Compte

La configuration de comptes utilisateurs est effectuée dans la section accountPolicy du fichier .json, elle-même divisée en plusieurs sous-sections : parameters, creation, recovery, keyRing et renewal.

parameters

Les paramètres de fonctionnement des comptes utilisateurs sont configurés dans la section parameters décrite dans le tableau ci-dessous. Dans la console d'administration SDMC, les paramètres équivalents se trouvent dans le panneau Politiques > Comptes > Paramètres et Connexion.

Pour plus d'informations, reportez-vous à la section Définir les paramètres génériques des comptes du Guide d'administration.

Paramètre	Description	Valeurs possibles	SDMC
cryptography	Indique comment sont effectuées les opérations cryptographiques au cours de l'utilisation du compte. Ce paramètre affecte toutes les fonctionnalités de SDS Enterprise, sauf Data Disk.		Chiffrement et signature
	encryptionAlgorithm : Algorithme à utiliser lors des opérations de chiffrement.	AES-256	Algorithme de chiffrement
	hashAlgorithm : Algorithme à utiliser lors des opérations de signature.	SHA-256, SHA-512	Algorithme de signature
	keyEncryptionMethod : Optionnel. Algorithme à utiliser lors du chiffrement des clés. Les valeurs sont : "RSA-OAEP-SHA-256", valeur par défaut, "RSA-OAEP-SHA-1", valeur de compatibilité pour d'anciennes cartes	RSA-OAEP-SHA- 256, RSA-OAEP-SHA-1	N/A
primaryUserPath	Optionnel. Indique à l'agent le chemin principal à utiliser pour récupérer les comptes utilisateurs de l'application et créer de nouveaux utilisateurs. Le comportement diffère pour les deux cas d'usage : Récupération de compte : Si ce chemin est absent ou invalide, l'agent utilise le chemin secondaryUserPath. Création de compte : Si ce chemin est absent, l'agent utilise le chemin par défaut de l'application : <COMMON_APPDATA>\Arkoon\Security BOX\Users. S'il est invalide, l'action n'aboutit pas.
secondaryUserPath	Optionnel. Indique à l'agent le chemin secondaire à utiliser dans le cas ou le chemin primaryUserPath est absent ou invalide. Le comportement diffère pour les deux cas d'usage : Récupération de compte : Si le chemin secondaryUserPath est absent, l'agent utilise le chemin <COMMON_APPDATA>\Arkoon\Security BOX\Users. S'il est invalide, ou si primaryUserPath était invalide, l'action n'aboutit pas. Création de compte : Si le chemin secondaryUserPath est absent, l'agent utilise le chemin par défaut de l'application : <COMMON_APPDATA>\Arkoon\Security BOX\Users. Si ce chemin est invalide, l'action n'aboutit pas.
cardAccount	Optionnel. Indique le fonctionnement des comptes carte à puce. Ce champ est présent uniquement si la politique autorise la connexion à des comptes carte à puce.		Comptes Carte ou token USB
unfreezeOnCardInsertion	Optionnel. Indique si la fenêtre de déverrouillage de session s'ouvre automatiquement lorsqu'une carte est insérée sur le poste de travail. Les valeurs sont : "true" pour ouvrir la fenêtre (valeur par défaut), "false" pour ne pas ouvrir la fenêtre.	true, false	N/A
connectOnCardInsertion	Optionnel. Indique si la fenêtre de connexion s'ouvre automatiquement lorsqu'une carte est insérée sur le poste de travail. Les valeurs sont : "true" pour ouvrir la fenêtre, "false" pour ne pas ouvrir la fenêtre (valeur par défaut).	true, false	N/A
enableRepairCardAccount	Optionnel. Permet de réparer une carte si seul le certificat est disponible, en renouvelant la clé à partir du CKA_ID connu dans le compte. Les valeurs sont : "true" pour activer la réparation, "false" pour désactiver la réparation (valeur par défaut).	true, false	N/A
enableAutomaticRenewFromCard	Optionnel. Quand la nouvelle clé de chiffrement ou de signature d’un utilisateur est déjà dans la carte, cette option permet de renouveler automatiquement la clé quand la précédente expire. Les valeurs sont : "forbidden" pour interdire le renouvellement automatique (valeur par défaut), "confirm" pour renouveler automatiquement après confirmation par l'utilisateur. Après un refus, le renouvellement n'est plus proposé. Il est donc déconseillé d'utiliser cette valeur. "silent" pour renouveler automatiquement sans confirmation de l'utilisateur. En mode SSO, cette valeur est forcée même si une autre valeur est définie.	forbidden, confirm, silent	N/A
cardMiddlewares	Liste des middleware dont l'utilisation est rendue possible sur le poste de travail. Le middleware permet à SDS Enterprise de communiquer avec tous types de carte à puce ou token USB. Le middleware Stormshield Smartcard Support est inclu par défaut.		Middleware
	name : Nom affiché pour cette configuration de middleware.	Chaîne de caractères
	dllname : Nom de la DLL contenant le middleware. La valeur est un chemin absolu vers la DLL sur le poste de l'utilisateur. Si la DLL se trouve dans un dossier de la variable Windows PATH, le nom de la DLL est suffisant.	Chaîne de caractères
	disablePKCS11Label, disablePKCS11Extractable, disablePKCS11Modifiable et disablePKCS11ModulusBits : Paramètres contrôlant l'utilisation de divers attributs PKCS#11 lors de la communication avec les cartes à puce / tokens USB. Ils proviennent de la base de middleware connus sur SDMC, et sont renseignés afin d'accroître la compatibilité de l'agent avec les middleware de différents constructeurs. Il est contre-indiqué de modifier les valeurs fournies par défaut.	true, false
	showAllSlots : Indique si la fenêtre "Informations" dans le configurateur de carte affiche des informations sur tous les slots logiques gérés par le middleware (true), ou seulement les slots avec une carte / token branché (false).	true, false
accountMode	Indique quel type de compte utilisateur peut être connecté. Les valeurs sont : "password" pour le mode mot de passe. Les clés sont stockées dans le fichier keystore.usr et sont protégées par un mot de passe. "smartcard" pour le mode carte à puce. Les clés sont stockées dans une carte à puce ou un token USB et protégées par un code PIN. "SSO" pour le mode single sign-on où les clés du compte sont issues du keystore Windows. Ce mode ne requiert pas d'authentification. "passwordAndSmartcard" pour les modes mot de passe et carte à puce.	password, smartcard, SSO, passwordAnd Smartcard	Type de compte
sessionLockActions	Optionnel. Définit le comportement de la session SDS Enterprise lorsque l'utilisateur verrouille sa session Windows, lors de l'activation de l'économiseur d'écran ou lors du retrait de la carte à puce ou du token USB. Note concernant les comptes SSO : si la valeur disconnectUser est choisie dans la politique, elle est ignorée par les comptes SDS Enterprise de type SSO. Un utilisateur ne peut se déconnecter de son compte SDS Enterprise que s'il se déconnecte de sa session Windows.		Paramètres de connexion
windowsScreenSaverAction	Indique le comportement de la session SDS Enterprise au déclenchement de l'économiseur d'écran. Les valeurs sont : "lockUserSession" pour verrouiller la session SDS Enterprise (valeur par défaut), "disconnectUser" pour déconnecter l'utilisateur, "noAction" pour rester connecté.	lockUserSession, disconnectUser, noAction	À l'activation de l'économiseur d'écran
windowsSessionLockAction	Indique le comportement de la session SDS Enterprise lorsque l'utilisateur verrouille sa session Windows. Les valeurs sont : "lockUserSession" pour verrouiller la session SDS Enterprise, "disconnectUser" pour déconnecter l'utilisateur (valeur par défaut), "noAction" pour rester connecté.	lockUserSession, disconnectUser, noAction	Au verrouillage de la session Windows
cardRemovalAction	Indique le comportement de la session SDS Enterprise lorsque l'utilisateur retire la carte à puce ou le token USB. Les valeurs sont : "lockUserSession" pour verrouiller la session SDS Enterprise, "disconnectUser" pour déconnecter l'utilisateur (valeur par défaut).	lockUserSession, disconnectUser	Au retrait de la carte ou du token USB

creation

Les paramètres de création des comptes utilisateurs sont configurés dans la section creation décrite dans le tableau ci-dessous. Dans la console d'administration SDMC, les paramètres équivalents se trouvent dans le panneau Politiques > Comptes > Création.

Pour plus d'informations, reportez-vous à la section Définir les paramètres de création de comptes du Guide d'administration.

Paramètre	Description	Valeurs possibles	SDMC
accountKeyMode	Indique le type de fonctionnement des comptes à la création des comptes. Ce paramètre n'affecte pas le fonctionnement des comptes existants. Les valeurs sont : "singleKeyEncryption" pour un compte avec une clé de chiffrement, "singleKeySignature" pour un compte avec une clé de signature, "dualKey" pour un compte avec une clé de chiffrement et une clé de signature.	singleKey Encryption, singleKey Signature, dualKey	Gestion des clés
passwordAccountMethod	Indique s'il est possible de créer des comptes mot de passe et comment. Les valeurs sont : "forbidden" pour interdire la création de comptes mot de passe, "manual" pour autoriser l'utilisateur à créer un compte manuellement.	forbidden, manual	Paramètres généraux Comptes Mot de passe
cardAccountMethod	Indique s'il est possible de créer des comptes carte à puce ou token USB et comment. Les valeurs sont : "forbidden" pour interdire la création de comptes carte ou token, "manual" pour autoriser l'utilisateur à créer un compte manuellement, "automatic" pour pouvoir lancer une création de compte automatique, "manualAndAutomatic" pour combiner la création de compte manuelle et automatique.	forbidden, manual, automatic, manualAnd Automatic	Paramètres généraux Comptes Carte ou token USB
passwordAccount	Optionnel. Indique les paramètres de création des comptes mot de passe. Ce champ est absent si la création de comptes mot de passe est interdite.		Création des comptes mot de passe
passwordStrength	Indique la force du mot de passe choisi par l'utilisateur pour son nouveau compte.		Force du mot de passe
	alphabeticCharMinCount : Nombre minimum de caractères alphabétiques que doit contenir le mot de passe de l'utilisateur.	Entier positif	Nombre minimum de caractères alphabétiques
	numericCharMinCount : Nombre minimum de caractères numériques que doit contenir le mot de passe de l'utilisateur.	Entier positif	Nombre minimum de caractères numériques
	specialCharMinCount : Nombre minimum de caractères spéciaux que doit contenir le mot de passe de l'utilisateur.	Entier positif	Nombre minimum de caractères spéciaux
	totalCharMinCount : Nombre minimum de caractères que doit contenir le mot de passe de l'utilisateur.	Entier positif	Nombre minimum de caractères
	allowedKeySources : Liste des sources parmi lesquelles l'utilisateur peut choisir les clés pour son compte. Les valeurs sont : "p12File" pour que l'utilisateur sélectionne un fichier P12 dans lequel se trouvent des clés de son compte, "selfSignedP12" pour que l'utilisateur demande à SDS Enterprise de lui générer des clés auto-certifiées pour son compte.	p12File, selfSignedP12	Importer des certificats .p12 Générer localement des certificats .p12
	selfSignedOptions : Optionnel. Paramètres spécifiques à la génération de clés auto-certifiées. Ce champ est absent si la création manuelle de comptes mot de passe ne permet pas d'utiliser des clés auto-certifiées.		Certificats auto-certifiés
	baseLifetimeYears : Validité des certificats en nombre d'années à leur création.	Entier positif	Période de validité des certificats auto-certifiés générés par SDS lors d'une création de compte
	renewalPeriodYears : Validité des certificats en nombre d'années à leur renouvellement.	Entier positif	Période de validité des certificats auto-certifiés générés par SDS lors d'un renouvellement de clé
	keyType : Taille des clés générées par SDS Enterprise à la création du compte.	RSA-2048, RSA-4096	Taille de la clé
automatic	Optionnel. Paramètres concernant la création automatique de comptes. Ce champ peut être absent si la création automatique de comptes est interdite.		Filtrer les autorités lors de la création automatique
	encryptionKeyAuthorityId : Optionnel. Identifiant unique de l'autorité dont sont issues les clés de chiffrement à utiliser pour créer le compte. Vous trouverez l'identifiant dans la liste des autorités dans la section certificateData du fichier .json.	Chaîne de caractères unique	Nom de l'autorité pour le déchiffrement
	signatureKeyAuthorityId : Optionnel. Identifiant unique de l'autorité dont est issue la clé de signature à utiliser pour créer le compte. Vous trouverez l'identifiant dans la liste des autorités dans la section certificateData du fichier .json.	Chaîne de caractères unique	Nom de l'autorité pour la signature
allowedKeyTypesForP12Import	Optionnel. Permet de définir le type et la taille des clés autorisés ainsi que la valeur par défaut proposée lorsqu'un utilisateur crée son compte en important un fichier P12.		N/A
	type : type de clé autorisé pour la création avec un fichier P12. Un type de clé absent de la liste n'est pas proposé à l'utilisateur. Si la liste est vide ou si le paramètre est absent, le type de clé proposé par défaut est RSA-4096.	RSA-2048, RSA-4096	N/A
	default : définit si ce type de clé est sélectionné par défaut dans la liste déroulante proposée à l'utilisateur dans la fenêtre. Si plusieurs types de clé ont leur valeur default à true, RSA-4096 sera proposée par défaut.	true, false	N/A

recovery

Les paramètres de recouvrement des comptes utilisateurs sont configurés dans la section recovery décrite dans le tableau ci-dessous. Dans la console d'administration SDMC, les paramètres équivalents se trouvent dans le panneau Politiques > Comptes > Recouvrement de données.

Pour plus d'informations, reportez-vous à la section Permettre le recouvrement de données du Guide d'administration.

Paramètre	Description	Valeurs possibles	SDMC
certificateIds	Identifiant unique du certificat de recouvrements à ajouter aux utilisateurs pour toute opération de chiffrement de l'Agent SDS Enterprise. Vous trouverez l'identifiant dans la liste des certificats dans la section certificateData du fichier .json.	Chaîne de caractères unique	Gestion des clés

keyRing

Les paramètres de gestion des clés des utilisateurs sont configurés dans la section keyRing décrite dans le tableau ci-dessous. Dans la console d'administration SDMC, les paramètres équivalents se trouvent dans le panneau Politiques > Comptes > Porte-clés.

Pour plus d'informations, reportez-vous à la section Gérer le porte-clés des utilisateurs du Guide d'administration.

Paramètre	Description	Valeurs possibles	SDMC
encryptionKey	Optionnel. showTab : Permet d'afficher ou de masquer l'onglet Chiffrement dans le porte-clés de l'utilisateur. Par défaut l'onglet est affiché.	true, false	Clé de chiffrement
signatureKey	Optionnel. showTab : Permet d'afficher ou de masquer l'onglet Signature dans le porte-clés de l'utilisateur. Par défaut l'onglet est affiché.	true, false	Clé de signature
dualUseKey	Optionnel. showTab : Permet d'afficher ou de masquer l'onglet Clé personnelle dans le porte-clés de l'utilisateur. Par défaut l'onglet est affiché.	true, false	Clé personnelle
decryptionKey	Optionnel. showTab : Permet d'afficher ou de masquer l'onglet Déchiffrement dans le porte-clés de l'utilisateur. Par défaut l'onglet est affiché.	true, false	Clé de déchiffrement
recoveryKey	Optionnel. showTab : Permet d'afficher ou de masquer l'onglet Recouvrement dans le porte-clés de l'utilisateur. Par défaut l'onglet est affiché.	true, false	Clé de recouvrement

renewal

Les paramètres de renouvellement des clés des utilisateurs sont configurés dans la section renewal décrite dans le tableau ci-dessous.

Paramètre	Description	Valeurs possibles	SDMC
allowedKeyTypes	Optionnel. Permet de définir le type et la taille des clés autorisés lorsqu'un utilisateur renouvelle une clé en en générant une nouvelle.
	type : type de clé autorisé pour le renouvellement. Un type de clé absent de la liste n'est pas proposé à l'utilisateur. Si la liste est vide ou si le paramètre est absent, le type de clé proposé par défaut dans la fenêtre de renouvellement est RSA-4096.	RSA-2048, RSA-4096	N/A
	default : permet de définir le type de clé sélectionné par défaut dans la liste déroulante proposée à l'utilisateur dans la fenêtre de renouvellement.	true, false	N/A

Paramètre

Description

Valeurs possibles

SDMC

allowedKeyTypes

Optionnel.

Permet de définir le type et la taille des clés autorisés lorsqu'un utilisateur renouvelle une clé en en générant une nouvelle.

type : type de clé autorisé pour le renouvellement.

Un type de clé absent de la liste n'est pas proposé à l'utilisateur.

Si la liste est vide ou si le paramètre est absent, le type de clé proposé par défaut dans la fenêtre de renouvellement est RSA-4096.

RSA-2048,
RSA-4096

N/A

default : permet de définir le type de clé sélectionné par défaut dans la liste déroulante proposée à l'utilisateur dans la fenêtre de renouvellement.

true,

false

N/A