Licence de L'utilisateur Final et la documentation produit, tels qu'un service de mise à jour/mise à niveau, ESET LiveGrid®, une protection contre toute utilisation abusive des données, une assistance, etc. Pour que tous ces services soient fonctionnels, Nous devons collecter les informations suivantes : Mise à jour et autres statistiques relatives aux informations concernant l'installation et votre ordinateur, notamment la plate-forme sur laquelle notre produit est installé, et informations sur les opérations et 198 fonctionnalités de nos produits (système d'exploitation, informations matérielles, identifiants d'installation, identifiants de licence, adresse IP rendue anonyme, paramètres de configuration du produit). • Aux fins de l'authentification de l'approvisionnement et de l'approvisionnement en tant que tel et pour le fonctionnement global des fonctionnalités du produit que Vous pouvez choisir d'utiliser, nous pouvons avoir besoin d'informations telles que le nom d'utilisateur, le numéro de téléphone, le nom du jeton, l'ID du jeton, d'autres informations sur le jeton, l'URL d'activation, les informations de licence, l'ID du téléphone, l'ID de la notification et des informations sur la plateforme. • Des vidages sur incident concernant les composants des produits peuvent être nécessaires pour permettre à ESET de fournir un support et une maintenance appropriés. • Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de l'authenticité de la licence et la fourniture de nos services. • Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la fourniture du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le produit et la description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir d'autres informations pour faciliter la fourniture du service d'assistance. Nous ne souhaitons pas collecter vos données en dehors de ce cadre, mais cela s'avère parfois impossible. Des données collectées accidentellement peuvent être incluses dans des journaux ou des vidages sur incident. Nous ne souhaitons pas que ces données fassent partie de nos systèmes ni qu'elles soient traitées dans le but déclaré dans la présente Politique de confidentialité. Confidentialité des données ESET est une entreprise présente dans le monde entier par le biais d'entités affiliées et de partenaires du réseau de distribution, de service et d'assistance ESET. Les informations traitées par ESET peuvent être transférées depuis et vers les entités affiliées ou les partenaires pour l'exécution du CLUF (pour la fourniture de services, l'assistance ou la facturation, par exemple). Selon votre position géographique et le service que Vous choisissez d'utiliser, il est possible que Nous devions transférer vos données vers un pays en l'absence de décision d'adéquation de la Commission européenne. Même dans ce cas, chaque transfert d'informations est soumis à la législation en matière de protection des données et n'est effectué que si cela s'avère nécessaire. Des clauses contractuelles standard, des règles d'entreprise contraignantes ou toute autre protection adéquate doivent être mises en place, sans aucune exception. Nous faisons tout notre possible pour éviter que les données soient stockées plus longtemps que nécessaire, tout en fournissant les services en vertu du Contrat de Licence de l'Utilisateur Final. Notre période de rétention peut être plus longue que la durée de validité de votre licence, pour vous donner le temps d'effectuer votre renouvellement. Des statistiques réduites et rendues anonymes et d'autres données anonymes d'ESET LiveGrid® peuvent être traitées ultérieurement à des fins statistiques. ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité adapté aux risques potentiels. Nous faisons tout notre possible pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Toutefois, en cas de violation de données entraînant un risque pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle ainsi que les personnes concernées. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle. 199 Droits des personnes concernées ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la législation en matière de protection des données de l'Union européenne. Sous réserve des conditions fixées par les lois applicables en matière de protection des données, en tant que personne concernée, les droits suivants Vous sont conférés : • droit de demander l'accès à vos données personnelles auprès d'ESET, • droit à la rectification de vos données personnelles si elles sont inexactes (Vous avez également le droit de compléter les données personnelles incomplètes), • droit de demander l'effacement de vos données personnelles, • droit de demander de restreindre le traitement de vos données personnelle, • le droit de s'opposer au traitement des données • le droit de porter plainte et • droit à la portabilité des données. Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute, envoyez-nous un message à l'adresse suivante : ESET, spol. s r.o. Data Protection Officer Einsteinova 24 85101 Bratislava Slovak Republic [email protected] 200
Fonctionnalités clés
- Authentification à 2 facteurs
- Notifications push
- Mots de passe à usage unique
- Gestion des utilisateurs
- Conformité aux normes de sécurité
- Connecteurs de fournisseur d'identité
- Authentification VPN
- Protection des applications Web
Manuels associés
Réponses et questions fréquentes
Quels sont les systèmes d'exploitation pris en charge par ESET Secure Authentication 3.0 ?
ESET Secure Authentication 3.0 prend en charge Windows 7, 8, 8.1, 10 et 11, ainsi que Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 et 2022.
Comment activer l'authentification à 2 facteurs pour un utilisateur ?
Vous pouvez activer l'authentification à 2 facteurs pour un utilisateur via la Web Console d'ESET Secure Authentication en sélectionnant l'utilisateur et en activant l'option "Authentification à 2 facteurs".
Comment ESET Secure Authentication 3.0 est-il compatible avec Active Directory ?
ESET Secure Authentication 3.0 peut être installé en mode Intégration Active Directory, ce qui permet de synchroniser les utilisateurs d'Active Directory avec la base de données ESA.