Définir une politique d'authentification
Pour autoriser le trafic dédié à la méthode d'authentification "Agent SSO" configurée, vous devez définir une ou plusieurs règles dans la politique d'authentification.
- Connectez-vous à l'interface d'administration du firewall à l’adresse : https://adresseIP_du_firewall/admin.
- Rendez-vous dans le module Configuration > Utilisateurs > Authentification, onglet Politique d'authentification.
- Cliquez sur Nouvelle règle et sélectionnez Règle standard pour lancer l’assistant de création.
- Dans l'onglet Utilisateur, champ Utilisateur ou groupe, sélectionnez l’utilisateur ou le groupe concerné, ou laissez la valeur par défaut Any_user@domaine.
- Dans l'onglet Source, cliquez sur Ajouter un objet et sélectionnez l’origine du trafic concernée par la règle. Cela peut être l’objet correspondant aux réseaux internes (network_internals).
Une interface ne peut pas être appliquée comme critère pour la méthode d’authentification "Agent SSO" qui se base sur les événements d’authentification collectés par les annuaires LDAP. Ceux-ci n’indiquant pas l’origine du trafic, la politique d’authentification ne peut pas être spécifiée avec des interfaces. - Dans l'onglet Méthodes d'authentification,
cliquez sur Autoriser une méthode et sélectionnez dans la liste déroulante les méthodes d’authentification à appliquer au trafic concerné par la règle. Elles sont évaluées dans l’ordre de la liste, du haut vers le bas. La méthode "Agent SSO" étant transparente, elle est par définition toujours appliquée en priorité.
La méthode par défaut peut être modifiée en dessous du tableau des règles de la politique d'authentification. - Cliquez sur OK puis sur Appliquer.
Répétez les étapes ci-dessus pour ajouter plusieurs règles.
La méthode "Agent SSO" ne supporte pas les objets multi-utilisateur (plusieurs utilisateurs authentifiés sur une même adresse IP). Or, un objet de ce type peut être contenu dans un réseau, une plage ou un groupe défini comme source d’une règle faisant appel à la méthode d'authentification "Agent SSO".
Pour éviter d'avoir des logs de rejet du SN SSO Agent pour les utilisateurs sur une adresse déclarée comme multi-utilisateur, il est conseillé d’ajouter deux règles dédiées à ce type d’objet, précédant celles utilisant la méthode d'authentification "Agent SSO" :
- La première règle précise la méthode d'authentification employée par l’objet multi-utilisateur,
- La suivante précise d'"interdire" pour l’objet multi-utilisateur toute autre méthode d’authentification.