Onglet Politique d’authentification

La grille de filtrage vous permet de définir les règles de la politique d’authentification à appliquer à travers le Firewall. Les règles prioritaires sont placées en haut. Le firewall exécute les règles dans l’ordre (règle N°1, 2 et ainsi de suite) et s'arrête dès qu’il trouve une règle correspondant au trafic. Il convient donc de définir les règles dans l'ordre du plus spécifique au plus général.

Si aucune règle de la politique n’est définie ou si le trafic ne correspond à aucune règle spécifiée, la Méthode par défaut est appliquée. Si celle-ci n’est pas paramétrée ou que le choix est Interdire, toute authentification sera alors refusée.

Les actions sur les règles de la politique d’authentification

Recherche par utilisateur

Ce champ permet la recherche par l’identifiant d’utilisateur. Les règles attribuées à cet utilisateur s’affichent dans la grille.
Exemple : Si vous saisissez « utilisateur1 » dans le champ, toutes les règles de la politique ayant comme source l’« utilisateur1 » s’affichent dans la grille.
Nouvelle règle Insérer une ligne prédéfinie ou à définir après la ligne sélectionnée ; 5 choix sont possibles :
  • Règle standard : en la sélectionnant, un assistant d’authentification s’affiche. Voir la section suivante pour les options proposées des écrans.
  • Règle Invités : cet assistant vous propose la création d’une règle d’authentification par la méthode Invités. Cette méthode ne peut être combinée avec d’autres méthodes au sein de la même règle, car elle ne requiert pas d’identification.

NOTE
L’objet Utilisateur à sélectionner pour correspondre à la méthode Guest est « Tous ».

NOTE
Cette méthode n'est pas compatible avec les objets multi-utilisateurs ; tous les utilisateurs connectés en mode Guest doivent avoir des adresses IP différentes.

  • Règle Comptes temporaires : cet assistant vous propose la création d’une règle d’authentification par la méthode des Comptes temporaires. Cette méthode ne peut être combinée avec d’autres méthodes au sein de la même règle.
  • Règle Parrainage : cet assistant vous propose la création d’une règle d’authentification par la méthode Parrainage. Cette méthode ne peut être combinée avec d’autres méthodes au sein de la même règle, car elle ne requiert pas d’identification.
  • Séparateur – regroupement de règles : Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée et contribue à améliorer la lisibilité et la visibilité de la politique d’authentification.

Elle peut, par exemple, permettre à l’administrateur de hiérarchiser ses règles. Ou de regrouper celles qui régissent le trafic vers les différents serveurs. Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le regroupement de règle. Vous pouvez également copier / coller un séparateur d’un emplacement à un autre.
Supprimer Supprime la règle sélectionnée.
Monter Ce bouton permet de placer la règle sélectionnée avant la règle directement au-dessus.
Descendre Ce bouton permet de placer la règle sélectionnée après la règle directement en-dessous.
Couper Ce bouton permet de couper une règle d’authentification pour la déplacer.
Copier Ce bouton permet de copier une règle d’authentification dans le but de la dupliquer.
Coller Ce bouton permet de dupliquer une règle d’authentification, après l’avoir copié.

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des règles d'authentification :

  • Nouvelle règle (Règle standard, Règle Invités, Règle Comptes Temporaires, Règle Parrainage, Séparateur - Regroupement de règles),
  • Supprimer,
  • Couper,
  • Copier,
  • Coller.

Nouvelle règle

La politique d'authentification permet de créer des règles se basant sur un utilisateur ou des groupes d'utilisateurs. Il est également possible de cibler le trafic en précisant son origine. Cliquer sur le bouton « Nouvelle règle » et sélectionner « Règle standard », « Règle Invités », « Règle Comptes temporaires » ou « Règle Parrainage » pour exécuter l’assistant.

Étape 1 : Authentification d’Utilisateurs

Sélectionnez l’utilisateur, le groupe d'utilisateurs ou laissez la valeur par défaut "Tous".
Cette étape n'est pas proposée pour les règles associées aux méthodes "Invités" ou "Parrainage".

Étape 2 : Source

Cliquez sur Ajouter une interface ou Ajouter un objet afin de cibler l’origine (source) du trafic concernée par la règle. Cela peut être l’interface sur laquelle est connecté votre réseau interne (ex : interface in) ou l’objet correspondant aux réseaux internes (ex : Network_internals).

NOTE
La méthode d’authentification Agent SSO ne peut être appliquée avec comme critère une Interface. En effet, cette méthode se base sur les événements d’authentification collectés par les contrôleurs de domaine, n’indiquant pas l’origine du trafic. Une règle combinant une interface comme origine et la méthode Agent SSO n’est donc pas autorisée.

NOTE
Le choix d’une interface propose l’interface VPN SSL, désignant l’interface sur laquelle sont connectés les utilisateurs d’un tunnel VPN SSL.

Étape 3 : Méthodes d'authentification

Cette étape n'est pas proposée pour les règles associées aux méthodes "Invités", "Comptes temporaires" ou "Parrainage".

Cliquez sur Autoriser une méthode et sélectionnez dans la liste déroulante les méthodes d’authentification souhaitées. La Méthode par défaut sélectionnée correspond à la méthode choisie dans l’onglet « Méthodes disponibles ».

Il est également possible de sélectionner l’entrée « Interdire », bloquant ainsi toute authentification sur le trafic concerné par la règle.

Mot de passe à usage unique Si vous souhaitez ajouter l'utilisation d'un mot de passe à usage unique basé sur le temps (TOTP) à cette méthode d'authentification, mettez le curseur en position ON :
La colonne Mot de passe à usage unique est alors cochée sur la ligne de la règle d'authentification correspondante dans la politique d'authentification.

Les méthodes d'authentification sont évaluées dans l’ordre de la liste et du haut vers le bas. La méthode Agent SSO étant transparente, elle est par définition, toujours appliquée en priorité.

Pour activer la nouvelle règle créée, double cliquez sur Désactivé dans la colonne État de la grille des règles d'authentification.

Réorganisation des règles

Chaque règle peut être glissée et déplacée pour réorganiser aisément la politique d'authentification. Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.

Méthode par défaut

Méthode à appliquer si aucune règle ne peut être appliquée

Sélectionnez la méthode qui sera appliquée lorsque l’entrée méthode par défaut sera choisie dans la politique d’authentification. Les méthodes proposées sont celles ajoutées dans le tableau des méthodes disponibles.

Objets multi-utilisateur

Cette grille permet de sélectionner les objets-réseau permettant plusieurs authentifications depuis une même adresse IP. Cela permet par exemple, d’accéder à des applications et des données depuis un ordinateur distant (serveur TSE) en pratiquant du filtrage par utilisateur.

Vous pouvez Ajouter ou Supprimer un objet multi-utilisateurs en cliquant sur les boutons du même nom.

NOTE
La méthode SSO ne permet pas l’authentification  « multi utilisateur ».

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des objets multi-utilisateurs :

  • Ajouter,
  • Supprimer.