Agent SSO
L’Authentification Unique ou Single Sign-On (SSO) permet à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs services.
La méthode Agent SSO requiert l’installation de l’application Stormshield Network SSO Agent, service Windows permettant aux Firewalls Stormshield Network de bénéficier de l’authentification sur l’annuaire Windows Active Directory de manière transparente. Pour l’installation de cette application, reportez-vous à la note technique Stormshield Network SSO Agent - Installation et déploiement.
Lorsqu’un utilisateur se connecte au domaine Windows par l’ouverture de sa session, celui-ci est automatiquement authentifié sur le Firewall. Le principe est le suivant : l’Agent SSO collecte l’information de l’identification d’un utilisateur sur le domaine en se connectant à distance sur l’observateur d’événements du contrôleur de domaine. L’Agent SSO relaie ensuite ces informations au Firewall par une connexion SSL, qui met à jour sa table des utilisateurs authentifiés.
Depuis la version 3 de firmware, il est possible de déclarer jusqu'à 5 agents SSO, permettant ainsi de gérer l'authentification sur 5 domaines Windows Active Directory dépourvus de relation d'approbation. Ces domaines devront préalablement être déclarés en tant qu'annuaires LDAP externes de type Microsoft Active Directory (module Utilisateurs > Configuration des annuaires). Les agents SSO supplémentaires seront intitulé Agent SSO 1, Agent SSO 2, ...
Après avoir ajouté cette méthode, vous pouvez saisir les informations relatives à sa configuration.
Agent SSO
Nom de domaine | Sélectionner l'annuaire Microsoft Active Directory correspondant au domaine sur lequel les utilisateurs seront authentifiés. Cet annuaire devra préalablement être paramétré via le module Configuration des annuaires. |
Agent SSO
Adresse IP | Adresse IP du serveur de la machine hébergeant Stormshield Network SSO Agent. |
Port | Par défaut, le port "agent_ad" est sélectionné, correspondant au port 1301. Le protocole utilisé est TCP. |
Clé pré-partagée. | Cette clé est utilisée pour le chiffrement en SSL des échanges entre l’Agent SSO (machine hébergeant Stormshield Network SSO Agent) et le Firewall. Renseignez la clé pré-partagée (mot de passe) définie lors de l’installation de l’Agent SSO. |
Confirmer la clé pré-partagée | Confirmer la même clé partagée/ mot de passe que dans le champ précédent. |
Force de la clé pré-partagée | Ce champ indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ». Il est fortement conseillé d’utiliser des majuscules et des caractères spéciaux. |
Agent SSO de secours
Les champs de configuration de l’agent SSO de secours sont les mêmes que décrits précédemment.
Contrôleur de domaine
Vous devez ajouter tous les contrôleurs de domaine régissant le domaine Active Directory sélectionné. Ceux-ci doivent être enregistrés dans la base Objet du Firewall.
Ajouter un contrôleur de domaine | Cliquez pour sélectionner ou créer l’objet correspondant. Vous devez ajouter tous les contrôleurs qui régissent le domaine. Ceux-ci doivent au préalable être enregistrés dans la base Objet du Firewall. |
Configuration Avancée
Sélectionnez si l'agent SSO à contacter est installé en Mode Windows Active Directory (agent installé sur un poste ou sur un serveur Windows) ou en Mode serveur Syslog (agent installé sur une machine Linux Ubuntu).
En Mode serveur Syslog, 5 champs additionnels sont à configurer :
Adresse IP d'écoute | Indiquez l’adresse IP du serveur syslog. |
Port d'écoute | Indiquez le port d'écoute du serveur syslog. L'objet réseau syslog est proposé par défaut. |
Recherche d'adresse IP (expr. régulière) | Précisez l'expression régulière destinée à rechercher les adresses IP dans les logs hébergés par le serveur syslog. Exemple : ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})\s\| |
Recherche d'utilisateur (expr. régulière) | Précisez l'expression régulière destinée à rechercher les noms d'utilisateurs dans les logs hébergés par le serveur syslog. Exemple : JOHN\\([a-zA-Z0-9\.]*)\s permettra de détecter des entrées du type JOHN\john.doe |
Recherche de message (expr. régulière) | Précisez l'expression régulière destinée à rechercher les messages de connexion dans les logs hébergés par le serveur syslog. Exemple : connect\|ok permettra de détecter des entrées du type JOHN|connect|ok|sysvol |
Configuration du serveur syslog de secours
Il vous est possible de préciser un serveur syslog de secours
Adresse IP d'écoute | Indiquez l'adresse IP du serveur syslog de secours. |
Les champs suivants sont communs aux Mode Windows Active Directory et Mode serveur Syslog :
Durée maximum d’authentification | Définissez la durée maximum de la session d’un utilisateur authentifié. Passé ce délai, le Firewall supprime l’utilisateur de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du Firewall. Ce seuil est à définir en secondes ou minutes. Il est par défaut fixé à 36000 secondes, soit 10 heures. |
Délai des mises à jour des groupes d’utilisateurs | Si l’annuaire Active Directory est configuré sur le Firewall (Module Configuration de l’annuaire), le Firewall consulte les éventuelles modifications apportées aux groupes de l’annuaire LDAP. Le Firewall met alors à jour sa configuration de l’annuaire, puis envoie ces informations à l’Agent SSO. Cette durée définie en secondes, minutes ou heures, est fixée par défaut à 3600 secondes, soit 1 heure. |
Détection des connexions | Cette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre. Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session. | ||
Méthode de détection | Sélectionnez entre les méthodes de déconnexion PING ou Base de Registre :
| ||
Considérer comme déconnecté après | Si une machine ne répond pas au test d’accessibilité (PING) après ce délai, elle est considérée comme déconnectée. Le Firewall supprime alors l’utilisateur associé à la machine de sa table d’utilisateurs authentifiés. Cette durée est déterminée en secondes, minutes ou heures et est fixée par défaut à 5 minutes. | ||
Détection des connexions | Cette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre. Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session. |
Activer la vérification DNS des machines | Cette option permet de gérer les changements d'adresses IP des postes utilisateurs et d'authentifier un utilisateur connecté sur une machine disposant de plusieurs adresses IP. |
Comptes d’Administration ignorés | Dans la configuration d'usine du firewall, il existe une liste d’utilisateurs dont l’authentification est ignorée. Cette liste comporte les identifiants usuels dédiés à l’administrateur (Administrator et Administrateur par défaut). Ce mécanisme a été mis en place car le lancement d’un service ou d’une application (fonction Exécuter en tant qu’administrateur, par exemple) est vu par le contrôleur de domaine comme une authentification. Le SN SSO Agent restreignant à une authentification par adresse IP, ce type d’authentification peut potentiellement remplacer l’authentification de l’utilisateur ayant ouvert une session Windows. Cette liste préétablie de « Comptes Administrateur ignorés » permet au SN SSO Agent de ne pas prendre en compte leur authentification. Modifiez-la si nécessaire. |