Héritage d'Utilisateurs pour les Service Providers

S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security

Cette page décrit la méthode pouvant être employée par les Service Providers pour transmettre les requêtes d'héritage d'utilisateurs. Si votre compte est géré par un Service Provider, accédez à Héritage d'Utilisateurs pour les Comptes Gérés.

l'Héritage d'utilisateurs permet aux Service Providers de demander à ce que les comptes gérés héritent d'un utilisateur AuthPoint du compte Service Provider. Si le compte géré approuve la requête, les utilisateurs du Service Provider spécifiés sont ajoutés au compte géré et peuvent s'authentifier sur les ressources de ce compte. Cela permet aux Service Providers de gérer plus facilement les comptes de leurs clients. Vous pouvez procéder ainsi si vous gérez les services AuthPoint d'un client ou si vous avez besoin d'un accès pour dépanner des ressources protégées d'un compte que vous gérez.

Vous ne pouvez pas transmettre de requête d'héritage d'utilisateurs à un compte délégué.

Vous pouvez demander à ce que les comptes gérés héritent des types de comptes d'utilisateur suivants :

  • Utilisateurs AuthPoint locaux
  • Utilisateurs LDAP et Active Directory
  • Utilisateurs Azure Active Directory

Les comptes gérés ne doivent pas configurer d'identité externe ou de Gateway pour hériter des utilisateurs synchronisés à partir d'une base de données d'utilisateurs externe. Les utilisateurs hérités qui se synchronisent à partir d'une base de données d'utilisateurs externe ne peuvent s'authentifier auprès des ressources Firebox que si Firebox peut se connecter à la base de données LDAP du Service Provider. Cela est dû au fait que le flux d'authentification pour les ressources Firebox est différent du flux d'authentification pour les ressources RADIUS. Pour les ressources Firebox, le Firebox envoie les informations d'identification de l'utilisateur LDAP au serveur Active Directory pour valider le mot de passe. Pour les ressources RADIUS, AuthPoint contacte le serveur Active Directory via la Gateway pour valider le mot de passe. Les ressources RADIUS (et les Fireboxes configurés en tant que ressources RADIUS) n'ont pas besoin de pouvoir se connecter à la base de données LDAP du Service Provider.

Pour plus d'informations, reportez-vous aux sections Processus d'Authentification dans les rubriques d'aide Configurer la MFA pour un Client RADIUS et Configurer la MFA pour un Firebox .

Les utilisateurs hérités doivent disposer d'une connexion à Internet pour s'authentifier sur les ordinateurs sur lesquels Logon app est installée.

Les utilisateurs hérités n'utilisent pas de licence d'utilisateur AuthPoint sur le compte géré.

Synthèse du Processus d'Héritage d'Utilisateurs

Voici la synthèse du processus d'héritage d'utilisateurs :

  1. Un Service Provider transmet une requête d'héritage d'utilisateurs à un ou plusieurs comptes gérés.
  2. Un opérateur du compte géré approuve la requête d'héritage d'utilisateurs. L'opérateur doit sélectionner les groupes AuthPoint auxquels l'utilisateur hérité doit être ajouté.
  3. AuthPoint ajoute l'utilisateur hérité au compte géré. L'utilisateur hérité peut s'authentifier sur les ressources du compte géré en fonction des stratégies d'authentification de son ou ses groupes d'utilisateurs.
  4. Un opérateur du compte Service Provider ou du compte géré peut interrompre l'héritage d'utilisateurs à tout moment.

Exigences

Lorsque vous configurez l'héritage d'utilisateurs, tenez compte des règles suivantes :

  • Les Service Providers ne peuvent pas transmettre de requêtes d'héritage d'utilisateurs à un compte délégué.
  • Les Service Providers ne peuvent pas ajouter un utilisateur hérité à un compte possédant déjà un compte d'utilisateur avec un nom d'utilisateur ou une adresse e-mail identique.
  • Les Service Providers peuvent uniquement transmettre une requête d'héritage d'utilisateurs aux comptes gérés possédant une licence AuthPoint active.
  • Les Service Providers doivent allouer au moins un utilisateur AuthPoint à leur propre compte Subscriber. Si votre compte Subscriber ne dispose pas d'un utilisateur AuthPoint, vous ne verrez peut-être pas vos comptes gérés dans la liste des comptes auxquels vous pouvez envoyer la requête d'héritage d'utilisateurs.
  • Si un compte géré ajoute un nouvel utilisateur avec un nom d'utilisateur ou une adresse e-mail identiques à celui ou celle d'un utilisateur hérité, AuthPoint supprime l'utilisateur hérité.
  • Pour les utilisateurs LDAP hérités, AuthPoint transmet les informations d'identification de l'utilisateur LDAP à la base de données d'utilisateurs externes du Service Provider afin de les valider. Si le compte géré utilise agent for Windows, RD Web ou ADFS, AuthPoint ne valide que le deuxième facteur.
  • Les utilisateurs LDAP hérités ne peuvent s'authentifier auprès des ressources RADIUS et Firebox que si la Gateway ou le Firebox peut se connecter à la base de données LDAP du Service Provider.
  • Si vous supprimez un utilisateur hérité de votre compte Service Provider, AuthPoint supprime l'utilisateur hérité de tous les comptes gérés hérités par cet utilisateur.
  • Si vous bloquez un utilisateur hérité ou ses jetons sur le compte Service Provider, AuthPoint bloque également l'utilisateur ou le jeton dans tous les comptes gérés hérités par l'utilisateur.
  • Les opérateurs du compte géré ne peuvent pas bloquer un utilisateur hérité ni les jetons d'un utilisateur hérité.

Envoyer une Requête d'Héritage d'Utilisateurs

Si vous possédez un compte Service Provider et que vous souhaitez qu'un ou plusieurs de vos comptes gérés héritent d'un des utilisateurs AuthPoint, vous pouvez transmettre une requête d'héritage d'utilisateurs aux comptes gérés. Chaque compte qui accepte la requête d'héritage d'utilisateurs hérite alors du compte d'utilisateur AuthPoint.

Vous devez transmettre une requête d'héritage d'utilisateurs distincte pour chaque utilisateur que vous souhaitez faire hériter d'un compte géré.

Vous affichez et gérez les requêtes d'héritage d'utilisateurs à partir d'AuthPoint management UI.

Pour envoyer une requête d'héritage d'utilisateurs :

  1. Connectez-vous à WatchGuard Cloud.
  2. Sélectionnez votre compte Suscriber depuis le Gestionnaire de Comptes.
  3. Dans le menu de navigation, sélectionnez Configurer > Authpoint.
    La page Synthèse d'AuthPoint s'affiche.
  4. Sélectionnez Héritage d'Utilisateurs.
    La page Requêtes d'Héritage d'Utilisateurs s'ouvre.

Screen shot that shows the User Inheritance Requests page.

  1. Cliquez sur Envoyer une Requête d'Héritage d'Utilisateurs.
  2. Dans la liste déroulante Utilisateurs à Hériter, sélectionnez le compte d'utilisateur AuthPoint duquel vous souhaitez que votre ou vos comptes gérés héritent. Pour rechercher un utilisateur spécifique, saisissez son nom ou son nom d'utilisateur.
    Des champs supplémentaires s'affichent.

Screen shot of the User Inheritance Requests page.

  1. Dans la liste des comptes, sélectionnez les comptes gérés desquels vous souhaitez faire hériter cet utilisateur. Si vous sélectionnez plusieurs comptes, après avoir envoyé la requête, vous devez gérer l'héritage d'utilisateurs de chaque compte séparément.

Screen shot of the User Inheritance Requests page.

  1. Cliquez sur Envoyer la Requête.

Screen shot of a pending user inheritance request.

AuthPoint transmet une requête d'héritage d'utilisateurs à chacun des comptes sélectionnés. Un opérateur du compte géré accepte ou refuse alors la requête. Si l'opérateur accepte la requête d'héritage d'utilisateurs, il doit choisir les groupes AuthPoint auxquels l'utilisateur hérité est ajouté. Les groupes auxquels appartient l'utilisateur hérité déterminent les stratégies d'authentification s'appliquant à l'utilisateur ainsi que les ressources du compte géré sur lesquelles l'utilisateur hérité peut s'authentifier.

Les utilisateurs hérités utilisent leurs jetons existants pour s'authentifier.

AuthPoint vous transmet une notification lorsqu'un compte géré accepte ou refuse la requête d'héritage d'utilisateurs. Vous pouvez également consulter l'état de vos requêtes d'héritage d'utilisateurs dans la liste Requêtes d'Héritage d'Utilisateurs.

  • En Attente — Le compte géré n'a pas répondu à la requête d'héritage d'utilisateurs.
  • Refusée — La requête d'héritage d'utilisateurs a été refusée et l'utilisateur n'a pas été hérité par le compte géré.
  • Acceptée — La requête d'héritage d'utilisateurs a été approuvée et l'utilisateur hérité a été ajouté au compte géré.

Les comptes gérés peuvent également opter pour supprimer une requête d'héritage d'utilisateurs en attente. Les requêtes d'héritage d'utilisateurs et les utilisateurs hérités supprimés ne figurent pas dans la liste Requêtes d'Héritage d'Utilisateurs.

Héritage d'Utilisateurs Finaux

Pour interrompre l'héritage d'utilisateurs et supprimer l'utilisateur hérité d'un compte géré :

  1. Dans l'AuthPoint management UI, sélectionnez Héritage d'Utilisateurs.
    La page Requêtes d'Héritage d'Utilisateurs s'ouvre.

Screen shot of the delete icon for a user inheritance request.

  1. Dans la liste Requêtes d'Héritage d'Utilisateurs, en face de l'utilisateur pour lequel vous souhaitez interrompre l'héritage d'utilisateurs, cliquez sur Icône de Menu et sélectionnez Supprimer. Si l'utilisateur hérite de plusieurs comptes gérés, la liste comprend un élément distinct pour chaque compte. Confirmez que vous supprimez l'héritage d'utilisateurs du compte géré correct.
    La fenêtre Supprimer l'Utilisateur Hérité s'ouvre.
  2. Pour confirmer que vous souhaitez supprimer l'héritage d'utilisateurs, cliquez sur Oui.

AuthPoint supprime l'utilisateur hérité du compte géré. AuthPoint transmet une notification au compte géré pour lui indiquer que l'utilisateur hérité a été supprimé de son compte.

Rubriques Connexes

Héritage d'Utilisateurs pour les Comptes Gérés