Onglet Profils du portail captif

Cet écran permet de sélectionner un profil du portail captif prédéfini ou personnalisable et d'en modifier la configuration.

La barre d'actions

Champ de sélection du profil

Sélectionnez dans le menu déroulant le profil du portail captif que vous souhaitez configurer.

Renommer

Ce bouton permet de renommer le profil sélectionné.
Date de dernière modification Survolez l'icône pour afficher la date et l'heure de la dernière modification apportée au profil du portail captif sélectionné.

Authentification

Méthode ou annuaire par défaut

Sélectionnez la méthode d'authentification ou l'annuaire LDAP (pour un firewall ayant défini plusieurs annuaires) affecté par défaut au profil en cours d'édition. Les méthodes proposées sont celles définies dans l'onglet Méthodes disponibles.

IMPORTANT
Selon la méthode d'authentification ou l'annuaire par défaut sélectionné, certains champs dans ce module ne sont pas modifiables.

Activer le parrainage Cette option active la méthode parrainage en plus de la méthode d'authentification choisie par défaut. Cette case est automatiquement cochée et grisée lorsque la méthode Parrainage est sélectionnée dans le champ ci-dessus.

Conditions d'utilisation de l'accès à Internet

Activer l'affichage des conditions d'utilisation d'accès à Internet

Cette option affiche des conditions d'utilisation lorsqu'un utilisateur accède à Internet. Il devra alors signifier son accord en cochant une case avant de pouvoir s'authentifier. Personnalisez ces conditions depuis l’onglet Portail captif.

NOTE
Cette option n’est pas valide pour la méthode d’authentification transparente Agent SSO car elle ne nécessite pas l’activation du portail d’authentification.

Fréquence d'affichage des Conditions Définissez la fréquence d’affichage des conditions d'utilisation de l'accès à Internet. Cette fréquence concerne toutes les méthodes d’authentification, sauf la méthode Invités dont la fréquence se configure depuis l'onglet Méthodes disponibles.

Champs personnalisés du portail captif (méthode Invités uniquement)

Lorsque la méthode Invités est sélectionnée, trois champs numérotés sont disponibles. Ils permettent d'ajouter jusqu'à trois zones de saisie au portail captif lors de l'affichage des conditions d'utilisation de l'accès à Internet.

Les valeurs possibles pour ces champs sont les suivantes : Vide (désactive l'affichage du champ sur le portail captif), Prénom, Nom, Téléphone, E-mail, Information et Entreprise.

Durées d’authentification autorisées

Durée minimale Durée minimale durant laquelle l’utilisateur peut être authentifié.
Durée maximale Durée maximale durant laquelle l’utilisateur peut être authentifié.
Pour l’authentification transparente Pour les méthodes de type SPNEGO et Certificats SSL, définissez la durée pendant laquelle aucune demande de réauthentification transparente (ticket Kerberos ou certificat) ne sera réalisée entre le portail captif et le navigateur du client.

Configuration avancée

Activer le portail captif Cette option autorise l’authentification via un formulaire web depuis les interfaces réseau associées au profil du portail captif. La correspondance entre les interfaces et les profils est consultable depuis l'onglet Portail captif.
Activer la page de déconnexion Cette option active une page de déconnexion distincte de la page d'authentification du portail captif. Lorsque l'utilisateur souhaite accéder à un site Web et qu'il n'est pas encore authentifié, la page d'authentification s'affiche. Une fois authentifié, la page Web demandée s'ouvre alors dans un nouvel onglet tandis que la page de déconnexion s'affiche dans l'onglet courant.
Pour se déconnecter, il suffit de cliquer sur le bouton Déconnexion affiché dans la page de déconnexion, ou de fermer l'onglet de cette page.
Autoriser l'accès au fichier de configuration du proxy (.pac) pour ce profil Cette option autorise la publication du fichier .PAC pour les utilisateurs se présentant depuis les interfaces réseau associées au profil d'authentification.
Interdire l'authentification simultanée d'un utilisateur sur plusieurs machines Cette option permet d’éviter qu’un utilisateur ne s’identifie sur plusieurs postes en même temps. Les requêtes multiples sont automatiquement refusées.
Expiration du 'cookie' HTTP

Cette option permet de paramétrer l'expiration du cookie HTTP :

  • A la fin de la période d’authentification : le cookie est négocié une seule fois pour toute la durée d’authentification.

  • A la fermeture de la session : le cookie est négocié à chaque requête vers le navigateur Web.

  • Ne pas utiliser (déconseillé - sauf parrainage) : le cookie n'expire pas. Ce choix n’est pas recommandé car il dégrade la sécurité de l’authentification. Paramétrer une expiration permet par exemple de se prévenir des attaques par rejeu.

Concernant les cookies HTTP, ils sont négociés par navigateur Web. L'authentification réalisée avec un navigateur Web n'est donc pas effective sur un autre.

Pour autoriser plusieurs utilisateurs à être authentifiés depuis une même adresse IP, l'utilisation des cookies est indispensable. Les adresses IP concernées sont à renseigner dans la liste des objets multi-utilisateur depuis l'onglet Politique d’authentification, sauf pour la méthode Agent SSO qui ne supporte pas l'authentification multi-utilisateur.

Page d'authentification

Sélectionner un message personnalisé (fichier HTML) Cette option permet d'ajouter sous le titre de la page d'authentification un message personnalisé qui peut contenir du texte et des images. Ce message doit être un fichier au format HTML pour pouvoir être chargé sur le firewall.
Réinitialiser la personnalisation de la page d'authentification En cliquant sur ce bouton, le message personnalisé précédemment ajouté est supprimé de la page d'authentification.

Mots de passe des utilisateurs

Les utilisateurs ne peuvent pas changer leur mot de passe

Cette option ne permet pas aux utilisateurs de modifier leur mot de passe depuis le portail d'authentification.

Les utilisateurs peuvent changer leur mot de passe Cette option permet aux utilisateurs de modifier leur mot de passe depuis le portail d'authentification, sans contrainte de temps et de validité.
Les utilisateurs doivent changer leur mot de passe

Cette option requiert que les utilisateurs changent leur mot de passe à leur première connexion sur le portail d’authentification puis à chaque fois qu'il expire. La durée de vie d'un mot de passe est spécifiée en jours sans précision d’heure.

Durée de vie (jours)

Ce champ est modifiable si l'option Les utilisateurs doivent changer leur mot de passe est sélectionnée. Indiquez le nombre de jours de validité d'un mot de passe.

Lorsqu'un mot de passe atteint sa durée de vie maximale, il expire à minuit.

EXEMPLE
Un utilisateur change une première fois son mot de passe le lundi à 14:00 avec une durée de vie paramétrée à 1 jour. Ce mot de passe doit être modifié dès le lendemain à 00:00 et non 24 heures plus tard.

Enrôlement des utilisateurs

Le firewall propose l’enrôlement d’utilisateurs par le Web. Si l’utilisateur qui tente de se connecter ne figure pas dans la base des utilisateurs, il a la possibilité de demander la création de son compte par un enrôlement Web sur le portail captif.

Ne pas permettre l’enrôlement des utilisateurs

Lorsque cette case est cochée, les utilisateurs ne figurant pas dans la base des utilisateurs ne peuvent pas envoyer une demande de création de compte.

Autoriser l’enrôlement web des utilisateurs

Lorsque cette case est cochée, les utilisateurs ne figurant pas dans la base des utilisateurs peuvent demander la création d'un compte en remplissant un formulaire Web. La demande devra être validée ou refusée par un administrateur depuis le module Configuration > Utilisateurs > Enrôlement.

Autoriser l’enrôlement web des utilisateurs et créer leur certificat

Lorsque cette case est cochée :

  • Les utilisateurs ne figurant pas dans la base des utilisateurs peuvent demander la création d'un compte et d'un certificat en remplissant un formulaire web. Deux demandes seront alors envoyées : une pour le compte et une pour le certificat.

  • Les utilisateurs figurant dans la base des utilisateurs mais ne disposant pas de certificat peuvent demander la création de leur certificat.

En effectuant une demande, les utilisateurs définissent le mot de passe de leur certificat. Les demandes devront être validées ou refusées par un administrateur depuis le module Configuration > Utilisateurs > Enrôlement.

Le certificat sera signé par l’autorité de certification (CA) choisie par défaut dans le module Configuration > Objets > Certificats et PKI et créé selon ses paramètres du profil de certificats utilisateurs.

Notification d’un nouvel enrôlement Cette option permet de définir un groupe d’utilisateurs à notifier lorsqu'une nouvelle demande d’enrôlement est reçue. Par défaut, la liste déroulante affiche qu’aucun e-mail ne sera envoyé. Pour choisir un groupe d'utilisateurs, vous devez au préalable le créer dans le module Configuration > Notifications > Alertes e-mails, onglet Destinataires. Une fois créé, il pourra être sélectionné dans la liste déroulante.