Guide de Déploiement d'AuthPoint

Vous gérez AuthPoint à partir de WatchGuard Cloud. Il existe deux types de comptes WatchGuard Cloud — Service Provider et Subscriber — chacun avec une vue différente de WatchGuard Cloud.

Pour déterminer le type de compte WatchGuard Cloud que vous possédez :

Vous pouvez déterminer si vous avez un compte Service Provider ou un compte Subscriber en fonction de l'apparence de l'UI de WatchGuard Cloud et du menu de navigation.

Si vous voyez s'afficher un menu Gestionnaire de Comptes et que le menu de navigation comprend une option de menu Inventaire, vous possédez un compte Service Provider.

Si vous voyez s'afficher un tableau de bord similaire au suivant et aucun menu Gestionnaire de Comptes, vous possédez un compte Subscriber.

Si vous avez un compte Service Provider, avant de pouvoir configurer AuthPoint, vous devez aller à la page Inventaire et allouer des licences d'utilisateurs AuthPoint à votre compte. Pour plus d'informations, consultez Allouer des Utilisateurs à Votre Compte.

Vous configurez et gérez AuthPoint depuis la section Configurer les Services de WatchGuard Cloud.

Pour naviguer à l'AuthPoint management UI dans WatchGuard Cloud :

1. Connectez-vous à WatchGuard Cloud à l'adresse http://cloud.watchguard.com/.
   Le Tableau de bord WatchGuard Cloud s'affiche.
2. Dans le menu de navigation, sélectionnez Configurer > Authpoint. Si vous possédez un compte Service Provider, vous devez sélectionner un compte dans le Gestionnaire de Comptes.
   La page Synthèse d'AuthPoint s'affiche.

L'AuthPoint Gateway est une application que vous installez sur votre réseau pour synchroniser les informations des comptes d'utilisateurs entre votre serveur LDAP ou Active Directory et AuthPoint.

La Gateway fonctionne comme un serveur RADIUS et est nécessaire pour l'authentification RADIUS et pour que les utilisateurs synchronisés par LDAP accèdent aux ressources SAML. Vous devez installer la Gateway pour qu'AuthPoint puisse communiquer avec vos clients RADIUS et vos bases de données LDAP.

Vous pouvez configurer plus d'une Gateway sur un réseau. Pour chaque Gateway principale que vous configurez, vous pouvez configurer jusqu'à cinq Gateways secondaires.

Gateway Principale

La Gateway principale synchronise vos utilisateurs LDAP et permet l'authentification RADIUS et l'authentification des utilisateurs LDAP. Cette Gateway est le point de communication principal entre AuthPoint et vos clients RADIUS, AuthPoint agent for ADFS et votre base de données Active Directory ou LDAP.

Gateway Secondaire

Vous pouvez configurer des Gateways secondaires de secours pour l'authentification des utilisateurs LDAP. Lorsque votre Gateway principale n'est pas disponible, AuthPoint envoie automatiquement les authentifications des utilisateurs LDAP par la Gateway secondaire jusqu'à ce que la Gateway principale redevienne disponible.

Vous pouvez également utiliser les Gateways secondaires comme serveurs RADIUS de secours. La seule limitation est que le logiciel ou périphérique tiers qui envoie les demandes d'authentification à la Gateway doit prendre en charge l'utilisation de serveurs RADIUS supplémentaires.

Les Gateways secondaires ne peuvent servir à l'équilibrage de charge ou la synchronisation d'utilisateurs LDAP.

Avant d'installer la Gateway, vous devez la configurer depuis l'AuthPoint management UI.

Pour configurer et installer AuthPoint Gateway :

1. Dans le menu de navigation AuthPoint, sélectionnez Gateway.
2. Cliquez sur Ajouter une Gateway.

3. Dans la zone de texte Nom, tapez un nom descriptif pour la Gateway.

4. Cliquez sur Enregistrer.
5. Sur la page Gateway, au bas de la mosaïque de votre Gateway, cliquez sur Clé d'Enregistrement.

6. Dans la boîte de dialogue Clé d'Enregistrement de la Gateway, copiez la clé d'enregistrement. Vous avez besoin de cette valeur pour installer la Gateway.

   La clé d'enregistrement de la Gateway est une clé à usage unique. Si l'installation de la Gateway échoue, vous devez générer une nouvelle clé à utiliser pour l'installation.

7. Dans le menu de navigation, sélectionnez Téléchargements.
8. Dans la section Programme d'Installation de la Gateway, cliquez sur Télécharger le Programme d'Installation.

9. Exécutez le programme d'installation de la Gateway téléchargée depuis n'importe quel point de votre réseau ayant accès à Internet et pouvant se connecter à vos clients RADIUS et serveurs LDAP.
   La boîte de dialogue Configuration de WatchGuard AuthPoint Gateway s'affiche.
10. Dans la zone de texte Clé d'Enregistrement de la Gateway, saisissez ou collez la clé d'enregistrement de la Gateway copiée à partir d'AuthPoint.
11. Cliquez sur Installer.

12. Cliquez sur Terminer.

13. Dans l'AuthPoint management UI, sur la page Gateway, vérifiez l'icône circulaire à côté du nom de votre Gateway. Une icône verte indique que la Gateway est correctement installée et qu'elle peut communiquer avec AuthPoint.

    Si l'installation de la Gateway échoue, vous devez générer une nouvelle clé d'enregistrement à utiliser pour l'installation. Pour plus d'informations, consultez Clé d'Enregistrement de la Gateway.

Pour connaître les étapes détaillées de configuration d'une ou plusieurs Gateways secondaires, consultez Configurer et Installer des Gateways Secondaires.

Les identités externes se connectent aux bases de données des utilisateurs pour obtenir des informations sur les comptes d'utilisateurs et valider les mots de passe. Pour synchroniser les utilisateurs à partir d'une base de données d'utilisateurs externe, vous devez ajouter une identité externe.

Dans cet exemple, nous vous indiquons les étapes de synchronisation des utilisateurs à partir d'Active Directory ou d'une base de données LDAP (Lightweight Directory Access Protocol). Pour apprendre à créer une identité externe de manière à synchroniser les utilisateurs Azure Active Directory, consultez la section Synchroniser des Utilisateurs à partir d'Azure Active Directory.

Pour ajouter une identité externe à partir d'AuthPoint management UI :

1. Sélectionnez Identités Externes.

2. Cliquez sur Ajouter une Identité Externe.
   La page Ajouter une Identité Externe s'ouvre.

3. Dans la liste déroulante Type, sélectionnez Configuration LDAP.
   Des champs supplémentaires sont affichés.
4. Dans la zone de texte Nom, tapez un nom descriptif pour l'identité externe.
5. Dans la zone de texte Base de Recherche LDAP saisissez votre base de données LDAP. Dans cet exemple, le domaine est exemple.com donc nous entrons dc=exemple,dc=com. Astuce ! Le format standard du paramètre de base de recherche est le suivant : ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   Pour plus d'informations sur la syntaxe LDAP et sur la façon d'utiliser une base de recherche pour limiter les répertoires sur le serveur d'authentification où l'identité externe peut rechercher des utilisateurs, consultez Trouver Votre Base de Recherche Active Directory.

6. Dans les zones de texte Compte Système et Mot de Passe, saisissez les informations d'identification d'un utilisateur qui a le droit d'effectuer des recherches LDAP et des liaisons. Si cet utilisateur ne figure pas dans le dossier Utilisateurs par défaut, activez l'option et saisissez le nom unique de l'utilisateur. Vous pouvez spécifier un mot de passe d'une longueur maximale de 255 caractères.Astuce ! Le format standard pour le nom unique d'un utilisateur est : cn=<name of user>,ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.

   Dans cet exemple, nous avons un utilisateur nommé administrateur qui se trouve dans une OU appelée AuthPoint (pas le dossier Utilisateurs par défaut). Nous devons donc activer l'option et saisir le nom unique de notre utilisateur ainsi : CN=administrateur, OU=AuthPoint, DC=exemple, DC=com. Si cet utilisateur se trouvait dans le dossier Utilisateurs par défaut, nous saisirions simplement le nom d'utilisateur administrateur.

   Si l'utilisateur se trouve dans le dossier Utilisateurs et que le nom d'utilisateur est différent du nom de compte (sAMAccountName), vous devez saisir le nom de compte dans la zone de texte Compte Système.

7. Dans la liste déroulante Intervalle de Synchronisation, indiquez à quelle fréquence vous souhaitez synchroniser la base de données LDAP. Si vous sélectionnez Toutes les 24 heures, vous devez également spécifier à quelle heure la synchronisation commence chaque jour.

   Pour les identités externes LDAP que vous configurez pour une synchronisation toutes les 24 heures, l'heure de l'Intervalle de Synchronisation utilise le fuseau horaire du serveur LDAP.

8. Pour Type, choisissez s'il s'agit d'un serveur Active Directory ou d'un autre type de base de données LDAP. Pour les autres bases de données, vous devez spécifier chaque valeur d'attribut. Vous n'avez pas à faire cela pour Active Directory car les valeurs d'attributs sont connues.
9. Dans la zone de texte Domaine, saisissez votre nom de domaine LDAP.
10. S'il ne s'agit pas d'un serveur Active Directory, saisissez une valeur pour chaque attribut.

    Si vos utilisateurs Active Directory utilisent ADFS, vous devez conserver la valeur sAMAccountName par défaut pour l'attribut lié à la connexion de l'utilisateur.

11. Dans la zone de texte Adresse du Serveur, entrez l'adresse IP de votre serveur LDAP.

    Si votre instance Active Directory n'utilise pas LDAPS Secure Lightweight Directory Access Protocol, vous devez désactiver l'option LDAPS pour l'identité externe. Lorsque vous procédez ainsi, le port par défaut 636 est remplacé par 389.

12. Dans la zone de texte Port du serveur, entrez le port de votre serveur.

13. (Facultatif) Pour ajouter une adresse redondante à votre identité externe, cliquez sur Ajouter une Adresse Redondante puis saisissez une adresse et un port différents pour la même base de données LDAP.
14. Cliquez sur Enregistrer.

Ensuite, vous devez ajouter votre identité externe à la configuration de votre AuthPoint Gateway. Après cela, vous pourrez tester la connexion à votre base de données LDAP.

1. Dans le menu de navigation, sélectionnez Gateway.
2. Cliquez sur le Nom de votre Gateway.
3. Dans la section LDAP, dans la liste Sélectionner une identité externe LDAP, sélectionnez votre serveur LDAP ou Active Directory.

4. Cliquez sur Enregistrer.
5. Dans le menu de navigation, sélectionnez Identités Externes.
6. À côté de l'identité externe que vous avez ajoutée pour votre base de données LDAP, cliquez sur et sélectionnez Vérifier la Connexion.

AuthPoint est maintenant connecté à votre base de données LDAP. Vous pouvez créer une requête pour synchroniser les utilisateurs, mais avant cela, nous vous recommandons d'ajouter des ressources pour toutes les applications et services pour lesquels vous souhaitez exiger une authentification.

Dans AuthPoint, les ressources sont les applications que vous protégez avec AuthPoint. Lorsque vous ajoutez une ressource, vous fournissez les informations requises pour qu'AuthPoint puisse se connecter à cette ressource.

Lorsque vous ajoutez et configurez une ressource dans AuthPoint, une authentification est requise pour se connecter à cette ressource. Pour chaque ressource, les utilisateurs doivent être membres d'un groupe qui a une stratégie d'authentification qui inclut cette ressource pour s'authentifier et de se connecter.

Des utilisateurs non membres de groupes possédant une stratégie d'authentification sur une ressource donnée ne peuvent pas s'authentifier pour s'y connecter.

Consultez les Guides d'Intégration AuthPoint pour plus d'informations sur la configuration de l'authentification avec des services et applications tiers spécifiques.

Pour ajouter des ressources Firebox

Pour activer AuthPoint en tant que serveur d'authentification sur un Firebox exécutant Fireware 12.7 ou une version ultérieure, configurez une ressource Firebox dans AuthPoint. Cela facilite la configuration de la MFA AuthPoint pour :

• Mobile VPN with SSL
• Mobile VPN with IKEv2
• Firebox Web UI
• Portail d'Authentification Firebox

Lorsque vous configurez une ressource Firebox pour ajouter la MFA à un Firebox, AuthPoint reçoit l'adresse IP de l'utilisateur final, de sorte que les objets de stratégie d'emplacement réseau s'appliquent lorsqu'un utilisateur s'authentifie avec un client VPN.

Il n'est pas nécessaire d'ajouter une ressource Firebox à la configuration de la Gateway, même si la ressource Firebox a activé MS-CHAPv2. Dans ce scénario, le Firebox valide le mot de passe de l'utilisateur avec NPS et AuthPoint authentifie l'utilisateur avec la MFA.

Avant de configurer une ressource Firebox, confirmez que vous avez enregistré et connecté le périphérique à WatchGuard Cloud en tant que Firebox géré localement. Pour les Fireboxes gérés sur le cloud ou exécutant Fireware v12.6.x ou une version antérieure, nous vous recommandons de configurer une ressource client RADIUS pour le Firebox.

Pour obtenir des instructions détaillées concernant l'enregistrement et la connexion du Firebox à WatchGuard Cloud, consultez la section Ajouter un Firebox Géré Localement à WatchGuard Cloud.

Pour ajouter une ressource Firebox :

1. Dans le menu de navigation, sélectionnez Ressources.
   
   La page Ressources s'ouvre.

2. Cliquez sur Ajouter une Ressource.
   
   La page Ajouter une Ressource s'ouvre.

3. Dans la liste déroulante Type, sélectionnez Firebox.

4. Dans la zone de texte Nom, tapez un nom décrivant la ressource.
5. Dans la liste déroulante Firebox, sélectionnez le Firebox ou le FireCluster que vous souhaitez connecter à AuthPoint. Cette liste indique uniquement les Fireboxes et les FireClusters gérés localement que vous avez ajoutés à WatchGuard Cloud.

6. Pour configurer la ressource Firebox de sorte qu'elle accepte les requêtes d'authentification MS-CHAPv2, activez l'option Activer MS-CHAPv2.
   
   Des zones de texte supplémentaires apparaissent.

   Il n'est pas nécessaire d'activer MS-CHAPv2 si le client VPN IKEv2 est uniquement utilisé par les utilisateurs AuthPoint locaux.

7. Dans la zone de texte IP ou FQDN Approuvé du Serveur RADIUS NPS, saisissez l'adresse IP ou le nom de domaine complet (FQDN) du serveur RADIUS NPS.
8. Dans la zone de texte Port, saisissez le port utilisé par NPS pour communiquer. Le numéro de port par défaut est 1812.
9. Dans la zone de texte Délai d'Expiration En Secondes, saisissez une valeur en secondes. La valeur de délai d'expiration est le laps de temps s'écoulant avant l'expiration d'une authentification push.
10. Dans la zone de texte Secret Partagé, saisissez la clé secrète partagée que NPS et le Firebox utilisent pour communiquer.

11. Cliquez sur Enregistrer.

Après avoir ajouté la ressource Firebox dans AuthPoint, le serveur d'authentification AuthPoint est activé sur votre Firebox. Pour ajouter la MFA, vous devez configurer le Firebox de manière à utiliser le serveur d'authentification AuthPoint pour les fonctionnalités souhaitées :

• Mobile VPN with SSL — Dans Fireware, configurez AuthPoint en tant que serveur d'authentification principal de votre configuration Mobile VPN with SSL. Pour des étapes détaillées, consultez Intégration Mobile VPN with SSL du Firebox à AuthPoint.

  Si vous ajoutez le serveur d'authentification AuthPoint à la configuration Mobile VPN with SSL, les utilisateurs doivent télécharger et utiliser le client WatchGuard Mobile VPN with SSL v12.7 ou une version ultérieure ou le client SSL OpenVPN.

• Mobile VPN with IKEv2 — Dans Fireware, configurez AuthPoint en tant que serveur d'authentification principal de votre configuration Mobile VPN with IKEv2. Pour consulter les étapes détaillées, consultez la section Intégration Mobile VPN with IKEv2 du Firebox à AuthPoint pour les Utilisateurs Active Directory ou Intégration Mobile VPN with IKEv2 du Firebox à AuthPoint pour les Utilisateurs Azure Active Directory.
• Portail d'Authentification Firebox — Dans Fireware, spécifiez AuthPoint en tant que serveur d'authentification pour les utilisateurs et les groupes. Pour consulter les étapes détaillées, consultez la section Authentification du Firebox avec AuthPoint.
• Fireware Web UI — Dans Fireware, sélectionnez Système > Utilisateurs et Rôles puis ajoutez les utilisateurs de Gestion des Périphériques avec AuthPoint en tant que serveur d'authentification. Pour plus d'informations, consultez Gérer les Utilisateurs et les Rôles sur Votre Firebox

Pour ajouter des ressources client RADIUS

Les ressources client RADIUS représentent un périphérique ou une application qui transmet des paquets RADIUS à l'AuthPoint Gateway. Elles sont couramment utilisées pour authentifier les utilisateurs pour des pare-feux et des réseaux privés VPN (Virtual Private Network).

Pour configurer la MFA d'un Firebox exécutant Fireware v12.7 ou une version ultérieure ayant été ajouté à WatchGuard Cloud en tant que Firebox géré localement, nous vous recommandons d'ajouter une ressource Firebox.

Les ressources client RADIUS doivent être liées à AuthPoint Gateway et vous devez choisir une clé secrète partagée afin que le serveur RADIUS (AuthPoint Gateway) et le client RADIUS puissent communiquer.

Pour ajouter des ressources client RADIUS :

1. Dans le menu de navigation, sélectionnez Ressources.
2. Cliquez sur Ajouter une Ressource.
   La page Ajouter une Ressource s'ouvre.
3. Dans la liste déroulante Type, sélectionnez Client RADIUS.
4. Dans la zone de texte Nom, tapez un nom décrivant la ressource.
5. Dans la zone de texte IP approuvée ou FQDN du client RADIUS, saisissez l'adresse IP que votre client RADIUS utilise pour envoyer des paquets RADIUS à AuthPoint Gateway. Il doit s'agir d'une adresse IP privée. Pour les Fireboxes, c'est généralement l'adresse IP Approuvée de votre Firebox.
6. Dans la liste déroulante Valeur envoyée pour l'attribut RADIUS 11, indiquez ce qui est envoyé pour la valeur de l'attribut 11 (Filter-ID) dans les réponses RADIUS. Vous pouvez choisir d'envoyer le groupe AuthPoint ou les groupes Active Directory de l'utilisateur.

   Pour spécifier une valeur Filter-ID, vous devez installer la version 5 de l'AuthPoint Gateway ou une version ultérieure.

7. Dans la zone de texte Secret Partagé, saisissez un mot de passe que le serveur RADIUS (AuthPoint Gateway) et le client RADIUS utiliseront pour communiquer.
8. Pour configurer la ressource client RADIUS de sorte qu'elle accepte les requêtes d'authentification MS-CHAPv2, activez l'option Activer MS-CHAPv2. Il convient de procéder ainsi si vous souhaitez configurer la MFA AuthPoint pour IKEv2.
   Des champs supplémentaires s'affichent.

   Pour activer MS-CHAPv2, vous devez installer la version 5.3.1 ou une version ultérieure de l'AuthPoint Gateway.

9. Dans la zone de texte IP ou FQDN approuvé du Serveur RADIUS NPS, saisissez l'adresse IP ou le FQDN du serveur RADIUS NPS.
10. Dans la zone de texte Port, saisissez le numéro de port que la Gateway (serveur RADIUS) doit utiliser pour communiquer avec NPS. Le numéro de port par défaut est 1812.

    Si NPS et la Gateway sont installés sur le même serveur, le port que la Gateway utilise pour communiquer avec NPS doit être différent du port qu'elle utilise pour communiquer avec le client RADIUS.

11. Dans la zone de texte Délai d'Expiration en Secondes, saisissez une valeur en secondes. La valeur de délai d'expiration est le laps de temps s'écoulant avant l'expiration d'une authentification push.
12. Cliquez sur Enregistrer.

Ensuite, vous devez ajouter votre ressource client RADIUS à la configuration de votre AuthPoint Gateway. Ceci est nécessaire pour que le client RADIUS puisse communiquer avec le serveur RADIUS (Gateway) et avec AuthPoint.

Pour connecter votre ressource client RADIUS à la Gateway :

1. Dans le menu de navigation, sélectionnez Gateway.
2. Cliquez sur le Nom de votre Gateway.
3. Dans la section RADIUS, dans la zone de texte Port, saisissez le numéro de port que le client RADIUS doit utiliser pour communiquer avec la Gateway (serveur RADIUS). Par défaut, les ports de la Gateway sont 1812 et 1645.

   Si vous avez déjà un serveur RADIUS installé qui utilise le port 1812 ou 1645, vous devez utiliser un port différent pour AuthPoint Gateway.

4. Dans la liste Sélectionner une ressource RADIUS, sélectionnez votre ressource ou vos ressources client RADIUS.

5. Cliquez sur Enregistrer.

Vous avez ajouté avec succès une ressource client RADIUS et vous l'avez connectée à votre Gateway. La dernière étape consiste à configurer votre client RADIUS pour l'authentification. Reportez-vous aux Guides d'Intégration AuthPoint pour connaitre les étapes de configuration des ressources client RADIUS spécifiques.

Pour ajouter des ressources SAML

Les ressources SAML connectent AuthPoint au fournisseur d'un service tiers auquel les utilisateurs se connectent (fournisseur de services tiers), tel que Microsoft ou Salesforce. Ajoutez des ressources SAML et définissez des stratégies d'accès afin d'exiger que les utilisateurs s'authentifient avant de pouvoir accéder à ces services ou applications.

Avant d'ajouter une ressource SAML à AuthPoint, vous devez configurer l'authentification SAML pour votre fournisseur de services tiers. Pour ce faire, téléchargez les métadonnées AuthPoint depuis la page Ressources de l'AuthPoint management UI et importez le fichier de métadonnées chez le fournisseur de services tiers.

Les métadonnées AuthPoint fournissent les informations nécessaires pour identifier AuthPoint et établir une relation de confiance entre le fournisseur de services tiers et le fournisseur d'identité (AuthPoint).

Pour configurer l'authentification SAML pour votre fournisseur de services tiers :

1. Sélectionnez Ressources.

2. Cliquez sur Certificat.
3. Sur la page Gestion des Certificats, à côté du certificat AuthPoint que vous allez associer à votre ressource, cliquez sur et sélectionnez une option pour télécharger les métadonnées, copier l'adresse des métadonnées, télécharger le certificat ou copier l'empreinte en fonction de ce que le fournisseur de services de vos ressources exige.

   Les métadonnées AuthPoint fournissent à votre ressource les informations nécessaires pour identifier AuthPoint comme un fournisseur d'identité fiable. Ceci est nécessaire pour l'authentification SAML.

4. Transmettez le fichier de métadonnées AuthPoint au fournisseur de services tiers et obtenez l'Identifiant d'Entité du Service Provider et le Service Consommateur d'Assertions de la part du fournisseur de services. Ces valeurs sont nécessaires pour configurer la ressource SAML dans AuthPoint.

   Reportez-vous aux Guides d'Intégration AuthPoint pour connaitre les étapes de configuration des ressources SAML spécifiques.

Pour ajouter une ressource SAML dans l'AuthPoint management UI :

1. Sélectionnez Ressources.

2. Cliquez sur Ajouter une Ressource.
   
   La page Ajouter une Ressource s'ouvre.

3. Dans la liste déroulante Type, sélectionnez SAML.
4. Dans la zone de texte Nom, saisissez le nom de la ressource. Nous vous recommandons d'utiliser le nom de l'application.
5. Dans la liste déroulante Type d'Application, sélectionnez l'application appropriée, ou sélectionnez Autres si l'application n'est pas répertoriée. Pour le type d'application Autres, vous pouvez spécifier l'état du relais, les attributs personnalisés et une image personnalisée à afficher pour cette application dans le portail IdP.

   Vous pouvez cliquer sur le lien Guide d'Intégration pour ouvrir une rubrique d'aide avec les étapes de configuration de votre application. Il s'agit d'un lien contextuel.

6. (Facultatif) Si vous avez sélectionné le type d'application Autres, vous pouvez spécifier un ou plusieurs attributs Relay State pour cette ressource SAML.
7. Dans les zones de texte Identifiant d'Entité du Service Provider et Service Consommateur d'Assertions, saisissez les valeurs du fournisseur de services de l'application.
8. Dans la liste déroulante Identifiant Utilisateur, sélectionnez l'attribut d'Identifiant utilisateur à envoyer au fournisseur de services. Le fournisseur de services compare l'attribut d'Identifiant utilisateur de l'utilisateur AuthPoint au nom d'utilisateur de votre application. Ces valeurs doivent correspondre.

   Par exemple, Salesforce a besoin d'une adresse e-mail avec un domaine comme format de nom d'utilisateur. Étant donné que le nom d'utilisateur AuthPoint n'inclut pas de domaine, votre Identifiant utilisateur doit être une adresse e-mail pour correspondre au nom d'utilisateur Salesforce.

9. (Facultatif) Cliquez sur Choisir un Fichier pour charger un certificat du fournisseur de services. Lorsque vous chargez un certificat, vous pouvez activer le curseur Chiffrement activé pour activer ou désactiver le chiffrement pour la communication SAML.
10. Dans la liste déroulante Certificat AuthPoint, sélectionnez le certificat AuthPoint à associer à votre ressource. Il doit s'agir du même certificat pour lequel vous avez téléchargé les métadonnées. Le certificat AuthPoint fournit à votre ressource (fournisseur de services) les informations nécessaires pour identifier AuthPoint comme un fournisseur d'identité approuvé. Si vous n'avez pas remplacé le certificat AuthPoint par défaut pour votre compte, vous pouvez laisser la valeur par défaut. Pour plus d'informations, consultez Gestion des Certificats.
11. Certains types d'application nécessitent des informations supplémentaires. Si nécessaire, remplissez les champs supplémentaires requis.
12. (Facultatif) Si vous avez sélectionné le type d'application Autres, vous pouvez spécifier un ou plusieurs attributs personnalisés pour cette ressource SAML. Ceci est nécessaire pour certaines applications. Pour ajouter un attribut personnalisé :
    1. Cliquez sur Ajouter un Attribut.
       La fenêtre Ajouter un Attribut s'ouvre.
    2. Saisissez le Nom de l'Attribut. Cette valeur est sensible à la casse.
    3. Dans la liste déroulante Obtenir Valeur De, sélectionnez la valeur utilisée pour cet attribut personnalisé. Si la valeur est statique, sélectionnez Valeur fixe et spécifiez la valeur fixe à utiliser.
    4. Cliquez sur Enregistrer.
13. (Facultatif) Si vous avez sélectionné le type d'application Autres, vous pouvez télécharger une image personnalisée qui apparaîtra pour cette application dans le portail IdP. Pour charger une image, faites glisser un fichier image depuis votre ordinateur ou cliquez sur Sélectionner un fichier à importer et sélectionnez un fichier image.
14. Cliquez sur Enregistrer.

Pour ajouter une ressource Logon App

WARNING: N'installez pas Logon app sur des ordinateurs qui fonctionnent sous Windows 7 ou antérieur, ou sur des serveurs qui fonctionnent sous Windows 2008 R2 ou antérieur.

Logon app vous permet d'exiger une authentification lorsque les utilisateurs se connectent à un ordinateur ou un serveur. Ceci inclut la protection de RDP et RD Gateway.

Logon app comporte deux parties :

• La ressource que vous configurez dans AuthPoint
• L'application que vous installez sur un ordinateur ou un serveur

Lorsque vous installez Logon app, une authentification est nécessaire pour se connecter. Dans l'écran de connexion, les utilisateurs doivent saisir leur mot de passe puis sélectionner l'une des méthodes d'authentification autorisées (notification Push, one-time password ou QR code).

Si votre licence AuthPoint expire ou que vous supprimez votre ressource Logon app, les utilisateurs peuvent se connecter à leur ordinateur avec leur seul mot de passe.

Pour commencer, vous devez ajouter une ressource pour Logon app :

1. Dans le menu de navigation d'AuthPoint, sélectionnez Ressources.

2. Cliquez sur Ajouter une Ressource.
   
   La page Ajouter une Ressource s'ouvre.

3. Dans la liste déroulante Type, sélectionnez ‬Logon App.
   Des champs supplémentaires s'affichent.

4. Dans la zone de texte Nom, saisissez le nom pour cette ressource.
5. (Facultatif) Dans la zone de texte Message d'Assistance, saisissez un message à afficher sur l'écran de connexion.

6. Dans la liste déroulante Accès pour les Utilisateurs Non-AuthPoint, sélectionnez si vous souhaitez autoriser les utilisateurs qui n'ont pas de compte d'utilisateur AuthPoint à se connecter à des ordinateurs protégés sans la MFA. Vous pouvez choisir entre ces trois options :
   • Ne pas autoriser les utilisateurs non-AuthPoint
   • Autoriser les utilisateurs non-AuthPoint spécifiques à se connecter sans la MFA
   • Autoriser tous les utilisateurs non-AuthPoint à se connecter sans la MFA

   Les utilisateurs non-AuthPoint ne peuvent se connecter sans la MFA que s'il n'existe pas de compte d'utilisateur AuthPoint avec le même nom d'utilisateur.

7. Si vous avez choisi de n'autoriser des utilisateurs non-AuthPoint spécifiques à se connecter sans la MFA, dans la zone de texte Ajouter des Noms d'Utilisateur, saisissez le nom d'utilisateur de chaque utilisateur non-AuthPoint qui peut se connecter sans MFA. Vous pouvez autoriser jusqu'à 50 utilisateurs non-AuthPoint à se connecter sans MFA.

8. Cliquez sur Enregistrer.

Vous n'avez pas besoin d'ajouter des ressources Logon app supplémentaires pour chaque ordinateur sur lequel Logon app est installé, quel que soit le système d'exploitation. Vous avez seulement besoin de plusieurs ressources Logon app si vous avez plusieurs domaines.

Maintenant que vous avez ajouté une ressource Logon app, vous devez installer Logon app sur tous les ordinateurs et serveurs pour lesquels vous voulez exiger une authentification. Les étapes de la procédure suivante expliquent comment installer manuellement ‬Logon App. Vous pouvez également installer Logon app à partir d'une invite de commande Windows ou utiliser un GPO Active Directory pour installer Logon app à distance sur plusieurs ordinateurs. Pour consulter les étapes détaillées, consultez Installer Logon App depuis une Invite de Commande Windows et Utiliser un GPO Active Directory pour Installer Logon App.

Pour installer Logon app :

1. Sélectionnez Téléchargements.
2. Dans la section Logon App, à côté de votre système d'exploitation, cliquez sur Télécharger le Programme d'Installation.
3. Cliquer sur Télécharger la Configuration pour télécharger le fichier de configuration de Logon app.

   Vous pouvez utiliser le même fichier de configuration pour chaque installation de Logon app sur le même domaine, quel que soit le système d'exploitation.

4. Sur votre ordinateur, déplacez le fichier de configuration téléchargé dans le même répertoire que le programme d'installation de Logon app (fichier .MSI ou .PKG).
5. Exécutez le programme d'installation de Logon app et installez Logon app.

   Lorsque vous installez Logon app sur un ordinateur, celui-ci doit être connecté à Internet avant la première connexion de l'utilisateur. Logon app doit pouvoir communiquer avec AuthPoint pour vérifier les stratégies d'authentification.

Pour ajouter une ressource du portail IdP

La ressource du portail IdP (Identity Provider) est une page portail qui montre aux utilisateurs une liste des ressources SAML à leur disposition. Elle permet aux utilisateurs d'accéder plus facilement aux ressources. Les utilisateurs se connectent au portail IdP et voient chaque ressource à laquelle ils ont accès.

Si vous activez cette fonctionnalité, les utilisateurs peuvent également se connecter au portail IdP pour activer leurs jetons matériels et logiciels.

Lorsque vous ajoutez la ressource du portail IdP à une stratégie d'authentification, la page de connexion SSO redirige les utilisateurs des groupes ajoutés à cette stratégie d'authentification vers la page du portail.

Pour configurer AuthPoint avec un portail IdP :

1. Sélectionnez Ressources.

2. Cliquez sur Ajouter une Ressource.
   La page Ajouter une Ressource s'ouvre.

3. Dans la liste déroulante Type, sélectionnez Portail IDP.
4. Dans la zone de texte Nom, tapez un nom décrivant la ressource.
5. Dans la zone de texte Alias du Compte, saisissez une valeur unique à ajouter à l'URL de votre portail IdP. L'URL du portail IdP sera toujours https://authpoint.watchguard.com/<account_alias>. Dans notre exemple, l'alias du compte est washington. L'URL du portail IdP est donc https://authpoint.watchguard.com/washington.
6. Pour autoriser les utilisateurs à activer les jetons matériels et logiciels à partir du portail IdP, activez l'option Autoriser les utilisateurs à gérer leurs jetons depuis le portail IdP.
7. Cliquez sur Enregistrer.

   Différentes stratégies d'authentification peuvent utiliser une ressource du Portail IdP donnée. Vous n'avez pas besoin d'ajouter des ressources IdP supplémentaires dans AuthPoint.

Pour ajouter une ressource RESTful API Client

L'API d'Authentification est une API RESTful que vous pouvez utiliser pour ajouter la protection MFA AuthPoint à des applications personnalisées. Pour utiliser l'API d'Authentification, vous devez configurer une ressource RESTful API Client dans l'AuthPoint management UI. Cette ressource qui représente votre client API est utilisée pour configurer les stratégies d'authentification qui déterminent comment vos utilisateurs peuvent s'authentifier.

Pour connaître les étapes détaillées de configuration d'une ressource, consultez Configurer la MFA pour un RESTful API Client.

Pour ajouter une ressource RD Web

Remote Desktop Web Access est une page qui affiche une liste d'applications publiées à partir d'un serveur. Depuis la page, vous pouvez cliquer sur l'icône d'une application pour lancer cette application.

AuthPoint agent for RD Web ajoute la protection d'une authentification multifacteur à RD Web Access. Lorsque vous configurez agent for RD Web, les utilisateurs doivent s'authentifier avec la MFA AuthPoint pour se connecter à la page RD Web.

Il y a deux étapes pour configurer la MFA pour RD Web :

• La ressource que vous configurez dans AuthPoint
• L'agent que vous installez sur le serveur RD Web

Pour connaître les étapes détaillées de configuration de la MFA pour RD Web, consultez À Propos d'AuthPoint Agent for RD Web.

Pour ajouter une ressource ADFS

Active Directory Federation Services (ADFS) est une solution single sign-on pour Active Directory qui permet aux utilisateurs de s'identifier à des systèmes et applications externes avec leurs informations d'identification Active Directory. Elle permet aux utilisateurs de ne s'identifier qu'une seule fois lorsqu'ils se connectent aux applications Web de leur organisation.

Avec l'agent ADFS AuthPoint, vous pouvez ajouter l'authentification multifacteur (MFA) à ADFS pour une sécurité supplémentaire. Pour ce faire, vous devez ajouter une ressource ADFS dans l'AuthPoint management UI et installer l'agent ADFS sur votre serveur ADFS.

Pour obtenir des instructions détaillées concernant la configuration de la MFA pour ADFS, consultezConfigurer la MFA pour ADFS.

Après avoir ajouté et configuré les ressources dans AuthPoint, vous devez créer des groupes pour vos utilisateurs. Dans AuthPoint, les groupes vous permettent de définir les ressources auxquelles vos utilisateurs ont accès. Vous ajoutez les utilisateurs dans des groupes dans AuthPoint, puis vous ajoutez les groupes aux stratégies d'authentification spécifiant les ressources sur lesquelles les utilisateurs peuvent s'authentifier.

Vous devez ajouter au moins un groupe avant de pouvoir ajouter des stratégies d'authentification ou ajouter des utilisateurs à AuthPoint.

Il existe deux façons d'ajouter des groupes AuthPoint :

• Ajouter des groupes hébergés sur WatchGuard Cloud au WatchGuard Cloud Directory
• Synchroniser des groupes à partir d'une base de données d'utilisateurs externe

Vous pouvez ajouter des utilisateurs et des groupes hébergés sur WatchGuard Cloud aux Services de Domaine et Répertoires de WatchGuard Cloud Les Services de Domaine et Répertoires vous permettent d'ajouter des domaines d'authentification partagés pour les périphériques et services WatchGuard Cloud, tels qu'AuthPoint.. Les groupes que vous ajoutez à WatchGuard Cloud Directory sont également automatiquement ajoutés à AuthPoint. Pour en savoir plus sur WatchGuard Cloud Directory, accédez à À Propos de WatchGuard Cloud Directory.

Pour synchroniser des groupes externes d'Active Directory ou d'Azure Active Directory, vous devez ajouter une identité externe et créer une synchronisation de groupe avec l'option Créer de nouveaux groupes synchronisés activée. Ceci est abordé dans Étape 9 — Synchroniser les utilisateurs de votre base de données LDAP.

Pour ajouter WatchGuard Cloud Directory et créer des groupes hébergés par WatchGuard Cloud :

1. Sélectionnez Configurer > Services de Domaine et Répertoires.
   
   La page Services de Domaine et Répertoires s'ouvre.

2. Cliquez sur Ajouter un Domaine d'Authentification.
   La page Ajouter un Domaine d'Authentification s'ouvre.

3. Sélectionnez si WatchGuard Cloud Directory
4. Cliquez sur Suivant.
5. Confirmez que vous souhaitez créer WatchGuard Cloud Directory.
   La page Services de Domaine et Répertoires s'ouvre et WatchGuard Cloud Directory est ajouté à votre compte WatchGuard Cloud.
   

6. Sur la page Répertoires et Domaines, cliquez sur le nom de domaine WatchGuard Cloud Directory.
7. Sélectionnez l'onglet Groupes.
8. Cliquez sur Ajouter un Groupe.

9. Sur la page Nouveau Groupe, saisissez un Nom et une Description pour votre groupe. La description est facultative, mais nous vous recommandons de préciser l'objectif du groupe. Dans notre exemple, le nom de ce groupe est Groupe A.

10. Cliquez sur Enregistrer.
    Votre groupe est répertorié dans la liste Groupes du WatchGuard Cloud Directory. Le groupe est également ajouté à la page Groupes dans AuthPoint.

Les objets de stratégie sont les composants d'une stratégie configurables individuellement, tels que les emplacements réseau. Vous pouvez configurer les objets de stratégie avant de les ajouter aux stratégies d'authentification.

Vous pouvez configurer ces types d'objets de stratégie :

Emplacements Réseau

Les objets de stratégie d'emplacement réseau vous permettent de spécifier une liste d'adresses IP. Vous pouvez ensuite configurer des stratégies d'authentification s'appliquant uniquement lorsque les utilisateurs s'authentifient à partir des adresses IP dans l'emplacement réseau spécifié.

Planification Horaire

Les objets de stratégie de planification horaire vous permettent de spécifier les dates et heures auxquelles les stratégies d'authentification s'appliquent aux authentifications des utilisateurs. Lorsque vous ajoutez une planification horaire à une stratégie d'authentification, la stratégie s'applique uniquement lorsqu'un utilisateur s'authentifie pendant la planification horaire spécifiée.

Limite Géographique

Les objets de stratégie de limite géographique vous permettent de spécifier une liste de pays. Vous pouvez ensuite configurer des stratégies d'authentification s'appliquant uniquement lorsque les utilisateurs s'authentifient à partir de ces pays. Cette méthode peut être utile si vous souhaitez appliquer différentes exigences de MFA à différents sites ou bloquer l'authentification pour certains pays.

Géo-cinétique

Les objets de stratégie de géo-cinétique vous permettent de créer des objets de stratégie qui comparent l'emplacement actuel de l'utilisateur à l'emplacement de sa dernière authentification valide. AuthPoint refuse automatiquement les authentifications à partir d'un emplacement auquel l'utilisateur n'a pas pu se rendre depuis sa dernière authentification en fonction de la distance et du délai entre les authentifications.

Lorsque vous ajoutez un objet de stratégie à une stratégie d'authentification, la stratégie s'applique uniquement aux authentifications d'utilisateur correspondant aux conditions de l'authentification et des objets de stratégie. À titre d'exemple, si vous ajoutez un emplacement réseau spécifique à une stratégie, celle-ci ne s'applique qu'aux authentifications des utilisateurs qui en proviennent.

Nous vous recommandons de créer une deuxième stratégie sans objet de stratégie pour ces groupes et ces ressources. Les utilisateurs disposant uniquement d'une stratégie comprenant un objet de stratégie n'ont pas accès à la ressource lorsque les conditions de l'objet de stratégie ne s'appliquent pas à l'authentification (car ils ne disposent d'aucune stratégie applicable et non car leur authentification est refusée).

• Les utilisateurs qui ont uniquement une stratégie qui inclut un emplacement réseau n'ont pas accès à la ressource lorsqu'ils s'authentifient en dehors de cet emplacement réseau.
• Les utilisateurs disposant uniquement d'une stratégie de planification horaire ne se voient pas octroyer l'accès lorsqu'ils s'authentifient hors des créneaux de la planification horaire.
• Les utilisateurs qui n'ont qu'une stratégie pour autoriser l'accès qui inclut une limite géographique n'ont pas accès à la ressource lorsqu'ils s'authentifient en dehors des pays spécifiés.

Si vous possédez deux stratégies (une avec un objet de stratégie et l'autre sans), attribuez une priorité plus élevée à la stratégie comprenant l'objet de stratégie. Pour plus d'informations, consultez À Propos de l'Ordre de Priorité des Stratégies.

Les objets de stratégie de géo-cinétique fonctionnent différemment des autres objets de stratégie car ils s'appliquent une fois l'authentification terminée. La géo-cinétique n'affecte pas les conditions d'une authentification. Ainsi, lorsque vous ajoutez un objet de stratégie de géo-cinétique à une stratégie d'authentification, vous n'avez pas besoin de créer une seconde stratégie sans l'objet de stratégie de géo-cinétique.

Pour prendre en charge l'authentification avec les objets de stratégie de limite géographique ou géo-cinétique, vous devez installer les versions suivantes des agents AuthPoint :

• AuthPoint agent for Windows v2.7.1 ou une version ultérieure
• AuthPoint agent for RD Web v1.4.2 ou une version ultérieure
• AuthPoint agent for ADFS v1.2.0 ou une version ultérieure

RD Web et ADFS possèdent des exigences supplémentaires pour prendre en charge les authentifications avec des données de localisation. Pour plus d'informations, consultez Limite Géographique pour RD Web et Limite Géographique pour ADFS.

Les ressources suivantes ne prennent pas en charge la géo-cinétique ou la limite géographique :

• AuthPoint agent for macOS
• RADIUS

Pour l'authentification RADIUS, les stratégies qui incluent un objet de stratégie de géo-cinétique ne s'appliquent pas car AuthPoint ne peut pas déterminer l'adresse IP de l'utilisateur final ou l'adresse IP d'origine.

Pour configurer un objet de stratégie d'emplacement réseau :

Les emplacements réseau nécessitent une connexion Internet.

Pour l'authentification RADIUS et l'authentification de base (ECP), les stratégies incluant un emplacement réseau ne sont pas appliquées, car AuthPoint ne peut pas déterminer l'adresse IP de l'utilisateur ou l'adresse IP d'origine.

1. Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.

2. Cliquez sur Ajouter un Objet de Stratégie.
   
   La page Ajouter un Objet de Stratégie s'affiche.

3. Dans la liste déroulante Type, sélectionnez Emplacement Réseau.
   
   Des champs supplémentaires s'affichent.
4. Dans la zone de texte Nom, saisissez un nom afin d'identifier cet objet de stratégie d'emplacement réseau. Cela vous aide à identifier l'emplacement réseau lorsque vous l'ajoutez aux stratégies d'authentification.
5. Dans la zone de texte Masque IP, saisissez une adresse IP publique ou un masque de réseau définissant la plage des adresses IP publiques de cet emplacement réseau puis appuyez sur Entrée ou Retour. Vous pouvez spécifier plusieurs adresses IP et plages dans un même emplacement réseau.

   AuthPoint prend en charge les adresses IPv4 uniquement pour les emplacements réseau.

   Vous ne pouvez pas ajouter les adresses IP 0.0.0.0 ou 255.255.255.255 à un emplacement réseau.

6. Cliquez sur Enregistrer.

Pour configurer un objet de stratégie de planification horaire :

1. Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.

2. Cliquez sur Ajouter un Objet de Stratégie.
   
   La page Ajouter un Objet de Stratégie s'affiche.

3. Dans la liste déroulante Type, sélectionnez Planification Horaire.
   
   Des champs supplémentaires s'affichent.
4. Dans la zone de texte Nom, saisissez un nom pour cet objet de stratégie de planification horaire. Cela vous aide à identifier la planification horaire lorsque vous l'ajoutez aux stratégies d'authentification.
5. Dans la liste déroulante Fuseau Horaire, sélectionnez le fuseau horaire que vous souhaitez utiliser pour cette planification horaire.
6. Si vous souhaitez ajuster le fuseau horaire sélectionné à l'heure d'été, sélectionnez la case à cocher Ajuster pour l'heure d'été. Lorsque vous sélectionnez cette option, la stratégie de planification horaire ajuste immédiatement le fuseau horaire sélectionné en ajoutant une heure. À titre d'exemple, une planification horaire dont le fuseau horaire est paramétré sur l'heure normale du Pacifique (UTC -8 heures) est immédiatement ajusté à UTC -7 heures (-8 heures + 1 heure).

   AuthPoint n'ajuste pas dynamiquement les paramètres à l'heure d'été. Vous devez sélectionner la case à cocher Ajuster pour l'heure d'été lorsque l'heure d'été s'applique et désélectionner la case à cocher lorsqu'elle ne s'applique pas.

7. Sélectionnez une option pour spécifier si vous souhaitez ajouter des jours de la semaine ou une date spécifique à cette planification horaire.
   • Jours de la semaine — Pour ajouter des jours de la semaine spécifiques à la planification horaire, sélectionnez cette option et choisissez les jours que vous souhaitez inclure.
   • Dates — Pour ajouter une date spécifique à la planification horaire, sélectionnez cette option et utilisez le champ Date pour sélectionner la date. Vous ne pouvez ajouter qu'une seule date à la fois.

   Vous ne pouvez ajouter qu'une seule option à la fois. Pour ajouter plusieurs ensembles de jours de la semaine et une ou plusieurs dates à une planification horaire donnée, vous devez les ajouter séparément.

8. Saisissez l'Heure de Début et l'Heure de Fin auxquelles vous souhaitez que la planification horaire s'applique les jours ou les dates sélectionnés. Ces valeurs doivent être comprises entre 00:00 et 23:59 et l'Heure de Fin doit être postérieure à l'Heure de Début.

   Le fuseau horaire sélectionné à l'Étape 5 s'applique aux heures de début et de fin de toutes les planifications horaires ajoutées à l'objet de stratégie.

9. Pour ajouter des jours et des heures à la planification horaire, cliquez sur Ajouter. Pour ajouter des jours ou des dates supplémentaires, ou pour spécifier des périodes supplémentaires pour ces jours ou ces dates, répétez les Étapes 7 à 9.
10. Cliquez sur Enregistrer.

Pour configurer un objet de stratégie de limite géographique :

1. Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.

2. Cliquez sur Ajouter un Objet de Stratégie.
   
   La page Ajouter un Objet de Stratégie s'affiche.

3. Dans la liste déroulante Type, sélectionnez Limite Géographique.
   Des champs supplémentaires s'affichent.
4. Dans la zone de texte Nom, saisissez un nom afin d'identifier cet objet de stratégie de limite géographique. Cela vous aide à identifier la limite géographique lorsque vous l'ajoutez aux stratégies d'authentification.
5. Dans la liste Pays, sélectionnez un ou plusieurs pays à ajouter à cette limite géographique. Vous pouvez saisir du texte pour affiner les options disponibles.
6. Si vous souhaitez que cette limite géographique s'applique aux authentifications d'utilisateur avec des données de localisation de faible précision, cochez la case Autoriser les données de localisation de faible précision. Cette option augmente la marge d'erreur qu'AuthPoint utilise pour valider les données de localisation. Par exemple, si vous configurez une limite géographique qui s'applique uniquement aux authentifications d'utilisateurs du Canada, mais que vous autorisez les données de localisation avec une faible précision, AuthPoint peut accepter une authentification d'un utilisateur juste au-delà de la frontière aux États-Unis.

   Des données de localisation de faible précision sont requises pour les connexions RDP, les ressources Firebox, les machines virtuelles Windows (VM) et les authentifications avec des données de localisation basées sur l'adresse IP.

7. Cliquez sur Enregistrer.

Pour configurer un objet de stratégie de géo-cinétique :

1. Dans le menu de navigation AuthPoint, sélectionnez Objets de Stratégie.

2. Cliquez sur Ajouter un Objet de Stratégie.
   
   La page Ajouter un Objet de Stratégie s'affiche.

3. Dans la liste déroulante Type, sélectionnez Géo-cinétique.
   
   Des champs supplémentaires s'affichent.
4. Dans la zone de texte Nom, saisissez un nom afin d'identifier cet objet de stratégie de géo-cinétique. Cela vous aide à identifier la géo-cinétique lorsque vous l'ajoutez aux stratégies d'authentification.

5. Dans la zone de texte Vitesse et la liste déroulante adjacente, spécifiez un nombre et une unité à utiliser par AuthPoint pour cet objet de stratégie de géo-cinétique. AuthPoint refuse les authentifications si la distance entre l'authentification actuelle et l'authentification précédente ne peut pas être parcourue à cette vitesse.

   La vitesse par défaut est de 600 miles par heure (la vitesse moyenne d'un avion de ligne).

6. (Facultatif) Dans la zone de texte Exceptions, saisissez une adresse IP publique ou un masque réseau qui définit une plage d'adresses IP publiques qu'AuthPoint doit ignorer pour cet objet de stratégie de géo-cinétique, puis appuyez sur Entrée ou Retour. Vous pouvez spécifier plusieurs exceptions. Vous pouvez procéder ainsi afin que l'objet de stratégie de géo-cinétique ne refuse pas les authentifications lorsque les utilisateurs se connectent à un VPN.

7. Si vous souhaitez qu'AuthPoint prenne en compte les authentifications comportant des données de localisation de faible précision lorsque cet objet de stratégie de géo-cinétique est pris en compte, cochez la case Prendre en compte les authentifications comportant des données de localisation de faible précision.

   Si vous ne cochez pas cette case, les authentifications qui ont des données de localisation avec une faible précision ne sont pas évaluées par rapport à l'objet de stratégie de géo-cinétique.

8. Cliquez sur Enregistrer.
9. Ajoutez cet objet de stratégie de géo-cinétique aux stratégies d'authentification auxquelles vous souhaitez qu'il s'applique. Pour plus d'informations, consultez À Propos des Stratégies d'Authentification AuthPoint.

   Contrairement à d'autres objets de stratégie (limite géographique, planification horaire, emplacements réseau), lorsque vous ajoutez un objet de stratégie de géo-cinétique à une stratégie d'authentification, vous n'avez pas besoin de créer une deuxième stratégie sans l'objet de stratégie de géo-cinétique.

Après avoir ajouté toutes vos ressources et groupes dans AuthPoint, vous devez configurer les stratégies d'authentification. Les stratégies d'authentification spécifient les ressources sur lesquelles les utilisateurs d'AuthPoint peuvent s'authentifier ainsi que les méthodes d'authentification à leur disposition (Push, QR code et OTP).

Lorsque vous configurez une stratégie d'authentification, spécifiez :

• Si la stratégie autorise ou refuse les authentifications.
• Les méthodes d'authentification requises.
• Les ressources auxquelles s'applique la stratégie.
• Les groupes d'utilisateurs auxquels s'applique la stratégie.
• Les objets de stratégie s'appliquant aux authentifications.

Un utilisateur non membre d'un groupe possédant une stratégie d'authentification sur une ressource donnée ne peut pas s'authentifier pour s'y connecter.

Lorsque vous configurez des stratégies, assurez-vous de respecter les exigences et les recommandations suivantes :

• Vous devez configurer au moins un groupe avant de configurer les stratégies d'authentification.
• Pour l'authentification RADIUS et l'authentification de base (ECP Enhanced Client or Proxy), les stratégies possédant un emplacement réseau ne s'appliquent pas, car AuthPoint ne dispose pas de l'adresse IP de l'utilisateur ni de l'adresse IP d'origine.
• Les stratégies comprenant des objets de stratégie ne s'appliquent qu'aux authentifications d'utilisateurs correspondant aux conditions de tous les objets de stratégie. Les utilisateurs disposant uniquement d'une stratégie comprenant des objets de stratégie n'ont pas accès à la ressource lorsque les conditions des objets de stratégie ne s'appliquent pas à l'authentification. Cela est dû au fait qu'ils ne disposent d'aucune stratégie applicable et non car leur authentification est refusée.
  • Les stratégies avec la des emplacements réseau Les objets de stratégie d'emplacement réseau sont une liste d'adresses IP que vous configurez. s'appliquent uniquement aux authentifications d'utilisateurs provenant de cet emplacement réseau. Les utilisateurs disposant uniquement d'une stratégie incluant un emplacement réseau ne peuvent pas accéder à la ressource lorsqu'ils s'authentifient hors de cet emplacement réseau.
  • Les stratégies avec la limites géographiques Les objets de stratégie de limite géographique spécifient une liste de pays. Les stratégies s'appliquent uniquement aux authentifications provenant des pays spécifiés. s'appliquent uniquement aux authentifications d'utilisateurs provenant d'un pays spécifié dans l'objet de stratégie de limite géographique. Les utilisateurs n'ayant qu'une stratégie incluant une limite géographique n'ont pas accès à la ressource lorsqu'ils s'authentifient en dehors des pays spécifiés.
  • Les stratégies avec la planifications horaires Les objets de stratégie de planification horaire spécifient les dates et heures auxquelles les stratégies d'authentification s'appliquent aux authentifications des utilisateurs. s'appliquent uniquement aux authentifications d'utilisateurs pendant la planification horaire spécifiée. Les utilisateurs disposant uniquement d'une stratégie comprenant une planification horaire ne peuvent pas accéder à la ressource lorsqu'ils s'authentifient en dehors des heures de cette planification horaire.
  • Les stratégies avec la géo-cinétique Les objets de stratégie de géo-cinétique vous permet de créer des objets de stratégie qui comparent l'emplacement actuel de l'utilisateur à l'emplacement de sa dernière authentification valide. AuthPoint refuse automatiquement les authentifications à partir d'un emplacement auquel l'utilisateur n'a pas pu se rendre depuis sa dernière authentification en fonction de la distance et du délai entre les authentifications. n'affectent pas les conditions d'une authentification.
• Si vous configurez des objets de stratégie Les objets de stratégie sont les composants d'une stratégie configurables individuellement, tels que les emplacements réseau., nous vous recommandons de créer une deuxième stratégie sans objet de stratégie pour ces groupes et ces ressources. Attribuez une priorité plus élevée à la stratégie possédant les objets de stratégie.

  Les objets de stratégie de géo-cinétique fonctionnent différemment des autres objets de stratégie car ils s'appliquent une fois l'authentification terminée. La géo-cinétique n'affecte pas les conditions d'une authentification. Ainsi, lorsque vous ajoutez un objet de stratégie de géo-cinétique à une stratégie d'authentification, vous n'avez pas besoin de créer une seconde stratégie sans l'objet de stratégie de géo-cinétique.

• Les objets de stratégie de géo-cinétique ne sont pas appliqués aux ressources de Logon app, RD Web et ADFS si la stratégie d'authentification nécessite uniquement un mot de passe (pas de MFA). C'est parce qu'AuthPoint valide la géo-cinétique après l'authentification. Dans les scénarios où AuthPoint ne valide pas le mot de passe, aucune demande d'authentification n'est envoyée à AuthPoint.
• Si vous activez les méthodes d'authentification push et OTP dans une stratégie, les ressources RADIUS associées à cette dernière utilisent les notifications push pour authentifier les utilisateurs.
• Vous devez activer la méthode d'authentification push pour les stratégies comprenant des ressources RADIUS MS-CHAPv2.
• Les ressources RADIUS ne prennent pas en charge l'authentification par QR code.

Pour configurer une stratégie d'authentification :

1. Sélectionnez Stratégies d'Authentification.
2. Cliquez sur Ajouter une Stratégie.

3. Saisissez le nom de la stratégie.
4. Dans la liste déroulante Sélectionnez les options d'authentification, sélectionnez une option pour spécifier s'il est nécessaire d'exiger l'authentification MFA ou de refuser les authentifications pour cette stratégie.
   • Options d'authentification — Exige la MFA lorsque les utilisateurs des groupes associés à cette stratégie s'authentifient sur les ressources associées à celle-ci.
   • Authentification non autorisée — Refuse les authentifications lorsque les utilisateurs des groupes associés à cette stratégie tentent de s'authentifier sur les ressources associées à cette stratégie

5. Si vous exigez la MFA pour cette stratégie, sélectionnez la case à cocher correspondant à chaque option d'authentification que les utilisateurs peuvent sélectionner lorsqu'ils s'authentifient. Pour plus d'informations sur les méthodes d'authentification, consultez À Propos de l'Authentification.

   Si vous activez les méthodes d'authentification push et OTP dans une stratégie, les ressources RADIUS associées à cette dernière utilisent les notifications push pour authentifier les utilisateurs.

   L'authentification par QR code n'est pas prise en charge pour les ressources RADIUS.

6. Pour les stratégies comprenant une ressource Microsoft 365, si vous exigez une authentification pour un périphérique ou une ressource appartenant à votre domaine Microsoft 365 mais ne pouvant pas utiliser la MFA telle qu'une imprimante, sélectionnez la case à cocher Authentification de Base. L'authentification de base est également appelée Enhanced Client or Proxy (ECP).
7. Dans la liste déroulante Groupes, sélectionnez les groupes auxquels s'applique cette stratégie. Vous pouvez sélectionner plusieurs groupes. Pour configurer cette stratégie de manière à l'appliquer à tous les groupes, sélectionnez Tous les Groupes.
8. Dans la liste déroulante Ressources, sélectionnez les ressources auxquelles cette stratégie s'applique. Pour configurer cette stratégie afin qu'elle s'applique à toutes les ressources, sélectionnez Toutes les Ressources.

9. Dans la liste déroulante Objets de stratégie, sélectionnez les objets de stratégie s'appliquant à cette stratégie. Pour plus d'informations sur les objets de stratégie, consultez À Propos des Objets de Stratégie.

10. Cliquez sur Enregistrer.
    Votre stratégie est créée et ajoutée à la fin de la liste des stratégies.

    Après avoir créé une nouvelle stratégie, nous vous recommandons d'examiner l'ordre des stratégies. AuthPoint ajoute toujours les nouvelles stratégies à la fin de la liste des stratégies.

Pour synchroniser les utilisateurs d'une base de données LDAP, vous devez créer une requête pour l'identité externe que vous avez ajoutée. Les requêtes que vous ajoutez à une identité externe spécifient les utilisateurs à synchroniser à partir de votre base de données Active Directory ou LDAP. Elles extraient les informations des utilisateurs dans la base de données et créent les utilisateurs AuthPoint correspondant aux utilisateurs de la requête.

Il y a deux façons d'extraire des utilisateurs :

• Synchronisation de Groupes — Sélectionnez les groupes LDAP dont vous souhaitez synchroniser les utilisateurs et AuthPoint crée la requête pour vous.
• Requêtes Avancées — Créez vos propres requêtes LDAP pour spécifier les groupes ou utilisateurs à synchroniser.

Dans cet exemple, nous montrons les étapes à suivre pour la fonction de synchronisation de groupes.

Avant de continuer, assurez-vous que chaque compte d'utilisateur possède une adresse e-mail valide. Si l'adresse e-mail d'un compte d'utilisateur n'est pas correcte, l'utilisateur ne peut pas recevoir l'e-mail lui permettant de définir un mot de passe et d'activer un jeton.

Avant de continuer, prenez en considération ces exigences :

• Si les groupes LDAP sélectionnés ont plus d'utilisateurs que ne le permettent vos licences AuthPoint, la synchronisation ne crée que le nombre d'utilisateurs permis par votre licence
• Les utilisateurs LDAP n'ayant pas de prénom, de nom d'utilisateur ou d'adresse e-mail ne sont pas inclus dans la synchronisation
• Si l'adresse e-mail d'un compte d'utilisateur n'est pas correcte, l'utilisateur ne peut pas recevoir l'e-mail lui permettant de définir un mot de passe et d'activer un jeton
• Nous vous recommandons de ne pas ajouter le même groupe LDAP à plusieurs synchronisations de groupes et ou de ne pas créer plusieurs synchronisations de groupes qui incluent le même utilisateur LDAP

Pour synchroniser les utilisateurs LDAP :

1. Sélectionnez Identités Externes.
2. À côté de votre identité externe, cliquez sur et sélectionnez Synchronisation de Groupes.

3. Sur la page Synchronisation de Groupes, cliquez sur Ajouter un Nouveau Groupe à Synchroniser.

4. Dans la fenêtre Ajouter une Synchronisation de Groupes, dans la liste déroulante Sélectionner les Groupes LDAP à partir desquels Synchroniser les Utilisateurs, sélectionnez les groupes LDAP à partir desquels vous souhaitez synchroniser des utilisateurs. Vous pouvez sélectionner plusieurs groupes.

5. Pour créer de nouveaux groupes dans AuthPoint en fonction des groupes Active Directory à partir desquels vous synchronisez les utilisateurs, activez l'option Créer de nouveaux groupes synchronisés. Si vous activez cette option, les utilisateurs sont synchronisés selon les nouveaux groupes en fonction de leur appartenance aux groupes de la base de données LDAP, en plus du groupe AuthPoint sélectionné. N'ajoutez pas le même groupe LDAP à plusieurs synchronisations de groupes et ne créez pas plusieurs synchronisations de groupes qui incluent le même utilisateur LDAP.

   Cette option est uniquement disponible pour les bases de données LDAP Active Directory et Azure Active Directory. Pour utiliser cette fonctionnalité, vous devez installer la version 6.1 ou une version ultérieure de l'AuthPoint Gateway.

   L'option permettant de créer de nouveaux groupes synchronisés dans AuthPoint n'inclut pas les groupes Active Directory qui ne sont pas spécifiés dans la synchro‭nisation de groupes. Si un utilisateur synchronisé est membre d'un groupe Active Directory qui n'est pas spécifié dans la synchronisation de groupes, ce groupe Active Directory ne sera pas créé dans AuthPoint.

6. Dans la liste déroulante Sélectionner un Groupe AuthPoint pour y Ajouter des Utilisateurs, sélectionnez le groupe AuthPoint auquel vous souhaitez ajouter les utilisateurs.

   Pour chaque synchronisation de groupes, tous les utilisateurs sont ajoutés au même groupe AuthPoint. Pour ajouter des utilisateurs LDAP à plusieurs groupes, nous vous recommandons d'activer l'option Créer de nouveaux groupes synchronisés et d'utiliser votre structure de groupe Active Directory pour gérer vos utilisateurs.

7. Si vous ne souhaitez pas qu'AuthPoint crée des jetons mobiles pour ces comptes d'utilisateur ou envoie un e-mail aux utilisateurs pour activer leurs jetons mobiles, décochez les cases Attribuer automatiquement un jeton mobile aux utilisateurs synchronisés et Envoyer automatiquement l'e-mail d'activation pour les utilisateurs synchronisés.

   Vous ne pouvez pas modifier ces paramètres après avoir synchronisé les comptes d'utilisateurs. Pour attribuer un jeton à un utilisateur qui n'a pas sélectionné ces options, vous devez renvoyer l'e-mail d'Activation du Jeton. Pour de plus amples informations, accédez à Renvoyer l'E-mail d'Activation.

8. Cliquez sur Enregistrer.
   La fenêtre Ajouter une Synchronisation de Groupes se ferme.

Après avoir ajouté une requête pour trouver vos utilisateurs (manuellement ou avec une synchronisation de groupes), AuthPoint se synchronise avec votre base de données Active Directory ou LDAP au prochain intervalle de synchronisation Ceci est défini dans la liste déroulante Intervalle de Synchronisation sur la page Configuration LDAP pour votre identité externe. et crée un compte d'utilisateur AuthPoint pour chaque utilisateur identifié par la requête.

Pour lancer une synchronisation immédiatement, sur la page Identités Externes, à côté de votre identité externe, cliquez sur et sélectionnez Démarrer la Synchronisation.

Les comptes d'utilisateur créés apparaissent sur la page Utilisateurs avec une icône de statut Activé verte à côté du nom d'utilisateur. L'icône d'état Activé indique que l'utilisateur a été créé et qu'il est actuellement actif (non bloqué). Vous pouvez identifier les utilisateurs synchronisés à partir d'une identité externe par la balise LDAP dans la colonne Type dans la liste des utilisateurs.

Chaque utilisateur reçoit un e-mail pour activer son jeton dans l'application mobile AuthPoint. Lorsqu'un utilisateur active son jeton, les informations relatives au jeton s'affichent dans la colonne Jeton avec une icône d'état Activé verte à côté du jeton.

Les utilisateurs synchronisés à partir d'une identité externe utilisent leur mot de passe existant pour l'authentification. Ils ne reçoivent pas d'email pour définir un mot de passe AuthPoint.

Si vous avez activé l'option Créer de nouveaux groupes synchronisés, les groupes synchronisés sont créés dans AuthPoint. Les groupes nouvellement créés figurent sur la page Groupes. Vous pouvez identifier les groupes synchronisés à partir d'Active Directory par la balise LDAP dans la colonne Type de la liste des groupes.

Si vous modifiez le nom d'un groupe synchronisé dans Active Directory, le nom du groupe synchronisé dans AuthPoint est automatiquement mis à jour en conséquence. Il est impossible de modifier les groupes synchronisés dans AuthPoint.

Si vous supprimez le groupe dans Active Directory ou si vous supprimez la synchronisation de groupes, le groupe synchronisé n'est pas supprimé dans AuthPoint. Vous devez supprimer manuellement le groupe synchronisé dans AuthPoint.

Vous pouvez créer des Informations d'Identification d'Entreprise pour partager un lien direct vers un site Web spécifique avec des groupes d'utilisateurs spécifiques. Vous pouvez procéder ainsi pour des sites web ou des applications qui ne prennent pas en charge SAML ou qui ne sont pas gérés par votre entreprise. Par exemple, vous pouvez créer des Informations d'Identification d'Entreprise pour fournir aux utilisateurs un lien dans le portail IdP vers le site web qu'ils utilisent pour gérer leurs comptes 401k.

Lorsque vous créez des Informations d'Identification d'Entreprise, vous pouvez choisir de partager les informations d'identification de connexion pour ce site web ou ce compte. Par exemple, vous pouvez partager les informations d'identification d'un compte de réseau social d'entreprise avec votre équipe marketing.

Les Informations d'Identification d'Entreprise sont disponibles sur le portail IdP pour les utilisateurs membres des groupes avec lesquels les Informations d'Identification d'Entreprise sont partagées. Si vous choisissez de partager les informations d'identification de connexion, les Informations d'Identification d'Entreprise sont également disponibles dans le coffre de mots de passe. Pour plus d'informations sur la gestion des mots de passe, consultez Gestion des Mots de Passe.

Si vous partagez les informations d'identification de connexion, chaque utilisateur doit accepter les Informations d'Identification d'Entreprise partagées dans le gestionnaire de mots de passe.

Le gestionnaire de mots de passe d'AuthPoint est une fonctionnalité ancienne qui n'est disponible que pour les comptes ayant acheté Total Identity Security avant le 1er octobre 2024. Les comptes qui ont acheté AuthPoint Total Identity Security après cette date n'incluent pas le gestionnaire de mots de passe. Pour plus d'informations, accédez à Fin de Disponibilité du Gestionnaire de Mots de Passe d'AuthPoint.

Pour ajouter des Informations d'Identification d'Entreprise :

1. Sélectionnez Informations d'Identification d'Entreprise.
   La page Informations d'Identification d'Entreprise s'ouvre.

2. Cliquez sur Ajouter une Information d'Identification d'Entreprise.
   La page Ajouter une Information d'Identification d'Entreprise s'ouvre.

3. Dans la zone de texte Nom, saisissez un nom pour identifier ces informations d'identification d'entreprise auprès des utilisateurs du portail IdP et de leur coffre de mots de passe.
4. Dans la zone de texte URL, saisissez l'URL de l'application ou du service. Si vous ne spécifiez pas de protocole dans l'URL, AuthPoint utilise par défaut le protocole HTTPS.
5. Pour télécharger une image afin d'identifier les informations d'identification d'entreprise dans le portail IdP, faites glisser un fichier image de votre ordinateur vers la zone Image ou cliquez sur Sélectionner un fichier à importer et sélectionnez un fichier image.

6. Dans la liste Groupes, sélectionnez les groupes pour lesquels ces informations d'identification d'entreprise sont disponibles.
   Vous pouvez sélectionner plusieurs groupes. Pour rendre ces informations d'identification d'entreprise disponibles pour tous les groupes, sélectionnez Tous les Groupes.
7. Pour partager les informations de connexion afin que les utilisateurs puissent se connecter à un compte spécifique, cochez la case Partager les informations d'identification pour cette information d'identification d'entreprise. Lorsque vous sélectionnez cette option, les informations d'identification d'entreprise sont disponibles dans le coffre de mots de passe des utilisateurs spécifiés en plus du portail IdP. Si vous sélectionnez cette option, lorsque les utilisateurs cliquent sur le lien dans le portail IdP, ils se connectent automatiquement au site Web spécifié avec les informations d'identification de connexion que vous spécifiez.

   Une fois que vous avez enregistré les informations d'identification d'entreprise, vous ne pouvez pas modifier si les informations d'identification sont partagées.

8. Si vous choisissez de partager les informations d'identification, saisissez le Nom d'Utilisateur et le Mot de Passe du compte.

9. Cliquez sur Enregistrer.
   La page Informations d'Identification d'Entreprise s'ouvre.

Une fois les Informations d'Identification d'Entreprise enregistrées, une nouvelle mosaïque s'affiche dans le portail IdP pour les utilisateurs membres des groupes avec lesquels vous avez partagé les Informations d'Identification d'Entreprise. Les utilisateurs peuvent cliquer sur cette mosaïque pour accéder à l'URL que vous avez spécifiée.

AuthPoint Total Identity Security comprend un service de Surveillance du Dark Web pour vous aider à surveiller et à protéger vos domaines. Avec le service de Surveillance du Dark Web, WatchGuard surveille activement les fuites de données pour jusqu'à trois de vos domaines. Si une fuite de données concerne vos adresses e-mail et vos domaines, vous en êtes informé.

Lorsque vous ajoutez un domaine, vous devez sélectionner l'une de ces adresses e-mail pour les demandes d'autorisation :

• security@<yourdomain>
• webmaster@<yourdomain>
• postmaster@<yourdomain>
• hostmaster@<yourdomain>

Pour vous assurer que vous possédez le domaine, WatchGuard envoie une demande d'autorisation à l'adresse e-mail sélectionnée. Vous ne pouvez pas spécifier une adresse e-mail personnalisée pour les demandes d'autorisation. Si vous ne disposez d'aucune de ces adresses e-mail pour le domaine, vous devez en créer une.

Pour configurer la Surveillance du Dark Web pour un domaine, dans WatchGuard Cloud :

1. Sélectionnez ‭Administration‭ > Surveillance du Dark Web.
   La page Surveillance du Dark Web s'ouvre.

2. Cliquez sur Ajouter un Domaine.
   La page Ajouter un Domaine s'ouvre.

3. Dans la zone de texte Domaine, saisissez votre nom de domaine, tel que example.com.
4. Dans la liste déroulante E-mail, sélectionnez l'adresse e-mail à laquelle vous voulez envoyer les demandes d'autorisation. Une autorisation est requise pour surveiller les fuites de données pour le domaine et pour mettre à jour les paramètres du domaine de la Surveillance du Dark Web dans WatchGuard Cloud.

   Vous ne pouvez pas spécifier une adresse e-mail personnalisée pour les demandes d'autorisation. Si aucune des adresses e-mail répertoriées n'existe, vous devez en créer une.

5. Sélectionnez les adresses e-mail pour lesquelles vous souhaitez recevoir des notifications lorsque la Surveillance du Dark Web détecte une fuite de données incluant une adresse e-mail de votre domaine. Vous devez sélectionner au moins une adresse e-mail.
   Si vous sélectionnez l'adresse e-mail piratée, l'UI vous donne la possibilité d'inclure le mot de passe exposé (et toute autre donnée sensible) dans l'e-mail envoyé à l'adresse e-mail piratée. Si vous choisissez d'inclure le mot de passe exposé, ces informations ne sont envoyées à aucune autre adresse e-mail sélectionnée.

   Pour envoyer une notification à l'adresse e-mail d'autorisation, vous devez cocher la case en regard de cette adresse e-mail.

6. (Facultatif) Pour envoyer des notifications à d'autres adresses e-mail, dans la zone de texte E-mails Supplémentaires, saisissez l'adresse e-mail et appuyez sur la touche Entrée. Vous pouvez spécifier jusqu'à 10 adresses e-mail auxquelles envoyer des notifications.

7. Cliquez sur Enregistrer.