S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security
Dans AuthPoint, vous pouvez synchroniser les utilisateurs à partir d'Active Directory, d'Azure Active Directory ou d'une base de données LDAP (Lightweight Directory Access Protocol). Cela permet d'ajouter rapidement à AuthPoint des utilisateurs déjà définis sur votre réseau.
Pour synchroniser des utilisateurs à partir d'une base de données d'utilisateurs externe, vous devez ajouter une identité externe et créer une ou plusieurs requêtes. Les identités externes se connectent aux bases de données des utilisateurs externes pour obtenir des informations sur les comptes des utilisateurs et valider les mots de passe.
Il existe deux types d'identités externes :
LDAP
Utilisez le type d'identité externe LDAP (Lightweight Directory Access Protocol) pour synchroniser des utilisateurs à partir d'Active Directory ou d'une base de données LDAP.
Vous devez ajouter des identités externes LDAP à la configuration pour une Gateway, et installer AuthPoint Gateway sur votre réseau d'entreprise à un emplacement doté d'un accès à Internet et capable de se connecter à votre serveur LDAP. La Gateway permet la communication entre WatchGuard Cloud et votre base de données Active Directory ou LDAP.
Azure AD
Utilisez le type d'identité externe Azure AD pour synchroniser des utilisateurs à partir d'Azure AD. Ce type d'identité externe n'a pas besoin d'AuthPoint Gateway.
Pour chaque identité externe, vous devez spécifier les utilisateurs à synchroniser. Il existe deux manières de synchroniser des utilisateurs :
- Synchronisation de Groupes — Sélectionnez les groupes dont vous souhaitez synchroniser les utilisateurs et AuthPoint crée une requête pour vous.
- Requêtes Avancées — Créez vos propres requêtes pour spécifier les groupes ou utilisateurs à synchroniser.
Après avoir ajouté une synchronisation de groupes ou une requête avancée, AuthPoint se synchronise avec votre base de données d'utilisateurs externes lors du prochain intervalle de synchronisation et crée un compte d'utilisateur AuthPoint pour chaque utilisateur trouvé. Si votre requête renvoie plus d'utilisateurs que ne le permettent vos licences, la synchronisation ne crée que le nombre d'utilisateurs permis par votre licence.
Les utilisateurs ne possédant pas de prénom, de nom d'utilisateur ou d'adresse e-mail défini(e) dans la base de données d'utilisateurs externe ne sont pas inclus dans la synchronisation.
AuthPoint n'enregistre pas le mot de passe des utilisateurs synchronisés. Lorsqu'un utilisateur synchronisé s'authentifie, AuthPoint transmet les informations d'identification LDAP au contrôleur de domaine pour validation. Une fois que le contrôleur de domaine a validé les informations d'identification, AuthPoint gère toutes les autres options d'authentification spécifiées dans les stratégies d'authentification.
Lorsque vous créez une requête pour trouver vos utilisateurs (manuellement ou avec la synchronisation de groupes), vous choisissez si AuthPoint doit créer un jeton mobile pour les utilisateurs synchronisés et envoyer un e-mail aux utilisateurs synchronisés pour activer leur jeton mobile. AuthPoint le fait par défaut. Dans la plupart des cas, nous vous recommandons d'attribuer un jeton aux utilisateurs et de leur envoyer l'e-mail d'Activation du Jeton. Les comptes d'utilisateurs ont besoin d'un jeton pour s'authentifier auprès d'AuthPoint. Vous pouvez choisir de ne pas le faire pour les utilisateurs qui utilisent des jetons matériels pour l'authentification ou pour les comptes de service qui contournent l'authentification MFA avec l'authentification de base.
Pour attribuer un jeton et envoyer l'e-mail d'activation du jeton à un utilisateur pour lequel aucun jeton n'a été créé automatiquement, vous devez renvoyer l'e-mail d'activation du jeton. Pour de plus amples informations, accédez à Renvoyer l'E-mail d'Activation.
Utilisateurs Mis en Quarantaine
Si vous déplacez ou supprimez un compte d'utilisateur dans votre base de données LDAP, l'état du compte d'utilisateur AuthPoint associé passe à Mis en quarantaine. Dans la liste des utilisateurs, les comptes d'utilisateur Mis en Quarantaine présentent une icône jaune en face de leur nom d'utilisateur.
Un compte d'utilisateur AuthPoint peut également être mis en quarantaine si l'identité externe a été supprimée ou si d'autres informations du domaine ont été modifiées.
Les comptes d'utilisateur mis en quarantaine ne peuvent pas s'authentifier tant qu'ils n'ont pas été restaurés ou remis à leur emplacement d'origine dans la base de données LDAP. Pour plus d'informations, consultez Utilisateurs Mis en Quarantaine.
Synchroniser des Utilisateurs à partir d'Active Directory ou de LDAP
Synchroniser des Utilisateurs à partir d'Azure Active Directory