S'applique À : Accès à Internet FireCloud
Pour configurer FireCloud, vous devez configurer un fournisseur d'identité. Un fournisseur d'identité est un système externe que vous utilisez pour gérer et authentifier vos utilisateurs et groupes FireCloud. Il s'agit de la méthode avec laquelle FireCloud reconnaît les utilisateurs et les groupes autorisés, ainsi que de la manière dont les utilisateurs sont authentifiés lorsqu'ils se connectent à FireCloud.
Avant de Commencer
- Pour configurer AuthPoint en tant que fournisseur d'identité de FireCloud et exiger la MFA pour FireCloud, vous devez configurer AuthPoint en tant que fournisseur d'identité SAML.
- Vous ne pouvez pas utiliser l'authentification multifacteur AuthPoint si vous configurez WatchGuard Cloud Directory en tant que fournisseur d'identité. WatchGuard Cloud Directory prend uniquement en charge les utilisateurs Non-MFA pour FireCloud.
Configurer un Fournisseur d'Identité dans FireCloud
Avant de pouvoir configurer les stratégies FireCloud, vous devez configurer un fournisseur d'identité de manière à authentifier vos utilisateurs et vos groupes FireCloud. Vous pouvez utiliser n'importe quel fournisseur d'identité prenant en charge SAML, tel qu'AuthPoint, Microsoft Entra ID (Azure Active Directory) ou Okta.
Pour configurer un fournisseur d'identité dans FireCloud :
- Connectez-vous à WatchGuard Cloud et sélectionnez Configurer > FireCloud.
- Sélectionnez le type de fournisseur d'identité à utiliser et saisissez les informations requises :WatchGuard Cloud Directory
Utilisez les utilisateurs et les groupes que vous ajoutez à WatchGuard Cloud Directory. WatchGuard Cloud Directory est un domaine d'authentification dans lequel vous pouvez ajouter des utilisateurs et des groupes hébergés dans WatchGuard Cloud. Pour en savoir plus sur le répertoire WatchGuard Cloud Directory et sur la façon d'ajouter des utilisateurs et des groupes hébergés sur WatchGuard Cloud, accédez à À Propos de WatchGuard Cloud Directory.
Cette option est idéale pour les comptes qui ne possèdent pas de fournisseur d'identité externe, qui présentent un faible nombre d'utilisateurs ou qui souhaitent tester FireCloud.
Si vous sélectionnez cette option et que vous n'avez pas configuré WatchGuard Cloud Directory, ce dernier est créé automatiquement.
Lorsque vous utilisez WatchGuard Cloud Directory comme fournisseur d'identité FireCloud, FireCloud prend uniquement en charge les utilisateurs non-MFA. Pour utiliser FireCloud avec les utilisateurs MFA que vous ajoutez à WatchGuard Cloud Directory, vous devez configurer AuthPoint en tant que fournisseur d'identité SAML pour FireCloud.
AuthPoint et SAML TiersUtilisez n'importe quel fournisseur d'identité prenant en charge SAML, tel qu'AuthPoint ou Microsoft Entra ID, pour authentifier vos utilisateurs et groupes. Pour configurer un fournisseur d'identité SAML, vous devez fournir les informations supplémentaires suivantes :
- Identifiant d'Entité du Service Provider SAML — Saisissez un nom pour identifier FireCloud comme votre fournisseur de services. Un identifiant d'entité est un nom unique pour un fournisseur d'identité ou un fournisseur de services. Après avoir configuré cette valeur pour FireCloud, vous utilisez cet identifiant d'entité pour configurer votre fournisseur d'identité.
- Identifiant du Fournisseur d'Identité — Saisissez l'Identifiant du fournisseur d'entité de votre fournisseur d'identité. Les fournisseurs d'identité affichent généralement cette valeur dans l'UI, mais dans certains cas, vous devrez peut-être télécharger un fichier de métadonnées et obtenir la valeur à partir de là. Par exemple, l'identifiant d'entité AuthPoint serait https://sp.authpoint.cloud.watchguard.com/ACC-1234567, ACC-1234576 représentant votre numéro de compte WatchGuard Cloud.
- URL de Single Sign-On — Saisissez l'URL de Single Sign-On de votre fournisseur d'identité. Il s'agit généralement d'une URL contenant le nom du fournisseur d'identité. Par exemple, l'URL de single sign-on AuthPoint serait https://sp.authpoint.usa.cloud.watchguard.com/saml/ACC-1234567/sso/spinit, ACC-1234576 représentant votre numéro de compte WatchGuard Cloud.
- Certificat IDP — Collez ou chargez le certificat x.509 de votre fournisseur d'identité. Vous pouvez télécharger le certificat auprès de certains fournisseurs d'identité, tandis que d'autres fournisseurs d'identité incluent le certificat comme valeur dans le fichier de métadonnées.
Pour AuthPoint, vous pouvez trouver l'Identifiant du fournisseur d'identité et l'URL de Single Sign-On dans le fichier de métadonnées AuthPoint. Pour télécharger le fichier de métadonnées AuthPoint et le certificat IDP, dans WatchGuard Cloud, accédez à Configurer > AuthPoint > Ressources > Certificat.
- Cliquez sur Enregistrer.
Fournir les Informations FireCloud à Votre Fournisseur d'Identité (SAML Uniquement)
Si vous configurez un fournisseur d'identité SAML, FireCloud génère un certificat que vous pouvez fournir à votre fournisseur d'identité. Ce certificat octroie à votre fournisseur d'identité les informations nécessaires à l'identification de FireCloud et garantit que le fournisseur d'identité répond uniquement aux requêtes d'authentification valides envoyées par FireCloud. Vous pouvez télécharger ce certificat à partir de la page Authentification FireCloud.
Nous vous recommandons d'importer le certificat FireCloud dans votre fournisseur d'identité et d'activer la vérification de la signature.
Votre fournisseur d'identité peut avoir un nom différent pour la vérification de la signature. Par exemple, Okta appelle ce paramètre Requête SAML Signée, tandis qu'Entra ID l'appelle Certificats de Validation.
Si vous optez pour utiliser AuthPoint en tant que fournisseur d'identité, vous devez également créer une ressource SAML dans AuthPoint pour FireCloud, et vous devez ajouter la ressource SAML à vos stratégies d'authentification AuthPoint existantes ou ajouter de nouvelles stratégies d'authentification AuthPoint pour la ressource SAML.
- Sur la page Authentification FireCloud, cliquez sur Télécharger le Certificat FireCloud. Vous utilisez ce certificat lorsque vous configurez une ressource SAML dans AuthPoint. Vous utilisez également la valeur d'Identifiant d'Entité du Service Provider SAML.
- Sélectionnez Configurer > AuthPoint > Ressources.
- Cliquez sur Ajouter une Ressource.
- Dans la liste déroulante Type, sélectionnez SAML.
- Saisissez un nom pour votre ressource, tel que FireCloud.
- Dans la liste déroulante Type d'Application, sélectionnez Autres.
- Dans la zone de texte Identifiant d'Entité du Service Provider, saisissez l'Identifiant d'Entité du Service Provider SAML que vous avez configuré dans Configurer un Fournisseur d'Identité dans FireCloud.
- Dans la zone de texte Service Consommateur d'Assertions, saisissez la valeur ACS pour votre compte FireCloud en fonction de votre région du compte WatchGuard Cloud.
- Amérique du Nord / Amériques — https://authsvc.firecloud.usa.cloud.watchguard.com/v1/acs
- EMEA — https://authsvc.firecloud.deu.cloud.watchguard.com/v1/acs
- APAC — https://authsvc.firecloud.jpn.cloud.watchguard.com/v1/acs
- Dans la liste déroulante Identifiant Utilisateur Envoyé lors de la Redirection vers le Service Provider, sélectionnez Nom d'Utilisateur.
- Pour le certificat, chargez votre certificat FireCloud.
- Dans la liste déroulante Certificat AuthPoint, sélectionnez le certificat AuthPoint à associer à votre ressource. Vous devez sélectionner le même certificat à partir duquel vous avez téléchargé les métadonnées et le certificat x.509.
- Cliquez sur Ajouter un Attribut.
- Dans la zone de texte Nom de l'Attribut, saisissez groupes. Cette valeur est sensible à la casse.
- Dans la liste déroulante Obtenir Valeur De, sélectionnez Groupes d'Utilisateurs.
- Cliquez sur Enregistrer.
AuthPoint enregistre votre attribut personnalisé. - Cliquez sur Enregistrer.
AuthPoint crée votre ressource SAML. - Sur la page Stratégies d'AuthPoint, ajoutez une nouvelle stratégie d'authentification AuthPoint pour cette ressource ou ajoutez-la à vos stratégies d'authentification existantes. Pour de plus amples informations, accédez à À Propos des Stratégies d'Authentification AuthPoint.
- Pour permettre aux utilisateurs de se connecter à FireCloud avec uniquement leur mot de passe, votre stratégie d'authentification AuthPoint doit exiger uniquement l'option d'authentification par mot de passe.
- Pour obliger les utilisateurs à s'authentifier avec la MFA lorsqu'ils se connectent à FireCloud, votre stratégie d'authentification AuthPoint doit exiger les options d'authentification push, QR code ou OTP en plus de l'option d'authentification par mot de passe.
Contrôler l'Accès à FireCloud
Si vous avez connecté FireCloud à un fournisseur d'identité comportant des utilisateurs plus nombreux que ceux qui utiliseront FireCloud, vous pouvez contrôler l'accès à FireCloud de sorte que seuls certains utilisateurs puissent se connecter au service et consommer une licence d'utilisateur. Pour ce faire, vous pouvez désactiver la règle d'accès FireCloud par défaut et configurer des règles d'accès uniquement pour les groupes d'utilisateurs que vous souhaitez voir accéder à FireCloud. Les utilisateurs qui ne disposent pas d'une règle d'accès ne peuvent pas se connecter au service FireCloud et consommer une licence.
Vous pouvez également fournir FireCloud Connection Manager uniquement aux utilisateurs finaux pour lesquels vous souhaitez utiliser le service.
Modifier les Paramètres d'Authentification FireCloud ou Changer de Fournisseur d'Identité
Si vous changez de fournisseur d'identité FireCloud, FireCloud supprime toutes vos règles d'accès, car elles ne sont plus associées à des groupes. FireCloud vous demande une confirmation avant de procéder.
La règle d'accès par défaut n'est pas modifiée.
Pour modifier les paramètres de votre fournisseur d'identité ou pour changer de fournisseur d'identité, à partir de WatchGuard Cloud :
- Sélectionnez Configurer > FireCloud.
- Dans le menu de navigation, sélectionnez Authentification.
- Cliquez sur Modifier les Paramètres d'Authentification.
- Apportez vos modifications puis cliquez sur Enregistrer.