Agent SSO

L’Authentification Unique ou Single Sign-On (SSO) permet à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs services. 

La méthode Agent SSO requiert l’installation de l’application Stormshield Network SSO Agent, service Windows permettant aux Firewalls Stormshield Network de bénéficier de l’authentification sur l’annuaire Windows Active Directory de manière transparente. Pour l’installation de cette application, reportez-vous à la note technique Stormshield Network SSO Agent - Installation et déploiement.

Lorsqu’un utilisateur se connecte au domaine Windows par l’ouverture de sa session, celui-ci est automatiquement authentifié sur le Firewall. Le principe est le suivant : l’Agent SSO collecte l’information de l’identification d’un utilisateur sur le domaine en se connectant à distance sur l’observateur d’événements du contrôleur de domaine. L’Agent SSO relaie ensuite ces informations au Firewall par une connexion SSL, qui met à jour sa table des utilisateurs authentifiés.

Depuis la version 3 de firmware, il est possible de déclarer jusqu'à 5 agents SSO, permettant ainsi de gérer l'authentification sur 5 domaines Windows Active Directory dépourvus de relation d'approbation. Ces domaines devront préalablement être déclarés en tant qu'annuaires LDAP externes de type Microsoft Active Directory (module Utilisateurs > Configuration des annuaires). Les agents SSO supplémentaires seront intitulé Agent SSO 1, Agent SSO 2, ...

Après avoir ajouté cette méthode, vous pouvez saisir les informations relatives à sa configuration.

Agent SSO

Nom de domaine Sélectionner l'annuaire Microsoft Active Directory correspondant au domaine sur lequel les utilisateurs seront authentifiés. Cet annuaire devra préalablement être paramétré via le module Configuration des annuaires.
 

Agent SSO

Adresse IPAdresse IP du serveur de la machine hébergeant Stormshield Network SSO Agent.
PortPar défaut, le port "agent_ad" est sélectionné, correspondant au port 1301. Le protocole utilisé est TCP.
Clé pré-partagée.Cette clé est utilisée pour le chiffrement en SSL des échanges entre l’Agent SSO (machine hébergeant Stormshield Network SSO Agent) et le Firewall.
Renseignez la clé pré-partagée (mot de passe) définie lors de l’installation de l’Agent SSO.
Confirmer la clé pré-partagéeConfirmer la même clé partagée/ mot de passe que dans le champ précédent.
Force de la clé pré-partagéeCe champ indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ». Il est fortement conseillé d’utiliser des majuscules et des caractères spéciaux.

Agent SSO de secours

Les champs de configuration de l’agent SSO de secours sont les mêmes que décrits précédemment.

Contrôleur de domaine

Vous devez ajouter tous les contrôleurs de domaine régissant le domaine Active Directory sélectionné. Ceux-ci doivent être enregistrés dans la base Objet du Firewall.

Ajouter un contrôleur de domaineCliquez pour sélectionner ou créer l’objet correspondant. Vous devez ajouter tous les contrôleurs qui régissent le domaine. Ceux-ci doivent au préalable être enregistrés dans la base Objet du Firewall.

Configuration Avancée

Sélectionnez si l'agent SSO à contacter est installé en Mode Windows Active Directory (agent installé sur un poste ou sur un serveur Windows) ou en Mode serveur Syslog (agent installé sur une machine Linux Ubuntu).

En Mode serveur Syslog, 5 champs additionnels sont à configurer :

Adresse IP d'écoute

Indiquez l’adresse IP du serveur syslog.

Port d'écoute

Indiquez le port d'écoute du serveur syslog. L'objet réseau syslog est proposé par défaut.

Recherche d'adresse IP (expr. régulière)

Précisez l'expression régulière destinée à rechercher les adresses IP dans les logs hébergés par le serveur syslog.

Exemple : ([0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3})\s\|

Recherche d'utilisateur (expr. régulière)

Précisez l'expression régulière destinée à rechercher les noms d'utilisateurs dans les logs hébergés par le serveur syslog.

Exemple : JOHN\\([a-zA-Z0-9\.]*)\s permettra de détecter des entrées du type JOHN\john.doe

Recherche de message (expr. régulière)

Précisez l'expression régulière destinée à rechercher les messages de connexion dans les logs hébergés par le serveur syslog.

Exemple : connect\|ok permettra de détecter des entrées du type JOHN|connect|ok|sysvol

Configuration du serveur syslog de secours

Il vous est possible de préciser un serveur syslog de secours

Adresse IP d'écoute

Indiquez l'adresse IP du serveur syslog de secours.

Les champs suivants sont communs aux Mode Windows Active Directory et Mode serveur Syslog :

Durée maximum d’authentificationDéfinissez la durée maximum de la session d’un utilisateur authentifié. Passé ce délai, le Firewall supprime l’utilisateur de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du Firewall.
Ce seuil est à définir en secondes ou minutes. Il est par défaut fixé à 36000 secondes, soit 10 heures.
Délai des mises à jour des groupes d’utilisateursSi l’annuaire Active Directory est configuré sur le Firewall (Module Configuration de l’annuaire), le Firewall consulte les éventuelles modifications apportées aux groupes de l’annuaire LDAP. Le Firewall met alors à jour sa configuration de l’annuaire, puis envoie ces informations à l’Agent SSO.
Cette durée définie en secondes, minutes ou heures, est fixée par défaut à 3600 secondes, soit 1 heure.
Détection des connexionsCette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre.
Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session.
Méthode de détectionSélectionnez entre les méthodes de déconnexion PING  ou Base de Registre :
  • PING : l’agent SSO teste l'accessibilité de toutes les machines authentifiées sur le Firewall toutes les 60 secondes par défaut. Dans le cas d’une réponse host unreachable ou d’absence de réponse d’une adresse IP après un délai défini ci-après, l’Agent SSO envoie une demande de déconnexion au Firewall. Ce dernier supprime alors l’utilisateur associé à l’adresse IP de sa table d’utilisateurs authentifiés, déconnectant ainsi l’utilisateur du Firewall.
  • Base de Registre : la Base de registre (BDR) est une base de données utilisée par le système d'exploitation Windows pour stocker les informations de configuration du système et des logiciels installés. Cette méthode permet par exemple de détecter une session fermée sur une machine toujours allumée.
    Dans le cas d’une réponse positive au test (PING), l’Agent SSO se connecte à distance sur la machine et vérifie dans la Base de Registre la liste des utilisateurs ayant une session ouverte sur la machine. Cela permet de mettre à jour la table des utilisateurs authentifiés du firewall.
Considérer comme déconnecté aprèsSi une machine ne répond pas au test d’accessibilité (PING) après ce délai, elle est considérée comme déconnectée. Le Firewall supprime alors l’utilisateur associé à la machine de sa table d’utilisateurs authentifiés. Cette durée est déterminée en secondes, minutes ou heures et est fixée par défaut à 5 minutes.
Détection des connexionsCette option permet de supprimer les utilisateurs authentifiés lorsqu’une machine associée se déconnecte ou lorsqu’une session est fermée. Ce test des machines connectées au Firewall s’effectue soit par la méthode PING, soit par la méthode Base de Registre.
Sans l’activation de cette méthode, l’utilisateur ne sera déconnecté uniquement après la durée d’authentification fixée, même en cas de fermeture de sa session.
Activer la vérification DNS des machinesCette option permet de gérer les changements d'adresses IP des postes utilisateurs et d'authentifier un utilisateur connecté sur une machine disposant de plusieurs adresses IP.