Téléchargé parinf_med13
153 vues

Idm 28-administrator

Le document fournit des instructions sur l'administration de VMware Identity Manager 2.8, permettant aux utilisateurs de gérer l'authentification et les stratégies d'accès tout en personnalisant un catalogue de ressources. Il couvre l'intégration avec des annuaires, la gestion des utilisateurs et des groupes, ainsi que le suivi des ressources via une console d'administration. Destiné aux administrateurs, il nécessite des connaissances préalables en gestion d'identité et dans des environnements comme Active Directory et LDAP.

Intégrer la présentation

Télécharger pour lire hors ligne
1 / 156
2 / 156
3 / 156
4 / 156
5 / 156
6 / 156
7 / 156
8 / 156
9 / 156
10 / 156
11 / 156
12 / 156
13 / 156
14 / 156
15 / 156
16 / 156
17 / 156
18 / 156
19 / 156
20 / 156
21 / 156
22 / 156
23 / 156
24 / 156
25 / 156
26 / 156
27 / 156
28 / 156
29 / 156
30 / 156
31 / 156
32 / 156
33 / 156
34 / 156
35 / 156
36 / 156
37 / 156
38 / 156
39 / 156
40 / 156
41 / 156
42 / 156
43 / 156
44 / 156
45 / 156
46 / 156
47 / 156
48 / 156
49 / 156
50 / 156
51 / 156
52 / 156
53 / 156
54 / 156
55 / 156
56 / 156
57 / 156
58 / 156
59 / 156
60 / 156
61 / 156
62 / 156
63 / 156
64 / 156
65 / 156
66 / 156
67 / 156
68 / 156
69 / 156
70 / 156
71 / 156
72 / 156
73 / 156
74 / 156
75 / 156
76 / 156
77 / 156
78 / 156
79 / 156
80 / 156
81 / 156
82 / 156
83 / 156
84 / 156
85 / 156
86 / 156
87 / 156
88 / 156
89 / 156
90 / 156
91 / 156
92 / 156
93 / 156
94 / 156
95 / 156
96 / 156
97 / 156
98 / 156
99 / 156
100 / 156
101 / 156
102 / 156
103 / 156
104 / 156
105 / 156
106 / 156
107 / 156
108 / 156
109 / 156
110 / 156
111 / 156
112 / 156
113 / 156
114 / 156
115 / 156
116 / 156
117 / 156
118 / 156
119 / 156
120 / 156
121 / 156
122 / 156
123 / 156
124 / 156
125 / 156
126 / 156
127 / 156
128 / 156
129 / 156
130 / 156
131 / 156
132 / 156
133 / 156
134 / 156
135 / 156
136 / 156
137 / 156
138 / 156
139 / 156
140 / 156
141 / 156
142 / 156
143 / 156
144 / 156
145 / 156
146 / 156
147 / 156
148 / 156
149 / 156
150 / 156
151 / 156
152 / 156
153 / 156
154 / 156
155 / 156
156 / 156
Administration de VMware Identity Manager VMware Identity Manager 2.8
Administration de VMware Identity Manager 2 VMware, Inc. Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : https://docs.vmware.com/fr/ Le site Web de VMware propose également les dernières mises à jour des produits. N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante : docfeedback@vmware.com Copyright © 2013 – 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc. 100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr
Table des matières À propos de l'administration de VMware Identity Manager 7 1 Utilisation de la console d'administration de VMware Identity Manager 9 Navigation dans la console d'administration 9 Présentation des paramètres de gestion des identités et des accès 10 2 Intégration à votre annuaire d'entreprise 15 Concepts importants relatifs à l'intégration d'annuaire 15 3 Intégration à Active Directory 17 Environnements Active Directory 17 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 19 Gestion des attributs utilisateur synchronisés à partir d'Active Directory 24 Autorisations requises pour joindre un domaine 25 Configuration de la connexion Active Directory au service 26 Autoriser les utilisateurs à modifier des mots de passe Active Directory 31 Configuration de la sécurité des synchronisations d'annuaire 33 4 Intégration à des annuaires LDAP 35 Limites de l'intégration d'annuaire LDAP 35 Intégrer un annuaire LDAP au service 36 5 Utilisation de répertoires locaux 41 Création d'un répertoire local 43 Modification des paramètres du répertoire local 47 Suppression d'un répertoire local 48 Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 49 6 Provisionnement d'utilisateurs juste-à-temps 51 À propos du provisionnement d'utilisateurs juste-à-temps 51 Préparation du provisionnement juste-à-temps 52 Configuration du provisionnement d'utilisateurs juste-à-temps 54 Exigences des assertions SAML 55 Désactivation du provisionnement d'utilisateurs juste-à-temps 56 Suppression d'un répertoire juste-à-temps 56 Messages d'erreur 57 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager 59 Configuration de Kerberos pour VMware Identity Manager 61 Configuration de SecurID pour VMware Identity Manager 65 VMware, Inc. 3
Configuration de RADIUS pour VMware Identity Manager 67 Configuration de RSA Adaptive Authentication dans VMware Identity Manager 70 Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 72 Configuration de VMware Verify pour l'authentification à deux facteurs 76 Configuration d'un fournisseur d'identité intégré 78 Configurer des fournisseurs d'identité Workspace supplémentaires 80 Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 81 Gestion des méthodes d'authentification à appliquer aux utilisateurs 83 8 Gestion des stratégies d'accès 87 Configuration de paramètres de stratégie d'accès 87 Gestion des stratégies spécifiques à une application Web et de poste de travail 90 Ajouter une stratégie spécifique à une application Web ou de poste de travail 92 Configurer le message d'erreur d'accès refusé personnalisé 92 Modifier une stratégie d'accès 93 Activation du cookie persistant sur des périphériques mobiles 94 9 Gestion des utilisateurs et des groupes 95 Types d'utilisateurs et de groupes 95 À propos des noms d'utilisateur et des noms de groupe 96 Gestion des utilisateurs 97 Créer des groupes et configurer des règles de groupe 98 Modifier les règles du groupe 101 Ajouter des ressources à des groupes 101 Créer des utilisateurs locaux 102 Gestion des mots de passe 104 10 Gestion du catalogue 107 Gestion des ressources dans le catalogue 108 Groupement des ressources en catégories 111 Gestion des paramètres du catalogue 113 11 Utiliser le tableau de bord de la console d'administration 119 Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119 Surveiller les informations système et la santé 120 Consultation des rapports 121 12 Personnaliser les informations de marque des services VMware Identity Manager 123 Personnalisation des informations de marque dans VMware Identity Manager 123 Personnaliser les informations de marque pour le portail de l'utilisateur 125 Personnaliser des informations de marque pour l'application VMware Verify 126 13 Intégration d'AirWatch à VMware Identity Manager 127 Configuration d'AirWatch pour l'intégrer à VMware Identity Manager 127 Configuration d'une instance d'AirWatch dans VMware Identity Manager 131 Activer le catalogue unifié pour AirWatch 132 Implémentation de l'authentification avec AirWatch Cloud Connector 133 Administration de VMware Identity Manager 4 VMware, Inc.
Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch 135 Implémentation de l'authentification Mobile SSO pour périphériques Android 143 Activer la vérification de la conformité pour les périphériques gérés par AirWatch 149 Index 151 Table des matières VMware, Inc. 5
Administration de VMware Identity Manager 6 VMware, Inc.
À propos de l'administration de VMware Identity Manager Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation et la maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvez configurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un catalogue de ressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphérique géré par l'utilisateur à ces ressources. Ces ressources comprennent des applications Web, des applications Windows capturées sous forme de modules ThinApp, des applications Citrix et des pools de postes de travail et d'applications View. Public concerné Ces informations sont destinées à toute personne souhaitant configurer et administrer VMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ou Linux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, de Kerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware ThinApp ® , View, la virtualisation d'applications Citrix et les méthodes d'authentification, telles que RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités. VMware, Inc. 7
Administration de VMware Identity Manager 8 VMware, Inc.
Utilisation de la console d'administration de VMware Identity Manager 1 La console d'administration de VMware Identity Manager™ fournit une console de gestion centralisée avec laquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue, gérer des droits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer et gérer des stratégies d'authentification et d'accès. Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion des stratégies d'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâches soutiennent cette tâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ou groupes qui sont attribués à certaines ressources sous certaines conditions. Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurs périphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment des postes de travail, des navigateurs, des documents d'entreprise partagés et divers types d'applications que vous leur octroyez. Ce chapitre aborde les rubriques suivantes : n « Navigation dans la console d'administration », page 9 n « Présentation des paramètres de gestion des identités et des accès », page 10 Navigation dans la console d'administration Les tâches de la console d'administration sont organisées par onglets. Onglet Description Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et l'utilisation des ressources. Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applications utilisées et leur fréquence d'utilisation. Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votre environnement et d'autres informations sur les services. Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisation des ressources et des dispositifs, et les événements d'audit par utilisateur. Utilisateurs et groupes Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupes importés depuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes et autoriser des utilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégie de mot de passe pour des utilisateurs locaux. Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Dans l'onglet Catalogue, vous pouvez ajouter des applications Web, des modules ThinApp, des pools et des applications View, des postes de travail Horizon Air et des applications Citrix. Vous pouvez créer une application, regrouper des applications en catégories et accéder à des informations sur chaque ressource. Sur la page Paramètres du catalogue, vous pouvez télécharger des certificats SAML, gérer des configurations de ressource et personnaliser l'apparence du portail utilisateur. VMware, Inc. 9
Onglet Description Gestion des identités et des accès Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurer l'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations de marque personnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer des paramètres de répertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez également configurer des fournisseurs d'identité tiers. Paramètres du dispositif Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notamment la configuration des certificats SSL du dispositif, modifier les mots de passe d'administrateur et système des services et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jour les paramètres de licence et configurer des paramètres SMTP. Navigateurs pris en charge pour accéder à la console d'administration La console d'administration VMware Identity Manager est une application Web qui vous permet de gérer votre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants. n Internet Explorer 11 pour systèmes Windows n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac n Safari 6.2.8 et version ultérieure pour les systèmes Mac Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via VMware Identity Manager. Composants de l'utilisateur final de VMware Identity Manager Les utilisateurs peuvent accéder aux ressources auxquelles ils ont droit depuis leur portail Workspace ONE. Ils peuvent accéder aux applications Windows virtualisées capturées sous forme de modules ThinApp depuis Identity Manager Desktop. Tableau 1‑1. Composants client utilisateur Composant utilisateur Description Points de terminaison disponibles Portail d'applications de l'utilisateur Workspace ONE Le portail d'applications est une application Web sans agent. Il s'agit de l'interface par défaut utilisée lorsque les utilisateurs accèdent avec un navigateur aux ressources qui leur ont été octroyées. Si un utilisateur final dispose d'applications ThinApp autorisées et emploie un ordinateur Windows sur lequel l'application Identity Manager Desktop est installée et active, il peut voir et lancer les modules ThinApp qui lui ont été octroyés à l'aide de ce portail d'applications. Le portail des applications Web est disponible sur tous les points de terminaison système pris en charge, tels que les ordinateurs Windows, les ordinateurs Mac, les périphériques iOS et les périphériques Android. Identity Manager Desktop Lorsque ce programme est installé sur les ordinateurs Windows des utilisateurs, ces derniers peuvent travailler avec leurs applications Windows virtualisées capturées sous forme de modules ThinApp. Ordinateurs Windows Présentation des paramètres de gestion des identités et des accès Dans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérer les méthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser l'apparence du portail de l'utilisateur final et de la console d'administration. Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès. Administration de VMware Identity Manager 10 VMware, Inc.
Figure 1‑1. Pages Configuration de l'onglet Identité et gestion de l'accès Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès Paramètre Description Configuration > Connecteurs La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseau d'entreprise. Le connecteur est utilisé pour synchroniser les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service, et lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service au moyen d'un ou de plusieurs travailleurs. n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du connecteur et accédez à la page Adaptateurs d'authentification pour afficher l'état des méthodes d'authentification disponibles. Pour de plus amples informations sur l'authentification, reportez-vous au Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. n Dans la colonne Fournisseur d'identité, sélectionnez l'IdP à afficher, modifier ou désactiver. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur. Avant de pouvoir ajouter un nouveau connecteur, vous devez cliquer sur Ajouter un connecteur pour générer un code d'activation que vous collez dans l'Assistant Configuration pour établir une connexion avec le connecteur. Lien Joindre le domaine n Vous devez cliquer sur Joindre le domaine pour joindre le connecteur à un domaine Active Directory spécifique. Par exemple, lorsque vous configurez l'authentification Kerberos, vous devez joindre le domaine Active Directory contenant des utilisateurs ou ayant une relation d'approbation avec les domaines contenant des utilisateurs. n Lorsque vous configurez un annuaire avec un environnement Active Directory à authentification Windows intégrée, le connecteur joint le domaine en fonction des détails de configuration. Configuration > Informations de marque personnalisées Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparence de l'en-tête de la console d'administration et de l'écran de connexion. Voir « Personnalisation des informations de marque dans VMware Identity Manager », page 123. Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez à Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125. Configuration > Attributs utilisateur La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sont synchronisés dans l'annuaire et vous pouvez ajouter d'autres attributs et les mapper aux attributs Active Directory. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Configuration > Plages réseau Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer une plage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvez ajouter des plages réseau supplémentaires et modifier les plages existantes. Voir « Ajout ou modification d'une plage réseau », page 83. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 11
Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès (suite) Paramètre Description Configuration > Découverte automatique Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer le service Découverte automatique de Windows que vous avez déployé dans votre configuration d'AirWatch au service VMware Identity Manager. Pour plus de détails sur la configuration de la découverte automatique dans AirWatch, consultez la documentation d'AirWatch « VMware AirWatch Windows Autodiscovery Service Installation Guide », disponible sur le site Web d'AirWatch, http://air-watch.com Enregistrez votre domaine de messagerie pour utiliser le service de découverte automatique afin de faciliter l'accès des utilisateurs à leur portail d'applications avec Workspace ONE. Les utilisateurs finaux peuvent entrer leurs adresses e-mail au lieu de l'URL de l'organisation lorsqu'ils accèdent à leur portail d'applications via Workspace ONE. Pour plus d'informations sur la découverte automatique, consultez le guide Configuration de l'application VMware Workspace ONE sur des périphériques. Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégration configurée et enregistrée, vous pouvez activer le catalogue unifié pour fusionner des applications paramétrées dans le catalogue AirWatch avec le catalogue unifié, activer la vérification de la conformité afin de vérifier que les périphériques gérés respectent les stratégies de conformité d'AirWatch et activer l'authentification par mot de passe utilisateur via AirWatch Cloud Connector (ACC). Voir Chapitre 13, « Intégration d'AirWatch à VMware Identity Manager », page 127. Configuration > Préférences La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Cela inclut n Les cookies persistants peuvent être activés sur cette page. Voir « Activer le cookie persistant », page 94. n Lorsque des utilisateurs locaux sont configurés dans votre service, pour afficher Utilisateurs locaux sous la forme d'une option de domaine sur la page de connexion, activez Afficher les utilisateurs locaux sur la page de connexion. Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion de l'accès. Figure 1‑2. Pages Gérer de l'onglet Identité et gestion de l'accès Administration de VMware Identity Manager 12 VMware, Inc.
Tableau 1‑3. Paramètres de gestion de l'onglet Identité et gestion de l'accès Paramètre Description Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ou plusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoire d'entreprise. Cette page présente le nombre de groupes et d'utilisateurs qui sont synchronisés avec l'annuaire ainsi que l'heure de la dernière synchronisation. Vous pouvez cliquer sur Synchroniser maintenant afin de lancer la synchronisation de l'annuaire. Voir Chapitre 2, « Intégration à votre annuaire d'entreprise », page 15. Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres de synchronisation, accéder à la page Fournisseurs d'identité et consulter le journal de synchronisation. Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer la fréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier la liste d'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui se synchronisent et définir les cibles de protection. Gérer > Fournisseurs d'identité La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avez configurés. Le connecteur est le fournisseur d'identité initial. Vous pouvez ajouter des instances de fournisseurs d'identité tiers ou avoir une combinaison des deux. Le fournisseur d'identité intégré de VMware Identity Manager peut être configuré pour l'authentification. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. Gérer > Assistant Récupération de mot de passe Sur la page Assistant Récupération de mot de passe, vous pouvez modifier le comportement par défaut lorsque l'utilisateur final clique sur le bouton « Mot de passe oublié » de l'écran de connexion. Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accès aux applications Web que vous avez créées. Les stratégies sont des ensembles de règles qui spécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mes applications ou pour lancer des applications Web spécialement activées pour ces derniers. Vous pouvez modifier la stratégie par défaut et, si des applications Web sont ajoutées au catalogue, vous pouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applications Web. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 13
Administration de VMware Identity Manager 14 VMware, Inc.
Intégration à votre annuaire d'entreprise 2 Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager. Les types d'annuaires suivants sont pris en charge. n Active Directory via LDAP n Active Directory, authentification Windows intégrée n répertoire LDAP Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes. n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service VMware Identity Manager. n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire d'entreprise et spécifiez les détails de connexion. n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active Directory ou LDAP. n Spécifiez les utilisateurs et les groupes à synchroniser. n Synchronisez les utilisateurs et les groupes. Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à tout moment. Concepts importants relatifs à l'intégration d'annuaire Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre à votre environnement d'annuaire Active Directory ou LDAP. Connector Le connecteur, composant du service, exécute les fonctions suivantes. n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP avec le service. n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. VMware, Inc. 15
Le connecteur est le fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est préférable en fonction de la stratégie de sécurité de votre entreprise. Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à- temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware Identity Manager pour plus d'informations. Annuaire Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le service. n Active Directory n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le connecteur se lie à Active Directory via une authentification Bind simple. n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur se lie à Active Directory via l'authentification Windows intégrée. Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la plupart des environnements, vous devez créer un seul annuaire. n Annuaire LDAP Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance. Travailleur Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory ou LDAP et le service au moyen d'un ou de plusieurs travailleurs. Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de type Authentification Windows intégrée. Considérations de sécurité Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité, tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte, doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas ces paramètres. Administration de VMware Identity Manager 16 VMware, Inc.
Intégration à Active Directory 3 Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniser les utilisateurs et les groupes entre Active Directory et VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Environnements Active Directory », page 17 n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n « Autoriser les utilisateurs à modifier des mots de passe Active Directory », page 31 n « Configuration de la sécurité des synchronisations d'annuaire », page 33 Environnements Active Directory Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans différentes forêts Active Directory. Environnement à un seul domaine Active Directory Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory. Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 VMware, Inc. 17
Environnement Active Directory à domaines multiples, forêt unique Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique. Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active Directory via LDAP configuré avec l'option de catalogue global. n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à Active Directory unique. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global. Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles : n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global. n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel. n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal). Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisées. Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions suivantes lors de la configuration. n Sélectionnez l'option Active Directory via LDAP. n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du service DNS. n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte ND de base n'apparaît pas. n Ajoutez le nom d'hôte du serveur Active Directory. n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3269. Administration de VMware Identity Manager 18 VMware, Inc.
Environnement Active Directory à forêts multiples avec relations d'approbation Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où des relations d'approbation bidirectionnelles existent entre les domaines. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 Environnement Active Directory à forêts multiples sans relations d'approbation Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs annuaires dans le service, à raison d'un annuaire par forêt. Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant qu'un seul domaine, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV). La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants : n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS sélectionnée n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du service DNS est toujours activée La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée, un fichier domain_krb.properties est automatiquement créé dans le répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui réagissent le plus vite. Chapitre 3 Intégration à Active Directory VMware, Inc. 19
Lorsque vous créez des annuaires supplémentaires sur lesquels la recherche de l'emplacement du service DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier. Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du connecteur garantit une communication plus rapide avec Active Directory. Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles suivantes s'appliquent. n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut contenir qu'un seul fichier domain_krb.properties. n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine, la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée. n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le concernant sont ajoutés au fichier. Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le fichier et elle n'est pas mise à jour. n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez un annuaire, l'entrée de domaine n'est pas supprimée du fichier. n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et supprimez-le. n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas remplacées. Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section « Modification du fichier domain_krb.properties », page 22. Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus d'informations, consultez la section « Modification du fichier domain_krb.properties », page 22 et l'article 2091744 de la base de connaissances. Administration de VMware Identity Manager 20 VMware, Inc.
Mode de sélection des contrôleurs de domaine pour remplir automatiquement le fichier domain_krb.properties Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous- réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite. Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les exigences suivantes : n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous- réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection de sous-réseau par défaut », page 21. Le sous-réseau est utilisé pour déterminer le site. n La configuration Active Directory doit être liée au site. Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site, la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory. Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties », page 22. Exemple de fichier domain_krb.properties example.com=host1.example.com:389,host2.example.com:389 Remplacement de la sélection de sous-réseau par défaut Pour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre le connecteur et Active Directory. Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans le fichier runtime-config.properties. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant. siteaware.subnet.override=subnet où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple : siteaware.subnet.override=10.100.0.0/20 Chapitre 3 Intégration à Active Directory VMware, Inc. 21
3 Enregistrez et fermez le fichier. 4 Redémarrez le service. service horizon-workspace restart Modification du fichier domain_krb.properties Le fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliser pour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvez modifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pour ajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées. Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement dans les scénarios suivants. n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration, modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser. n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier. n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier. Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez les répertoires sur /usr/local/horizon/conf. 3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs d'hôte. Utilisez le format suivant : domain=host:port,host2:port,host3:port Par exemple : example.com=examplehost1.example.com:389,examplehost2.example.com:389 Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. Important Les noms de domaine doivent être en minuscules. 4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de la commande suivante. chown horizon:www /usr/local/horizon/conf/domain_krb.properties 5 Redémarrez le service. service horizon-workspace restart Administration de VMware Identity Manager 22 VMware, Inc.
Suivant Une fois que vous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties. 1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf comme suit. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO2QA.GAUTO-QA.COM.*)s/^GAUTO2QA.GAUTO- QA.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0$1](^GLOBEQE.NET.*)s/^GLOBEQE.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine. 2 Redémarrez le service workspace. service horizon-workspace restart Consultez également l'article 2091744 de la base de connaissances. Dépannage du fichier domain_krb.properties Utilisez les informations suivantes pour dépanner le fichier domain_krb.properties. Erreur « Erreur lors de la résolution du domaine » Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer un annuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » se produit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée de domaine avant de créer l'annuaire. Des contrôleurs de domaine sont inaccessibles Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jour automatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles, modifiez le fichier manuellement et supprimez-les. Chapitre 3 Intégration à Active Directory VMware, Inc. 23
Gestion des attributs utilisateur synchronisés à partir d'Active Directory Lors de la configuration de répertoire du service VMware Identity Manager, vous devez sélectionner des attributs utilisateur et des filtres Active Directory pour sélectionner les utilisateurs à synchroniser dans le répertoire VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent avec la console d'administration, onglet Gestion des identités et des accès, Configuration > Attributs utilisateur. Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory. La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs Active Directory. Vous devez sélectionner les attributs obligatoires et ajouter les autres attributs que vous souhaitez synchroniser avec le répertoire. Lorsque vous ajoutez des attributs, le nom d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents. Tableau 3‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire Nom de l'attribut du répertoire de VMware Identity Manager Mappage par défaut vers l'attribut Active Directory userPrincipalName userPrincipalName distinguishedName distinguishedName employeeId employeeID domaine canonicalName. Ajoute le nom de domaine complet de l'objet. disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_Disable Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas se connecter pour accéder à leurs applications et à leurs ressources. Comme les ressources attribuées aux utilisateurs ne sont pas supprimées du compte, lorsque l'indicateur est supprimé du compte, les utilisateurs peuvent se connecter et accéder aux ressources qui leur sont octroyées phone telephoneNumber lastName sn firstName givenName email mail userName sAMAccountName. Sélection des attributs à synchroniser avec l'annuaire Lorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vous devez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire, vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributs supplémentaires que vous souhaitez mapper aux attributs Active Directory. Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et ajouter des attributs personnalisés. Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état obligatoire. Administration de VMware Identity Manager 24 VMware, Inc.
Lorsque vous ajoutez d'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer l'annuaire VMware Identity Manager. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration > Attributs utilisateur. 2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les modifications souhaitées pour refléter les attributs obligatoires. 3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste. 4 Cliquez sur Enregistrer. L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste d'attributs mappés de l'annuaire. 5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire. 6 Cliquez sur Paramètres de synchronisation > Attributs mappés. 7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory à mapper. 8 Cliquez sur Enregistrer. L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory. Autorisations requises pour joindre un domaine Vous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour les annuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pour les annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint au domaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournir des informations d'identification. Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits suivants : n Créer des objets Ordinateur n Supprimer des objets Ordinateur Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active Directory, sauf si vous spécifiez une OU personnalisée. Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes. 1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory, dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple, serveur.exemple.com. Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs pour afficher la page Connecteurs. Chapitre 3 Intégration à Active Directory VMware, Inc. 25
2 Une fois l'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans la console d'administration de VMware Identity Manager. La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur Identité et gestion de l'accès > Configuration > Connecteurs. Option Description Domaine Sélectionnez ou entrez le domaine Active Directory à joindre. Vérifiez que vous entrez le nom de domaine complet. Par exemple, server.example.com. Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directory disposant des droits de joindre des systèmes au domaine Active Directory. Mot de passe du domaine Mot de passe de l'utilisateur. Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur. Cette option crée un objet ordinateur dans l'OU spécifiée plutôt que l'OU Ordinateurs par défaut. Par exemple, ou=testou,dc=test,dc=example,dc=com. Configuration de la connexion Active Directory au service La console d'administration permet de spécifier les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager. Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez configurer le domaine à joindre. Prérequis n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà créé. n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory. n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom unique de liaison et le mot de passe du nom unique de liaison. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine du contrôleur de domaine Active Directory est requis. Administration de VMware Identity Manager 26 VMware, Inc.
n Pour l'authentification Windows intégrée à Active Directory, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Répertoires, cliquez sur Ajouter un répertoire. 3 Entrez un nom pour cet annuaire VMware Identity Manager. Chapitre 3 Intégration à Active Directory VMware, Inc. 27
4 Sélectionnez le type d'annuaire Active Directory dans votre environnement et configurez les informations de connexion. Option Description Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS. Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory. Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre « Environnements Active Directory », page 17. n Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Administration de VMware Identity Manager 28 VMware, Inc.
Option Description Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. f Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com. g Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. h Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory. Active Directory (authentification Windows intégrée) a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un. Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir « Autorisations requises pour joindre un domaine », page 25 pour obtenir plus d'informations. f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, username@example.com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. g Entrez le mot de passe de l'utilisateur Bind. 5 Cliquez sur Enregistrer et Suivant. La page contenant la liste de domaines apparaît. Chapitre 3 Intégration à Active Directory VMware, Inc. 29
6 Pour Active Directory via LDAP, les domaines sont signalés par une coche. Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory. Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste. Cliquez sur Suivant. 7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant. 8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire VMware Identity Manager. Option Description Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous. a Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com. Important Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b Cliquez sur Rechercher des groupes. La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND. c Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser. Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés. Synchroniser les membres du groupe imbriqué L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 9 Cliquez sur Suivant. Administration de VMware Identity Manager 30 VMware, Inc.
10 Spécifiez des utilisateurs supplémentaires à synchroniser, si nécessaire. a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. 11 Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et pour voir le planning de synchronisation. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire. La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Suivant n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine. Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur. n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies. n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion. Autoriser les utilisateurs à modifier des mots de passe Active Directory Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion. Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur la page Paramètres de répertoire. Chapitre 3 Intégration à Active Directory VMware, Inc. 31
Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe. Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory. Les limites suivantes s'appliquent. n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que l'option Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et ultérieures. n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636. n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager. Prérequis n Pour activer l'option Autoriser la modification du mot de passe, vous devez utiliser un compte d'utilisateur de nom unique de liaison et disposer d'autorisations d'accès en écriture pour Active Directory. n Le port 464 doit être ouvert sur le contrôleur de domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Dans l'onglet Répertoires, cliquez sur le répertoire. 3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe. 4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer. Administration de VMware Identity Manager 32 VMware, Inc.
Configuration de la sécurité des synchronisations d'annuaire Des limites de seuil de sécurité de synchronisation peuvent être configurées dans l'annuaire pour éviter toute modification accidentelle de la configuration par les utilisateurs et les groupes qui se synchronisent avec l'annuaire à partir d'Active Directory. Les seuils de sécurité de synchronisation définis limitent le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Si un seuil de sécurité d'annuaire est atteint, la synchronisation d'annuaire s'arrête et un message s'affiche sur la page Journal de synchronisation de l'annuaire. Lorsque SMTP est configuré dans la console d'administration de VMware Identity Manager, vous recevez un e-mail lorsque la synchronisation échoue en raison d'une violation de la sécurité. Lorsque la synchronisation échoue, vous pouvez accéder à la page Paramètres de synchronisation > Journal de synchronisation de l'annuaire pour voir une description du type de violation de la sécurité. Pour terminer correctement la synchronisation, vous pouvez augmenter le pourcentage de seuil de la sécurité sur la page de paramètres Sécurité des synchronisations ou vous pouvez planifier une exécution de test de la synchronisation et cocher Ignorer la sécurité. Lorsque vous choisissez d'ignorer la valeur de seuil de la sécurité, les valeurs de sécurité ne sont pas appliquées pour cette session de synchronisation uniquement. Lors de la première synchronisation d'annuaire, les valeurs de sécurité de la synchronisation ne sont pas appliquées. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Configurer des protections de synchronisation d'annuaire Configurez les paramètres de seuil de protection de synchronisation pour limiter le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Procédure 1 Pour modifier les paramètres de protection, dans l'onglet Gestion des identités et des accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire pour définir les protections et cliquez sur Paramètres de synchronisation 3 Cliquez sur Protections. 4 Définissez le pourcentage de modifications pour déclencher la synchronisation. 5 Cliquez sur Enregistrer. Chapitre 3 Intégration à Active Directory VMware, Inc. 33
Ignorer les paramètres de sécurité pour terminer la synchronisation avec l'annuaire Lorsque vous recevez une notification indiquant que la synchronisation ne s'est pas terminée en raison d'une violation de la sécurité, vous pouvez planifier une exécution de test de la synchronisation et cocher la case Ignorer la sécurité pour remplacer le paramètre de sécurité et terminer la synchronisation. Procédure 1 Dans l'onglet Identité et gestion de l'accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire qui n'a pas terminé la synchronisation et accédez à la page Journal de synchronisation. 3 Pour voir le type de violation de la sécurité, dans la colonne Détails de la synchronisation, cliquez sur Échec de l'exécution de la synchronisation. Vérifiez la sécurité. 4 Cliquez sur OK. 5 Pour continuer la synchronisation sans modifier les paramètres de sécurité, cliquez sur Synchroniser maintenant. 6 Sur la page Vérification, cochez la case Ignorer la sécurité. 7 Cliquez sur Synchroniser l'annuaire. La synchronisation d'annuaire est exécutée et les paramètres de seuil de sécurité sont ignorés pour cette session de synchronisation uniquement. Administration de VMware Identity Manager 34 VMware, Inc.
Intégration à des annuaires LDAP 4 Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Limites de l'intégration d'annuaire LDAP », page 35 n « Intégrer un annuaire LDAP au service », page 36 Limites de l'intégration d'annuaire LDAP Les limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP. n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine. Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires VMware Identity Manager supplémentaires, un pour chaque domaine. n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires VMware Identity Manager de type LDAP. n authentification Kerberos n RSA Adaptive Authentication n ADFS en tant que fournisseur d'identité tiers n SecurID n Authentification Radius avec serveur Vasco et SMS Passcode n Vous ne pouvez pas joindre un domaine LDAP. n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires VMware Identity Manager de type LDAP. n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. VMware, Inc. 35
n Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms lorsque vous sélectionnez les groupes à synchroniser. n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible. n Le fichier domain_krb.properties n'est pas pris en charge. Intégrer un annuaire LDAP au service Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes. De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Identity Manager. La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP. En particulier, vous devez fournir les informations suivantes. n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites de l'intégration d'annuaire LDAP », page 35. Prérequis n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures. n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire. Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut. n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes. Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire VMware Identity Manager. Administration de VMware Identity Manager 36 VMware, Inc.
n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP. 3 Entrez les informations requises sur la page Ajouter un annuaire LDAP. Option Description Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager. Synchronisation et authentification du répertoire a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager. Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste. Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP. Pour les scénarios dans lesquels vous avez besoin de connecteurs supplémentaires, consultez la section « Installation de dispositifs de connecteur supplémentaires » dans le Guide d'installation de VMware Identity Manager. b Dans le champ Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui. Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn. Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0. Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 37
Option Description Configuration LDAP Spécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal. Requêtes LDAP n Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe. Par exemple : (objectClass=group) n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire. Par exemple : (objectClass=person) n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser. Par exemple :(&(objectClass=user)(objectCategory=person)) Attributs n Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe. Par exemple : membre n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe. Par exemple : entryUUID n Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe. Par exemple : entryDN Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison. 4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion. Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires. 5 Cliquez sur Enregistrer et Suivant. 6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant. 7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés aux bons attributs LDAP. Important Vous devez spécifier un mappage pour l'attribut domain. Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur. 8 Cliquez sur Suivant. Administration de VMware Identity Manager 38 VMware, Inc.
9 Sur la page Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre l'annuaire LDAP et l'annuaire VMware Identity Manager. Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes. L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné. Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 10 Cliquez sur Suivant. 11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire. La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 39
Administration de VMware Identity Manager 40 VMware, Inc.
Utilisation de répertoires locaux 5 Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des utilisateurs locaux directement dans le répertoire local. Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez également créer plusieurs répertoires locaux. Répertoire système Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus supprimer le répertoire système ou le domaine système. L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour la première fois est créé dans le domaine système du répertoire système. Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est recommandé de créer un répertoire local. Répertoires locaux Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour l'utilisateur. Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours obligatoires pour les répertoires locaux. Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP. VMware, Inc. 41
Il est utile de créer des répertoires locaux dans les scénarios suivants. n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement aux applications spécifiques dont ils ont besoin. n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit et type de fournisseur. Fournisseur d'identité pour un répertoire système et des répertoires locaux Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identité système. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité et s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type de périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires et définir des stratégies d'authentification. Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux peuvent être associés au même fournisseur d'identité. Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires locaux que vous créez. Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity Manager » dans Administration de VMware Identity Manager. Gestion des mots de passe pour les utilisateurs du répertoire local Par défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans le portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour des utilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire. Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « Création d'un répertoire local », page 43 n « Modification des paramètres du répertoire local », page 47 n « Suppression d'un répertoire local », page 48 n « Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système », page 49 Administration de VMware Identity Manager 42 VMware, Inc.
Création d'un répertoire local Pour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire et identifiez-le avec un fournisseur d'identité. Définir des attributs utilisateur au niveau global Avant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs utilisateur et ajoutez des attributs personnalisés, si nécessaire. Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur. Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global et s'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau du répertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dans ce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire, vous devez lui fournir une valeur lorsque vous créez un utilisateur. Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés. Tableau 5‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé active addresses costCenter department displayName division emails employeeNumber droits externalId groupes id ims locale manager meta name nickName organization mot de passe phoneNumber photos preferredLanguage profileUrl rôles timezone title userName userType x509Certificate Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'aux répertoires locaux, pas aux répertoires Active Directory ou LDAP. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur. 3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire. Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous est recommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut est marqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y compris les répertoires Active Directory ou LDAP. 4 Cliquez sur Enregistrer. Suivant Créez le répertoire local. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 43
Créer un répertoire local Après avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires. 2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans le menu déroulant. 3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de domaine. Le nom de domaine doit être unique dans tous les répertoires du service. Par exemple : Administration de VMware Identity Manager 44 VMware, Inc.
4 Cliquez sur Enregistrer. 5 Sur la page Répertoires, cliquez sur le nouveau répertoire. 6 Cliquez sur l'onglet Attributs utilisateur. Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sont répertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sont également sur la page Répertoire local. 7 Personnalisez les attributs pour le répertoire local. Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvez également modifier l'ordre d'affichage des attributs. Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les répertoires locaux. n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut. n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut. n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvel emplacement. Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pour l'attribut. Par exemple : Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 45
8 Cliquez sur Enregistrer. Suivant Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier des utilisateurs dans le répertoire. Associer le répertoire local à un fournisseur d'identité Associez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoire puissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthode d'authentification Mot de passe (répertoire local) dessus. Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthode d'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré. Procédure 1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré. 3 Entrez les informations suivantes. Option Description Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité. Utilisateurs Sélectionnez le répertoire local que vous avez créé. Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à ce fournisseur d'identité. Méthodes d'authentification Sélectionnez Mot de passe (répertoire local). Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurez Mobile SSO pour des périphériques iOS gérés par AirWatch. Administration de VMware Identity Manager 46 VMware, Inc.
4 Cliquez sur Ajouter. Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurer d'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations sur l'authentification, consultez « Configuration de l'authentification utilisateur dans VMware Identity Manager » dans Administration de VMware Identity Manager. Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux. Suivant Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'onglet Utilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager. Modification des paramètres du répertoire local Une fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment. Vous pouvez modifier les paramètres suivants. n Modifier le nom du répertoire. n Ajouter, supprimer ou renommer des domaines. n Les noms de domaine doivent être uniques dans tous les répertoires du service. n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domaine sont associés au nouveau domaine. n Le répertoire doit contenir au moins un domaine. n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système. n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif. n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveaux attributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires ou facultatifs. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 47
n Si vous avez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveaux attributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existants obligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que les utilisateurs ont été créés. n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les répertoires locaux. n Comme les attributs utilisateur sont définis au niveau global dans le service VMware Identity Manager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service. n Changer l'ordre d'apparition des attributs. Procédure 1 Cliquez sur l'onglet Identité et gestion de l'accès. 2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier. 3 Modifiez les paramètres du répertoire local. Option Action Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire. b Cliquez sur Enregistrer. Ajouter, supprimer ou renommer un domaine a Dans l'onglet Paramètres, modifiez la liste Domaines. b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe plus. c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge. d Pour renommer un domaine, modifiez le nom de domaine dans la zone de texte. Ajouter des attributs utilisateur au répertoire a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Configuration. b Cliquez sur l'onglet Attributs utilisateur. c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser et cliquez sur Enregistrer. Rendre un attribut obligatoire ou facultatif pour le répertoire a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Répertoires. b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur. c Cochez la case à côté d'un attribut pour le rendre obligatoire ou décochez la case pour le rendre facultatif. d Cliquez sur Enregistrer. Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Répertoires. b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur. c Cliquez sur les attributs et faites-les glisser vers le nouvel emplacement. d Cliquez sur Enregistrer. Suppression d'un répertoire local Vous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager. Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez le service pour la première fois. Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sont également supprimés du service. Administration de VMware Identity Manager 48 VMware, Inc.
Procédure 1 Cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires. 2 Cliquez sur le répertoire que vous voulez supprimer. 3 Sur la page Répertoire, cliquez sur Supprimer le répertoire. Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système La méthode d'authentification par défaut des utilisateurs administrateurs pour se connecter au répertoire système est Mot de passe (répertoire local). La stratégie d'accès par défaut est configurée avec Mot de passe (répertoire local) comme méthode de secours de sorte que les administrateurs peuvent se connecter à la console d'administration de VMware Identity Manager et au portail Workspace ONE. Si vous créez des stratégies d'accès pour des applications Web et de poste de travail spécifiques auxquelles les administrateurs système ont le droit d'accéder, ces stratégies doivent être configurées pour inclure Mot de passe (répertoire local) comme méthode d'authentification de secours. Sinon, les administrateurs ne peuvent pas se connecter à l'application. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 49
Administration de VMware Identity Manager 50 VMware, Inc.
Provisionnement d'utilisateurs juste- à-temps 6 Le provisionnement d'utilisateurs juste-à-temps vous permet de créer des utilisateurs dans le service VMware Identity Manager de façon dynamique lors de la connexion, à l'aide d'assertions SAML envoyées par un fournisseur d'identité tiers. Le provisionnement d'utilisateurs juste-à-temps n'est disponible que pour les fournisseurs d'identité tiers. Il n'est pas disponible pour le connecteur VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « À propos du provisionnement d'utilisateurs juste-à-temps », page 51 n « Préparation du provisionnement juste-à-temps », page 52 n « Configuration du provisionnement d'utilisateurs juste-à-temps », page 54 n « Exigences des assertions SAML », page 55 n « Désactivation du provisionnement d'utilisateurs juste-à-temps », page 56 n « Suppression d'un répertoire juste-à-temps », page 56 n « Messages d'erreur », page 57 À propos du provisionnement d'utilisateurs juste-à-temps Le provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans le service VMware Identity Manager. Au lieu de synchroniser des utilisateurs à partir d'une instance Active Directory, avec le provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour de façon dynamique lorsqu'ils se connectent, en fonction des assertions SAML envoyées par le fournisseur d'identité. Dans ce scénario, VMware Identity Manager agit en tant que fournisseur de service SAML. La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Elle n'est pas disponible pour le connecteur. Avec une configuration juste-à-temps, vous n'avez pas besoin d'installer un connecteur sur site car la création et la gestion de tous les utilisateurs sont gérées via des assertions SAML et l'authentification est gérée par le fournisseur d'identité tiers. Création et gestion d'utilisateurs Si le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page de connexion du service VMware Identity Manager et sélectionne un domaine, la page le redirige vers le bon fournisseur d'identité. L'utilisateur se connecte, est authentifié, puis redirigé par le fournisseur d'identité vers le service VMware Identity Manager avec une assertion SAML. Les attributs dans l'assertion SAML sont utilisés pour créer l'utilisateur dans le service. Seuls les attributs qui correspondent aux attributs utilisateur définis dans le service sont utilisés ; les autres attributs sont ignorés. L'utilisateur est également ajouté à des groupes en fonction des attributs, et il reçoit les droits définis pour ces groupes. VMware, Inc. 51
Lors des connexions suivantes, si des modifications sont apportées à l'assertion SAML, l'utilisateur est mis à jour dans le service. Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer des utilisateurs, vous devez supprimer le répertoire juste-à-temps. Notez que la gestion de tous les utilisateurs est gérée via des assertions SAML. Vous ne pouvez pas créer ou mettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps ne peuvent pas être synchronisés depuis Active Directory. Pour plus d'informations sur les attributs requis dans l'assertion SAML, voir « Exigences des assertions SAML », page 55. Répertoire juste-à-temps Le fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service. La première fois que vous activez le provisionnement juste-à-temps pour un fournisseur d'identité, vous créez un répertoire juste-à-temps et lui spécifiez un ou plusieurs domaines. Les utilisateurs appartenant à ces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour le répertoire, les assertions SAML doivent inclure un attribut de domaine. Si un seul domaine est configuré pour le répertoire, un attribut de domaine n'est pas requis dans les assertions SAML mais, s'il est spécifié, cette valeur doit correspondre au nom de domaine. Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel le provisionnement juste-à-temps est activé. Préparation du provisionnement juste-à-temps Avant de configurer le provisionnement d'utilisateurs juste-à-temps, examinez vos groupes, les droits de groupe et les paramètres d'attribut utilisateur et apportez des modifications, si nécessaire. De plus, identifiez les domaines que vous voulez utiliser pour le répertoire juste-à-temps. Créer des groupes locaux Les utilisateurs provisionnés avec le provisionnement juste-à-temps sont ajoutés à des groupes en fonction de leurs attributs utilisateur et ils tirent leurs droits de ressources des groupes auxquels ils appartiennent. Avant de configurer le provisionnement juste-à-temps, vérifiez que vous disposez de groupes locaux dans le service. Créez un ou plusieurs groupes locaux, selon vos besoins. Pour chaque groupe, définissez les règles d'appartenance au groupe et ajoutez des droits. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Utilisateurs et groupes. 2 Cliquez sur Créer un groupe, fournissez un nom et une description du groupe et cliquez sur Ajouter. 3 Sur la page Groupes, cliquez sur le nouveau groupe. 4 Configurez des utilisateurs pour le groupe. a Dans le volet de gauche, sélectionnez Utilisateurs dans ce groupe. b Cliquez sur Modifier des utilisateurs dans ce groupe et définissez les règles d'appartenance au groupe. Administration de VMware Identity Manager 52 VMware, Inc.
5 Ajoutez des droits au groupe. a Dans le volet de gauche, sélectionnez Droits. b Cliquez sur Ajouter des droits, puis sélectionnez les applications et la méthode de déploiement de chaque application. c Cliquez sur Enregistrer. Examiner les attributs utilisateur Examinez les attributs utilisateur qui sont définis pour tous les répertoires VMware Identity Manager sur la page Attributs utilisateur et modifiez-les, si nécessaire. Lorsqu'un utilisateur est provisionné via le provisionnement juste-à-temps, l'assertion SAML est utilisée pour créer l'utilisateur. Seuls les attributs dans l'assertion SAML qui correspondent aux attributs répertoriés sur la page Attributs utilisateur sont utilisés. Important Si un attribut est marqué comme obligatoire sur la page Attributs utilisateur, l'assertion SAML doit inclure l'attribut, sinon la connexion échoue. Lorsque vous apportez des modifications aux attributs utilisateur, tenez compte de l'effet sur les autres répertoires et sur les configurations dans votre locataire. La page Attributs utilisateur s'applique à tous les répertoires dans votre locataire. Remarque Vous n'avez pas à marquer l'attribut domain comme obligatoire. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Cliquez sur Configuration et sur Attributs utilisateur. 3 Examinez les attributs et apportez des modifications, si nécessaire. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 53
Configuration du provisionnement d'utilisateurs juste-à-temps Vous configurez le provisionnement d'utilisateurs juste-à-temps pour un fournisseur d'identité tiers lors de la création ou de la mise à jour du fournisseur d'identité dans le service VMware Identity Manager. Lorsque vous activez le provisionnement juste-à-temps, vous créez un répertoire juste-à-temps et spécifiez un ou plusieurs domaines pour lui. Les utilisateurs appartenant à ces domaines sont ajoutés au répertoire. Vous devez spécifier au moins un domaine. Le nom de domaine doit être unique dans tous les répertoires dans le service VMware Identity Manager. Si vous spécifiez plusieurs domaines, des assertions SAML doivent inclure l'attribut de domaine. Si vous spécifiez un seul domaine, il est utilisé comme domaine pour les assertions SAML sans attribut de domaine. Si un attribut de domaine est spécifié, sa valeur doit correspondre à l'un des domaines, sinon la connexion échoue. Procédure 1 Connectez-vous à la console d'administration du service VMware Identity Manager. 2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Fournisseurs d'identité. 3 Cliquez sur Ajouter un fournisseur d'identité ou sélectionnez un fournisseur d'identité. 4 Dans la section Provisionnement d'utilisateurs juste-à-temps, cliquez sur Activer. Administration de VMware Identity Manager 54 VMware, Inc.
5 Spécifiez les informations suivantes. n Un nom pour le nouveau répertoire juste-à-temps. n Un ou plusieurs domaines. Important Les noms de domaine doivent être uniques dans tous les répertoires du locataire. Par exemple : 6 Remplissez le reste de la page et cliquez sur Ajouter ou Enregistrer. Pour plus d'informations, consultez « Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs », page 81. Exigences des assertions SAML Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, des utilisateurs sont créés ou mis à jour dans le service VMware Identity Manager lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs. n L'assertion SAML doit inclure l'attribut userName. n L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans le service VMware Identity Manager. Pour voir ou modifier les attributs utilisateur dans la console d'administration, dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur. Important Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse. n Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue. n Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut domain dans l'assertion SAML est facultative. Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour le répertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé au domaine configuré pour le répertoire. n Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut ExternalId dans l'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Identity Manager. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 55
Les attributs de l'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit. n Les attributs obligatoires ou facultatifs dans le service Identity Manager (tels que répertoriés sur la page Attributs utilisateur) sont utilisés. n Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés. n Les attributs sans valeur sont ignorés. Désactivation du provisionnement d'utilisateurs juste-à-temps Vous pouvez désactiver le provisionnement d'utilisateurs juste-à-temps. Lorsque l'option est désactivée, de nouveaux utilisateurs ne sont pas créés et les utilisateurs existants ne sont pas mis à jour lors de la connexion. Les utilisateurs existants sont toujours authentifiés par le fournisseur d'identité. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur Fournisseurs d'identité. 2 Cliquez sur le fournisseur d'identité que vous voulez modifier. 3 Dans la section Provisionnement d'utilisateurs juste-à-temps, décochez la case Activer. Suppression d'un répertoire juste-à-temps Un répertoire juste-à-temps est le répertoire associé à un fournisseur d'identité tiers dont le provisionnement d'utilisateurs juste-à-temps est activé. Lorsque vous supprimez le répertoire, tous les utilisateurs dans le répertoire sont supprimés et la configuration juste-à-temps est désactivée. Comme un fournisseur d'identité juste-à-temps ne peut contenir qu'un seul répertoire, lorsque vous supprimez le répertoire, le fournisseur d'identité ne peut plus être utilisé. Pour activer de nouveau la configuration juste-à-temps pour le fournisseur d'identité, vous devez créer un nouveau répertoire. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Répertoires, localisez le répertoire que vous voulez supprimer. Vous pouvez identifier des répertoires juste-à-temps en regardant le type de répertoire dans la colonne Type. 3 Cliquez sur le nom du répertoire. 4 Cliquez sur Supprimer le répertoire. Administration de VMware Identity Manager 56 VMware, Inc.
Messages d'erreur Les administrateurs ou les utilisateurs finaux peuvent voir des erreurs liées au provisionnement juste-à- temps. Par exemple, si un attribut obligatoire est manquant dans l'assertion SAML, une erreur se produit et l'utilisateur ne peut pas se connecter. Les erreurs suivantes peuvent apparaître dans la console d'administration : Message d'erreur Solution Si le provisionnement d'utilisateurs JIT est activé, au moins un répertoire doit être associé au fournisseur d'identité. Aucun répertoire n'est associé au fournisseur d'identité. Un fournisseur d'identité avec l'option de provisionnement juste-à- temps activée doit être associé à un répertoire juste-à-temps. 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, cliquez sur Fournisseurs d'identité et sur le fournisseur d'identité. 2 Dans la section Provisionnement d'utilisateurs juste-à-temps, spécifiez un nom de répertoire et un ou plusieurs domaines. 3 Cliquez sur Enregistrer. Un répertoire juste-à-temps est créé. Les erreurs suivantes peuvent apparaître sur la page de connexion : Message d'erreur Solution L'attribut utilisateur est manquant : nom. Un attribut utilisateur obligatoire est manquant dans l'assertion SAML envoyée par le fournisseur d'identité tiers. Tous les attributs qui sont marqués comme étant obligatoires sur la page Attributs utilisateur doivent être inclus dans l'assertion SAML. Modifiez les paramètres du fournisseur d'identité tiers pour envoyer les bonnes assertions SAML. Le domaine est manquant et ne peut pas être inféré. L'assertion SAML n'inclut pas l'attribut de domaine et le domaine ne peut pas être déterminé. Un attribut de domaine est obligatoire dans les cas suivants : n Si plusieurs domaines sont configurés pour le répertoire juste-à-temps. n Si un domaine est marqué comme étant un attribut obligatoire sur la page Attributs utilisateur. Si un attribut de domaine est spécifié, sa valeur doit correspondre à l'un des domaines spécifiés pour le répertoire. Modifiez les paramètres du fournisseur d'identité tiers pour envoyer les bonnes assertions SAML. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 57
Message d'erreur Solution Nom d'attribut : nom, valeur : valeur. L'attribut dans l'assertion SAML ne correspond à aucun des attributs sur la page Attributs utilisateur dans le locataire et il sera ignoré. Échec de la création ou de la mise à jour d'un utilisateur JIT. L'utilisateur n'a pas pu être créé dans le service. Les causes possibles sont les suivantes : n Un attribut obligatoire est manquant dans l'assertion SAML. Examinez les attributs sur la page Attributs utilisateur et vérifiez que l'assertion SAML inclut tous les attributs qui sont marqués comme étant obligatoires. n Le domaine de l'utilisateur n'a pas pu être déterminé. Spécifiez l'attribut de domaine dans l'assertion SAML et vérifiez que sa valeur correspond à l'un des domaines configurés pour le répertoire juste-à-temps. Administration de VMware Identity Manager 58 VMware, Inc.
Configuration de l'authentification des utilisateurs dans VMware Identity Manager 7 VMware Identity Manager prend en charge plusieurs méthodes d'authentification. Vous pouvez configurer une seule méthode d'authentification et vous pouvez configurer une authentification à deux facteurs par enchaînement. Vous pouvez également utiliser une méthode d'authentification externe pour les protocoles RADIUS et SAML. L'instance de fournisseur d'identité que vous utilisez avec le service VMware Identity Manager crée une autorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0. Lors du déploiement initial du service VMware Identity Manager, le connecteur est le fournisseur d'identité initial pour le service. Votre infrastructure Active Directory existante est utilisée pour l'authentification et la gestion des utilisateurs. Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodes d'authentification à partir de la console d'administration. Méthodes d'authentification Description Mot de passe (déploiement sur site) Sans configuration supplémentaire après la configuration d'Active Directory, VMware Identity Manager prend en charge l'authentification par mot de passe d'Active Directory. Cette méthode authentifie les utilisateurs avec Active Directory. Kerberos pour postes de travail L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentification unique à leur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter de nouveau à leur portail d'applications une fois qu'ils sont connectés au réseau. Deux méthodes d'authentification Kerberos peuvent être configurées : l'authentification Kerberos pour postes de travail avec l'authentification Windows intégrée et l'authentification Kerberos intégré pour périphériques mobiles iOS 9 lorsqu'une relation de confiance est établie entre Active Directory et AirWatch. Certificat (déploiement sur site) L'authentification par certificat peut être configurée afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que la personne sait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. RSA SecurID (déploiement sur site) Lorsque l'authentification RSA SecurID est configurée, VMware Identity Manager est configuré comme agent d'authentification sur le serveur RSA SecurID. L'authentification RSA SecurID nécessite l'utilisation d'un système d'authentification à jeton par les utilisateurs. RSA SecurID est une méthode d'authentification pour les utilisateurs qui accèdent à VMware Identity Manager depuis l'extérieur du réseau de l'entreprise. RADIUS (déploiement sur site) L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vous configurez le serveur RADIUS qui est accessible par le service VMware Identity Manager. Lorsque des utilisateurs se connectent avec leur nom d'utilisateur et leur code secret, une demande d'accès est soumise au serveur RADIUS pour authentification. VMware, Inc. 59
Méthodes d'authentification Description RSA Adaptive Authentication (déploiement sur site) L'authentification RSA offre une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Lorsque RSA Adaptive Authentication est activé, les indicateurs de risque spécifiés dans la stratégie de risque sont configurés dans l'application RSA Policy Management. La configuration du service VMware Identity Manager d'Adaptive Authentication est utilisée pour déterminer les invites d'authentification requises. Mobile SSO (pour iOS) L'authentification Mobile SSO pour iOS est utilisée pour l'authentification unique pour les périphériques iOS gérés par AirWatch. L'authentification Mobile SSO (pour iOS) utilise un centre de distribution de clés (KDC) qui fait partie du service Identity Manager. Vous devez initier le service KDC dans le service VMware Identity Manager avant de pouvoir activer cette méthode d'authentification. Mobile SSO (pour Android) L'authentification Mobile SSO pour Android est utilisée pour l'authentification unique pour les périphériques Android gérés par AirWatch. Un service proxy est configuré entre le service VMware Identity Manager et AirWatch pour récupérer le certificat auprès d'AirWatch à des fins d'authentification. Mot de passe (AirWatch Connector) AirWatch Cloud Connector peut être intégré au service VMware Identity Manager pour l'authentification par mot de passe utilisateur. Vous configurez le service VMware Identity Manager pour synchroniser des utilisateurs à partir de l'annuaire AirWatch. VMware Verify VMware Verify peut être utilisé comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise. La première méthode d'authentification consiste à fournir un nom d'utilisateur et un mot de passe, la seconde à fournir une approbation de demande ou un code VMware Verify. VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité. Mot de passe (répertoire local) La méthode Mot de passe (répertoire local) est activée par défaut pour le fournisseur d'identité Système-IDP utilisé avec le répertoire système. Elle s'applique à la stratégie d'accès par défaut. Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès qui spécifient les méthodes d'authentification à utiliser par type de périphérique. Les utilisateurs sont authentifiés en fonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, des plages réseau et de l'instance du fournisseur d'identité que vous configurez. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Ce chapitre aborde les rubriques suivantes : n « Configuration de Kerberos pour VMware Identity Manager », page 61 n « Configuration de SecurID pour VMware Identity Manager », page 65 n « Configuration de RADIUS pour VMware Identity Manager », page 67 n « Configuration de RSA Adaptive Authentication dans VMware Identity Manager », page 70 n « Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager », page 72 n « Configuration de VMware Verify pour l'authentification à deux facteurs », page 76 n « Configuration d'un fournisseur d'identité intégré », page 78 n « Configurer des fournisseurs d'identité Workspace supplémentaires », page 80 n « Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs », page 81 n « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83 Administration de VMware Identity Manager 60 VMware, Inc.
Configuration de Kerberos pour VMware Identity Manager L'authentification Kerberos permet aux utilisateurs correctement connectés à leur domaine d'accéder à leur portail d'applications sans devoir saisir de nouveau leurs informations d'identification. Le protocole d'authentification Kerberos peut être configuré dans le service Identity Manager pour les postes de travail avec l'authentification Windows intégrée afin de sécuriser les interactions entre les navigateurs des utilisateurs et le service Identity Manager et pour l'authentification unique monotouche sur des périphériques mobiles iOS 9 gérés dans AirWatch. Pour plus d'informations sur l'authentification Kerberos sur des périphériques iOS 9, reportez-vous à la section « Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch », page 135. Implémentation de Kerberos pour des postes de travail avec l'authentification Windows intégrée Pour configurer l'authentification Kerberos pour des postes de travail, vous activez l'authentification Windows intégrée afin de permettre au protocole Kerberos de sécuriser les interactions entre les navigateurs des utilisateurs et le service Identity Manager. Lorsque l'authentification Kerberos est activée pour les postes de travail, le service Identity Manager valide les informations d'identification du poste de travail de l'utilisateur à l'aide des tickets Kerberos distribués par le centre de distribution de clés (KDC) implémenté comme service de domaine dans Active Directory. Il n'est pas nécessaire de configurer directement Active Directory pour faire fonctionner Kerberos avec votre déploiement. Vous devez configurer les navigateurs Web de l'utilisateur final pour envoyer vos informations d'identification Kerberos au service lorsque des utilisateurs se connectent. Voir « Configuration de votre navigateur pour Kerberos », page 62. Configurer l'authentification Kerberos pour des postes de travail avec l'authentification Windows intégrée Pour configurer le service VMware Identity Manager afin qu'il effectue l'authentification Kerberos pour des postes de travail, vous devez rejoindre le domaine et autoriser l'authentification Kerberos sur le connecteur VMware Identity Manager. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs du connecteur configuré pour l'authentification Kerberos, cliquez sur Joindre le domaine. 3 Sur la page Joindre le domaine, entrez les informations pour le domaine Active Directory. Option Description Contrôleur Saisissez le nom de domaine complet d'Active Directory. Le nom de domaine que vous entrez doit être le même domaine Windows que celui du serveur du connecteur. Utilisateur du domaine Saisissez le nom d'utilisateur d'un compte de l'instance d'Active Directory disposant des autorisations nécessaires pour joindre des systèmes à ce domaine Active Directory. Mot de passe du domaine Saisissez le mot de passe associé au Nom d'utilisateur AD. Ce mot de passe n'est pas stocké par VMware Identity Manager. Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 61
La page Joindre le domaine est actualisée et affiche un message confirmant que vous êtes actuellement joint au domaine. 4 Dans la colonne Travailleur correspondant au connecteur, cliquez sur Adaptateurs d'authentification. 5 Cliquez sur KerberosIdpAdapter Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 6 Cliquez sur Modifier sur la ligne KerberosldpAdapter et configurez la page d'authentification de Kerberos. Option Description Nom Un nom est requis. Le nom par défaut est KerberosIdpAdapter. Vous pouvez modifier ce paramètre. Attribut UID du répertoire Entrez l'attribut du compte contenant le nom d'utilisateur. Activer l'authentificati on Windows Sélectionnez cette option pour étendre les interactions d'authentification entre les navigateurs des utilisateurs et VMware Identity Manager. Activer NTLM Sélectionnez cette option pour activer l'authentification par protocole du gestionnaire de LAN NT (NTLM) uniquement si votre infrastructure Active Directory dépend de l'authentification NTLM. Activer la redirection Sélectionnez cette option si le DNS tourniquet et les équilibrages de charge ne prennent pas en charge Kerberos. Les demandes d'authentification sont redirigées vers Rediriger le nom d'hôte. Si cette option est cochée, entrez le nom d'hôte de redirection dans la zone de texte Rediriger le nom d'hôte. Il s'agit généralement du nom d'hôte du service. 7 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Gestion des identités et des accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification Kerberos à la règle en respectant l'ordre de l'authentification. Configuration de votre navigateur pour Kerberos Lorsque Kerberos est activé, vous devez configurer les navigateurs Web afin qu'ils envoient vos informations d'identification Kerberos au service lorsque les utilisateurs se connectent. Les navigateurs Web suivants peuvent être configurés pour envoyer vos informations d'identification Kerberos au service Identity Manager sur les ordinateurs exécutés sous Windows : Firefox, Internet Explorer et Chrome. Tous les navigateurs nécessitent une configuration supplémentaire. Configuration d'Internet Explorer pour accéder à l'interface Web Vous devez configurer le navigateur Internet Explorer si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web à l'aide d'Internet Explorer. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation. Prérequis Configurez le navigateur Internet Explorer pour chaque utilisateur ou fournissez les instructions aux utilisateurs, après avoir configuré Kerberos. Administration de VMware Identity Manager 62 VMware, Inc.
Procédure 1 Vérifiez que vous êtes connecté à Windows en tant qu'utilisateur du domaine. 2 Dans Internet Explorer, activez la connexion automatique. a Sélectionnez Outils > Options Internet > Sécurité. b Cliquez sur Personnaliser le niveau. c Sélectionnez Connexion automatique uniquement dans la zone intranet. d Cliquez sur OK. 3 Vérifiez que cette instance du dispositif virtuel du connecteur fait partie de la zone intranet locale. a Utilisez Internet Explorer pour accéder à l'URL de connexion de VMware Identity Manager à l'adresse https://myconnectorhost.domain/authenticate/. b Localisez la zone dans le coin inférieur droit de la barre d'état de la fenêtre du navigateur. Si la zone est Intranet local, la configuration d'Internet Explorer est terminée. 4 Si la zone n'est pas Intranet local, ajoutez l'URL de connexion de VMware Identity Manager à la zone intranet. a Sélectionnez Outils > Options Internet > Sécurité > Intranet local > Sites. b Sélectionnez Détecter automatiquement le réseau Intranet. Si cette option n'est pas sélectionnée, sa sélection peut être suffisante pour ajouter à la zone intranet. c (Facultatif) Si vous avez sélectionné Détecter automatiquement le réseau Intranet, cliquez sur OK jusqu'à ce que toutes les boîtes de dialogue soient fermées. d Dans la boîte de dialogue Intranet local, cliquez sur Avancé. Une deuxième boîte de dialogue nommée Intranet local s'affiche. e Tapez l'URL de VMware Identity Manager dans la zone de texte Ajouter ce site Web à la zone. https://myconnectorhost.domain/authenticate/ f Cliquez sur Ajouter > Fermer > OK. 5 Vérifiez qu'Internet Explorer est autorisé à passer l'authentification Windows pour accéder au site de confiance. a Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Avancé. b Sélectionnez Activer l'authentification Windows intégrée. Cette option prend effet seulement après le redémarrage d'Internet Explorer. c Cliquez sur OK. 6 Connectez-vous à l'interface Web pour vérifier l'adresse. Si l'authentification Kerberos est réussie, l'URL de test vous redirige vers l'interface Web. Le protocole Kerberos sécurise toutes les interactions entre cette instance Internet Explorer et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 63
Configuration de Firefox pour accéder à l'interface Web Vous devez configurer le navigateur Firefox si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web via Firefox. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Prérequis Configurez le navigateur Firefox pour chaque utilisateur, ou communiquez des instructions aux utilisateurs après la configuration de Kerberos. Procédure 1 Dans la zone de texte de l'URL du navigateur Firefox, saisissez about:config pour accéder aux paramètres avancés. 2 Cliquez sur Je ferai attention, promis !. 3 Double-cliquez sur network.negotiate-auth.trusted-uris dans la colonne Nom de l'option. 4 Tapez l'URL de VMware Identity Manager dans la zone de texte. https://myconnectorhost.domain.com 5 Cliquez sur OK. 6 Double-cliquez sur network.negotiate-auth.delegation-uris dans la colonne Nom de l'option. 7 Tapez l'URL de VMware Identity Manager dans la zone de texte. https://myconnectorhost.domain.com/authenticate/ 8 Cliquez sur OK. 9 Testez la fonctionnalité de Kerberos en utilisant Firefox pour accéder à l'URL de connexion de . Par exemple, https://myconnectorhost.domain.com/authenticate/. Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web. Le protocole Kerberos sécurise toutes les interactions entre cette instance Firefox et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Configuration du navigateur Chrome pour accéder à l'interface Web Vous devez configurer le navigateur Chrome si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web via Chrome. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation. Prérequis n Configurez Kerberos. n Dans la mesure où Chrome utilise la configuration d'Internet Explorer pour activer l'authentification Kerberos, vous devez configurer Internet Explorer afin de permettre à Chrome d'utiliser la configuration d'Internet Explorer. Pour en savoir plus sur la procédure de configuration de Chrome pour l'authentification Kerberos, reportez-vous à la documentation de Google. Administration de VMware Identity Manager 64 VMware, Inc.
Procédure 1 Testez les fonctionnalités de Kerberos à l'aide du navigateur Chrome. 2 Connectez-vous à VMware Identity Manager sur https://myconnectorhost.domain.com/authenticate/. Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web. Si toutes les configuration relatives à Kerberos sont correctes, le protocole correspondant (Kerberos) sécurise toutes les interactions entre cette instance Chrome et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Configuration de SecurID pour VMware Identity Manager Lorsque vous configurez le serveur RSA SecurID, vous devez ajouter les informations sur le service du VMware Identity Manager en tant qu'agent d'authentification sur le serveur RSA SecurID, et configurer les informations du serveur RSA SecurID sur le service du VMware Identity Manager. Lorsque vous configurez SecurID pour offrir une sécurité supplémentaire, vous devez vérifier que votre réseau est correctement configuré pour votre déploiement de VMware Identity Manager. Pour SecurID en particulier, assurez-vous que le port adéquat est ouvert afin de permettre à SecurID d'authentifier les utilisateurs hors de votre réseau. Après avoir exécuté l'assistant Configuration du VMware Identity Manager et configuré votre connexion à Active Directory, vous disposez des informations nécessaires à la préparation du serveur RSA SecurID. Après avoir préparé le serveur RSA SecurID de VMware Identity Manager, activez SecurID dans la console d'administration. n Préparer le serveur RSA SecurID page 65 Le serveur RSA SecurID doit être configuré avec des informations sur le dispositif VMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent au nom d'hôte et aux adresses IP des interfaces réseau. n Configurer l'authentification RSA SecurID page 66 Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur. Préparer le serveur RSA SecurID Le serveur RSA SecurID doit être configuré avec des informations sur le dispositif VMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent au nom d'hôte et aux adresses IP des interfaces réseau. Prérequis n Vérifiez que l'une des versions suivantes de RSA Authentication Manager est installée et fonctionne sur le réseau d'entreprise : RSA AM 6.1.2, 7.1 SP2 et versions ultérieures, ainsi que 8.0 et versions ultérieures. Le serveur VMware Identity Manager utilise AuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), qui prend en charge uniquement les versions précédentes de RSA Authentication Manager (serveur RSA SecurID). Pour obtenir des informations sur l'installation et la configuration de RSA Authentication Manager (serveur RSA SecurID), consultez la documentation de RSA. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 65
Procédure 1 Sur une version prise en charge du serveur RSA SecurID, ajoutez le connecteur VMware Identity Manager en tant qu'agent d'authentification. Entrez les informations suivantes. Option Description nom d'hôte Le nom d'hôte de VMware Identity Manager. Adresse IP L'adresse IP de VMware Identity Manager. Adresse IP alternative Si le trafic provenant du connecteur traverse un périphérique NAT (Network Address Translation) pour atteindre le serveur RSA SecurID, entrez l'adresse IP privée du dispositif. 2 Téléchargez le fichier de configuration compressé et extrayez le fichier sdconf.rec. Préparez-vous à charger ce fichier ultérieurement lorsque vous configurez RSA SecurID dans VMware Identity Manager. Suivant Accédez à la console d'administration et, dans les pages Configuration de l'onglet Gestion des identités et des accès, sélectionnez le connecteur et la page Adaptateurs d'authentification pour configurer SecurID. Configurer l'authentification RSA SecurID Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur. Prérequis n Vérifiez que RSA Authentication Manager (serveur RSA SecurID) est installé et correctement configuré. n Téléchargez le fichier compressé depuis le serveur RSA SecurID et extrayez le fichier de configuration du serveur. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré avec RSA SecurID. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur SecurIDldpAdapter. Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 4 Sur la ligne SecurIDldpAdapter de la page Adaptateurs d'authentification, cliquez sur Modifier. 5 Configurez la page Adaptateur d'authentification SecurID. Les informations utilisées et les fichiers générés sur le serveur RSA SecurID sont nécessaires lors de la configuration de la page SecurID. Option Action Nom Un nom est requis. Le nom par défaut est SecurIDldpAdapter. Vous pouvez modifier ce paramètre. Activer SecurID Cochez cette case pour activer l'authentification securID. Administration de VMware Identity Manager 66 VMware, Inc.
Option Action Nombre de tentatives d'authentificat ion autorisées Entrez le nombre maximal d'échecs de tentatives de connexion à l'aide du jeton RSA SecurID. La valeur par défaut est de cinq tentatives. Remarque Lorsque plusieurs annuaires sont configurés et que vous implémentez l'authentification RSA SecurID avec des annuaires supplémentaires, configurez Nombre de tentatives d'authentification autorisées avec la même valeur pour chaque configuration RSA SecurID. Si la valeur est différente, l'authentification SecurID échoue. Adresse du connecteur Entrez l'adresse IP de l'instance de connecteur. La valeur que vous entrez doit correspondre à la valeur que vous avez utilisée lorsque vous avez ajouté le dispositif du connecteur en tant qu'agent d'authentification du serveur RSA SecurID. Si votre serveur RSA SecurID dispose d'une valeur assignée à l'invite Adresse IP alternative, entrez cette valeur comme adresse IP du connecteur. Si aucune adresse IP alternative n'est attribuée, entrez la valeur attribuée à l'invite de l'adresse IP. Adresse IP de l'agent Entrez la valeur assignée à l'invite Adresse IP sur le serveur RSA SecurID. Configuration du serveur Chargez le fichier de configuration du serveur RSA SecureID. Vous devez d'abord télécharger le fichier compressé auprès du serveur RSA SecurID, puis extraire le fichier de configuration du serveur qui est appelé par défaut sdconf.rec. Nœud secret Laisser vide le champ nœud secret permet à celui-ci de se générer lui-même. Nous vous recommandons d'effacer le fichier du secret du nœud du serveur RSA SecurID et de ne pas charger volontairement le fichier du secret du nœud. Assurez-vous que le fichier du nœud secret sur le serveur RSA SecurID et sur l'instance du connecteur de serveur correspondent toujours. Si vous modifiez le nœud secret à un emplacement, modifiez-le sur l'autre emplacement. 6 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification SecurID à la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Configuration de RADIUS pour VMware Identity Manager Vous pouvez configurer VMware Identity Manager pour que les utilisateurs soient obligés d'utiliser l'authentification RADIUS (Remote Authentication Dial-In User Service). Vous configurez les informations du serveur RADIUS sur le service VMware Identity Manager. Le support RADIUS offre une large gamme d'options alternatives d'authentification à jeton à deux facteurs. Puisque ces solutions d'authentification à deux facteurs, telles que RADIUS, fonctionnent avec les gestionnaires d'authentification installés sur des serveurs distincts, configurez le serveur RADIUS et mettez- le à disposition du service du gestionnaire d'identité. Lorsque les utilisateurs se connectent à leur portail Workspace ONE et que l'authentification RADIUS est activée, une boîte de dialogue de connexion spéciale apparaît dans le navigateur. Les utilisateurs entrent leur nom d'utilisateur et leur code secret d'authentification RADUS dans la boîte de dialogue de connexion. Si le serveur RADIUS émet une stimulation d'accès, le service du gestionnaire d'identité ouvre une boîte de dialogue qui invite à entrer un second code secret. Le support actuel des challenges RADIUS est limité à la demande de saisie de texte. Une fois que l'utilisateur a entré ses informations d'identification dans la boîte de dialogue, le serveur RADIUS peut envoyer un SMS ou un e-mail, ou du texte à l'aide d'un autre mécanisme hors bande sur le téléphone portable de l'utilisateur avec un code. L'utilisateur peut entrer ce texte et le code dans la boîte de dialogue de connexion pour terminer l'authentification. Si le serveur RADIUS permet d'importer des utilisateurs depuis Active Directory, les utilisateurs finaux peuvent d'abord être invités à fournir des informations d'identification Active Directory avant d'être invités à fournir un nom d'utilisateur et un code secret d'authentification RADIUS. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 67
Préparer le serveur RADIUS Installez le serveur RADIUS et configurez-le pour qu'il accepte les demandes RADIUS provenant du service VMware Identity Manager. Pour plus d'informations sur la configuration du serveur RADIUS, consultez les guides de configuration du fournisseur RADIUS. Notez les informations de votre configuration RADIUS car vous en avez besoin lorsque vous configurez RADIUS dans le service. Pour voir le type d'informations RADIUS requises pour configurer VMware Identity Manager, reportez-vous à la section « Configurer l'authentification RADIUS dans VMware Identity Manager », page 68. Vous pouvez configurer un serveur d'authentification Radius secondaire afin de l'utiliser pour la haute disponibilité. Si le serveur RADIUS principal ne répond pas dans le délai d'attente du serveur configuré pour l'authentification RADIUS, la demande est routée vers le serveur secondaire. Lorsque le serveur principal ne répond pas, le serveur secondaire reçoit toutes les futures demandes d'authentification. Configurer l'authentification RADIUS dans VMware Identity Manager Vous activez l'authentification RADIUS et configurez les paramètres RADIUS dans la console d'administration de VMware Identity Manager. Prérequis Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur. Vous devez connaître les informations suivantes sur le serveur RADIUS pour configurer RADIUS sur le service. n Adresse IP ou nom DNS du serveur RADIUS. n Numéros de port d'authentification. En général, le port d'authentification est le port 1812. n Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2). n Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS. n Valeurs du délai d’expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré pour l'authentification RADIUS. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RadiusAuthAdapter. Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 4 Cliquez sur Modifier pour configurer ces champs sur la page Adaptateur d'authentification. Option Action Nom Un nom est requis. Le nom par défaut est RadiusAuthAdapter. Vous pouvez modifier ce paramètre. Activer l'adaptateur Radius Cochez cette case pour activer l'authentification RADIUS. Administration de VMware Identity Manager 68 VMware, Inc.
Option Action Nombre de tentatives d'authentificat ion autorisées Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de cinq tentatives. Nombre de tentatives pour le serveur Radius Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend l'heure configurée avant de réessayer. Nom d'hôte/adresse du serveur Radius Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS. Port d'authentificat ion Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812. Port de gestion Entrez 0 pour le numéro de port. Le port de gestion n'est pas utilisé actuellement. Type d'authentificat ion Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2. Code secret partagé Entrez le code secret partagé utilisé entre le serveur RADIUS et le service VMware Identity Manager. Délai d'attente du serveur en secondes Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas. Préfixe du domaine (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine. Si vous spécifiez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A est spécifié, le nom d'utilisateur DOMAIN-Ajdoe est envoyé au serveur RADIUS. Si vous ne configurez pas ces champs, seul le nom d'utilisateur qui est entré est envoyé. Suffixe du domaine (Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur jdoe@myco.com est envoyé au serveur RADIUS. Conseil pour la phrase secrète de la page de connexion Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le bon code secret Radius. Par exemple, si ce champ est configuré avec Mot de passe AD en premier, puis code secret SMS, le message sur la page de connexion serait Entrez votre mot de passe AD en premier, puis le code secret SMS. La chaîne de texte par défaut est RADIUS Passcode. 5 Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité. Configurez le serveur secondaire comme décrit à l'étape 4. 6 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification RADIUS à la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 69
Configuration de RSA Adaptive Authentication dans VMware Identity Manager RSA Adaptive Authentication peut être implémenté pour offrir une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Adaptive Authentication surveille et authentifie les tentatives de connexion des utilisateurs selon des niveaux de risque et des stratégies. Lorsque Adaptive Authentication est activé, les indicateurs de risque spécifiés dans les stratégies de risque configurées dans l'application RSA Policy Management et la configuration du service VMware Identity Manager d'Adaptive Authentication sont utilisés pour déterminer si un utilisateur est authentifié avec un nom d'utilisateur et un mot de passe ou si des informations supplémentaires sont nécessaires pour authentifier l'utilisateur. Méthodes d'authentification prises en charge de RSA Adaptive Authentication Les méthodes d'authentification forte de RSA Adaptive Authentication prises en charge dans le service VMware Identity Manager sont une authentification hors bande par téléphone, e-mail ou SMS et des questions de sécurité. Vous activez sur le service les méthodes de RSA Adaptive Authentication pouvant être fournies. Les stratégies de RSA Adaptive Authentication déterminent si une méthode d'authentification secondaire est nécessaire. L'authentification hors bande est un processus qui requiert qu'une vérification supplémentaire soit envoyée avec le nom d'utilisateur et le mot de passe. Lorsque des utilisateurs s'inscrivent sur le serveur RSA Adaptive Authentication, ils fournissent une adresse e-mail, un numéro de téléphone, ou les deux, en fonction de la configuration du serveur. Lorsqu'une vérification supplémentaire est requise, le serveur RSA Adaptive Authentication envoie un code secret unique par le canal fourni. Les utilisateurs entrent ce code secret, ainsi que leur nom d'utilisateur et leur mot de passe. Les questions de sécurité requièrent que l'utilisateur réponde à une série de questions lorsqu'il s'inscrit sur le serveur RSA Adaptive Authentication. Vous pouvez configurer le nombre de questions d'inscription à poser et le nombre de questions de sécurité à présenter sur la page de connexion. Inscription d'utilisateurs avec le serveur RSA Adaptive Authentication Les utilisateurs doivent être provisionnés dans la base de données RSA Adaptive Authentication pour pouvoir utiliser Adaptive Authentication pour l'authentification. Les utilisateurs sont ajoutés à la base de données RSA Adaptive Authentication la première fois qu'ils se connectent avec leur nom d'utilisateur et leur mot de passe. En fonction de la façon dont vous avez configuré RSA Adaptive Authentication dans le service, lorsque les utilisateurs se connectent, il peut leur être demandé de fournir leur adresse e-mail, leur numéro de téléphone, leur numéro de service de messagerie texte (SMS) ou de répondre à des questions de sécurité. Remarque RSA Adaptive Authentication n'autorise pas les caractères internationaux dans les noms d'utilisateur. Si vous prévoyez d'autoriser les caractères multioctet dans les noms d'utilisateur, contactez le support RSA pour configurer RSA Adaptive Authentication et RSA Authentication Manager. Administration de VMware Identity Manager 70 VMware, Inc.
Configurer RSA Adaptive Authentication dans Identity Manager Pour configurer RSA Adaptive Authentication sur le service, vous activez RSA Adaptive Authentication, sélectionnez les méthodes d'authentification adaptative à appliquer et ajoutez les informations de connexion et le certificat Active Directory. Prérequis n RSA Adaptive Authentication correctement configuré avec les méthodes d'authentification à utiliser pour l'authentification secondaire. n Détails sur l'adresse de point de terminaison SOAP et le nom d'utilisateur SOAP. n Informations de configuration Active Directory et certificat SSL Active Directory disponibles. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteur, colonne Travailleurs, sélectionnez le lien correspondant au connecteur qui est configuré. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RSAAAldpAdapter. Vous serez redirigé vers la page de l'adaptateur d'authentification du gestionnaire d'identité. 4 Cliquez sur le lien Modifier à côté de RSAAAldpAdapter 5 Sélectionnez les réglages appropriés pour votre environnement. Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sont facultatifs. Option Description *Nom Un nom est requis. Le nom par défaut est RSAAAldpAdapter. Vous pouvez modifier ce nom. Activer l'adaptateur RSA AA Cochez la case pour activer RSA Adaptive Authentication. *Point de terminaison SOAP Entrez l'adresse du point de terminaison SOAP pour l'intégration entre l'adaptateur RSA Adaptive Authentication et le service. *Nom d'utilisateur SOAP Entrez le nom d'utilisateur et le mot de passe utilisés pour signer des messages SOAP. Domaine RSA Entrez l'adresse de domaine du serveur Adaptive Authentication. Activer les e-mails OOB Cochez cette case pour activer l'authentification hors bande qui envoie un code secret unique à l'utilisateur final par e-mail. Activer les SMS OOB Cochez cette case pour activer l'authentification hors bande qui envoie un code secret unique à l'utilisateur final par SMS. Activer SecurID Cochez cette case pour activer securID. Les utilisateurs sont invités à entrer leur jeton et leur code secret RSA. Activer la question secrète Cochez cette case si vous voulez utiliser des questions d'inscription et de sécurité pour l'authentification. *Nombre de questions d'inscription Entrez le nombre de questions que l'utilisateur devra configurer lorsqu'il s'inscrit sur le serveur de l'adaptateur d'authentification. *Nombre de questions de sécurité Entrez le nombre de questions de sécurité auxquelles les utilisateurs doivent répondre correctement pour se connecter. *Nombre de tentatives d'authentification autorisées Entrez le nombre de fois que les questions de sécurité seront affichées à un utilisateur essayant de se connecter avant que l'authentification échoue. Type d'annuaire Le seul annuaire pris en charge est Active Directory. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 71
Option Description Port du serveur Entrez le numéro de port Active Directory. Hôte du serveur Entrez le nom d'hôte Active Directory. Utiliser SSL Cochez cette case si vous utilisez SSL pour vous connecter au dossier. Vous ajoutez le certificat SSL Active Directory dans le champ Certificat de l'annuaire. Utiliser l'emplacement du service DNS Cochez cette case si l'emplacement du service DNS est utilisé pour vous connecter au dossier. ND de base Saisissez le ND à partir duquel effectuer les recherches de compte. Par exemple : OU=myUnit,DC=myCorp,DC=com. ND Bind Entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Mot de passe Bind Entrez le mot de passe du compte ND Bind. Attribut de recherche Entrez l'attribut du compte contenant le nom d'utilisateur. Certificat de l'annuaire Pour établir des connexions SSL sécurisées, ajoutez le certificat du serveur d'annuaire dans la zone de texte. S'il existe plusieurs serveurs, ajoutez le certificat racine de l'autorité de certification. 6 Cliquez sur Enregistrer. Suivant Activez la méthode d'authentification RSA Adaptive Authentication dans le fournisseur d'identité intégré dans l'onglet Identité et gestion de l'accès > Gérer. Voir « Configuration d'un fournisseur d'identité intégré », page 78. Ajoutez la méthode d'authentification RSA Adaptive Authentication à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès> Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter Adaptive Authentication. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager Vous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce que possède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne sait (le mot de passe de la clé Administration de VMware Identity Manager 72 VMware, Inc.
privée ou le code PIN de la carte à puce). Un certificat X.509 utilise la norme d'infrastructure de clé publique (KPI) pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. Pour l'authentification par carte à puce, les utilisateurs connectent la carte à puce à l'ordinateur et saisissent un code PIN. Les certificats des cartes à puce sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance de VMware Identity Manager dans ce navigateur. Remarque Lorsque l'authentification par certificat est configurée et que le dispositif de service est paramétré derrière un équilibrage de charge, assurez-vous que VMware Identity Manager Connector est configuré avec un relais SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur. Lorsque votre équilibrage de charge est configuré pour mettre fin à SSL au niveau de l'équilibrage de charge, vous pouvez déployer un second connecteur derrière un autre équilibrage de charge pour prendre en charge l'authentification par certificat. Pour plus d'informations sur l'ajout d'un second connecteur, consultez le Guide d'installation et de configuration de VMware Identity Manager. Utilisation du nom de l'utilisateur principal pour l'authentification par certificat Vous pouvez utiliser le mappage de certificat dans Active Directory. Les connexions par certificat et par carte à puce utilisent le nom de l'utilisateur principal (UPN) d'Active Directory pour valider les comptes d'utilisateur. Les comptes d'utilisateurs Active Directory qui essaient de s'authentifier dans le service VMware Identity Manager doivent disposer d'un UPN valide qui correspond à l'UPN du certificat. Vous pouvez configurer le VMware Identity Manager pour utiliser une adresse e-mail afin de valider le compte d'utilisateur si l'UPN n'existe pas dans le certificat. Vous pouvez également activer un type d'UPN alternatif à utiliser. Autorité de certification requise pour l'authentification Pour activer la connexion à l'aide de l'authentification par certificat, des certificats racine et intermédiaires doivent être chargés dans le VMware Identity Manager. Les certificats sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance de VMware Identity Manager dans ce navigateur. Pour l'authentification par carte à puce, lorsqu'un utilisateur initie une connexion sur l'instance de VMware Identity Manager, le service VMware Identity Manager envoie une liste d'autorités de certification (CA) approuvées au navigateur. Le navigateur compare la liste des CA approuvées aux certificats d'utilisateur disponibles, sélectionne un certificat adapté, puis demande à l'utilisateur de saisir le code PIN d'une carte à puce. Si plusieurs certificats d'utilisateur valides sont disponibles, le navigateur demande à l'utilisateur de sélectionner un certificat. Si un utilisateur ne peut pas s'authentifier, les autorités de certification racine et intermédiaire sont peut-être mal configurées, ou le service n'a peut-être pas été redémarré après le téléchargement des autorités de certification racine et intermédiaire sur le serveur. Dans ces situations, le navigateur ne peut pas afficher les certificats installés, l'utilisateur ne peut pas sélectionner le certificat correct, ce qui fait échouer l'authentification par certificat. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 73
Utilisation du contrôle de la révocation des certificats Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une organisation, perd une carte à puce ou change de service. Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat. Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL. Connexion avec le contrôle de la CRL Lorsque la révocation des certificats est autorisée, le serveur VMware Identity Manager lit une CRL pour déterminer l'état de révocation d'un certificat d'utilisateur. Si un certificat est révoqué, l'authentification par certificat échoue. Connexion avec le contrôle de certificat OCSP Lorsque vous configurez le contrôle de la révocation par le protocole OCSP, VMware Identity Manager envoie une demande à un répondeur OCSP pour déterminer le statut de révocation d'un certificat d'utilisateur spécifique. Le serveur VMware Identity Manager utilise le certificat de signature OCSP pour vérifier l'authenticité des réponses reçues de la part du répondeur OCSP. Si le certificat est révoqué, l'authentification échoue. Il est possible de configurer l'authentification pour basculer vers le contrôle par CRL si aucune réponse n'est reçue de la part du répondeur OSCP ou si la réponse n'est pas valide. Configurer l'authentification par certificat pour VMware Identity Manager Vous activez et configurez l'authentification par certificat dans la console d'administration de VMware Identity Manager. Prérequis n Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs. n (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat. n Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP. n (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP. n Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré. Administration de VMware Identity Manager 74 VMware, Inc.
3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter. 4 Configurez la page Adaptateur d'authentification par certificat. Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sont facultatifs. Option Description *Nom Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vous pouvez modifier ce nom. Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat. *Certificats d'autorité de certification racine et intermédiaire Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM. Certificats d'autorité de certification téléchargés Les fichiers de certificat téléchargés sont répertoriés dans la section Certificats d'autorité de certification téléchargés du formulaire. Utiliser une adresse e-mail s'il n'existe pas d'UPN dans le certificat Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochez cette case pour utiliser l'attribut emailAddress comme extension Autre nom de l'objet afin de valider des comptes d'utilisateurs. Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat. Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires. Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. Le contrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier. Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué. Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée. Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat. Utiliser la CRL en cas de défaillance du protocole Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible. Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyée dans la réponse. URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation. Certificat de la signature du répondeur OCSP Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer. Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat. Contenu du formulaire de consentement Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zone de texte. 5 Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 75
Suivant n Ajoutez la méthode d'authentification de certificat à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter Certificat. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. n Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuré derrière un équilibrage de charge, assurez-vous que le connecteur VMware Identity Manager est configuré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur. Configuration de VMware Verify pour l'authentification à deux facteurs Dans la console d'administration de VMware Identity Manager, vous pouvez activer le service VMware Verify comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise. Vous activez VMware Verify dans le fournisseur d'identité intégré dans la console d'administration et ajoutez le jeton de sécurité VMware Verify que vous recevez de la part du support VMware. Vous configurez l'authentification à deux facteurs dans les règles de stratégie d'accès pour exiger des utilisateurs qu'ils s'authentifient avec deux méthodes d'authentification. Les utilisateurs installent l'application VMware Verify sur leurs périphériques et fournissent un numéro de téléphone pour enregistrer leur périphérique auprès du service VMware Verify. Le périphérique et le numéro de téléphone sont également enregistrés dans le profil Utilisateur et groupes dans la console d'administration. Les utilisateurs inscrivent leur compte une fois lorsqu'ils se connectent avec l'authentification par mot de passe, puis qu'ils entrent le code secret VMware Verify qui s'affiche sur leur périphérique. Après l'authentification initiale, les utilisateurs peuvent s'authentifier via l'une de ces trois méthodes. n Approbation push avec une notification monotouche. Les utilisateurs approuvent ou refusent l'accès de VMware Identity Manager avec un clic. Les utilisateurs cliquent sur Approuver ou sur Refuser sur le message envoyé. n Code secret TOTP (Time-based One Time Password). Un code secret à usage unique est généré toutes les 20 secondes. Les utilisateurs entrent ce code secret sur l'écran de connexion. n SMS. Phone SMS est utilisé pour envoyer un code de vérification à usage unique dans un SMS au numéro de téléphone enregistré. Les utilisateurs entrent ce code de vérification sur l'écran de connexion. VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité. Activer VMware Verify Pour activer l'authentification à deux facteurs avec le service VMware Verify, vous devez ajouter un jeton de sécurité à la page VMware Verify et activer VMware Verify dans le fournisseur d'identité intégré. Prérequis Créez un ticket de support avec le support VMware ou AirWatch pour recevoir le jeton de sécurité qui active VMware Verify. L'équipe du support traite votre demande et met à jour le ticket de support avec des instructions et un jeton de sécurité. Vous ajoutez ce jeton de sécurité à la page VMware Verify. (Facultatif) Personnalisez le logo et l'icône qui s'affichent dans l'application VMware Verify sur les périphériques. Voir « Personnaliser des informations de marque pour l'application VMware Verify », page 126. Administration de VMware Identity Manager 76 VMware, Inc.
Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Sélectionnez le fournisseur d'identité nommé Intégré. 3 Cliquez sur l'icône d'engrenage de VMware Verify. 4 Cochez la case Activer l'authentification multi-facteur. 5 Collez le jeton de sécurité que vous avez reçu de la part de l'équipe du support VMware ou AirWatch dans la zone de texte Jeton de sécurité. 6 Cliquez sur Enregistrer. Suivant Créez une règle de stratégie d'accès dans la stratégie d'accès par défaut pour ajouter la méthode d'authentification VMware Verify comme seconde méthode d'authentification dans la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Appliquez des informations de marque personnalisées sur la page de connexion de VMware Verify. Voir « Personnaliser des informations de marque pour l'application VMware Verify », page 126. Enregistrement des utilisateurs finaux avec VMware Verify Lorsque l'authentification VMware Verify est requise pour l'authentification à deux facteurs, les utilisateurs installent et utilisent l'application VMware Verify pour enregistrer leur périphérique. Remarque L'application VMware Verify peut être téléchargée depuis les boutiques d'applications. Lorsque l'authentification à deux facteurs VMware Verify est activée, la première fois que les utilisateurs se connectent à l'application Workspace ONE, il leur est demandé d'entrer leur nom d'utilisateur et leur mot de passe. Lorsque le nom d'utilisateur et le mot de passe sont vérifiés, les utilisateurs sont invités à entrer le numéro de téléphone de leur périphérique à inscrire dans VMware Verify. Lorsqu'ils cliquent sur Inscription, le numéro de téléphone est enregistré avec VMware Verify et, s'ils n'ont pas téléchargé cette application, ils sont invités à le faire. Lorsque l'application est installée, il est demandé aux utilisateurs d'entrer le même numéro de téléphone que celui entré précédemment et de sélectionner une méthode de notification pour recevoir un code d'enregistrement à usage unique. Le code d'enregistrement est entré sur la page Code PIN d'enregistrement. Une fois le numéro de téléphone du périphérique enregistré, les utilisateurs peuvent utiliser un code secret à usage unique basé sur l’heure affiché dans l'application VMware Verify pour se connecter à Workspace ONE. Le code secret est un numéro unique généré sur le périphérique et qui change constamment. Les utilisateurs peuvent enregistrer plusieurs périphériques. Le code secret VMware Verify est synchronisé automatiquement sur chaque périphérique enregistré. Supprimer le numéro de téléphone enregistré du profil d'utilisateur Pour résoudre les problèmes de connexion à Workspace ONE, vous pouvez supprimer le numéro de téléphone de l'utilisateur du profil utilisateur dans la console d'administration de VMware Identity Manager. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sur la page Utilisateur, sélectionnez le nom d'utilisateur à réinitialiser. 3 Dans l'onglet VMware Verify, cliquez sur Réinitialiser VMware Verify. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 77
Le numéro de téléphone est supprimé du profil utilisateur et la liste Utilisateur indique S/O dans la colonne Numéro de téléphone de VMware Verify. L'enregistrement du numéro de téléphone est annulé du service VMware Verify. Lorsque l'utilisateur se connecte à son application Workspace ONE, il est invité à entrer le numéro de téléphone pour s'inscrire de nouveau au service VMware Verify. Configuration d'un fournisseur d'identité intégré Un fournisseur d'identité intégré est disponible sur la page Identité et gestion de l'accès > Fournisseurs d'identité de la console d'administration. Vous pouvez créer des fournisseurs d'identité intégrés supplémentaires. Le fournisseur d'identité intégré disponible peut être configuré sur des méthodes d'authentification de service qui ne nécessitent pas un connecteur. Méthodes d'authentification configurées sur un connecteur déployé derrière la zone DMZ en mode de connexion sortie seule sur le service VMware Identity Manager. Les méthodes d'authentification que vous configurez dans ce fournisseur d'identité intégré peuvent être activées dans d'autres fournisseurs d'identité intégrés que vous ajoutez. Vous n'avez pas besoin de configurer des méthodes d'authentification dans les fournisseurs d'identité intégrés que vous ajoutez. Les méthodes d'authentification suivantes ne requièrent pas un connecteur et elles sont configurées sur le fournisseur d'identité intégré par défaut. n Mobile SSO pour iOS n Certificat (déploiement de Cloud) n Mot de passe utilisant AirWatch Connector n VMware Verify pour authentification à deux facteurs n Mobile SSO pour Android n Conformité des périphériques avec AirWatch n Mot de passe (répertoire local) Remarque Le mode de connexion sortie seule n'exige pas qu'un port de pare-feu soit ouvert. Lorsque ces méthodes d'authentification sont configurées dans le fournisseur d'identité intégré, si des utilisateurs et des groupes se trouvent dans un annuaire d'entreprise, avant d'utiliser ces méthodes d'authentification, vous devez synchroniser les utilisateurs et les groupes dans le service VMware Identity Manager. Une fois que vous avez activé les méthodes d'authentification, vous créez des stratégies d'accès à appliquer à ces méthodes d'authentification. Configurer des fournisseurs d'identité intégrés Configurez le fournisseur d'identité intégré par défaut avec les méthodes d'authentification qui ne requièrent pas un connecteur. Les méthodes d'authentification que vous configurez ici peuvent être activées sur d'autres fournisseurs d'identité intégrés que vous ajoutez à votre environnement. Procédure 1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité. Administration de VMware Identity Manager 78 VMware, Inc.
2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré. Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sont répertoriés. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Méthodes d'authentification Pour configurer une méthode d'authentification, cliquez sur les icônes d'engrenage et configurez les méthodes d'authentification. Lorsque vous intégrez AirWatch à VMware Identity Manager, vous pouvez sélectionner les méthodes d'authentification à utiliser. Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatch Connector), vérifiez que l'option est activée sur la page de configuration d'AirWatch. 3 Une fois que vous avez créé les méthodes d'authentification, cochez les cases de celles que vous voulez utiliser avec ce fournisseur d'identité intégré. 4 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser dans la configuration AirWatch du profil de gestion du périphérique iOS. 5 Cliquez sur Ajouter. Les méthodes d'authentification que vous avez configurées peuvent être activées dans d'autres fournisseurs d'identité intégrés que vous ajoutez, sans configuration supplémentaire. Configurer un fournisseur d'identité intégré lorsque le connecteur est en mode sortie seule Pour la connexion sortie seule au service VMware Identity Manager Cloud, dans le fournisseur d'identité intégré, activez les méthodes d'authentification que vous avez configurées dans le connecteur. Prérequis n Les utilisateurs et les groupes situés dans un répertoire d'entreprise doivent être synchronisés avec le répertoire VMware Identity Manager. n Liste des plages réseau que vous souhaitez rediriger vers l'instance du fournisseur d'identité intégré à des fins d'authentification. n Pour activer des méthodes d'authentification du fournisseur d'identité intégré, vérifiez que les méthodes d'authentification sont configurées dans le connecteur. Procédure 1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité. 2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré. Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sont répertoriés. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 79
Option Description Méthodes d'authentification Lorsque vous intégrez AirWatch à VMware Identity Manager, vous pouvez sélectionner les méthodes d'authentification à utiliser. Cliquez sur l'icône d'engrenage des méthodes d'authentification à configurer. Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatch Connector), vérifiez que l'option est activée sur la page de configuration d'AirWatch. Connecteur(s) (Facultatif) Sélectionnez le connecteur qui est configuré en mode de connexion sortie seule. Méthodes d'authentification du connecteur Les méthodes d'authentification configurées sur le connecteur sont répertoriées dans cette section. Cochez la case pour activer les méthodes d'authentification. 3 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser dans la configuration AirWatch du profil de gestion du périphérique iOS. 4 Cliquez sur Enregistrer. Configurer des fournisseurs d'identité Workspace supplémentaires Quand le connecteur VMware Identity Manager est configuré initialement, lorsque vous activez le connecteur afin d'authentifier des utilisateurs, un IDP Workspace est créé en tant que fournisseur d'identité et l'authentification par mot de passe est activée. Des connecteurs supplémentaires peuvent être configurés derrière différents équilibrages de charge. Lorsque votre environnement inclut plusieurs équilibrages de charge, vous pouvez configurer un fournisseur d'identité Workspace différent pour l'authentification dans chaque configuration à équilibrage de charge. Consultez les rubriques Installation de dispositifs de connecteur supplémentaires dans le Guide d'installation et de configuration de VMware Identity Manager. Les différents fournisseurs d'identité Workspace peuvent être associés au même annuaire ou, si vous disposez de plusieurs annuaires configurés, vous pouvez sélectionner l'annuaire à utiliser. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP Workspace. 3 Modifiez les paramètres de l'instance de fournisseur d'identité. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité Workspace. Utilisateurs Sélectionnez l'annuaire VMware Identity Manager des utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité Workspace. Connecteur(s) Les connecteurs qui ne sont pas associés à l'annuaire que vous avez sélectionné sont répertoriés. Sélectionnez le connecteur à associer à l'annuaire. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. 4 Cliquez sur Ajouter. Administration de VMware Identity Manager 80 VMware, Inc.
Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs Vous pouvez configurer un fournisseur d'identité tiers utilisé pour authentifier des utilisateurs dans le service VMware Identity Manager. Effectuez les tâches suivantes avant d'utiliser la console d'administration pour ajouter l'instance de fournisseur d'identité tiers. n Vérifiez que les instances tierces sont conformes à la norme SAML 2.0 et que le service peut atteindre l'instance tierce. n Obtenez les informations sur les métadonnées tierces à ajouter lors de la configuration du fournisseur d'identité dans la console d'administration. Les informations de métadonnées que vous obtenez de l'instance tierce correspondent à l'URL d'accès aux métadonnées ou aux métadonnées proprement dites. n Si le provisionnement juste-à-temps est activé pour ce fournisseur d'identité, tenez compte des exigences des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs. Voir « Exigences des assertions SAML », page 55. Ajouter et configurer une instance de fournisseur d'identité En ajoutant et en configurant des instances de fournisseurs d'identité pour votre déploiement VMware Identity Manager, vous pouvez garantir une disponibilité élevée, prendre en charge des méthodes d'authentification d'utilisateurs supplémentaires et améliorer la souplesse de gestion du processus d'authentification des utilisateurs en fonction des plages d'adresses IP de ces derniers. Prérequis n Configurez les plages réseau que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Voir « Ajout ou modification d'une plage réseau », page 83. n Accédez au document sur les métadonnées tierces. Il peut s'agir de l'URL d'accès aux métadonnées ou des métadonnées réelles. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP tiers. Modifiez les paramètres de l'instance de fournisseur d'identité. 3 Modifiez les paramètres de l'instance de fournisseur d'identité. Élément de formulaire Description Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité. Métadonnées SAML Ajoutez le document sur les métadonnées XML IdP tierces afin d'établir une relation d'approbation avec le fournisseur d'identité. 1 Entrez l'URL des métadonnées SAML ou le contenu xml dans la zone de texte. 2 Cliquez sur Traiter les métadonnées IdP. Les formats NameID pris en charge par l'IdP sont extraits des métadonnées et ajoutés au tableau Format d'ID de nom. 3 Dans la colonne de valeurs ID de nom, sélectionnez l'attribut utilisateur dans le service à mapper aux formats d'ID affichés. Vous pouvez ajouter des formats d'ID de nom tiers et les mapper aux valeurs d'attribut utilisateur du service. 4 (Facultatif) Sélectionnez le format de la chaîne d'identificateur de réponse NameIDPolicy. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 81
Élément de formulaire Description Provisionnement juste- à-temps Configurez le provisionnement juste-à-temps afin de créer des utilisateurs dans le service Identity Manager de manière dynamique lorsqu'ils se connectent pour la première fois. Un répertoire JIT est créé et les attributs dans l'assertion SAML sont utilisés pour créer l'utilisateur dans le service. Voir Chapitre 6, « Provisionnement d'utilisateurs juste-à- temps », page 51. Utilisateurs Sélectionnez les répertoires des utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Méthodes d'authentification Ajoutez les méthodes d'authentification prises en charge par le fournisseur d'identité tiers. Sélectionnez la classe de contexte d'authentification SAML qui prend en charge la méthode d'authentification. Configuration de la déconnexion unique Activez la déconnexion unique pour fermer la session de fournisseur d'identité des utilisateurs lorsqu'ils se déconnectent. Si la déconnexion unique n'est pas activée, la session de fournisseur d'identité des utilisateurs est toujours active lorsqu'ils se déconnectent. (Facultatif) Si le fournisseur d'identité prend en charge le profil de déconnexion unique SAML, activez la déconnexion unique et laissez la case URL de redirection vide. Si le fournisseur d'identité ne prend pas en charge le profil de déconnexion unique SAML, activez la déconnexion unique et entrez l'URL de déconnexion du fournisseur d'identité vers laquelle les utilisateurs sont redirigés lorsqu'ils se déconnectent de VMware Identity Manager. Si vous avez configuré l'URL de redirection et si vous voulez que les utilisateurs retournent à la page de connexion de VMware Identity Manager après avoir été redirigés vers l'URL de déconnexion du fournisseur d'identité, entrez le nom de paramètre utilisé par l'URL de redirection du fournisseur d'identité. Certificat de signature SAML Cliquez sur Métadonnées du fournisseur de services (SP) pour voir l'URL vers les métadonnées du fournisseur de services SAML VMware Identity Manager. Copiez et enregistrez l'URL. Cette URL est configurée lorsque vous modifiez l'assertion SAML dans le fournisseur d'identité tiers pour mapper des utilisateurs VMware Identity Manager. Nom d'hôte IdP Si la zone de texte Nom d'hôte s'affiche, entrez le nom d'hôte vers lequel le fournisseur d'identité est redirigé pour l'authentification. Si vous utilisez un port non standard autre que 443, vous pouvez définir le nom d'hôte avec le format Nom d'hôte:Port. Par exemple, myco.example.com:8443. 4 Cliquez sur Ajouter. Suivant n Ajoutez la méthode d'authentification du fournisseur d'identité à la stratégie par défaut des services. Voir « Application de méthodes d'authentification aux règles de stratégie », page 85. n Modifiez la configuration du fournisseur d'identité tiers pour ajouter l'URL de certificat de signature SAML que vous avez enregistrée. Administration de VMware Identity Manager 82 VMware, Inc.
Gestion des méthodes d'authentification à appliquer aux utilisateurs Le service VMware Identity Manager tente d'authentifier les utilisateurs selon les méthodes d'authentification, la stratégie d'accès par défaut, les plages réseau et les instances de fournisseurs d'identité que vous configurez. Lorsque des utilisateurs tentent de se connecter, le service évalue les règles de stratégie par défaut pour déterminer la règle de la stratégie à appliquer. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance de fournisseur d'identité qui répond aux exigences relatives à la méthode d'authentification et à la plage réseau de la règle est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance de fournisseur d'identité à des fins d'authentification. Si l'authentification échoue, la méthode d'authentification suivante configurée dans la règle est appliquée. Vous pouvez ajouter des règles qui spécifient les méthodes d'authentification à utiliser par type de périphérique ou par type de périphérique et à partir d'une plage réseau spécifique. Par exemple, vous pouvez configurer une règle qui exige que les utilisateurs qui se connectent à l'aide de périphériques iOS à partir d'un réseau spécifique s'authentifient à l'aide de RSA SecurID. Configurez ensuite une autre règle qui exige que les utilisateurs qui se connectent avec un autre type de périphérique à partir de l'adresse IP du réseau interne s'authentifient à l'aide de leur mot de passe. Ajout ou modification d'une plage réseau Créez des plages réseau pour définir les adresses IP à partir desquelles les utilisateurs peuvent se connecter. Vous ajoutez les plages réseau que vous créez à des instances de fournisseurs d'identité spécifiques et pour accéder à des règles de stratégie. Une plage réseau, appelée TOUTES LES PLAGES, est créée comme plage par défaut. Cette plage réseau comprend chaque adresse IP disponible sur Internet, de 0.0.0.0 à 255.255.255.255. Si votre déploiement compte une seule instance de fournisseur d'identité, vous pouvez modifier la plage d'adresses IP et ajouter d'autres plages afin d'exclure ou d'inclure des adresses IP spécifiques à la plage réseau par défaut. Vous pouvez créer d'autres plages réseau avec des adresses IP spécifiques que vous pouvez appliquer à des fins particulières. Remarque La plage réseau par défaut (TOUTES LES PLAGES) et sa description (« un réseau pour toutes les plages ») sont modifiables. Vous pouvez modifier le nom et la description, notamment traduire le texte dans une autre langue, à l'aide de la fonctionnalité Modifier de la page Plages réseau. Prérequis n Définissez les plages réseau pour votre déploiement de VMware Identity Manager en fonction de la topologie du réseau. n Lorsque View est activé dans le service, vous spécifiez l'URL View par plage réseau. Pour ajouter une plage réseau lorsque le module View est activé, notez l'URL d'accès à Horizon Client et le numéro de port de la plage réseau. Pour plus d'informations, consultez la documentation de View. Consultez le chapitre Configuration des ressources dans VMware Identity Manager, Fourniture d'un accès aux pools de postes de travail et d'applications View. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration > Plages réseau. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 83
2 Modifiez une plage réseau existante ou ajoutez une plage. Option Description Modifier une plage réseau existante Cliquez sur le nom de la plage réseau pour la modifier. Ajouter une plage Cliquez sur Ajouter une plage réseau pour ajouter une nouvelle plage. 3 Modifiez la page Ajouter une plage réseau. Élément de formulaire Description Nom Entrez un nom pour la plage réseau. Description Entrez une description pour la plage réseau. Espaces View L'option Espaces View s'affiche uniquement lorsque le module View est activé. Hôte de l'URL d'accès au client. Entrez l'URL d'accès à Horizon Client correspondant à la plage réseau. Port d'accès à Client. Entrez le numéro de port d'accès à Horizon Client correspondant à la plage réseau. Plages d'adresses IP Modifiez ou ajoutez des plages d'adresses IP jusqu'à ce que toutes les adresses IP souhaitées soient incluses et toutes les adresses IP non souhaitées soient exclues. Suivant n Associez chaque plage réseau à une instance de fournisseur d'identité. n Associez les plages réseau à une règle de stratégie d'accès, si nécessaire. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Application de la stratégie d'accès par défaut Le service VMware Identity Manager inclut une stratégie d'accès par défaut qui contrôle l'accès des utilisateurs à leurs portails Workspace ONE et leurs applications Web. Il est possible de modifier la stratégie pour changer ses règles si nécessaire. Lorsque vous activez des méthodes d'authentification autres qu'une authentification par mot de passe, vous devez modifier la stratégie par défaut pour ajouter la méthode d'authentification activée aux règles de la stratégie. Chaque règle de la stratégie d'accès par défaut exige qu'un ensemble de critères soit satisfait pour accorder à l'utilisateur l'accès au portail d'applications. Vous pouvez appliquer une plage réseau, déterminer le type d'utilisateur autorisé à accéder au contenu et sélectionner la méthode d'authentification souhaitée. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Le nombre de tentatives effectuées par le service pour connecter un utilisateur à l'aide d'une méthode d'authentification donnée varie. Le service n'effectue qu'une seule tentative d'authentification pour Kerberos ou l'authentification par certificat. Si la tentative de connexion d'un utilisateur échoue, une tentative est effectuée sur la méthode d'authentification suivante de la règle. Le nombre maximal d'échecs de la tentative de connexion pour l'authentification par mot de passe Active Directory et RSA SecurID est de cinq par défaut. Lorsqu'un utilisateur enregistre cinq tentatives de connexion infructueuses, le service tente de connecter l'utilisateur en utilisant la méthode d'authentification suivante dans la liste. Lorsque toutes les méthodes d'authentification ont été utilisées sans succès, le service affiche un message d'erreur. Administration de VMware Identity Manager 84 VMware, Inc.
Application de méthodes d'authentification aux règles de stratégie Seule la méthode d'authentification par mot de passe est configurée dans les règles de stratégie par défaut. Vous devez modifier les règles de stratégie pour sélectionner les autres méthodes d'authentification que vous avez configurées et définir l'ordre dans lequel les méthodes d'authentification sont utilisées pour l'authentification. Vous pouvez configurer des règles de stratégie d'accès qui exigent que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Voir « Configuration de paramètres de stratégie d'accès », page 87. Prérequis Activez et configurez les méthodes d'authentification que votre organisation prend en charge. Voir Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur la stratégie d'accès par défaut à modifier. 3 Dans la section Règles de stratégie, cliquez sur la méthode d'authentification à modifier ou, pour ajouter une nouvelle règle de stratégie, cliquez sur l'icône +. a Vérifiez que la plage réseau est correcte. Si vous ajoutez une règle, sélectionnez la plage réseau de cette règle de stratégie. b Sélectionnez le type de périphérique que cette règle gère dans le menu déroulant et que l'utilisateur essaie d'accéder à du contenu provenant de…. c Configurez l'ordre d'authentification. Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, sélectionnez la méthode d'authentification à appliquer en priorité. Pour exiger que les utilisateurs s'authentifient via deux méthodes d'authentification, cliquez sur + et, dans le menu déroulant, sélectionnez une seconde méthode d'authentification. d (Facultatif) Pour configurer des méthodes d'authentification de secours supplémentaires, dans le menu déroulant Si la méthode d'authentification précédente échoue :, sélectionnez une autre méthode d'authentification activée. Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle. e Dans le menu déroulant Nouvelle authentification après, sélectionnez la durée de la session après laquelle les utilisateurs doivent s'authentifier de nouveau. f (Facultatif) Créez un message d'accès refusé personnalisé qui s'affiche lorsque l'authentification utilisateur échoue. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ 650 mots. Si vous voulez envoyer les utilisateurs vers une autre page, dans la zone de texte URL du lien, entrez l'adresse de lien de l'URL. Dans la zone de texte Texte du lien, entrez le texte qui doit s'afficher pour le lien. Si vous laissez cette zone de texte vide, le mot Continuer s'affiche. g Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 85
4 Cliquez sur Enregistrer. Administration de VMware Identity Manager 86 VMware, Inc.
Gestion des stratégies d'accès 8 Pour offrir un accès sécurisé au portail d'applications des utilisateurs et pour lancer des applications Web et de poste de travail, vous configurez des stratégies d'accès avec des règles qui spécifient des critères devant être respectés pour que les utilisateurs puissent se connecter à leur portail d'applications et utiliser leurs ressources. Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type de périphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodes d'authentification et le nombre d'heures pendant lesquelles l'authentification est valide. Le service VMware Identity Manager inclut une stratégie par défaut qui contrôle l'accès au service globalement. Cette stratégie est configurée pour autoriser l'accès à toutes les plages réseau, depuis tous les types de périphérique, avec un délai d'expiration de la session de huit heures, et la méthode d'authentification est l'authentification par mot de passe. Vous pouvez modifier la stratégie par défaut. Remarque Les stratégies ne contrôlent pas la durée d'une session d'application. Elles contrôlent plutôt la durée de la période pendant laquelle les utilisateurs peuvent lancer une application. Ce chapitre aborde les rubriques suivantes : n « Configuration de paramètres de stratégie d'accès », page 87 n « Gestion des stratégies spécifiques à une application Web et de poste de travail », page 90 n « Ajouter une stratégie spécifique à une application Web ou de poste de travail », page 92 n « Configurer le message d'erreur d'accès refusé personnalisé », page 92 n « Modifier une stratégie d'accès », page 93 n « Activation du cookie persistant sur des périphériques mobiles », page 94 Configuration de paramètres de stratégie d'accès Une stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vous pouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façon globale ou à des applications Web et de poste de travail spécifiques. Une règle de stratégie peut être configurée pour prendre des mesures, comme bloquer, autoriser ou authentifier par relais des utilisateurs, en fonction de conditions telles que le réseau, le type de périphérique, l'état d'inscription et de conformité du périphérique AirWatch ou l'application en cours d'accès. VMware, Inc. 87
Plage réseau Pour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuis l'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer les ensembles de stratégies d'accès. Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau est couverte par l'instance d'un fournisseur d'identité existant. Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuvent se connecter et accéder à leurs applications. Type de périphérique Sélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web, l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques. Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu et toutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle de stratégie. Méthodes d'authentification Dans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée. Vous pouvez configurer des règles de stratégie d'accès pour exiger que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Si une méthode d'authentification, ou les deux, échoue et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification configurées suivantes. Les deux scénarios suivants décrivent comment ce chaînage d'authentification peut fonctionner. n Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas à entrer les bonnes informations d'identification Kerberos. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe. n Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas entrer les bonnes informations d'identification Kerberos. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification. Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques, Conformité des périphériques avec AirWatch doit être activé sur la page du fournisseur d'identité intégré. Voir « Configurer une règle de stratégie d'accès pour la vérification de la conformité », page 149. Administration de VMware Identity Manager 88 VMware, Inc.
Durée de la session d'authentification Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour démarrer une application spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatre heures pour démarrer l'application Web sans devoir initier un autre événement d'authentification qui étend la durée. Message d'erreur d'accès refusé personnalisé Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée. Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide. Exemple de stratégie par défaut La stratégie suivante est un exemple de configuration de la stratégie par défaut pour contrôler l'accès au portail d'applications et à des applications Web auxquelles aucune stratégie spécifique n'est attribuée. Les règles de stratégie sont évaluées dans l'ordre indiqué dans la stratégie. Vous pouvez modifier l'ordre des règles en effectuant un glisser-déposer de la règle dans la section Règles de stratégie. 1 n Pour le réseau interne, deux méthodes d'authentification sont configurées pour la règle, l'authentification Kerberos et par mot de passe, comme méthode de secours. Pour accéder au portail d'applications depuis un réseau interne, le service tente d'authentifier les utilisateurs d'abord avec l'authentification Kerberos, car il s'agit de la première méthode d'authentification répertoriée dans la règle. Si cela échoue, les utilisateurs sont invités à entrer leur mot de passe Active Directory. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails utilisateur pendant une session de huit heures. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 89
n Pour l'accès depuis le réseau externe (Toutes les plages), une seule méthode d'authentification est configurée, RSA SecurID. Pour accéder au portail d'applications depuis un réseau externe, les utilisateurs doivent se connecter avec SecurID. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails d'applications pendant une session de quatre heures. 2 Cette stratégie par défaut s'applique à toutes les applications Web et de poste de travail ne disposant pas d'une stratégie spécifique à une application. Gestion des stratégies spécifiques à une application Web et de poste de travail Lorsque vous ajoutez des applications Web et de poste de travail au catalogue, vous pouvez créer des stratégies d'accès spécifiques à une application. Par exemple, vous pouvez créer une stratégie de règles pour une application Web qui spécifie les adresses IP ayant accès à l'application, les méthodes d'authentification à utiliser et l'intervalle au terme duquel une réauthentification est requise. La stratégie spécifique à une application Web suivante fournit un exemple de stratégie que vous pouvez créer pour contrôler l'accès aux applications Web spécifiées. Exemple 1 Stratégie spécifique à une application Web stricte Dans cet exemple, une nouvelle stratégie est créée et appliquée à une application Web sensible. 1 Pour accéder au service depuis l'extérieur du réseau d'entreprise, l'utilisateur doit se connecter à l'aide de RSA SecurID. L'utilisateur se connecte via un navigateur et a maintenant accès au portail d'applications pour une session de quatre heures, comme spécifié par la règle d'accès par défaut. 2 Au bout de quatre heures, l'utilisateur tente de démarrer une application Web à laquelle la stratégie Applications Web sensibles est appliquée. 3 Le service vérifie les règles de la stratégie et applique la stratégie avec la plage réseau TOUTES LES PLAGES, car la demande de l'utilisateur provient d'un navigateur Web et de la plage réseau TOUTES LES PLAGES. Administration de VMware Identity Manager 90 VMware, Inc.
L'utilisateur s'est connecté avec la méthode d'authentification RSA SecurID, mais la session vient d'expirer. L'utilisateur est redirigé pour une réauthentification. La réauthentification fournit à l'utilisateur une autre session de 4 heures et la possibilité de démarrer l'application. Pendant les quatre heures suivantes, l'utilisateur peut continuer à exécuter l'application sans devoir s'authentifier de nouveau. Exemple 2 Stratégie spécifique à une application Web plus stricte Pour qu'une règle plus stricte s'applique à des applications Web extra sensibles, vous pouvez avoir à vous authentifier de nouveau avec SecureId sur un périphérique après une heure. Voici un exemple de la mise en œuvre d'une règle d'accès de ce type de stratégie. 1 L'utilisateur se connecte depuis le réseau d'entreprise à l'aide de la méthode d'authentification Kerberos. L'utilisateur peut à présent accéder au portail d'applications pendant huit heures, comme indiqué dans l'exemple 1. 2 L'utilisateur tente immédiatement de démarrer une application Web à laquelle la règle de stratégie Exemple 2 est appliquée, ce qui nécessite une authentification RSA SecurID. 3 L'utilisateur est redirigé vers la page de connexion d'authentification RSA SecurID. 4 Une fois que l'utilisateur s'est connecté, le service lance l'application et enregistre l'événement d'authentification. L'utilisateur peut continuer à exécuter cette application pendant au moins une heure, mais doit s'authentifier de nouveau au bout d'une heure, comme l'exige la règle de stratégie. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 91
Ajouter une stratégie spécifique à une application Web ou de poste de travail Vous pouvez créer des stratégies spécifiques à une application pour gérer l'accès des utilisateurs à des applications Web et de poste de travail spécifiques. Prérequis n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plage réseau », page 83. n Configurez les méthodes d'authentification adaptées à votre déploiement. Voir Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. n Si vous prévoyez de modifier la stratégie par défaut (pour contrôler globalement l'accès de l'utilisateur au service), configurez-la avant de créer une stratégie spécifique à une application. n Ajoutez les applications Web et de poste de travail au catalogue. Au moins une application doit être répertoriée sur la page Catalogue avant de pouvoir ajouter une stratégie spécifique à une application. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur Ajouter une stratégie pour ajouter une nouvelle stratégie. 3 Ajoutez le nom et la description de la stratégie dans les zones de texte respectives. 4 Dans la section Appliquer à, cliquez sur Sélectionner et, sur la page qui s'affiche, sélectionnez les applications associées à cette stratégie. 5 Dans la section Règles de la stratégie, cliquez sur + pour ajouter une règle. La page Ajouter une règle de stratégie s'affiche. a Sélectionnez la plage réseau pour appliquer cette règle. b Sélectionnez le type de périphérique pouvant accéder aux applications pour cette règle. c Sélectionnez les méthodes d'authentification à utiliser, dans l'ordre dans lequel elles doivent être appliquées. d Spécifiez le nombre d'heures pendant lesquelles une session d'application peut être ouverte. e Cliquez sur Enregistrer. 6 Configurez des règles supplémentaires si nécessaire. 7 Cliquez sur Enregistrer. Configurer le message d'erreur d'accès refusé personnalisé Pour chaque règle de stratégie, vous pouvez créer un message d'erreur d'accès refusé personnalisé qui s'affiche lorsque des utilisateurs tentent de se connecter mais échouent, car leurs informations d'identification ne sont pas valides. Le message personnalisé peut inclure du texte et un lien vers une autre URL afin d'aider les utilisateurs à résoudre leurs problèmes. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ 650 mots. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. Administration de VMware Identity Manager 92 VMware, Inc.
2 Cliquez sur la stratégie d'accès à modifier. 3 Pour ouvrir la page d'une règle de stratégie, cliquez sur le nom d'authentification dans la colonne Méthode d'authentification de la règle à modifier. 4 Dans la zone de texte Message d'erreur personnalisé, saisissez le message d'erreur. 5 Pour ajouter un lien à une URL, dans la zone Texte du lien, entrez une description du lien et, dans URL du lien, entrez l'URL. Le lien s'affiche à la fin du message personnalisé. Si vous n'ajoutez pas de texte dans la zone Texte du lien mais que vous ajoutez une URL, le texte du lien qui s'affiche est Continuer. 6 Cliquez sur Enregistrer. Suivant Créez des messages d'erreur personnalisés pour d'autres règles de stratégie. Modifier une stratégie d'accès Vous pouvez modifier la stratégie d'accès par défaut pour modifier les règles de stratégie et vous pouvez modifier des stratégies spécifiques à une application afin d'ajouter ou de supprimer des applications et de modifier des règles de stratégie. Vous pouvez à tout moment supprimer une stratégie d'accès spécifique à une application. La stratégie d'accès par défaut est permanente. Vous ne pouvez pas supprimer la stratégie par défaut. Prérequis n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plage réseau », page 83. n Configurez les méthodes d'authentification adaptées à votre déploiement. Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur la stratégie pour la modifier. 3 Si cette stratégie s'applique à des applications Web ou de poste de travail, cliquez sur Modifier des applications pour ajouter ou supprimer des applications dans cette stratégie. 4 Dans la section Règles de stratégie, colonne Méthode d'authentification, sélectionnez la règle à modifier. La page Modifier une règle de stratégie s'affiche avec la configuration existante. 5 Pour configurer l'ordre d'authentification, dans le menu déroulant l'utilisateur doit ensuite s'authentifier à l'aide de la méthode suivante, sélectionnez la méthode d'authentification à appliquer en priorité. 6 (Facultatif) Pour configurer une méthode d'authentification de secours si la première authentification échoue, sélectionnez une autre méthode d'authentification activée dans le menu déroulant suivant. Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle. 7 Cliquez sur Enregistrer et de nouveau sur Enregistrer sur la page Stratégie. La règle de stratégie modifiée prend immédiatement effet. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 93
Suivant Si la stratégie est une stratégie d'accès spécifique à une application, vous pouvez également appliquer la stratégie à des applications de la page Catalogue. Voir « Ajouter une stratégie spécifique à une application Web ou de poste de travail », page 92 Activation du cookie persistant sur des périphériques mobiles Activez le cookie persistant pour activer l'authentification unique entre le navigateur du système et les applications natives ainsi que l'authentification unique entre les applications natives lorsque les applications utilisent Safari View Controller sur des périphériques iOS et Chrome Custom Tabs sur des périphériques Android. Le cookie persistant stocke les détails de session de connexion de l'utilisateur afin que les utilisateurs n'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressources gérées via VMware Identity Manager. Le délai d'expiration du cookie peut être configuré dans les règles de stratégie d'accès que vous configurez pour les périphériques iOS et Android. Remarque Les cookies sont vulnérables et sensibles au vol de cookies sur des navigateurs communs et aux attaques de script intersites. Activer le cookie persistant Le cookie persistant stocke les détails de session de connexion des utilisateurs afin que ces derniers n'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressources gérées depuis leurs périphériques mobiles iOS ou Android. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration > Préférences. 2 Cochez Activer le cookie persistant. 3 Cliquez sur Enregistrer. Suivant Pour régler le délai d'expiration de session du cookie persistant, modifiez la valeur de réauthentification dans les règles de stratégie d'accès pour les types de périphérique iOS et Android. Administration de VMware Identity Manager 94 VMware, Inc.
Gestion des utilisateurs et des groupes 9 Les utilisateurs et les groupes dans le service VMware Identity Manager sont importés depuis votre répertoire d'entreprise ou sont créés en tant qu'utilisateurs et groupes locaux dans la console d'administration de VMware Identity Manager. Dans la console d'administration, la page Utilisateurs et groupes fournit un affichage axé sur les utilisateurs et les groupes du service. Vous pouvez gérer les droits des utilisateurs et des groupes, des affiliations de groupe et des numéros de téléphone VMware Verify. Pour les utilisateurs locaux, vous pouvez également gérer les stratégies de mot de passe. Ce chapitre aborde les rubriques suivantes : n « Types d'utilisateurs et de groupes », page 95 n « À propos des noms d'utilisateur et des noms de groupe », page 96 n « Gestion des utilisateurs », page 97 n « Créer des groupes et configurer des règles de groupe », page 98 n « Modifier les règles du groupe », page 101 n « Ajouter des ressources à des groupes », page 101 n « Créer des utilisateurs locaux », page 102 n « Gestion des mots de passe », page 104 Types d'utilisateurs et de groupes Les utilisateurs dans le service VMware Identity Manager peuvent être des utilisateurs synchronisés à partir de votre annuaire d'entreprise, des utilisateurs locaux que vous provisionnez dans la console d'administration ou des utilisateurs créés avec le provisionnement juste-à-temps. Les groupes dans le service VMware Identity Manager peuvent être des groupes synchronisés à partir de votre annuaire d'entreprise et des groupes locaux que vous créez dans la console d'administration. Les utilisateurs et les groupes importés depuis votre annuaire d'entreprise sont mis à jour dans l'annuaire VMware Identity Manager en fonction du planning de synchronisation de votre serveur. Vous pouvez voir les comptes d'utilisateur et de groupe sur les pages Utilisateur et groupes. Il n'est pas possible de modifier ou de supprimer ces utilisateurs et ces groupes. Vous pouvez créer des utilisateurs et des groupes locaux. Des utilisateurs locaux sont ajoutés à un annuaire local. Vous gérez les stratégies de mappage d'attributs utilisateur local et les stratégies de mot de passe. Vous pouvez créer des groupes locaux pour gérer des droits de ressource pour des utilisateurs. VMware, Inc. 95
Les utilisateurs créés avec le provisionnement juste-à-temps sont créés et mis à jour dynamiquement lorsque l'utilisateur se connecte, en fonction des assertions SAML envoyées par le fournisseur d'identité. La gestion de tous les utilisateurs est gérée via des assertions SAML. Pour utiliser le provisionnement juste-à-temps, consultez Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51. À propos des noms d'utilisateur et des noms de groupe Dans le service VMware Identity Manager, les utilisateurs et les groupes sont identifiés exclusivement par leur nom et leur domaine. Cela permet d'avoir plusieurs utilisateurs ou groupes avec le même nom dans différents domaines Active Directory. Les noms d'utilisateur et les noms de groupe doivent être uniques dans un domaine. Noms d'utilisateur Le service VMware Identity Manager permet de disposer de plusieurs utilisateurs de même nom dans différents domaines Active Directory. Les noms d'utilisateur doivent être uniques dans un domaine. Par exemple, il peut exister un utilisateur jean dans le domaine ing.exemple.com et un autre utilisateur jean dans le domaine ventes.exemple.com. Les utilisateurs sont identifiés exclusivement par leur nom d'utilisateur et leur domaine. L'attribut userName dans VMware Identity Manager est utilisé pour les noms d'utilisateur et, en général, il est mappé à l'attribut sAMAccountName dans Active Directory. L'attribut de domaine est utilisé pour les domaines et, en général, il est mappé à l'attribut canonicalName dans Active Directory. Lors de la synchronisation du répertoire, les utilisateurs portant le même nom, mais appartenant à des domaines différents sont correctement synchronisés. S'il existe un conflit de noms d'utilisateur dans un domaine, le premier utilisateur est synchronisé, et une erreur se produit pour les utilisateurs suivants portant le même nom. Remarque Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur est incorrect ou manquant, vérifiez les paramètres du domaine et synchronisez de nouveau le répertoire. Voir « Synchroniser l'annuaire pour corriger des informations de domaine », page 97. Dans la console d'administration, vous pouvez identifier les utilisateurs exclusivement par leur nom d'utilisateur et leur domaine. Par exemple : n Dans l'onglet Tableau de bord, dans la colonne Utilisateurs et groupes, les utilisateurs sont répertoriés sous la forme utilisateur (domaine). Par exemple, jean (ventes.exemple.com). n Dans l'onglet Utilisateurs et groupes sur la page Utilisateurs, la colonne DOMAINE indique le domaine auquel l'utilisateur appartient. n Les rapports contenant des informations utilisateur, tels que le rapport Droits de ressources, comportent une colonne DOMAINE. Lorsque des utilisateurs finaux se connectent au portail utilisateur, sur la page de connexion, ils sélectionnent le domaine auquel ils appartiennent. Si plusieurs utilisateurs portent le même nom, chaque utilisateur peut se connecter en utilisant le domaine approprié. Remarque Ces informations s'appliquent aux utilisateurs synchronisés depuis Active Directory. Si vous utilisez un fournisseur d'identité tiers et que vous avez configuré le provisionnement d'utilisateur juste-à- temps, voir Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51 pour plus d'informations. Le provisionnement d'utilisateur juste-à-temps prend également en charge plusieurs utilisateurs avec le même nom dans des domaines différents. Administration de VMware Identity Manager 96 VMware, Inc.
Noms de groupe Le service VMware Identity Manager permet de disposer de plusieurs groupes de même nom dans différents domaines Active Directory. Les noms de groupe doivent être uniques dans un domaine. Par exemple, vous pouvez avoir un groupe appelé tousutilisateurs dans le domaine ing.exemple.com et un autre groupe appelé tousutilisateurs dans le domaine ventes.exemple.com. Les groupes sont identifiés exclusivement par leur nom et leur domaine. Lors de la synchronisation du répertoire, les groupes portant le même nom, mais appartenant à des domaines différents sont correctement synchronisés. S'il existe un conflit de noms de groupe dans un domaine, le premier groupe est synchronisé et une erreur se produit pour les groupes suivants avec le même nom. Dans l'onglet Utilisateur et groupes, sur la page Groupes de la console d'administration, des groupes Active Directory sont répertoriés selon leurs noms et leurs domaines. Cela vous permet de distinguer les groupes portant le même nom. Les groupes créés localement dans le service VMware Identity Manager sont répertoriés selon leurs noms. Le domaine est répertorié sous la forme Utilisateurs locaux. Synchroniser l'annuaire pour corriger des informations de domaine Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur est incorrect ou manquant, vous devez vérifier les paramètres du domaine et synchroniser de nouveau le répertoire. Il est nécessaire de vérifier les paramètres de domaine pour que les utilisateurs ou les groupes de même nom dans différents domaines Active Directory soient correctement synchronisés avec le répertoire VMware Identity Manager et pour que les utilisateurs puissent se connecter. Procédure 1 Dans la console d'administration, accédez à la page Identité et gestion de l'accès > Répertoires. 2 Sélectionnez le répertoire à synchroniser, puis cliquez sur Paramètres de synchronisation et sur l'onglet Attributs mappés. 3 Sur la page Attributs mappés, vérifiez que l'attribut domaine de VMware Identity Manager est mappé vers le nom d'attribut correct dans Active Directory. L'attribut domaine est en général mappé vers l'attribut canonicalName dans Active Directory. L'attribut domaine n'est pas marqué comme Obligatoire. 4 Cliquez sur Enregistrer et synchroniser pour synchroniser le répertoire. Gestion des utilisateurs La page Utilisateurs dans la console d'administration affiche des informations sur chaque utilisateur, notamment son ID, son domaine, les groupes dont il est membre, son numéro de téléphone VMware Verify et s'il est activé dans VMware Identity Manager. Sélectionnez un nom d'utilisateur pour voir des informations détaillées. Les détails incluent le profil utilisateur, les affiliations de groupe, les périphériques activés via VMware Verify et les droits de l'utilisateur. Profil utilisateur La page Profil utilisateur affiche les données personnelles associées à l'utilisateur et le rôle affecté (Utilisateur ou Administrateur). Les informations utilisateur qui se synchronisent à partir d'un répertoire externe peuvent également inclure le nom principal, le nom unique et les données ID externes. La page de profil d'un utilisateur local affiche les attributs utilisateur disponibles pour les utilisateurs dans le répertoire de l'utilisateur local. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 97
Les données sur la page Profil utilisateur des utilisateurs qui se synchronisent à partir de votre répertoire externe ne peuvent pas être modifiées. Vous pouvez modifier le rôle de l'utilisateur. Sur les pages de profil utilisateur local, vous pouvez modifier les informations d'attribut, désactiver l'utilisateur pour qu'il ne puisse pas se connecter et supprimer l'utilisateur. Affiliations du groupe Une liste des groupes auxquels l'utilisateur appartient s'affiche sur la page Groupes. Vous pouvez cliquer sur le nom d'un groupe pour afficher la page des détails de ce groupe. Enregistré avec VMware Verify La page VMware Verify affiche le numéro de téléphone que l'utilisateur a enregistré avec VMware Verify et les périphériques enregistrés. Vous pouvez également voir quand le compte a été utilisé pour la dernière fois. Vous pouvez supprimer le numéro de téléphone de l'utilisateur. Lorsque vous réinitialisez VMware Verify, les utilisateurs doivent entrer de nouveau leur numéro de téléphone pour se réinscrire à Verify. Voir « Supprimer le numéro de téléphone enregistré du profil d'utilisateur », page 77. Droits d'application Cliquez sur Ajouter un droit pour attribuer à un utilisateur les ressources disponibles dans votre catalogue. Ensuite, définissez la façon dont l'application est ajoutée à son portail Workspace ONE. Sélectionnez le déploiement pour qu'il soit Automatique afin que l'application s'affiche automatiquement dans le portail Workspace ONE. Sélectionnez Activé par l'utilisateur pour que l'utilisateur active l'application avant qu'elle soit ajoutée au portail Workspace ONE à partir de la collection de catalogue. Certains types de ressources disposent d'un bouton X. Vous pouvez cliquer dessus pour retirer à l'utilisateur l'accès à la ressource. Créer des groupes et configurer des règles de groupe Vous pouvez créer des groupes, ajouter des membres à des groupes et créer des règles de groupe qui vous permettent de remplir des groupes en fonction des règles que vous définissez. Utilisez les groupes pour attribuer simultanément plusieurs utilisateurs aux mêmes ressources, plutôt que d'attribuer chaque utilisateur individuellement. Un utilisateur peut appartenir à plusieurs groupes. Par exemple, si vous créez un groupe Ventes et un groupe Gestion, un représentant commercial peut appartenir aux deux groupes. Vous pouvez spécifier quels paramètres de stratégie s'appliquent aux membres d'un groupe. Les utilisateurs dans des groupes sont définis par des règles que vous définissez pour un attribut utilisateur. Si la valeur d'un attribut d'un utilisateur change de la valeur de règle de groupe définie, l'utilisateur est supprimé du groupe. Procédure 1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Groupes. 2 Cliquez sur Ajouter un groupe. 3 Entrez le nom du groupe et sa description. Cliquez sur Suivant. 4 Pour ajouter des utilisateurs au groupe, entrez les lettres du nom d'utilisateur. Lorsque vous tapez le texte, une liste de noms qui correspondent s'affiche. 5 Sélectionnez le nom d'utilisateur et cliquez sur +Ajouter un utilisateur. Continuez à ajouter des membres au groupe. Administration de VMware Identity Manager 98 VMware, Inc.
6 Une fois les utilisateurs ajoutés au groupe, cliquez sur Suivant. 7 Sur la page Règles de groupe, sélectionnez comment l'appartenance au groupe doit être accordée. Dans le menu déroulant, sélectionnez indifférent ou tous. Option Action Indifférent Accorde l'appartenance au groupe lorsque l'une des conditions d'appartenance au groupe est satisfaite. Cette action fonctionne comme une condition OU. Par exemple, si vous sélectionnez Indifférent pour les règles Groupe Est Ventes et Groupe Est Marketing, le personnel des Ventes et du Marketing devient membre de ce groupe. Tous Accorde l'appartenance au groupe lorsque toutes les conditions d'appartenance au groupe sont satisfaites. L'utilisation de Tous fonctionne comme une condition ET. Par exemple, si vous sélectionnez Tous les éléments suivants pour les règles Groupe Est Ventes et E-mail Commence par 'région_ouest', seul le personnel des ventes dans la région Ouest devient membre de ce groupe. Le personnel des ventes des autres régions ne devient pas membre. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 99
8 Configurez une ou plusieurs règles pour votre groupe. Vous pouvez imbriquer des règles. Option Description Attribut Sélectionnez l'un de ces attributs dans le menu déroulant de la première colonne. Sélectionnez Groupe pour ajouter un groupe existant au groupe que vous créez. Vous pouvez ajouter d'autres types d'attribut pour gérer quels utilisateurs dans les groupes sont membres du groupe que vous créez. Règles d'attributs Les règles suivantes sont disponibles selon l'attribut que vous avez sélectionné. n Sélectionnez est pour choisir un groupe ou un répertoire à associer à ce groupe. Entrez un nom dans la zone de texte. Pendant que vous tapez, une liste des groupes ou des répertoires disponibles s'affiche. n Sélectionnez n'est pas pour choisir un groupe ou un répertoire à exclure. Entrez un nom dans la zone de texte. Pendant que vous tapez, une liste des groupes ou des répertoires disponibles s'affiche. n Sélectionnez correspond à pour accorder l'appartenance au groupe aux entrées qui correspondent exactement au critère que vous avez saisi. Par exemple, votre organisation pourrait avoir un département de voyages d'affaires qui partage un numéro de central téléphonique. Si vous voulez accorder l'accès à une application de réservation de voyages à tous les employés qui partagent le même numéro de téléphone, vous créez une règle telle que Téléphone correspond à (555) 555-1000. n Sélectionnez ne correspond pas à pour accorder l'appartenance au groupe à toutes les entrées du serveur d'annuaire, à l'exception de celles qui correspondent au critère que vous avez entré. Par exemple, si l'un de vos départements partage un numéro de central téléphonique, vous pouvez exclure ce département de l'accès à une application de réseau social en créant une règle telle que Téléphone ne correspond pas à (555) 555-2000. Les entrées du serveur d'annuaire avec d'autres numéros de téléphone ont accès à l'application. n Sélectionnez commence par pour accorder l'appartenance au groupe aux entrées du serveur d'annuaire qui commencent par le critère que vous avez entré. Par exemple, les adresses e-mail de l'organisation peuvent commencer par le nom du département, comme ventes_nomutilisateur@exemple.com. Si vous voulez accorder l'accès à une application à tous les membres de l'équipe des ventes, vous pouvez créer une règle, telle que E-mail commence par ventes_. n Sélectionnez ne commence pas par pour accorder l'appartenance au groupe à toutes les entrées du serveur d'annuaire, à l'exception de celles qui commencent par le critère que vous avez entré. Par exemple, si les adresses e-mail de votre département des ressources humaines sont au format rh_nomutilisateur@exemple.com, vous pouvez refuser l'accès à une application en créant une règle telle que E-mail ne commence pas par rh_. Les entrées du serveur de dossiers comportant d'autres adresses e-mail ont accès à l'application. Utilisation de l'attribut Indifférent ou Tous (Facultatif) Pour inclure les attributs Indifférent ou Tous dans le cadre de la règle de groupe, ajoutez cette règle en dernier. n Sélectionnez Indifférent pour l'appartenance au groupe à accorder lorsque l'une des conditions d'appartenance au groupe est satisfaite pour cette règle. L'utilisation de Indifférent permet d'imbriquer des règles. Par exemple, vous pouvez créer une règle qui stipule Tous les éléments suivants : Groupe est ventes ; Groupe est Californie. Pour Groupe est Californie, tous les éléments suivants : téléphone commence par 415 ; téléphone commence par 510. Le membre du groupe doit appartenir à votre équipe des Ventes en Californie et disposer d'un numéro de téléphone qui commence par 415 ou 510. n Sélectionnez Tous pour toutes les conditions à satisfaire pour cette règle. Il est possible d'imbriquer les règles. Par exemple, vous pouvez créer une règle qui stipule L'un des éléments suivants : Groupe Est Gestionnaires ; Groupe Est Service Client. Pour Groupe est service Client, tous les éléments suivants : E-mail commence par sc_ ; Administration de VMware Identity Manager 100 VMware, Inc.
Option Description téléphone commence par 555. Les membres du groupe peuvent être gestionnaires ou représentants du service client, mais les représentants du service client doivent disposer d'une adresse e-mail qui commence par sc et d'un numéro de téléphone qui commence par 555. 9 (Facultatif) Pour exclure des utilisateurs spécifiques, entrez un nom d'utilisateur dans la zone de texte et cliquez sur Exclure un utilisateur. 10 Cliquez sur Suivant et examinez les informations de groupe. Cliquez sur Créer un groupe. Suivant Ajoutez les ressources que le groupe a le droit d'utiliser. Modifier les règles du groupe Vous pouvez modifier des règles de groupe afin de modifier le nom du groupe, ajouter et supprimer des utilisateurs. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes. 2 Cliquez sur le nom du groupe à modifier. 3 Cliquez sur Modifier les utilisateurs du groupe. 4 Cliquez sur les pages pour modifier le nom, les utilisateurs dans le groupe et les règles. 5 Cliquez sur Enregistrer. Ajouter des ressources à des groupes La façon la plus efficace d'autoriser des utilisateurs à accéder à des ressources consiste à ajouter les droits à un groupe. Tous les membres du groupe peuvent accéder aux applications octroyées au groupe. Prérequis Des applications sont ajoutées à la page Catalogue. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes. La page affiche une liste des groupes. 2 Pour ajouter des ressources à un groupe, cliquez sur le nom du groupe. 3 Cliquez sur l'onglet Applications, puis sur Ajouter un droit. 4 Sélectionnez le type d'application à octroyer dans le menu déroulant. Les types d'applications indiqués dans le menu déroulant se basent sur les types d'applications ajoutés au catalogue. 5 Sélectionnez les applications à octroyer au groupe. Vous pouvez rechercher une application spécifique ou cocher la case à côté de Applications pour sélectionner toutes les applications affichées. Si une application est déjà octroyée au groupe, elle n'est pas répertoriée. 6 Cliquez sur Enregistrer. Les applications sont répertoriées sur la page Applications et les utilisateurs dans le groupe sont immédiatement autorisés à accéder aux ressources. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 101
Créer des utilisateurs locaux Vous pouvez créer des utilisateurs locaux dans le service VMware Identity Manager pour ajouter et gérer des utilisateurs qui ne sont pas provisionnés dans votre répertoire d'entreprise. Vous pouvez créer différents répertoires locaux et personnaliser le mappage d'attribut pour chaque répertoire. Vous créez un répertoire, sélectionnez des attributs et créez des attributs personnalisés pour ce répertoire local. Les attributs utilisateur requis userName, lastName, firstName et email sont spécifiés au niveau global sur la page Identité et gestion de l'accès > Attributs utilisateur. Dans la liste d'attributs utilisateur de répertoire local, vous pouvez sélectionner d'autres attributs requis et créer des attributs personnalisés pour avoir des ensembles d'attributs personnalisés pour différents répertoires locaux. Consultez Utilisation de répertoires locaux dans le guide Installation et configuration de VMware Identity Manager. Créez des utilisateurs locaux lorsque vous voulez autoriser des utilisateurs à accéder à vos applications, mais que vous ne voulez pas les ajouter à votre répertoire d'entreprise. n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement aux applications spécifiques dont ils ont besoin. n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un répertoire local pour des distributeurs disposant d'attributs utilisateur avec les étiquettes région et taille de marché. Vous créez un autre répertoire local pour les fournisseurs disposant d'un attribut utilisateur avec l'étiquette catégorie de produit. Vous configurez la méthode d'authentification que les utilisateurs locaux utilisent pour se connecter à votre site Web d'entreprise. Une stratégie de mot de passe est appliquée pour le mot de passe d'utilisateur local. Vous pouvez définir des restrictions de mot de passe et des règles de gestion du mot de passe. Lorsque vous avez provisionné un utilisateur, un e-mail est envoyé à cet utilisateur avec la procédure de connexion pour lui permettre d'activer son compte. Lorsqu'il se connecte, il crée un mot de passe et son compte est activé. Ajouter des utilisateurs locaux Vous créez un utilisateur à la fois. Lorsque vous ajoutez l'utilisateur, vous sélectionnez le répertoire local configuré avec les attributs de l'utilisateur local à utiliser et le domaine auquel l'utilisateur se connecte. Outre l'ajout des informations utilisateur, vous sélectionnez son rôle, utilisateur ou administrateur. Le rôle d'administrateur permet à l'utilisateur d'accéder à la console d'administration pour gérer les services VMware Identity Manager. Prérequis n Répertoire local créé n Domaine identifié pour les utilisateurs locaux n Attributs utilisateur devant être sélectionnés sur la page Attributs utilisateur du répertoire local n Stratégies de mot de passe configurées n Serveur SMTP configuré dans l'onglet Paramètres du dispositif pour envoyer une notification par e-mail aux utilisateurs locaux nouvellement créés Procédure 1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Ajouter un utilisateur. Administration de VMware Identity Manager 102 VMware, Inc.
2 Sur la page Ajouter un utilisateur, sélectionnez le répertoire local pour cet utilisateur. La page se développe pour afficher les attributs utilisateur à configurer. 3 Sélectionnez le domaine auquel est attribué cet utilisateur et renseignez les informations utilisateur requises. 4 Si ce rôle d'utilisateur est administrateur, dans la zone de texte Utilisateur, sélectionnez Administrateur. 5 Cliquez sur Ajouter. L'utilisateur local est créé. Un e-mail est envoyé à l'utilisateur pour lui demander de se connecter afin d'activer son compte et de créer un mot de passe. Le lien dans l'e-mail expire selon la valeur définie sur la page Stratégie de mot de passe. La valeur par défaut est sept jours. Si le lien expire, vous pouvez cliquer sur Réinitialiser le mot de passe pour renvoyer la notification par e-mail. Un utilisateur est ajouté à des groupes existants en fonction des règles d'attribut de groupe configurées. Suivant Accédez au compte d'utilisateur local pour examiner le profil, ajouter l'utilisateur à des groupes et autoriser l'utilisateur à accéder aux ressources à utiliser. Si vous avez créé un utilisateur administrateur dans le répertoire système qui est autorisé à accéder à des ressources gérées par une stratégie d'accès spécifique, vérifiez que les règles de stratégie d'application incluent Mot de passe (répertoire local) comme méthode d'authentification de secours. Si Mot de passe (répertoire local) n'est pas configuré, l'administrateur ne peut pas se connecter à l'application. Désactiver ou activer des utilisateurs locaux Vous pouvez désactiver des utilisateurs locaux pour les empêcher de se connecter et d'accéder à leur portail et à des ressources autorisées au lieu de les supprimer. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sur la page Utilisateurs, sélectionnez l'utilisateur. La page Profil d'utilisateur s'affiche. 3 En fonction de l'état de l'utilisateur local, effectuez l'une des actions suivantes. a Pour désactiver le compte, décochez la case Activer. b Pour activer le compte, sélectionnez Activer. Les utilisateurs désactivés ne peuvent pas se connecter au portail ou aux ressources qui leur étaient attribuées. S'ils travaillent dans une ressource autorisée lorsque l'utilisateur local est désactivé, ce dernier peut accéder aux ressources jusqu'à expiration de la session. Supprimer des utilisateurs locaux Vous pouvez supprimer des utilisateurs locaux. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sélectionnez l'utilisateur à supprimer. La page Profil d'utilisateur s'affiche. 3 Cliquez sur Supprimer l'utilisateur. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 103
4 Dans la fenêtre de confirmation, cliquez sur OK. L'utilisateur est supprimé de la liste Utilisateurs. Les utilisateurs supprimés ne peuvent pas se connecter au portail ou aux ressources qui leur étaient attribuées. Gestion des mots de passe Vous pouvez créer une stratégie de mot de passe pour gérer des mots de passe d'utilisateur local. Les utilisateurs locaux peuvent modifier leur mot de passe en fonction des règles de stratégie de mot de passe. Les utilisateurs locaux peuvent modifier leur mot de passe dans le portail Workspace ONE, en sélectionnant Compte dans le menu déroulant à côté de leur nom. Configurer une stratégie de mot de passe pour des utilisateurs locaux La stratégie de mot de passe d'utilisateurs locaux est un ensemble de règles et de restrictions sur le format et l'expiration des mots de passe d'utilisateurs locaux. La stratégie de mot de passe s'applique uniquement aux utilisateurs locaux que vous avez créés à partir de la console d'administration de VMware Identity Manager. La stratégie de mot de passe peut inclure des restrictions de mot de passe, la durée de vie maximale d'un mot de passe et, pour les réinitialisations de mot de passe, la durée de vie maximale du mot de passe temporaire. La stratégie de mot de passe par défaut requiert six caractères. Les restrictions de mot de passe peuvent inclure une combinaison de caractères en majuscule, en minuscule, numériques et spéciaux pour définir des mots de passe forts. Procédure 1 Dans la console d'administration, sélectionnez Utilisateurs et groupes > Paramètres. 2 Cliquez sur Stratégie de mot de passe pour modifier les paramètres de restriction de mot de passe. Option Description Longueur minimale des mots de passe La longueur minimale est de six caractères, mais vous pouvez exiger un nombre supérieur. La longueur minimale ne doit pas être inférieure au minimum combiné des exigences de caractères alphabétiques, numériques et spéciaux. Caractères minuscules Nombre minimal de caractères en minuscule. Minuscules a-z Caractères majuscules Nombre minimal de caractères en majuscule. Majuscules A-Z Caractères numériques (0 à 9) Nombre minimal de caractères numériques. Chiffres (0-9) Caractères spéciaux Nombre minimal de caractères non alphanumériques, par exemple & # % $ ! Caractères identiques consécutifs Nombre maximal de caractères identiques consécutifs. Par exemple, si vous entrez 1, le mot de passe p@s$word est autorisé, mais pas p@$$word. Historique des mots de passe Nombre de mots de passe précédents qui ne peuvent être sélectionnés. Par exemple, si un utilisateur ne peut réutiliser aucun des six derniers mots de passe, tapez « 6 ». Pour désactiver cette fonctionnalité, définissez la valeur sur 0. Administration de VMware Identity Manager 104 VMware, Inc.
3 Dans la section Gestion des mots de passe, modifiez les paramètres de durée de vie des mots de passe. Option Description Durée du mot de passe temporaire Nombre d'heures pendant lesquelles un lien de mot de passe oublié ou de réinitialisation de mot de passe est valide. La valeur par défaut est de 168 heures. Durée de vie du mot de passe Nombre maximal de jours d'existence d'un mot de passe au terme duquel l'utilisateur doit le changer. Rappel de mot de passe Nombre de jours pour l'envoi de la notification d'expiration du mot de passe avant l'expiration d'un mot de passe. Fréquence de notification des rappels de mot de passe Une fois la première notification d'expiration de mot de passe envoyée, fréquence à laquelle les rappels sont envoyés. Chaque case doit contenir une valeur pour configurer la stratégie de durée de vie du mot de passe. Pour ne pas définir d'option de stratégie, entrez 0. 4 Cliquez sur Enregistrer. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 105
Administration de VMware Identity Manager 106 VMware, Inc.
Gestion du catalogue 10 Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Vous ajoutez des applications au catalogue directement depuis l'onglet Catalogue. Pour voir les applications ajoutées au catalogue, cliquez sur l'onglet Catalogue dans la console d'administration. Sur la page Catalogue, vous pouvez effectuer les tâches suivantes : n Ajouter de nouvelles ressources à votre catalogue. n Visualiser les ressources auxquelles vous pouvez actuellement attribuer des utilisateurs. n Accéder aux informations sur chaque ressource de votre catalogue. Les applications Web peuvent être ajoutées directement dans votre catalogue depuis la page Catalogue. D'autres types de ressources nécessitent une action de votre part en dehors de console d'administration. Pour plus d'informations sur la configuration des ressources, reportez-vous à Configuration des ressources dans VMware Identity Manager. Ressource Comment voir la ressource dans votre catalogue Application Web Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications Web. Application Windows virtualisée capturée en tant que module ThinApp Synchronisez les packages ThinApp avec votre catalogue à partir de console d'administration, page Applications packagées - ThinApp. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Modules ThinApp. Pool de postes de travail View Synchronisez les pools View avec votre catalogue à partir de console d'administration, page Pools View. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Pools de postes de travail View. Applications hébergées View Synchronisez les applications View hébergées avec votre catalogue à partir de console d'administration, page Pools View. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications hébergées View. Application Citrix Synchronisez les applications Citrix avec votre catalogue à partir de console d'administration, page Applications packagées - Citrix. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications publiées Citrix. Ce chapitre aborde les rubriques suivantes : n « Gestion des ressources dans le catalogue », page 108 n « Groupement des ressources en catégories », page 111 n « Gestion des paramètres du catalogue », page 113 VMware, Inc. 107
Gestion des ressources dans le catalogue Avant de pouvoir attribuer une ressource particulière à vos utilisateurs, vous devez doter votre catalogue de cette ressource. La méthode utilisée pour doter votre catalogue d'une ressource dépend du type de cette ressource. Les types de ressources que vous pouvez définir dans votre catalogue pour l'octroi et la distribution aux utilisateurs sont les applications Web, les applications Windows capturées sous forme de modules VMware ThinApp, les pools de poste de travail Horizon View et les applications hébergées View, ou les applications Citrix. Pour intégrer et activer des pools de postes de travail et d'applications View, des ressources publiées Citrix ou des applications packagées ThinApp, vous utilisez le menu Gérer des applications de poste de travail dans l'onglet Catalogue. Pour obtenir plus d'informations et connaître les exigences, l'installation et la configuration de ces ressources, reportez-vous à la section Configuration des ressources dans VMware Identity Manager. Applications web Vous pouvez doter votre catalogue d'applications Web directement sur la page Catalogue de la console d'administration. Lorsque vous cliquez sur une application Web affichée sur la page Catalogue, les informations sur cette application s'affichent. Depuis la page qui s'affiche, vous pouvez configurer l'application Web, par exemple fournir les attributs SAML appropriés pour configurer une connexion Single Sign-On entre VMware Identity Manager et l'application Web ciblée. Lorsque l'application Web est configurée, vous pouvez alors lui attribuer des utilisateurs et des groupes. Voir « Ajout d'applications Web dans votre catalogue », page 108. Ajout d'applications Web dans votre catalogue Vous pouvez directement ajouter des applications Web dans votre catalogue à l'aide de la page Catalogue de la console d'administration. Reportez-vous à la section Configuration des ressources dans VMware Identity Manager, chapitre Fourniture d'un accès aux applications Web, pour obtenir des instructions détaillées sur l'ajout d'une application Web à votre catalogue. Les instructions suivantes fournissent un aperçu des étapes impliquées dans l'ajout de ces types de ressources à votre catalogue. Administration de VMware Identity Manager 108 VMware, Inc.
Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur + Ajouter une application. 3 Cliquez sur une option en fonction du type de ressource et de l'emplacement de l'application. Nom du lien Type de ressource Description Applications Web ...du catalogue d'applications Cloud Application Web VMware Identity Manager inclut l'accès aux applications Web par défaut, disponibles dans le catalogue d'applications Cloud et que vous pouvez ajouter à votre catalogue en tant que ressources. Application Web ... créer un nouvel enregistrement Application Web En renseignant le formulaire approprié, vous pouvez créer un enregistrement d'application pour les applications Web que vous voulez ajouter à votre catalogue en tant que ressources. Application Web ... importer un fichier ZIP ou JAR Application Web Vous pouvez importer une application Web précédemment configurée. Vous pouvez utiliser cette méthode pour effectuer un déploiement, depuis l'environnement de test jusqu'à la production. Dans une telle situation, vous pouvez exporter une application Web depuis le déploiement de l'environnement de test sous forme de fichier ZIP. Vous pouvez ensuite importer le fichier ZIP dans le déploiement de production. 4 Suivez les invites à l'écran pour finir l'ajout des ressources au catalogue. Ajouter des applications Web à votre catalogue Lorsque vous ajoutez une application Web au catalogue, vous créez une entrée qui pointe indirectement vers cette application. L'entrée est définie par l'enregistrement d'application, qui est un formulaire incluant une URL vers l'application Web. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur Ajouter une application > Application Web ...à partir du catalogue d'applications Cloud. 3 Cliquez sur l'icône de l'application Web que vous voulez ajouter. L'enregistrement d'application est ajouté à votre catalogue et la page Détails de l'enregistrement s'affiche, le nom et le profil d'authentification étant déjà spécifiés. 4 (Facultatif) Personnalisez les informations de la page Détails en fonction des besoins de votre organisation. Les éléments sur la page sont remplis avec des informations spécifiques de l'application Web. Vous pouvez modifier certains éléments, selon l'application. Élément de formulaire Description Nom Le nom de l'application. Description Une description de l'application que les utilisateurs peuvent lire. Icône Cliquez sur Parcourir pour télécharger une icône pour l'application. Les icônes aux formats de fichier PNG, JPG et ICON d'une taille maximale de 4 Mo sont prises en charge. Les icônes téléchargées sont redimensionnées à 80 px x 80 px. Pour éviter toute distorsion, envoyez des icônes dont la hauteur et la largeur sont égales et aussi proches que possible des dimensions de 80 px X 80 px. Chapitre 10 Gestion du catalogue VMware, Inc. 109
Élément de formulaire Description Catégories Pour permettre à une application d'être incluse dans une recherche de ressources de catalogue par catégorie, sélectionnez une catégorie dans le menu déroulant. Vous devez avoir déjà créé la catégorie. 5 Cliquez sur Enregistrer. 6 Cliquez sur Configuration, modifiez les détails de la configuration de l'enregistrement d'application, puis cliquez sur Enregistrer. Certains des éléments du formulaire sont pré-renseignés avec des informations spécifiques de l'application Web. Certains des éléments pré-renseignés sont modifiables, d'autres ne le sont pas. Les informations demandées varient d'une application à l'autre. Pour certaines applications, le formulaire dispose d'une section Paramètres de l'application. Si cette section existe pour une application et qu'un paramètre dans la section ne comporte pas de valeur par défaut, fournissez une valeur pour permettre à l'application de se lancer. Si une valeur par défaut est fournie, vous pouvez modifier cette valeur. 7 Sélectionnez les onglets Droits, Licences et Provisionnement, puis personnalisez les informations de manière appropriée. Onglet Description Droits Attribuez l'application à des utilisateurs et des groupes. Vous pouvez configurer des droits lors de la configuration initiale de l'application ou ultérieurement. Stratégies d'accès Appliquez une stratégie d'accès pour contrôler l'accès de l'utilisateur à l'application. Gestion des licences Configurez le suivi d'approbation. Ajoutez des informations de licence pour l'application afin de suivre l'utilisation des licences dans des rapports. Les approbations doivent être activées et configurées sur la page Catalogue > Paramètres. Vous devez également enregistrer l'URI de rappel du gestionnaire de demande d'approbation. Provisionnement Provisionnez une application Web pour extraire des informations spécifiques du service VMware Identity Manager. Si le provisionnement est configuré pour une application Web, lorsque vous autorisez un utilisateur à accéder à l'application, l'utilisateur est provisionné dans l'application Web. Actuellement, un adaptateur de provisionnement est disponible pour Google Apps et Office 365. Accédez à Intégrations de VMware Identity Manager à l'adresse https://www.vmware.com/support/pubs/vidm_webapp_sso.html pour voir les guides de configuration de ces applications. Ajout de postes de travail et d'applications hébergées View Vous dotez votre catalogue de pools de postes de travail View et d'applications hébergées View et vous intégrez votre déploiement de VMware Identity Manager à Horizon View. Lorsque vous cliquez sur Application View dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Pools View. Sélectionnez Activer les pools View pour ajouter des espaces View, effectuer une synchronisation d'annuaire pour View et configurer le type de déploiement que le service utilise pour étendre les droits des ressources View à des utilisateurs. Après avoir effectué ces tâches, les postes de travail et les applications hébergées View que vous avez attribués aux utilisateurs avec Horizon View sont disponibles sous forme de ressources dans votre catalogue. Vous pouvez revenir à la page à tout moment pour modifier la configuration de View ou pour ajouter ou supprimer des espaces View. Pour voir des informations détaillées sur l'intégration de View avec VMware Identity Manager, consultez le chapitre Fourniture de l'accès aux pools de postes de travail View dans le guide Configuration des ressources. Administration de VMware Identity Manager 110 VMware, Inc.
Ajout d'applications publiées Citrix Vous pouvez utiliser VMware Identity Manager pour l'intégrer à des déploiements Citrix existants, puis doter votre catalogue d'applications Citrix. Lorsque vous cliquez sur Application publiée Citrix dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Applications publiées - Citrix. Sélectionnez Applications Citrix pour établir la communication et programmer la fréquence de synchronisation entre VMware Identity Manager et la batterie de serveurs Citrix. Pour voir des informations détaillées sur l'intégration d'applications publiées Citrix avec VMware Identity Manager, consultez le chapitre Fourniture d'un accès à des ressources publiées Citrix dans le guide Configuration des ressources. Ajout d'applications ThinApp Avec VMware Identity Manager, vous pouvez distribuer et gérer de façon centralisée des modules ThinApp. Vous devez activer VMware Identity Manager pour qu'il localise le référentiel qui stocke les modules ThinApp et synchronise les modules avec VMware Identity Manager. Pour doter le catalogue d'applications Windows capturées sous forme de modules ThinApp, procédez comme suit. 1 Si les modules ThinApp auxquels vous souhaitez donner accès aux utilisateurs n'existent pas déjà, créez des modules ThinApp compatibles avec VMware Identity Manager. Voir la documentation de VMware ThinApp. 2 Créez un partage réseau et insérez-y les modules ThinApp compatibles. 3 Configurez VMware Identity Manager afin de l'intégrer aux modules sur le partage réseau. Lorsque vous cliquez sur Application ThinApp dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Applications packagées - ThinApp. Sélectionnez Activer les applications packagées. Entrez l'emplacement du référentiel ThinApp et configurez la fréquence de synchronisation. Une fois ces tâches effectuées, les modules ThinApp que vous avez ajoutés au partage réseau sont maintenant disponibles en tant que ressources dans votre catalogue. Pour voir des informations détaillées sur la configuration de VMware Identity Manager afin qu'il distribue et gère des modules ThinApp, consultez le chapitre Fournir l'accès aux modules VMware ThinApp dans le guide Configuration des ressources. Groupement des ressources en catégories Il est possible d'organiser les ressources en catégories logiques, afin que les utilisateurs puissent localiser facilement la ressource dont ils ont besoin dans l'espace de travail du portail Workspace ONE. Lorsque vous créez des catégories, tenez compte de la structure de votre organisation, de la fonction des ressources et du type de ressource. Une ressource peut correspondre à plusieurs catégories. Par exemple, vous pouvez créer une catégorie appelée Éditeur de texte et une autre appelée Ressources recommandées. Attribuez ensuite tous les éditeurs de texte à la catégorie Éditeur de texte. Attribuez également celui que vous préférez que les utilisateurs utilisent à la catégorie Ressources recommandées. Chapitre 10 Gestion du catalogue VMware, Inc. 111
Créer une catégorie de ressources Vous pouvez créer une catégorie de ressources sans l'appliquer immédiatement, ou vous pouvez créer et appliquer une catégorie sur une ressource simultanément. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Pour créer et appliquer des catégories simultanément, cochez les cases des applications auxquelles appliquer la nouvelle catégorie. 3 Cliquez sur Catégories. 4 Entrez le nom de la nouvelle catégorie dans la zone de texte. 5 Cliquez sur Ajouter une catégorie.... Une nouvelle catégorie est créée mais n'est appliquée à aucune ressource. 6 Pour appliquer la catégorie aux ressources sélectionnées, cochez la case du nom de la nouvelle catégorie. Cette catégorie est ajoutée à l'application et répertoriée dans la colonne Catégories. Suivant Appliquez la catégorie à d'autres applications. Voir « Appliquer une catégorie à des ressources », page 112. Appliquer une catégorie à des ressources Une fois que vous avez créé une catégorie, vous pouvez l'appliquer à toute ressource du catalogue. Il est possible d'appliquer plusieurs catégories à une même ressource. Prérequis Créez une catégorie. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cochez les cases de toutes les applications auxquelles appliquer la catégorie. 3 Cliquez sur Catégories et sélectionnez le nom de la catégorie à appliquer. La catégorie est appliquée aux applications sélectionnées. Retirer une catégorie d'une application Il est possible de dissocier une catégorie d'une application. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cochez les cases des applications à supprimer d'une catégorie. 3 Cliquez sur Catégories. Les catégories appliquées aux applications sont cochées. 4 Désélectionnez la catégorie à dissocier de l'application et fermez le menu. La catégorie est supprimée de la liste Catégories de l'application. Administration de VMware Identity Manager 112 VMware, Inc.
Supprimer une catégorie Vous pouvez supprimer une catégorie du catalogue de façon permanente. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur Catégories. 3 Survolez la catégorie à supprimer. Un x s'affiche. Cliquez sur le x. 4 Cliquez sur OK pour supprimer la catégorie. La catégorie ne figure plus dans le menu déroulant Catégories ou sous la forme d'une étiquette dans toutes les applications auxquelles vous l'aviez précédemment appliquée. Gestion des paramètres du catalogue La page Paramètres du catalogue peut être utilisée pour gérer des ressources dans le catalogue, télécharger un certificat SAML, personnaliser le portail utilisateur et définir des paramètres globaux. Téléchargement des certificats SAML à configurer avec des applications de confiance Lorsque vous configurez des applications Web, vous devez copier les certificats de signature SAML de votre organisation et les envoyer aux applications de confiance afin qu'elles puissent accepter les connexions d'utilisateur à partir du service. Le certificat SAML est utilisé pour authentifier les connexions d'utilisateur du service sur des applications de confiance comme WebEx ou Google Apps. Vous devez copier le certificat de signature SAML et les métadonnées du fournisseur de services SAML à partir du service et modifier l'assertion SAML dans le fournisseur d'identité tiers pour mapper les utilisateurs de VMware Identity Manager. Procédure 1 Connectez-vous à la console d'administration. 2 Dans l'onglet Catalogue, sélectionnez Paramètres > Métadonnées SAML. 3 Copiez et enregistrez le certificat de signature SAML qui s'affiche. a Copiez les informations du certificat qui se trouve dans la section Certificat de signature. b Enregistrez les informations du certificat dans un fichier texte en vue d'une utilisation ultérieure, lors de la configuration de l'instance de fournisseur d'identité tiers. 4 Rendez les métadonnées SAML du fournisseur de services (SP) disponibles à l'instance de fournisseur d'identité tiers. a Dans la page Télécharger un certificat SAML, cliquez sur Métadonnées du fournisseur de services (SP). b Copiez et enregistrez les informations affichées en utilisant la méthode convenant le mieux à votre organisation. Utilisez ces informations copiées ultérieurement, lors de la configuration du fournisseur d'identité tiers. Chapitre 10 Gestion du catalogue VMware, Inc. 113
5 Déterminez le mappage utilisateur de l'instance de fournisseur d'identité tiers à VMware Identity Manager. Lorsque vous configurez le fournisseur d'identité tiers, modifiez l'assertion SAML dans le fournisseur d'identité tiers pour mapper des utilisateurs VMware Identity Manager. Format NameID Mappage d'utilisateurs urn:oasis:names:tc:SAML: 1.1:nameid-format:emailAddress La valeur NameID dans l'assertion SAML est mappée à l'attribut d'adresse e-mail dans VMware Identity Manager. urn:oasis:names:tc:SAML: 1.1:nameid-format:unspecified La valeur NameID dans l'assertion SAML est mappée à l'attribut username dans VMware Identity Manager. Suivant Appliquez les informations que vous avez copiées pour cette tâche afin de configurer l'instance de fournisseur d'identité tiers. Désactiver l'invite pour télécharger des applications auxiliaires Les postes de travail View, les applications publiées Citrix et les ressources ThinApp requièrent que les applications auxiliaires suivantes soient installées sur les ordinateurs ou les périphériques des utilisateurs. n Les postes de travail View utilisent Horizon Client. n Les applications publiées Citrix requièrent Citrix Receiver. n Les ressources ThinApp requièrent VMware Identity Manager pour postes de travail. Il est demandé aux utilisateurs de télécharger des applications auxiliaires sur leur poste de travail ou leur périphérique la première fois qu'ils lancent des applications depuis ces types de ressources. Vous pouvez complètement désactiver l'affichage de cette invite à chaque lancement de la ressource sur la page Catalogue > Paramètres > Paramètres globaux. La désactivation de l'invite est une bonne option lorsque des ordinateurs ou des périphériques sont gérés, et que vous savez que les applications auxiliaires se trouvent sur l'image locale de l'utilisateur. Procédure 1 Dans la console d'administration, sélectionnez Catalogue > Paramètres. 2 Sélectionnez Paramètres globaux. 3 Sélectionnez les systèmes d'exploitation qui ne doivent pas demander le lancement des applications auxiliaires. 4 Cliquez sur Enregistrer. Création de clients pour activer l'accès à des applications distantes Vous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec VMware Identity Manager afin d'autoriser un accès utilisateur à une application spécifique sur la page Catalogue > Paramètres de la console d'administration. Le SDK utilise l'authentification OAuth pour se connecter à VMware Identity Manager. Vous devez créer une valeur d'ID de client et une valeur clientSecret dans la console d'administration. Administration de VMware Identity Manager 114 VMware, Inc.
Créer un accès à distance à une ressource de catalogue Vous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec les services VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique. Procédure 1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès à distance aux applications. 2 Sur la page Clients, cliquez sur Créer un client. 3 Sur la page Créer un client, entrez les informations suivantes sur l'application. Libellé Description Type d'accès Les options sont Jeton d'accès utilisateur ou Jeton de client de service. Code identifiant client Entrez un ID de client unique pour la ressource à enregistrer avec VMware Identity Manager. Livraison Sélectionnez Identity Manager. étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS, OpenID est également sélectionné. URI de redirection Entrez l'URI de redirection enregistré. Section avancée Code secret partagé Cliquez sur Générer le code secret partagé pour générer un code secret partagé entre ce service et le service de ressource d'application. Copiez et enregistrez le code secret client à configurer dans la configuration de l'application. Le code secret client doit rester confidentiel. Si une application déployée ne peut pas maintenir le code secret confidentiel, le code secret n'est pas utilisé. Le code secret partagé n'est pas utilisé avec les applications de type navigateur Web. Issue Refresh Token Décochez la case. Type de jeton Sélectionnez Bearer. Longueur du jeton Laissez le paramètre par défaut, 32 octets. Issue Refresh Token Cochez Jeton d'actualisation. Durée de vie du jeton d'accès (Facultatif) Modifiez les paramètres Durée de vie du jeton d'accès. Durée de vie du jeton d'actualisation (Facultatif) Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder. 4 Cliquez sur Ajouter. La configuration client s'affiche sur la page OAuth2 Client, ainsi que le code secret partagé qui a été généré. Suivant Entrez l'ID client et le code secret partagé dans les pages de configuration des ressources. Consultez la documentation de l'application. Créer un modèle d'accès à distance Vous pouvez créer un modèle pour permettre à un groupe de clients de s'enregistrer dynamiquement avec le service VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique. Chapitre 10 Gestion du catalogue VMware, Inc. 115
Procédure 1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès à distance aux applications. 2 Cliquez sur Modèles. 3 Cliquez sur Créer un modèle. 4 Sur la page Créer un modèle, entrez les informations suivantes sur l'application. Libellé Description Code identifiant de modèle Entrez un identifiant unique pour cette ressource. Livraison Sélectionnez Identity Manager. étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS, OpenID est également sélectionné. URI de redirection Entrez l'URI de redirection enregistré. Section avancée Type de jeton Sélectionnez Bearer. Longueur du jeton Laissez le paramètre par défaut, 32 octets. Issue Refresh Token Cochez Jeton d'actualisation. Durée de vie du jeton d'accès (Facultatif) Durée de vie du jeton d'actualisation (Facultatif) Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder. 5 Cliquez sur Ajouter. Suivant Dans l'application de ressource, configurez l'URL du service VMware Identity Manager sur le site qui prend en charge l'authentification intégrée. Modification des propriétés ICA dans des applications publiées Citrix Vous pouvez modifier les paramètres d'applications et de postes de travail publiés Citrix individuels dans votre déploiement de VMware Identity Manager sur les pages Catalogue > Paramètres > Application publiée Citrix. La page Configuration ICA est configurée pour des applications individuelles. Les zones de texte Propriétés ICA des applications individuelles sont vides jusqu'à ce que vous ajoutiez manuellement des propriétés. Lorsque vous modifiez les paramètres de livraison d'applications, les propriétés ICA, d'une ressource publiée Citrix individuelle, ces paramètres sont prioritaires sur les paramètres globaux. Sur la page Configuration NetScaler, vous pouvez configurer le service avec les paramètres appropriés pour que, lorsque des utilisateurs lancent des applications Citrix, le trafic soit routé via NetScaler vers le serveur XenApp. Lorsque vous modifiez les propriétés ICA dans l'onglet Applications publiées Citrix > Configuration Netscaler ICA, les paramètres s'appliquent au trafic de lancement d'application routé via Netscaler. Pour plus d'informations sur la configuration de propriétés ICA, consultez les rubriques Configuration de NetScaler et Modification des paramètres de livraison d'applications de VMware Identity Manager pour une seule ressource publiée Citrix dans le centre de documentation. Administration de VMware Identity Manager 116 VMware, Inc.
Examen des alertes ThinApp L'option Alertes d'application ThinApp dans le menu Catalogues, Paramètres, vous redirige vers la page Alertes des applications packagées. Toutes les erreurs trouvées lorsque les modules ThinApp ont été synchronisés avec VMware Identity Manager sont répertoriées sur la page. Activation de l'approbation d'application pour l'utilisation des ressources Vous pouvez gérer l'accès à des applications qui requièrent une approbation de la part de votre organisation avant que l'application puisse être utilisée. Activez les approbations sur la page Paramètres de catalogue et configurez l'URL pour recevoir la demande d'approbation. Lorsque vous ajoutez des applications qui requièrent une approbation au catalogue, activez l'option Licence. Lorsque l'option Licence est configurée, les utilisateurs voient l'application dans leur catalogue Workspace ONE et demandent l'utilisation de l'application. VMware Identity Manager envoie le message de demande d'approbation à l'URL d'approbation configurée de l'organisation. Le processus de workflow de serveur examine la demande et envoie un message d'approbation ou de refus. Consultez Gérer des approbations d'application dans le guide de VMware Identity Manager pour voir les étapes de configuration. Vous pouvez consulter les rapports sur l'utilisation des ressources et les droits des ressources de VMware Identity Manager pour voir le nombre d'applications approuvées en cours d'utilisation. Configurer le workflow d'approbation et le moteur d'approbation Vous pouvez choisir parmi deux types d'options de workflow d'approbation. Vous pouvez enregistrer votre URI REST d'appel pour intégrer votre système de gestion d'applications à VMware Identity Manager, ou effectuer l'intégration via le connecteur VMware Identity Manager. Prérequis Lorsque vous configurez l'API REST, votre système de gestion d'application doit être configuré et l'URI disponible via l'API REST d'appel qui reçoit les demandes de la part de VMware Identity Manager. Configurez l'API REST via le connecteur lorsque des systèmes de workflow d'approbation se trouvent sur des centres de données sur site. Le connecteur peut acheminer les messages de demande d'approbation du service VMware Identity Manager Cloud vers une application d'approbation sur site et communiquer la réponse. Procédure 1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Approbations. 2 Cochez Activer les approbations. 3 Dans le menu déroulant Moteur d'approbation, sélectionnez le moteur d'approbation API REST à utiliser : API REST via votre serveur Web ou API REST via le connecteur. 4 Configurez les zones de texte suivantes. Option Description URI Entrez l'URI du gestionnaire de demandes d'approbation de l'API REST qui écoute les demandes d'appel. Nom d'utilisateur (Facultatif) Si l'API REST requiert un nom d'utilisateur et un mot de passe pour l'accès, entrez le nom ici. Si aucune authentification n'est requise, vous pouvez laisser le nom d'utilisateur et le mot de passe vides. Chapitre 10 Gestion du catalogue VMware, Inc. 117
Option Description Mot de passe (Facultatif) Entrez le mot de passe de l'utilisateur. Certificat SSL au format PEM (Facultatif) Si vous avez sélectionné API REST et que la vôtre utilise SSL et se trouve sur un serveur sans certificat SSL public, collez le certificat SSL de l'API REST au format PEM ici. Suivant Accédez à la page Catalogue et configurez la fonctionnalité Licence pour les applications qui requièrent une approbation pour que les utilisateurs puissent les utiliser. Administration de VMware Identity Manager 118 VMware, Inc.
Utiliser le tableau de bord de la console d'administration 11 Deux tableaux de bord sont disponibles dans la console d'administration. Le tableau de bord Engagement de l'utilisateur permet de suivre les utilisateurs et l'utilisation des ressources. Le tableau de bord Diagnostics système peut être utilisé pour surveiller la santé du service VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord », page 119 n « Surveiller les informations système et la santé », page 120 n « Consultation des rapports », page 121 Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord Le tableau de bord Engagement de l'utilisateur affiche des informations relatives aux utilisateurs et aux ressources. Vous pouvez voir les personnes connectées, les ressources utilisées et la fréquence d'accès aux applications. Vous pouvez créer des rapports pour assurer le suivi des utilisateurs, des activités de groupe et de l'utilisation des ressources. L'heure affichée sur le tableau de bord Engagement de l'utilisateur est fondée sur le fuseau horaire défini pour le navigateur. Le tableau de bord est mis à jour toutes les minutes. Procédure n L'en-tête affiche le nombre d'utilisateurs uniques connectés ce jour-là ainsi qu'un calendrier indiquant le nombre d'événements de connexion quotidiens sur une période de sept jours. Le nombre affiché dans le tableau de bord Utilisateurs connectés aujourd'hui est entouré d'un cercle qui indique le pourcentage d'utilisateurs connectés. Le graphique mobile Connexions affiche les événements de connexion survenus pendant la semaine. Pointez sur l'un des points du graphique pour afficher le nombre de connexions ce jour-là. n La section Utilisateurs et groupes affiche le nombre de comptes d'utilisateur et de groupes configurés dans VMware Identity Manager. Les utilisateurs s'étant connectés en dernier sont affichés en premier. Vous pouvez cliquer sur Voir les rapports complets pour créer un rapport sur les événements d'audit qui affiche les utilisateurs qui se sont connectés durant une plage de jours. n La section Popularité des ressources affiche un graphique à barres par type d'applications qui indique le nombre de lancements de chaque application pendant une période de 7 jours. Pointez sur un jour spécifique pour afficher une infobulle indiquant le type des applications utilisées et le nombre d'applications lancées ce jour-là. La liste en dessous du graphique indique le nombre de lancements des applications spécifiques. Développez le menu déroulant de droite en cliquant sur la flèche pour VMware, Inc. 119
sélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines. Vous pouvez cliquez sur Voir les rapports complets pour créer un rapport d'utilisation des ressources indiquant l'application, le type de ressource et l'activité du nombre d'utilisateurs sur une plage de temps. n La section Adoption des applications affiche un graphique à barres indiquant le pourcentage de personnes ayant ouvert les applications auxquelles elles ont ont droit. Pointez sur l'application pour afficher une infobulle indiquant le nombre réel d'adoptions et de droits. n Le graphique à secteurs Applications lancées affiche les ressources lancées sous forme de pourcentage du total. Pointez sur une section spécifique du graphique à secteurs pour voir le nombre réel par type de ressource. Développez le menu déroulant de droite en cliquant sur la flèche pour sélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines. n La section Clients indique le nombre de postes travail Identity Manager Desktop utilisés. Surveiller les informations système et la santé Le tableau de bord Diagnostics du système VMware Identity Manager affiche une présentation détaillée des dispositifs VMware Identity Manager dans votre environnement et des informations sur les services. Vous pouvez visualiser la santé globale sur le serveur de base de données VMware Identity Manager, les machines virtuelles et les services disponibles sur chacune d'entre elles. Dans le tableau de bord Diagnostics du système, vous pouvez sélectionner la machine virtuelle à surveiller et voir l'état des services sur cette dernière, y compris la version de VMware Identity Manager qui est installée. En cas de problème lié à la base de données ou à une machine virtuelle, la barre d'en-tête affiche l'état de la machine en rouge. Pour voir les problèmes, vous pouvez sélectionner la machine virtuelle affichée en rouge. Procédure n Expiration du mot de passe utilisateur Les dates d'expiration du mot de passe racine du dispositif VMware Identity Manager et du mot de passe de connexion à distance sont affichées. Si un mot de passe expire, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Sécurité du système pour modifier le mot de passe. n Certificats. L'émetteur du certificat, la date de début et la date de fin sont affichés. Pour gérer le certificat, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Installer le certificat. n Configurator - État de déploiement de l'application. Les informations relatives aux services Appliance Configurator sont affichées. L'état du serveur Web indique si le serveur Tomcat est en cours d'exécution. L'état de l'application Web indique si la page Appliance Configurator est accessible. La version du dispositif indique la version du dispositif VMware Identity Manager installé. n Application Manager - État de déploiement de l'application. L'état de connexion du dispositif VMware Identity Manager est affiché. n Connector - État de déploiement de l'application. L'état de la connexion console d'administration est affiché. Lorsque Connexion réussie s'affiche, vous pouvez accéder aux pages console d'administration. n Nom de domaine complet VMware Identity Manager Affiche le nom de domaine complet que les utilisateurs entrent pour accéder à leur portail d'applications VMware Identity Manager. Le nom de domaine complet VMware Identity Manager pointe vers l'équilibreur de charge lorsqu'un équilibreur de charge est utilisé. n Application Manager - Composants intégrés. Les informations relatives à la connexion de base de données VMware Identity Manager, aux services d'audit et à la connexion d'analyse sont affichées. Administration de VMware Identity Manager 120 VMware, Inc.
n Connector - Composants intégrés. Les informations relatives aux services gérés à partir des pages d'administration des services Connector sont affichées. Les informations relatives aux ressources d'applications ThinApp, View et Citrix publiées sont affichées. n Modules. Affiche les ressources activées dans VMware Identity Manager. Cliquez sur Activé pour accéder à la page d'administration des ressources des services Connector pour la ressource concernée. Consultation des rapports Vous pouvez créer des rapports pour assurer le suivi des activités des utilisateurs et des groupes et l'utilisation des ressources. Vous pouvez consulter les rapports sur la page Rapports du Tableau de bord de la console d'administration. Vous pouvez exporter des rapports dans un fichier de valeurs séparées par des virgules (csv). Tableau 11‑1. Types de rapports Rapport Description Activité récente Activité récente est un rapport sur les actions que les utilisateurs ont effectuées en utilisant leur portail Workspace ONE la veille, la semaine précédente, le mois précédent ou les 12 semaines précédentes. L'activité peut inclure des informations sur l'utilisateur, telles que le nombre de connexions utilisateur uniques, le nombre de connexions générales, et des informations sur les ressources, telles que le nombre de ressources lancées, les droits d'accès aux ressources ajoutés. Vous pouvez cliquer sur Afficher les événements pour voir la date, l'heure et les détails de l'utilisateur correspondant à l'activité. Utilisation des ressources Utilisation des ressources est un rapport sur toutes les ressources dans le catalogue avec des détails pour chaque ressource sur le nombre d'utilisateurs, de lancements et de licences. Vous pouvez choisir de voir les activités de la veille, de la semaine précédente, du mois précédent ou des 12 semaines précédentes. Droits des ressources Droits des ressources est un rapport par ressource qui indique le nombre d'utilisateurs auxquels la ressource est octroyée, le nombre de lancements et le nombre de licences utilisées. Activité des ressources Le rapport Activité des ressources peut être créé pour tous les utilisateurs ou un groupe spécifique d'utilisateurs. Les informations sur l'activité des ressources répertorient le nom d'utilisateur, la ressource octroyée à l'utilisateur, la date du dernier accès à la ressource et des informations sur le type de périphérique utilisé par l'utilisateur pour accéder à la ressource. Appartenance à un groupe Appartenance à un groupe répertorie les membres d'un groupe que vous spécifiez. Attribution de rôles Attribution de rôles répertorie les utilisateurs qui sont des administrateurs uniquement API ou des administrateurs et leurs adresses e-mail. Utilisateurs Le rapport Utilisateurs affiche tous les utilisateurs et fournit des détails sur chacun d'eux, tels que l'adresse e-mail, le rôle et les affiliations de groupe de l'utilisateur. Utilisateurs simultanés Le rapport Utilisateurs simultanés indique le nombre de sessions utilisateur qui ont été ouvertes en même temps, la date et l'heure. Utilisation des périphériques Le rapport Utilisation des périphériques peut indiquer l'utilisation des périphériques pour tous les utilisateurs ou un groupe spécifique d'utilisateurs. Les informations de périphérique sont répertoriées par utilisateur individuel et incluent le nom de l'utilisateur, le nom du périphérique, les informations du système d'exploitation et la date de dernière utilisation. Événements d'audit Le rapport Événements d'audit affiche les événements relatifs à un utilisateur que vous spécifiez, tels que les connexions utilisateur des 30 derniers jours. Vous pouvez également voir les détails des événements d'audit. Cette fonctionnalité est utile dans le cadre de la résolution de problèmes. Pour exécuter des rapports Événements d'audit, l'audit doit être activé sur la page Catalogue > Paramètres > Audit. Voir « Générer un rapport d'événement audité », page 122. Chapitre 11 Utiliser le tableau de bord de la console d'administration VMware, Inc. 121
Générer un rapport d'événement audité Vous pouvez générer un rapport des événements audités que vous spécifiez. Les rapports d'événements audités peuvent être utiles en tant que méthode de résolution de problèmes. Prérequis L'audit doit être activé. Pour vérifier s'il est activé, dans la console d'administration, accédez à la page Catalogue > Paramètres et sélectionnez Audit. Procédure 1 Dans la console d'administration, sélectionnez Rapports > Événements audités 2 Sélectionnez les critères d'événement audité. Critères d'événement audité Description Utilisateur Ce champ texte vous permet de réduire la recherche des événements audités à ceux générés par un utilisateur spécifique. Type Cette liste déroulante vous permet de réduire la recherche des événements audités à un type d'événement audité spécifique. La liste déroulante n'affiche pas tous les types d'événements audités potentiels. La liste n'affiche que les types d'événements qui se sont produits dans votre déploiement. Les types d'événements audités qui sont affichés en majuscules sont des événements d'accès, tels que CONNEXION et LANCEMENT, qui ne génèrent pas de modification dans la base de données. Les autres types d'événements audités génèrent des modifications dans la base de données. Action Cette liste déroulante vous permet de réduire votre recherche à des actions spécifiques. La liste affiche des événements qui produisent des modifications spécifiques dans la base de données. Si vous sélectionnez un événement d'accès dans la liste déroulante Type, ce qui signifie un événement de non-action, ne spécifiez pas d'action dans la liste déroulante Action. Objet Ce champ texte vous permet de réduire la recherche à un objet spécifique. Des exemples d'objets sont les groupes, les utilisateurs et les périphériques. Les objets sont identifiés par un nom ou un numéro d'identification. Plage de dates Ces champs texte vous permettent de réduire votre recherche à une plage de dates au format « De ___ à ___ jours auparavant ». La plage de date maximale est de 30 jours. Par exemple, la plage « De 90 à 60 jours auparavant » est valide tandis que la plage « De 90 à 45 jours auparavant » ne l'est pas, car elle dépasse la période maximale de 30 jours. 3 Cliquez sur Afficher. Un rapport d'événement audité apparaît conformément aux critères que vous avez spécifiés. Remarque Occasionnellement, lors du redémarrage du sous-système d'audit, la page Auditer les événements risque d'afficher un message d'erreur et de ne pas afficher le rapport. Si vous voyez un tel message d'erreur concernant le non-affichage du rapport, attendez quelques minutes, puis recommencez. 4 Pour plus d'informations sur un événement audité, cliquez sur Afficher les détails pour cet événement. Administration de VMware Identity Manager 122 VMware, Inc.
Personnaliser les informations de marque des services VMware Identity Manager 12 Vous pouvez personnaliser les logos, les polices et l'arrière-plan qui s'affichent dans la console d'administration, les écrans de connexion de l'utilisateur et de l'administrateur, la vue Web du portail d'applications Workspace ONE et la vue Web de l'application Workspace ONE sur les périphériques mobiles. Vous pouvez utiliser l'outil de personnalisation pour adopter l'apparence des couleurs, des logos et du design de votre entreprise. n L'onglet d'adresse du navigateur et les pages de connexion sont personnalisés à partir des pages Identité et gestion de l'accès > Configuration > Informations de marque personnalisées. n Ajoutez un logo et personnalisez les vues Mobile et Tablette du portail Web d'utilisateur à partir des pages Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Ce chapitre aborde les rubriques suivantes : n « Personnalisation des informations de marque dans VMware Identity Manager », page 123 n « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125 n « Personnaliser des informations de marque pour l'application VMware Verify », page 126 Personnalisation des informations de marque dans VMware Identity Manager Vous pouvez ajouter le nom de votre entreprise, un nom de produit et une icône favorite à la barre d'adresses pour la console d'administration et le portail utilisateur. Vous pouvez également personnaliser la page de connexion pour définir des couleurs d'arrière-plan qui correspondent aux couleurs et au logo de votre entreprise. Pour ajouter le logo de votre entreprise, accédez à la page Catalogue > Paramètres > Informations de marque du portail de l'utilisateur dans la console d'administration. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration > Personnaliser les informations de marque. 2 Modifiez les paramètres suivants du formulaire comme nécessaire. Remarque Si un paramètre n'est pas répertorié dans le tableau, cela signifie qu'il n'est pas utilisé et qu'il ne peut pas être personnalisé. VMware, Inc. 123
Champ de formulaire Description Noms et logos Nom de l'entreprise L'option Nom de l'entreprise s'applique aux postes de travail et aux périphériques mobiles. Vous pouvez ajouter le nom de votre entreprise comme titre qui apparaît dans l'onglet du navigateur. Saisissez un nom d'entreprise sur le nom existant pour le modifier. Nom du produit L'option Nom du produit s'applique aux postes de travail et aux périphériques mobiles. Le nom du produit apparaît après le nom d'entreprise dans l'onglet du navigateur. Saisissez un nom de produit sur le nom existant pour le modifier. Icône Favorite Une icône favorite est une icône associée à une URL qui s'affiche dans la barre d'adresses du navigateur. La taille maximale de l'image d'icône favorite est de 16 x 16 pixels. Le format peut être JPEG, PNG, GIF ou ICO. Cliquez sur Télécharger pour télécharger une nouvelle image qui remplacera l'icône favorite actuelle. Un message vous demande de confirmer la modification. La modification est immédiate. Écran d'ouverture de session Logo Cliquez sur Télécharger pour télécharger un nouveau logo afin de remplacer le logo actuel dans les écrans d'ouverture de session. Lorsque vous cliquez sur Confirmer, la modification s'applique immédiatement. La taille de page minimale recommandée pour le téléchargement est de 350 x 100 px. Si vous téléchargez des images supérieures à 350 x 100 px, elles sont redimensionnées à la taille 350 x 100 px. Le format peut être JPEG, PNG ou GIF. Couleur d'arrière-plan Couleur d'arrière-plan de l'écran de connexion. Saisissez le code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan. Couleur d'arrière-plan de la case La couleur de l'écran de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Couleur d'arrière-plan du bouton de connexion La couleur du bouton de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Couleur de texte du bouton de connexion La couleur du texte qui s'affiche sur le bouton de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Lorsque vous personnalisez l'écran de connexion, vous pouvez voir vos modifications dans le volet Aperçu avant de les enregistrer. 3 Cliquez sur Enregistrer. Les mises à jour des informations de marque sur la console d'administration et des pages de connexion sont appliquées dans un délai de cinq minutes après que vous avez cliqué sur Enregistrer. Suivant Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces. Mettez à jour l'apparence du portail Workspace ONE de l'utilisateur final et des vues Mobile et Tablette. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125 Administration de VMware Identity Manager 124 VMware, Inc.
Personnaliser les informations de marque pour le portail de l'utilisateur Vous pouvez ajouter un logo, modifier les couleurs d'arrière-plan et ajouter des images pour personnaliser le portail Workspace ONE. Procédure 1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations de marque du portail de l'utilisateur. 2 Modifiez les paramètres du formulaire comme nécessaire. Élément de formulaire Description Logo Ajoutez un logo d'en-tête à la bannière dans la partie supérieure de la console d'administration et des pages Web du portail Workspace ONE. La taille maximale de l'image est de 220 x 40 pixels. Le format peut être JPEG, PNG ou GIF. Portail Couleur d'arrière-plan de l'en-tête Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan de l'en-tête. La couleur d'arrière-plan change dans l'écran d'aperçu du portail d'applications lorsque vous tapez un nouveau code couleur. Couleur de texte de l'en-tête Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur du texte qui s'affiche dans l'en-tête. Couleur d'arrière-plan Couleur d'arrière-plan de l'écran du portail Web. Saisissez un nouveau code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan. La couleur d'arrière-plan change dans l'écran d'aperçu du portail d'applications lorsque vous tapez un nouveau code couleur. Sélectionnez Mise en surbrillance de l'arrière-plan pour accentuer la couleur de l'arrière- plan. Si cette option est activée, les navigateurs prenant en charge plusieurs images d'arrière-plan affichent la superposition sur les pages du lanceur et du catalogue. Sélectionnez Modèle d'arrière-plan pour définir le modèle de triangle préconçu dans la couleur d'arrière-plan. Nom et couleur des icônes Vous pouvez sélectionner la couleur de texte des noms répertoriés sous les icônes sur les pages du portail d'applications. Saisissez un code de couleur hexadécimal sur le code existant pour modifier la couleur de la police. Effet de lettrage Sélectionnez le type de lettrage à utiliser pour le texte dans les écrans du portail Workspace ONE. Image (en option) Pour ajouter une image plutôt qu'une couleur à l'arrière-plan sur l'écran du portail des applications, téléchargez une image. 3 Cliquez sur Enregistrer. Les mises à jour des informations de marque personnalisées sont actualisées toutes les 24 heures pour le portail de l'utilisateur. Pour appliquer les modifications plus tôt, en tant qu'administrateur, ouvrez un nouvel onglet et entrez cette URL, en remplaçant votre nom de domaine par myco.example.com. https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true. Suivant Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces. Chapitre 12 Personnaliser les informations de marque des services VMware Identity Manager VMware, Inc. 125
Personnaliser des informations de marque pour l'application VMware Verify Si vous avez activé VMware Verify pour l'authentification à deux facteurs, vous pouvez personnaliser la page de connexion avec votre logo d'entreprise. Prérequis VMware Verify activé. Procédure 1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations de marque du portail de l'utilisateur. 2 Modifiez la section VMware Verify. Élément de formulaire Description Logo Téléchargez le logo d'entreprise qui s'affiche sur les pages de demande d'approbation. La taille des image est de 540 x 170 px, format PNG, et de 128 Ko ou moins. Icône Téléchargez une icône qui s'affiche sur le périphérique lorsque VMware Verify est lancé. La taille des image est de 81 x 81 px, format PNG, et de 128 Ko ou moins. 3 Cliquez sur Enregistrer. Administration de VMware Identity Manager 126 VMware, Inc.
Intégration d'AirWatch à VMware Identity Manager 13 AirWatch offre la gestion de la mobilité d'entreprise pour les périphériques ; VMware Identity Manager offre l'authentification unique et la gestion des identités pour les utilisateurs. Lorsqu'AirWatch et VMware Identity Manager sont intégrés, les utilisateurs des périphériques inscrits AirWatch peuvent se connecter à leurs applications activées en toute sécurité sans entrer plusieurs mots de passe. Lorsqu'AirWatch est intégré à VMware Identity Manager, vous pouvez configurer les intégrations suivantes avec AirWatch. n Annuaire AirWatch qui synchronise les utilisateurs et les groupes AirWatch avec un annuaire dans le service VMware Identity Manager, puis configure l'authentification par mot de passe via AirWatch Cloud Connector. n Authentification unique à un catalogue unifié contenant des applications autorisées depuis AirWatch et VMware Identity Manager. n Authentification unique utilisant l'authentification Kerberos à des périphériques iOS 9. n Règles de stratégie d'accès pour vérifier que les périphériques iOS 9 gérés par AirWatch sont conformes. Ce chapitre aborde les rubriques suivantes : n « Configuration d'AirWatch pour l'intégrer à VMware Identity Manager », page 127 n « Configuration d'une instance d'AirWatch dans VMware Identity Manager », page 131 n « Activer le catalogue unifié pour AirWatch », page 132 n « Implémentation de l'authentification avec AirWatch Cloud Connector », page 133 n « Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch », page 135 n « Implémentation de l'authentification Mobile SSO pour périphériques Android », page 143 n « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149 Configuration d'AirWatch pour l'intégrer à VMware Identity Manager Vous configurez des paramètres dans la console d'administration d'AirWatch pour communiquer avec VMware Identity Manager avant de configurer les paramètres d'AirWatch dans la console d'administration de VMware Identity Manager. Pour intégrer AirWatch et VMware Identity Manager, les éléments suivants sont requis. n Le groupe d'organisation dans AirWatch pour lequel vous configurez VMware Identity Manager est Customer. VMware, Inc. 127
n Une clé d'administration API REST pour la communication avec le service VMware Identity Manager et une clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch Cloud Connector sont créées sur le groupe d'organisation où est configuré VMware Identity Manager. n Les paramètres de compte d'administration API et le certificat d'authentification d'administration d'AirWatch sont ajoutés aux paramètres d'AirWatch dans la console d'administration de VMware Identity Manager. n Des comptes d'utilisateur Active Directory sont configurés sur le groupe d'organisation où est configuré VMware Identity Manager. n Si des utilisateurs finaux sont placés dans un groupe d'organisation enfant où est configuré VMware Identity Manager après l'enregistrement et l'inscription, le mappage Groupe d'utilisateurs dans la configuration d'inscription AirWatch doit être utilisé pour filtrer les utilisateurs et leurs périphériques respectifs sur le groupe d'organisation approprié. Les éléments suivants sont configurés dans la console d'administration d'AirWatch. n Une clé API d'administration REST pour la communication avec le service VMware Identity Manager n Un compte d'administration API pour VMware Identity Manager et le certificat d'authentification d'administration qui est exporté depuis AirWatch et ajouté aux paramètres d'AirWatch dans VMware Identity Manager n Clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch Cloud Connector Créer des clés API REST dans AirWatch L'accès API d'administration REST et l'accès des utilisateurs inscrits doivent être activés dans la console d'administration d'AirWatch pour intégrer VMware Identity Manager à AirWatch. Lorsque vous activez l'accès API, une clé API est générée. Procédure 1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > API > API REST. 2 Dans l'onglet Général, cliquez sur Ajouter pour générer la clé API à utiliser dans le service VMware Identity Manager. Le type de compte doit être Administrateur. Fournissez un nom de service unique. Ajoutez une description, telle que AirWatchAPI pour IDM. 3 Pour générer la clé API d'utilisateur inscrit, cliquez de nouveau sur Ajouter. 4 Dans le menu déroulant Type de compte, sélectionnez Utilisateur de l'enrôlement. Fournissez un nom de service unique. Ajoutez une description, telle que UserAPI pour IDM. Administration de VMware Identity Manager 128 VMware, Inc.
5 Copiez les deux clés API et enregistrez les clés dans un fichier. Vous ajoutez ces clés lorsque vous configurez AirWatch dans la console d'administration de VMware Identity Manager. 6 Cliquez sur Enregistrer. Créez un compte d'administrateur et un certificat dans AirWatch Une fois la clé API d'administration créée, vous ajoutez un compte d'administrateur et configurez l'authentification par certificat dans la console d'administration d'AirWatch. Pour l'authentification par certificat API REST, un certificat de niveau utilisateur est généré à partir de la console d'administration d'AirWatch. Le certificat utilisé est un certificat AirWatch auto-signé généré à partir du certificat racine d'administration AirWatch. Prérequis La clé API d'administration REST AirWatch est créée. Procédure 1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Comptes > Administrateurs > Vue Liste. 2 Cliquez sur Ajouter > Ajouter un administrateur. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 129
3 Dans l'onglet Standard, entrez le nom d'utilisateur et le mot de passe de l'administrateur de certificat dans les zones de texte requises. 4 Sélectionnez l'onglet Rôles, choisissez le groupe d'organisation actuel, cliquez sur la deuxième zone de texte et sélectionnez Administrateur AirWatch. 5 Sélectionnez l'onglet API et, dans la zone de texte Authentification, sélectionnez Certificats. 6 Entrez le mot de passe du certificat. Le mot de passe est le même que celui entré pour l'administrateur dans l'onglet Standard. 7 Cliquez sur Enregistrer. Le nouveau compte d'administrateur et le certificat client sont créés. 8 Sur la page Vue Liste, sélectionnez l'administrateur que vous avez créé et ouvrez de nouveau l'onglet API. La page des certificats affiche des informations sur le certificat. Administration de VMware Identity Manager 130 VMware, Inc.
9 Entrez le mot de passe que vous avez défini dans la zone de texte Mot de passe du certificat, cliquez sur Exporter le certificat client et enregistrez le fichier. Le certificat client est enregistré sous un fichier de type .p12. Suivant Configurez vos paramètres d'URL AirWatch dans la console d'administration de VMware Identity Manager. Configuration d'une instance d'AirWatch dans VMware Identity Manager Après avoir configuré les paramètres dans la console d'administration d'AirWatch, sur la page Identité et gestion de l'accès de la console d'administration de VMware Identity Manager, vous entrez l'URL d'AirWatch, les valeurs de clé API et le certificat. Une fois les paramètres d'AirWatch configurés, vous pouvez activer des options de fonctionnalité disponibles avec l'intégration d'AirWatch. Ajouter des paramètres d'AirWatch à VMware Identity Manager Configurez des paramètres d'AirWatch dans VMware Identity Manager pour intégrer AirWatch à VMware Identity Manager et activer les options d'intégration de la fonctionnalité AirWatch. La clé API AirWatch et le certificat sont ajoutés pour l'autorisation VMware Identity Manager avec AirWatch. Prérequis n URL du serveur AirWatch que l'administrateur utilise pour se connecter à la console d'administration d'AirWatch. n Clé API d'administration AirWatch utilisée pour faire des demandes API depuis VMware Identity Manager au serveur AirWatch afin de configurer l'intégration. n Fichier de certificat AirWatch utilisé pour passer des appels API et mot de passe du certificat. Le fichier de certificat doit être au format .p12. n Clé API d'utilisateur inscrit AirWatch. n ID de groupe AirWatch de votre locataire, qui est l'identifiant du locataire dans AirWatch. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration de VMware Identity Manager, cliquez sur Configuration > AirWatch. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 131
2 Entrez les paramètres d'intégration d'AirWatch dans les champs suivants. Champ Description URL API d'AirWatch Entrez l'URL d'AirWatch. Par exemple, https://myco.airwatch.com Certificat API AirWatch Téléchargez le fichier de certificat utilisé pour passer des appels API. Mot de passe du certificat Entrez le mot de passe du certificat. Clé API d'administration AirWatch Entrez la valeur de clé API d'administration. Exemple de valeur de clé API FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs= Clé API d'utilisateur inscrit AirWatch Entrez la valeur de clé API d'utilisateur inscrit. ID de groupe AirWatch Entrez l'ID de groupe AirWatch pour le groupe d'organisation dans lequel la clé API et le compte d'administrateur ont été créés. 3 Cliquez sur Enregistrer. Suivant n Activez l'option de la fonctionnalité Catalogue unifié pour fusionner des applications configurées dans le catalogue AirWatch avec le catalogue unifié. n Activez la vérification de la conformité pour vérifier que les périphériques gérés par AirWatch respectent les stratégies de conformité d'AirWatch. Voir « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149. Activer le catalogue unifié pour AirWatch Lorsque vous configurez VMware Identity Manager avec votre instance d'AirWatch, vous pouvez activer le catalogue unifié ce qui permet aux utilisateurs finaux de voir toutes les applications qui leur sont attribuées depuis VMware Identity Manager et AirWatch. Lorsqu'AirWatch n'est pas intégré au catalogue unifié, les utilisateurs finaux ne voient que les applications qui leur sont attribuées depuis le service VMware Identity Manager. Administration de VMware Identity Manager 132 VMware, Inc.
Prérequis AirWatch configuré dans VMware Identity Manager. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, cliquez sur Configuration > AirWatch. 2 Dans la section Catalogue unifié de cette page, sélectionnez Activer. 3 Cliquez sur Enregistrer. Suivant Indiquez aux utilisateurs finaux d'AirWatch comment accéder au catalogue unifié et voir leur portail Workspace ONE via VMware Identity Manager. Implémentation de l'authentification avec AirWatch Cloud Connector Vous pouvez intégrer votre AirWatch Cloud Connector au service VMware Identity Manager pour l'authentification par mot de passe utilisateur. Vous pouvez configurer le service VMware Identity Manager pour synchroniser des utilisateurs à partir de l'annuaire AirWatch au lieu de déployer un connecteur VMware Identity Manager. Pour implémenter l'authentification AirWatch Cloud Connector, vous activez l'authentification par mot de passe AirWatch Cloud Connector sur la page du fournisseur d'identité intégré dans la console d'administration de VMware Identity Manager. Remarque AirWatch Cloud Connector doit être configuré sur AirWatch version 8.3 et ultérieures pour l'authentification avec VMware Identity Manager. L'authentification par nom d'utilisateur et mot de passe est intégrée dans le déploiement d'AirWatch Cloud Connector. Pour authentifier des utilisateurs à l'aide d'autres méthodes d'authentification prises en charge par VMware Identity Manager, le connecteur VMware Identity Manager doit être configuré. Gestion du mappage d'attributs utilisateur Vous pouvez configurer le mappage d'attribut utilisateur entre l'annuaire AirWatch et l'annuaire VMware Identity Manager. La page Attributs utilisateur de la console d'administration de VMware Identity Manager, Identité et gestion de l'accès > Configuration > Attributs utilisateur, répertorie les attributs d'annuaire par défaut pouvant être mappés avec des attributs AirWatch Directory. Les attributs obligatoires sont signalés par un astérisque. Les utilisateurs pour qui il manque un attribut obligatoire dans le profil ne sont pas synchronisés avec le service VMware Identity Manager. Tableau 13‑1. Mappage d'attributs d'annuaire AirWatch par défaut Nom de l'attribut utilisateur de VMware Identity Manager Mappage par défaut avec l'attribut utilisateur AirWatch userPrincipalName userPrincipalName distinguishedName distinguishedName employeeID employeeID domaine Contrôleur disabled (utilisateur externe désactivé) disabled phone telephoneNumber lastName lastname* Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 133
Tableau 13‑1. Mappage d'attributs d'annuaire AirWatch par défaut (suite) Nom de l'attribut utilisateur de VMware Identity Manager Mappage par défaut avec l'attribut utilisateur AirWatch firstName firstname* email Email* userName username* Synchroniser des utilisateurs et des groupes entre l'annuaire AirWatch Directory et VMware Identity Directory Configurez les paramètres de VMware Identity Manager dans la console d'administration d'AirWatch pour établir une connexion entre votre instance du groupe d'organisation du répertoire AirWatch et VMware Identity Manager. Cette connexion est utilisée pour synchroniser des utilisateurs et des groupes avec un répertoire créé dans le service VMware Identity Manager. Le répertoire VMware Identity Manager peut être utilisé avec AirWatch Cloud Connector pour l'authentification par mot de passe. Les utilisateurs et les groupes commencent par synchroniser le répertoire VMware Identity Manager manuellement. Le planning de synchronisation d'AirWatch détermine le moment auquel les utilisateurs et les groupes se synchronisent avec le répertoire VMware Identity Manager. Lorsqu'un utilisateur ou un groupe est ajouté ou supprimé sur le serveur AirWatch, la modification est immédiatement reflétée sur le service VMware Identity Manager. Prérequis n Nom et mot de passe d'administrateur local de VMware Identity Manager. n Identifiez des valeurs d'attribut à mapper depuis le répertoire AirWatch. Voir « Gestion du mappage d'attributs utilisateur », page 133. Procédure 1 Dans la console d'administration d'AirWatch, sur la page Groupes et paramètres, Tous les paramètres, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Système > Intégration d'entreprise >VMware Identity Manager. 2 Dans la section Serveur, cliquez sur Configurer. Remarque Le bouton de configuration n'est disponible que lorsque le service de répertoire est également configuré pour le même groupe d'organisation. Si le bouton Configurer n'est pas visible, vous ne vous trouvez pas dans le bon groupe d'organisation. Vous pouvez modifier le groupe d'organisation dans le menu déroulant Global. 3 Entrez les paramètres de VMware Identity Manager. Option Description URL Entrez l'URL VMware de votre locataire. Par exemple, https://myco.identitymanager.com. Nom d'utilisateur de l'administrateur Entrez le nom d'utilisateur Admin local de VMware Identity Manager. Mot de passe de l'administrateur Entrez le mot de passe de l'utilisateur Admin local de VMware Identity Manager. 4 Cliquez sur Suivant. Administration de VMware Identity Manager 134 VMware, Inc.
5 Activez le mappage personnalisé pour configurer le mappage d'attributs utilisateur entre AirWatch et le service VMware Identity Manager. 6 Cliquez sur Tester la connexion pour vérifier que les paramètres sont corrects. 7 Cliquez sur Synchroniser maintenant pour synchroniser manuellement tous les utilisateurs et les groupes avec le service VMware Identity Manager. Remarque Pour contrôler la charge système, la synchronisation manuelle ne peut être effectuée que quatre heures après une précédente synchronisation. Un annuaire AirWatch est créé dans le service VMware Identity Manager et les utilisateurs et les groupes sont synchronisés avec un annuaire dans VMware Identity Manager. Suivant Examinez l'onglet Utilisateurs et groupes dans la console d'administration de VMware Identity Manager pour vérifier que les noms d'utilisateur et de groupe sont synchronisés. Mise à jour de VMware Identity Manager après la mise à niveau d'AirWatch Lorsque vous effectuez la mise à niveau d'AirWatch vers une nouvelle version, vous devez mettre à jour le catalogue unifié et l'authentification par mot de passe utilisateur via des options de configuration d'AirWatch dans le service VMware Identity Manager. Lorsque vous enregistrez les options après la mise à niveau d'AirWatch, les paramètres d'AirWatch dans le service VMware Identity Manager sont mis à jour avec la nouvelle version d'AirWatch. Procédure 1 Après la mise à niveau d'AirWatch, connectez-vous à la console d'administration de VMware Identity Manager. 2 Dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration > AirWatch. 3 Faites défiler la page jusqu'à la section Catalogue unifié et cliquez sur Enregistrer. 4 Faites défiler jusqu'à la section Authentification par mot de passe utilisateur via AirWatch et cliquez sur Enregistrer. La configuration d'AirWatch est mise à jour avec la nouvelle version dans le service VMware Identity Manager. Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch Pour l'authentification des périphériques iOS, VMware Identity Manager utilise un fournisseur d'identité intégré au service Identity Manager pour fournir l'accès à l'authentification Mobile SSO. Cette méthode d'authentification utilise un centre de distribution de clés (KDC) sans utiliser un connecteur ou un système tiers. Vous devez initier le service KDC dans le fournisseur d'identité intégré VMware Identity Manager avant d'activer Kerberos dans la console d'administration. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 135
L'implémentation de l'authentification Mobile SSO pour les périphériques iOS 9 gérés par AirWatch requiert les étapes de configuration suivantes. Remarque L'authentification Mobile SSO est prise en charge sur les périphériques iOS exécutant iOS 9 et versions ultérieures. n Initialisez le centre de distribution de clés (KDC) dans le dispositif VMware Identity Manager. Consultez le chapitre Préparation pour utiliser l'authentification Kerberos sur des périphériques iOS dans le Guide d'installation. n Si vous utilisez des services de certificats Active Directory, configurez un modèle d'autorité de certification pour la distribution de certificats Kerberos dans les services de certificats Active Directory. Ensuite, configurez AirWatch pour qu'il utilise l'autorité de certification Active Directory. Ajoutez le modèle de certificat dans la console d'administration d'AirWatch. Téléchargez le certificat de l'émetteur pour configurer Mobile SSO pour iOS. n Si vous utilisez l'autorité de certification AirWatch, activez des certificats sur la page Intégrations de VMware Identity Manager. Téléchargez le certificat de l'émetteur pour configurer Mobile SSO pour iOS. n Configurez le fournisseur d'identité intégré, puis activez et configurez l'authentification Mobile SSO pour iOS pour le fournisseur d'identité dans la console d'administration de VMware Identity Manager. n Configurez le profil de périphérique iOS et activez l'authentification unique dans la console d'administration d'AirWatch. Configurer une autorité de certification Active Directory dans AirWatch Pour configurer l'authentification unique sur des périphériques mobiles iOS 9 gérés par AirWatch, vous pouvez établir une relation de confiance entre Active Directory et AirWatch et activer la méthode d'authentification Mobile SSO pour iOS dans VMware Identity Manager. Après avoir configuré le modèle d'autorité de certification et le modèle de certificat pour la distribution de certificats Kerberos dans les services de certificats Active Directory, activez AirWatch pour demander le certificat utilisé pour l'authentification et ajouter l'autorité de certification à la console d'administration d'AirWatch. Procédure 1 Dans le menu principal de la console d'administration d'AirWatch, accédez à Périphériques > Certificats > Autorités de certification. 2 Cliquez sur Ajouter. 3 Configurez ce qui suit sur la page Autorité de certification. Remarque Vérifiez que Microsoft AD CS est sélectionné comme type d'autorité avant de commencer à remplir ce formulaire. Option Description Nom Entrez un nom pour la nouvelle autorité de certification. Type d'autorité Vérifiez que Microsoft ADCS est sélectionné. Protocole Sélectionnez ADCS comme protocole. Nom d'hôte de serveur Entrez l'URL du serveur. Entrez le nom d'hôte au format https://{servername.com}/certsrv.adcs/. Le site peut être http ou https, en fonction de la configuration du site. L'URL doit inclure la / de fin. Remarque Si la connexion échoue lorsque vous testez l'URL, supprimez la partie http:// ou https:// de l'adresse et testez de nouveau la connexion. Administration de VMware Identity Manager 136 VMware, Inc.
Option Description Nom d'autorité Entrez le nom de l'autorité de certification à laquelle le point de terminaison ADCS est connecté. Vous pouvez voir ce nom en lançant l'application Autorité de certification sur le serveur d'autorité de certification. Authentification Vérifiez que Compte de service est sélectionné. Nom d'utilisateur et mot de passe Entrez le nom d'utilisateur et le mot de passe du compte d'administrateur AD CS avec un accès suffisant pour autoriser AirWatch à demander et émettre des certificats. 4 Cliquez sur Enregistrer. Suivant Configurez le modèle de certificat dans AirWatch. Configuration d'AirWatch pour qu'il utilise l'autorité de certification Active Directory Votre modèle d'autorité de certification doit être correctement configuré pour la distribution de certificats Kerberos. Dans les services de certificats Active Directory (AD CS), vous pouvez dupliquer le modèle Authentification Kerberos existant pour configurer un nouveau modèle d'autorité de certification pour l'authentification Kerberos iOS. Lorsque vous dupliquez le modèle Authentification Kerberos depuis AD CS, vous devez configurer les informations suivantes dans la boîte de dialogue Propriétés du nouveau modèle. Figure 13‑1. Boîte de dialogue Propriétés du nouveau modèle des services de certificats Active Directory n Onglet Général. Entrez le nom complet du modèle et le nom du modèle. Par exemple iOSKerberos. Il s'agit du nom complet indiqué dans les composants logiciels enfichables Modèles de certificat, Certificats et Autorité de certification. n Onglet Nom du sujet. Activez le bouton radio Fournir dans la demande. Le nom du sujet est fourni par AirWatch lorsqu'il demande le certificat. n Onglet Extensions. Définissez les stratégies d'application. n Sélectionnez Stratégies d'application et cliquez sur Modifier pour ajouter une nouvelle stratégie d'application. Nommez cette stratégie Authentification client Kerberos. n Ajoutez l'identificateur d'objet (OID) comme suit : 1.3.6.1.5.2.3.4. Ne le modifiez pas. n Dans la liste Description des stratégies d'application, supprimez toutes les stratégies répertoriées, sauf les stratégies Authentification client Kerberos et Authentification par carte à puce. n Onglet Sécurité. Ajoutez le compte AirWatch à la liste d'utilisateurs pouvant utiliser le certificat. Définissez les autorisations du compte. Définissez Contrôle total pour autoriser le principal de sécurité à modifier tous les attributs d'un modèle de certificat, notamment les autorisations du modèle de certificat. Autrement, définissez les autorisations en fonction des exigences de votre entreprise. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 137
Enregistrez les modifications. Ajoutez le modèle à la liste des modèles utilisés par l'autorité de certification Active Directory. Dans AirWatch, configurez l'autorité de certification et ajoutez le modèle de certificat. Ajouter un modèle de certificat dans AirWatch Vous ajoutez le modèle de certificat qui associe l'autorité de certification utilisée pour générer le certificat de l'utilisateur. Prérequis Configurez l'autorité de certification dans AirWatch. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > Autorités de certification. 2 Sélectionnez l'onglet Modèle de demande et cliquez sur Ajouter. 3 Configurez ce qui suit sur la page du modèle de certificat. Option Description Nom Entrez le nom du nouveau modèle de demande dans AirWatch. Autorité de certification Dans le menu déroulant, sélectionnez l'autorité de certification qui a été créée. Modèle d'émission Entrez le nom du modèle de certificat d'autorité de certification Microsoft exactement comme vous l'avez créé dans AD CS. Par exemple, iOSKerberos. Nom du sujet Après CN=, entrez {EnrollmentUser}, où la zone de texte {} est la valeur de recherche d'AirWatch. Le texte entré ici est le sujet du certificat, qui peut être utilisé pour déterminer qui a reçu le certificat. Longueur de clé privée Cette longueur de clé privée correspond au paramètre sur le modèle de certificat utilisé par AD CS. En général, elle est de 2 048. Type de clé privée Cochez la case Signature et chiffrement. Type d'autre nom du sujet Pour l'autre nom du sujet, sélectionnez Nom principal de l'utilisateur. La valeur doit être {EnrollmentUser}. Si la vérification de la conformité du périphérique est configurée avec l'authentification Kerberos, vous devez définir un deuxième type d'autre nom du sujet pour inclure l'UDID. Sélectionnez le type d'autre nom du sujet DNS. La valeur doit être UDID={DeviceUid}. Renouvellement automatique des certificats Cochez la case pour que les certificats utilisant ce modèle soient renouvelés automatiquement avant leur date d'expiration. Période de renouvellement automatique (jours) Spécifiez le renouvellement automatique en jours. Activer la révocation de certificat Cochez la case pour que les certificats soient automatiquement révoqués lorsque des périphériques applicables sont désinscrits ou supprimés, ou si le profil applicable est supprimé. Publier la clé privée Cochez cette case pour publier la clé privée. Destination de la clé privée Service de répertoire ou Service Web personnalisé Administration de VMware Identity Manager 138 VMware, Inc.
4 Cliquez sur Enregistrer. Suivant Dans la console d'administration du fournisseur d'identité, configurez le fournisseur d'identité intégré avec la méthode d'authentification Mobile SSO pour iOS. Configurer le profil Apple iOS dans AirWatch à l'aide du modèle d'autorité de certification et du modèle de certificat Active Directory Créez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres du fournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que le périphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique a utilisé pour s'authentifier. Activez l'authentification unique pour autoriser l'accès transparent sans que l'authentification soit requise dans chaque application. Prérequis n Mobile SSO pour iOS est configuré dans VMware Identity Manager. n Fichier d'autorité de certification Kerberos iOS enregistré sur un ordinateur accessible depuis la console d'administration d'AirWatch. n L'autorité de certification et le modèle de certificat sont correctement configurés dans AirWatch. n Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Mobile SSO pour iOS sur des périphériques iOS. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profils. 2 Sélectionnez Ajouter > Ajouter un profil et sélectionnez Apple iOS. 3 Entrez le nom iOSKerberos et configurez les paramètres Général. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 139
4 Dans le volet de navigation de gauche, sélectionnez Informations d'identification > Configurer pour configurer les informations d'identification. Option Description Source des informations d'identification Sélectionnez Autorité de certification définie dans le menu déroulant. Autorité de certification Sélectionnez l'autorité de certification dans la liste du menu déroulant. Modèle de certificat Sélectionnez le modèle de demande qui fait référence à l'autorité de certification dans le menu déroulant. Il s'agit du modèle de certificat créé dans Ajout du modèle de certificat dans AirWatch. 5 Cliquez de nouveau sur + dans l'angle inférieur droit de la page et créez un second lot d'informations d'identification. 6 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger. 7 Entrez un nom d'informations d'identification. 8 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC qui est téléchargé depuis la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré. 9 Dans le volet de navigation de gauche, sélectionnez Authentification unique et cliquez sur Configurer. 10 Entrez les informations de connexion. Option Description Nom de compte Entrez Kerberos. Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}. Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avez initialisé KDC dans le dispositif VMware Identity Manager. Par exemple : EXAMPLE.COM Renouvellement de certificat Sélectionnez Certificate#1 dans le menu déroulant. Il s'agit du certificat d'autorité de certification Active Directory qui a été configuré en premier avec des informations d'identification. Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce compte pour l'authentification Kerberos sur HTTP. Entrez l'URL du serveur VMware Identity Manager sous la forme https://myco.example.com. Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cette connexion. Pour exécuter l'authentification unique à l'aide du navigateur Safari intégré d'iOS, entrez le premier ID de bundle d'application sous la forme com.apple.mobilesafari. Entrez les ID de bundle d'application suivants. Les applications répertoriées doivent prendre en charge l'authentification SAML. 11 Cliquez sur Enregistrer et publier. Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent se connecter à VMware Identity Manager à l'aide de la méthode d'authentification Mobile SSO pour iOS sans entrer leurs informations d'identification. Suivant Créez un autre profil pour configurer d'autres fonctionnalités de votre choix, par exemple des clips Web afin de créer des icônes pour des applications Web que vous transférez depuis AirWatch vers les pages d'accueil du périphérique iOS ou le catalogue d'applications. Administration de VMware Identity Manager 140 VMware, Inc.
Utilisation de l'autorité de certification AirWatch pour l'authentification Kerberos Vous pouvez utiliser l'autorité de certification AirWatch au lieu de l'autorité de certification Active Directory pour configurer l'authentification unique avec l'authentification Kerberos intégré sur des périphériques mobiles iOS 9 gérés par AirWatch. Vous pouvez activer l'autorité de certification AirWatch dans la console d'administration d'AirWatch et exporter le certificat de l'émetteur de l'autorité de certification afin de l'utiliser dans le service VMware Identity Manager. L'autorité de certification AirWatch est conçue pour suivre le protocole d'inscription du certificat simple (SCEP) et est utilisée avec des périphériques gérés par AirWatch qui prennent en charge SCEP. L'intégration de VMware Identity Manager à AirWatch utilise l'autorité de certification AirWatch pour émettre des certificats sur des périphériques mobiles iOS 9 dans le cadre du profil. Le certificat racine de l'émetteur de l'autorité de certification AirWatch est également le certificat de signature OCSP. Activer et exporter l'autorité de certification AirWatch Lorsque VMware Identity Manager est activé dans AirWatch, vous pouvez générer le certificat racine de l'émetteur AirWatch et exporter le certificat pour l'utiliser avec l'authentification Mobile SSO pour iOS sur des périphériques mobiles iOS 9. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > VMware Identity Manager. 2 Pour activer l'autorité de certification AirWatch, le type de groupe d'organisation doit être Client. Conseil Pour afficher ou modifier le type de groupe, accédez à Groupes et paramètres, Groupes > Groupes organisationnels> Détails du groupe organisationnel. 3 Dans la section CERTIFICAT, cliquez sur Activer. La page affiche les détails du certificat racine de l'émetteur. 4 Cliquez sur Exporter et enregistrez le fichier. Suivant Dans la console d'administration de VMware Identity Manager, configurez l'authentification Kerberos dans le fournisseur d'identité intégré et ajoutez le certificat de l'émetteur de l'autorité de certification. Configurer le profil Apple iOS dans AirWatch à l'aide de l'autorité de certification AirWatch Créez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres du fournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que le périphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique utilise pour s'authentifier. Prérequis n Kerberos intégré configuré dans Identity Manager. n Fichier de certificat racine du serveur KDC VMware Identity Manager enregistré sur un ordinateur accessible depuis la console d'administration d'AirWatch. n Certificat activé et téléchargé depuis la console d'administration d'AirWatch, page Système > Intégration d'entreprise > VMware Identity Manager. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 141
n Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Kerberos intégré sur des périphériques iOS. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profil > Ajouter un profil et sélectionnez Apple iOS. 2 Configurez les paramètres Général du profil et entrez le nom du périphérique iOSKerberos. 3 Dans le volet de navigation de gauche, sélectionnez SCEP > Configurer pour configurer les informations d'identification. Option Description Source des informations d'identification Sélectionnez Autorité de certification AirWatch dans le menu déroulant. Autorité de certification Sélectionnez Autorité de certification AirWatch dans le menu déroulant. Modèle de certificat Sélectionnez Authentification unique pour définir le type de certificat émis par l'autorité de certification AirWatch. 4 Cliquez sur Informations d'identification > Configurer et créez d'autres informations d'identification. 5 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger. 6 Entrez le nom des informations d'identification Kerberos iOS. 7 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC VMware Identity Manager qui est téléchargé depuis la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré. 8 Dans le volet de navigation de gauche, sélectionnez Authentification unique. 9 Entrez les informations de connexion. Option Description Nom de compte Entrez Kerberos. Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}. Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avez initialisé KDC dans le dispositif VMware Identity Manager. Par exemple, EXAMPLE.COM. Renouvellement de certificat Sur les périphériques iOS 8 et versions ultérieures, sélectionnez le certificat utilisé pour réauthentifier l'utilisateur automatiquement sans interaction de sa part lorsque sa session d'authentification unique expire. Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce compte pour l'authentification Kerberos sur HTTP. Entrez l'URL du serveur VMware Identity Manager sous la forme https://myco.example.com. Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cette connexion. Pour exécuter l'authentification unique à l'aide du navigateur Safari intégré d'iOS, entrez le premier ID de bundle d'application sous la forme com.apple.mobilesafari. Entrez les ID de bundle d'application suivants. Les applications répertoriées doivent prendre en charge l'authentification SAML. 10 Cliquez sur Enregistrer et publier. Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent se connecter à VMware Identity Manager à l'aide de la méthode d'authentification Kerberos intégré sans entrer leurs informations d'identification. Administration de VMware Identity Manager 142 VMware, Inc.
Suivant Créez un autre profil pour configurer d'autres fonctionnalités de votre choix pour iOS Kerberos, par exemple des clips Web afin de créer des icônes pour des applications Web que vous transférez depuis AirWatch vers les pages d'accueil du périphérique iOS ou le catalogue d'applications. Implémentation de l'authentification Mobile SSO pour périphériques Android Mobile SSO pour Android est une implémentation de la méthode d'authentification de certificat pour les périphériques Android gérés par AirWatch. L'application mobile AirWatch Tunnel est installée sur le périphérique Android. Le client AirWatch Tunnel est configuré pour accéder au service VMware Identity Manager à des fins d'authentification. Le client tunnel utilise le certificat client pour établir une session SSL authentifiée mutuelle et le service VMware Identity Manager récupère le certificat client à des fins d'authentification. Remarque L'authentification Mobile SSO pour Android est prise en charge pour les périphériques Android 4.4 et versions ultérieures. Authentification Mobile SSO sans accès VPN L'authentification Mobile SSO pour périphériques Android peut être configurée pour contourner le serveur Tunnel lorsque l'accès VPN n'est pas requis. L'implémentation de l'authentification Mobile SSO pour Android sans VPN utilise les mêmes pages de configuration que lors de la configuration d'AirWatch Tunnel, mais comme vous n'installez pas le serveur Tunnel, vous n'entrez pas le nom d'hôte et le port du serveur AirWatch Tunnel. Vous configurez toujours un profil à l'aide du formulaire de profil AirWatch Tunnel, mais le trafic n'est pas dirigé vers le serveur Tunnel. Le client Tunnel est utilisé uniquement pour l'authentification unique. Dans la console d'administration d'AirWatch, vous configurez les paramètres suivants. n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet aux périphériques Android d'accéder à des applications internes et publiques gérées via le client d'application mobile AirWatch Tunnel. n Profil Tunnel par application. Ce profil est utilisé pour activer les capacités de tunneling par application pour Android. n Sur la page Règles de trafic réseau, comme le serveur Tunnel n'est pas configuré, vous sélectionnez Contournement pour qu'aucun trafic ne soit dirigé vers un serveur Tunnel. Authentification Mobile SSO avec accès VPN Lorsque l'application configurée pour l'authentification unique est également utilisée pour accéder à des ressources intranet derrière le pare-feu, configurez l'accès VPN et le serveur Tunnel. Lorsque l'authentification unique est configurée avec VPN, le client Tunnel peut en option diriger le trafic de l'application et les demandes de connexion via le serveur Tunnel. Au lieu de la configuration par défaut utilisée pour le client Tunnel dans la console en mode authentification unique, la configuration doit pointer vers le serveur Tunnel. L'implémentation de l'authentification Mobile SSO pour Android pour les périphériques Android gérés par AirWatch requiert la configuration d'AirWatch Tunnel dans la console d'administration d'AirWatch et l'installation du serveur AirWatch Tunnel pour que vous puissiez configurer Mobile SSO pour Android dans la console d'administration de VMware Identity Manager. Le service AirWatch Tunnel fournit l'accès VPN par application aux applications gérées par AirWatch. AirWatch Tunnel permet également de diriger le trafic proxy d'une application mobile vers VMware Identity Manager pour l'authentification unique. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 143
Dans la console d'administration d'AirWatch, vous configurez les paramètres suivants. n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet aux périphériques Android d'accéder à des applications internes et publiques gérées via le client d'application mobile AirWatch Tunnel. Une fois les paramètres d'AirWatch Tunnel configurés dans la console d'administration, vous téléchargez le programme d'installation d'AirWatch Tunnel et exécutez l'installation du serveur AirWatch Tunnel. n Profil VPN Android. Ce profil est utilisé pour activer les capacités de tunneling par application pour Android. n Activez le VPN pour chaque application qui utilise la fonctionnalité Tunnel par application à partir de la console d'administration. n Créez des règles de trafic de périphérique avec une liste de toutes les applications qui sont configurées pour VPN par application, les détails du serveur proxy et l'URL de VMware Identity Manager. Pour voir des informations détaillées sur l'installation et la configuration d'AirWatch Tunnel, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Configurer l'authentification unique pour un périphérique Android dans la console d'administration d'AirWatch Configurez l'authentification unique pour des périphériques Android afin de permettre aux utilisateurs de se connecter en toute sécurité à des applications d'entreprise, sans entrer leur mot de passe. Pour configurer l'authentification unique pour des périphériques Android, vous n'avez pas besoin de configurer AirWatch Tunnel, mais vous configurez l'authentification unique avec la plupart des mêmes champs. Prérequis n Android 4.4 ou version ultérieure n Les applications doivent prendre en charge SAML ou une autre norme de fédération prise en charge Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel. 2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant de configuration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite, cliquez sur Configurer. 3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez sur Suivant. Conservez Basique comme modèle de déploiement. 4 Sur la page Détails, entrez une valeur factice dans la zone de texte, car ce champ n'est pas requis pour la configuration de l'authentification unique. Cliquez sur Suivant. 5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public, cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant. Le certificat racine de périphérique tunnel est généré automatiquement. Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour le nom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques valide pour le domaine correspondant. Administration de VMware Identity Manager 144 VMware, Inc.
6 Sur la page Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez sur Suivant. Option Description Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch. Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle de certificat que vous avez configurés dans AirWatch s'affiche. Vous pouvez également télécharger le certificat racine de votre autorité de certification. Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité de certification sur la page de configuration d'AirWatch Tunnel. 7 Cliquez sur Suivant. 8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnel pour Android. Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profil Android dans AirWatch. 9 Examinez le résumé de votre configuration et cliquez sur Enregistrer. Vous êtes dirigé vers la page de configuration des paramètres système. Configurer des paramètres d'accès VPN d'AirWatch Tunnel dans la console d'administration d'AirWatch Vous activez le composant Tunnel par application dans les paramètres d'AirWatch Tunnel afin de configurer la fonctionnalité de tunnelling par application pour les périphériques Android. Le tunneling par application permet à vos applications internes et publiques gérées d'accéder à vos ressources d'entreprise application par application. Le VPN peut se connecter automatiquement lorsqu'une application spécifiée est lancée. Pour voir des instructions détaillées sur la configuration d'AirWatch Tunnel, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel. 2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant de configuration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite, cliquez sur Configurer. 3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez sur Suivant. Conservez Basique comme modèle de déploiement. 4 Sur la page Détails, pour la configuration de tunneling par application, entrez le nom d'hôte et le port du serveur AirWatch Tunnel. Par exemple, entrez tunnel.example.com. Cliquez sur Suivant. 5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public, cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant. Le certificat racine de périphérique tunnel est généré automatiquement. Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour le nom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques valide pour le domaine correspondant. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 145
6 Sur la page Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez sur Suivant. Option Description Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch. Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle de certificat que vous avez configurés dans AirWatch s'affiche. Vous pouvez également télécharger le certificat racine de votre autorité de certification. Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité de certification sur la page de configuration d'AirWatch Tunnel. Si la vérification de la conformité du périphérique est configurée pour Android, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID ou définissez un type d'autre nom du sujet pour inclure l'UDID. Sélectionnez le type d'autre nom du sujet DNS. La valeur doit être UDID={DeviceUid}. 7 Cliquez sur Suivant. 8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnel pour Android. Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profil Android dans AirWatch. 9 (Facultatif) Sur la page Divers, activez les journaux d'accès pour les composants Tunnel par application. Cliquez sur Suivant. Vous devez activer ces journaux avant d'installer le serveur AirWatch Tunnel. 10 Examinez le résumé de votre configuration et cliquez sur Enregistrer. Vous êtes dirigé vers la page de configuration des paramètres système. 11 Sélectionnez l'onglet Général et téléchargez le dispositif virtuel Tunnel. Vous pouvez utiliser VMware Access Point pour déployer le serveur Tunnel. Suivant Installez le serveur AirWatch Tunnel. Pour voir des instructions, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Configurer le profil Tunnel par application pour Android Une fois que vous avez configuré et installé le composant Tunnel par application d'AirWatch Tunnel, vous pouvez configurer le profil VPN Android et ajouter une version au profil. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils > Ajouter un profil et sélectionnez Android ou Android for Work. 2 Configurez les Paramètres généraux pour Android, si ce n'est pas déjà fait. 3 Dans la colonne de gauche, sélectionnez VPN et cliquez sur Configurer. Administration de VMware Identity Manager 146 VMware, Inc.
4 Renseignez les informations sur la connexion VPN. Option Description Type de connexion Sélectionnez AirWatch Tunnel. Nom de la connexion Entrer un nom pour cette connexion. Par exemple, Configuration AndroidSSO. Serveur L'URL du serveur AirWatch Tunnel est entrée automatiquement. Règles VPN par application Cochez la case Règles VPN par application. 5 Cliquez sur Ajouter une version. 6 Cliquez sur Enregistrer et publier. Suivant Activez le VPN par application pour les applications Android auxquelles vous pouvez accéder à l'aide de Mobile SSO pour Android. Voir « Activer VPN par application pour les applications Android », page 147. Activer VPN par application pour les applications Android Le paramètre Profil VPN par application est activé pour les applications Android auxquelles vous accédez avec Mobile SSO pour Android de VMware Identity Manager. Prérequis n AirWatch Tunnel configuré avec le composant Tunnel par application installé. n Profil VPN Android créé. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Applications et livres > Applications > Mode Liste. 2 Sélectionnez l'onglet Interne. 3 Sélectionnez Ajouter une application et ajoutez une application. 4 Cliquez sur Enregistrer et attribuer. 5 Sur la page Attribution, sélectionnez Ajouter une attribution et, dans la section Avancé du menu déroulant Profil VPN par application, sélectionnez le profil VPN Android que vous avez créé. 6 Cliquez sur Enregistrer et publier. Activez le VPN par application pour les applications Android auxquelles vous accédez à l'aide de Mobile SSO pour Android. Pour plus d'informations sur l'ajout ou la modifications d'applications, consultez le guide de gestion des applications mobiles VMware AirWatch, sur le site Web des ressources d'AirWatch. Suivant Créez les règles de trafic réseau. Voir « Configurer des règles de trafic réseau dans AirWatch », page 148. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 147
Configurer des règles de trafic réseau dans AirWatch Configurez les règles de trafic réseau pour que le client AirWatch Tunnel dirige le trafic vers le proxy HTTPS pour les périphériques Android. Vous répertoriez les applications Android qui sont configurées avec l'option VPN par application sur les règles de trafic, et vous configurez l'adresse du serveur proxy et le nom d'hôte destination. Pour voir des informations détaillées sur la création de règles de trafic réseau, consultez le guide VMware AirWatch Tunnel sur le site Web des ressources d'AirWatch. Prérequis n Option AirWatch Tunnel configurée avec le composant Tunnel par application installé. n Profil VPN Android créé. n VPN par application activé pour chaque application Android ajoutée aux règles de trafic réseau. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel > Règles de trafic réseau. 2 Configurez les paramètres de règles de trafic réseau comme décrit dans le guide d'AirWatch Tunnel. Point spécifique pour la configuration de Mobile SSO pour Android, sur la page Règles de trafic réseau, configurez les paramètres suivants. a Dans la colonne Application, ajoutez les applications Android qui sont configurées avec le profil VPN par application. b Dans la colonne Action, sélectionnez Proxy et spécifiez les informations du proxy HTTPS. Entrez le port et le nom d'hôte de VMware Identity Manager. Par exemple login.example.com:5262. Remarque Si vous fournissez un accès externe à l'hôte VMware Identity Manager, le port de pare- feu 5262 doit être ouvert ou le trafic du port 5262 doit être traité par proxy via un proxy inverse dans la zone DMZ. c Dans la colonne Nom d'hôte de destination, entrez le nom d'hôte VMware Identity Manager de destination. Par exemple myco.example.com. Le client AirWatch Tunnel dirige le trafic vers le proxy HTTPS à partir du nom d'hôte VMware Identity Manager. 3 Cliquez sur Enregistrer. Administration de VMware Identity Manager 148 VMware, Inc.
Suivant Publiez ces règles. Une fois les règles publiées, le périphérique reçoit un profil VPN de mise à jour et l'application AirWatch Tunnel est configurée pour activer SSO. Accédez à la console d'administration de VMware Identity Manager et configurez Mobile SSO pour Android sur la page du fournisseur d'identité intégré. Voir GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD. Activer la vérification de la conformité pour les périphériques gérés par AirWatch Lorsque les utilisateurs inscrivent leurs périphériques via l'application AirWatch Agent, des exemples contenant des données utilisées pour évaluer la conformité sont envoyés selon un calendrier établi. L'évaluation de ces exemples de données garantit que le périphérique répond aux règles de conformité définies par l'administrateur dans la console AirWatch. Si le périphérique n'est plus conforme, les mesures correspondantes configurées dans la console AirWatch sont prises. VMware Identity Manager inclut une option de stratégie d'accès pouvant être configurée pour vérifier sur le serveur AirWatch l'état de conformité du périphérique lorsque des utilisateurs se connectent à partir du périphérique. La vérification de la conformité garantit que les utilisateurs ne peuvent pas se connecter à une application ou utiliser l'authentification unique sur le portail de VMware Identity Manager si le périphérique devient non conforme. Une fois le périphérique de nouveau conforme, il est possible de se connecter. L'application Workspace ONE se déconnecte automatiquement et bloque l'accès aux applications si le périphérique est compromis. Si le périphérique a été inscrit via la gestion adaptative, une commande de nettoyage d'entreprise émise via la console d'AirWatch désinscrit le périphérique et supprime les applications gérées à partir du périphérique. Les applications non gérées ne sont pas supprimées. Pour plus d'informations sur les stratégies de conformité d'AirWatch, consultez le guide de gestion des périphériques mobiles VMware AirWatch, disponible sur le site Web des ressources d'AirWatch. Configurer une règle de stratégie d'accès pour la vérification de la conformité Configurez une règle de stratégie d'accès qui requiert la vérification de la conformité pour permettre à VMware Identity Manager de vérifier que les périphériques gérés par AirWatch respectent les stratégies de conformité de périphérique d'AirWatch. Vous activez la vérification de la conformité dans le fournisseur d'identité intégré. Lorsque la vérification de la conformité est activée, vous créez une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques gérés par AirWatch. La règle de stratégie de vérification de la conformité fonctionne dans une chaîne d'authentification avec Mobile SSO pour iOS, Mobile SSO pour Android et le déploiement de Cloud de certificat. La méthode d'authentification à utiliser doit précéder l'option de conformité des périphériques dans la configuration de la règle de stratégie. Prérequis Les méthodes d'authentification configurées dans le fournisseur d'identité intégré. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration > AirWatch. 2 Dans la section Vérification de la conformité de la page AirWatch, sélectionnez Activer. 3 Cliquez sur Enregistrer. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 149
4 Dans l'onglet Gestion des identités et des accès, accédez à Gérer > Stratégies. 5 Sélectionnez la stratégie d'accès à modifier. 6 Dans la section Règles de stratégie, sélectionnez la règle à modifier. 7 Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, cliquez sur + et sélectionnez la méthode d'authentification à utiliser. 8 Dans le second menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, sélectionnez Conformité des périphériques (avec AirWatch). 9 (Facultatif) Dans la zone de texte Texte du message de la section Message d'erreur personnalisé, créez un message personnalisé qui s'affiche lorsque l'authentification d'un utilisateur échoue parce que le périphérique n'est pas conforme. Dans la zone de texte Lien d'erreur personnalisé, vous pouvez ajouter un lien au message. 10 Cliquez sur Enregistrer. Administration de VMware Identity Manager 150 VMware, Inc.
Index A accéder aux événements 122 Accès à distance à l'application, client 114 Active Directory authentification Windows intégrée 15 déploiement 81 intégration 17 mappage d'attributs 24 Active Directory à forêt unique 17 Active Directory via LDAP 15, 26 activer l'approbation de licence 117 activer l'autorité de certification AirWatch 141 activer la vérification de conformité 149 activer le catalogue unifié 131 activer le cookie persistant 94 admin,authentification 49 Affichage, activer 110 affichage des informations de l'utilisateur 97 affiliations de groupe, utilisateur 97 AirWatch activer le catalogue unifié 132 certificat 129 compte d'administrateur 129 configurer le profil iOS 139, 141 vérification de conformité des périphériques 149 AirWatch Tunnel, configurer 145 AirWatch, configuration dans VMware Identity Manager 131 AirWatch, configurer 127 AirWatch, intégration à Identity Manager 127 AirWatch, règles de trafic réseau 148 ajouter Active Directory 26 ajouter des groupes 98 ajouter des utilisateurs locaux 102 Ajouter un bouton de fournisseur d'identité 81 ajouter un utilisateur local 102 ajouter une application Web 109 alertes ThinApp 117 Android, authentification unique 144 Android, VPN par application 147 annuaire ajout 26 ajouter 15 protections de synchronisation 33 sécurité des synchronisations 33 annuaire AirWatch, attributs utilisateur 133 annuaire, AirWatch 134 annuaires, ajouter 10 annuaires LDAP intégration 35, 36 limites 35 aperçu, Paramètres de gestion des identités et des accès 10 API REST 117 application, catégories 113 application auxiliaire 114 applications mobile 108 Web 108 applications mobiles, type de ressource 108 applications publiées Citrix, activer 111 applications Web 108 approbation de licence 117 approbations 117 assertions SAML, juste-à-temps 55 attributs mappage 24 par défaut 24 attributs utilisateur, configuration 10 attributs utilisateur pour répertoires locaux 43 attributs utilisateur, annuaire AirWatch 133 authentification RADIUS 67 VPN par application pour les applications Android 147 authentification à deux facteurs 76 authentification AirWatch Cloud Connector 133 authentification Android, règles de trafic réseau 148 authentification hors bande 70 authentification Kerberos iOS 61 authentification par carte à puce 72, 73 authentification par mot de passe AirWatch Cloud 79 authentification RADIUS 67 authentification Windows intégrée 26 authentification, AirWatch Cloud Connector 133 authentification, Mobile SSO pour Android 143 authentification, mot de passe AirWatch 79 VMware, Inc. 151
authentification, profil Android 146 autorité de certification Active Directory 137 autorité de certification AirWatch, OCSP 141 autorité de certification AirWatch, activer 141 autorité de certification de carte à puce 73 autorité de certification pour AirWatch, authentification Kerberos 136 autorité de certification, carte à puce 73 autre annuaire 134 AWCA 141 C carte à puce, configurer 74 catalogue ajouter une application Web 109 gestion 107 catalogue global Active Directory 17 catalogue unifié, activer pour AirWatch 132 catalogue, applications publiées Citrix 111 catalogue, modules ThinApp 111 catalogue, View 110 catégories application 112 création 112 retrait 112, 113 suppression 113 centre de distribution de clés 61 chaînage d'authentification 87 Chrome 64 clé API 127, 128 clé API AirWatch 128 clé API REST 128 configuration RADIUS 68 Configurer AirWatch 127 configurer l'intégration d'AirWatch 131 configurer le profil de périphérique iOS 139 configurer RSA Adaptive Authentication 71 connecteur 15 Connecteur 59 connecteurs, code d'activation 10 Connector 81, 83 console d'administration 9 contrôle de la révocation, carte à puce 74 cookie persistant, activer 94 cookie, persistant 94 D déconnexion unique, fournisseur d'identité 81 dépannage du fichier domain_krb.properties 23 désactivation téléchargement d'Horizon Client 114 téléchargement de Citrix Receiver 114 désactiver des utilisateurs locaux 103 désactiver un compte 24 descriptions de l'onglet d'administration 9 domaine 25 domaine système 41 domaines multiples 17 droits, utilisateur 97 durée de session de réauthentification, configurer 85 E enregistrer des utilisateurs dans VMware Verify 77 ensemble de stratégies d'accès, par défaut 92 ensembles de stratégies d'accès création 92 par défaut 84, 87, 93 portail 87, 92 spécifiques à une application Web 90, 92, 93 état du dispositif 120 exporter l'autorité de certification AirWatch 141 externe, surveiller 120 F fichier domain_krb.properties 19, 21, 22 fichier runtime-config.properties 21 Firefox 64 fournisseur d'identité système 41 fournisseur d'identité Connecteur 59 Connector 83 déconnexion unique 81 Espace de travail 80 intégré 78 tiers 59, 83, 113 fournisseur d'identité intégré, activer 78 fournisseur d'identité intégré, configurer 78, 79 fournisseur d'identité tiers 81 fournisseurs d'identité relation à des stratégies d'accès 87 tiers 81 G group ajouter des utilisateurs 98 attribuer des ressources 98, 101 groupes Active Directory 95 ajouter 98 Espace de travail 98 rapport d'appartenance 121 groupes du serveur de dossiers 95 Administration de VMware Identity Manager 152 VMware, Inc.
H historique des mots de passe, paramètre 104 I IDP Workspace 80 images de l'espace de travail 108 informations de marque, VMware Verify 126 informations de marque personnalisées, configuration 10 informations système 120 instances de fournisseurs d'identité, sélection 83 intégration à Active Directory 17 intégration d'AirWatch 127 intégration d'annuaire 15 Internet Explorer 62 J joindre le domaine, kerberos 61 K Kerberos Authentification Windows 61 configurer 61 configurer AirWatch 137 intégré 135 navigateurs à configurer 62 vérification de conformité 149 Kerberos, implémentation avec IWA 61 L logo, ajouter 123 longueur minimale du mot de passe 104 M magasin d'utilisateurs 81 message d'accès refusé, configurer 85 message d'erreur d'authentification 92 message d'erreur personnalisé 92 méthode d'authentification 81 méthodes d'authentification ajout à une stratégie 85 relation à des stratégies d'accès 87, 92, 93 RSA Adaptive Authentication 70 mettre à niveau AirWatch Cloud Connector 135 mise à niveau d'AirWatch, mettre à jour le service 135 Mobile SSO pour Android, mise en œuvre 143 Mobile SSO pour iOS 135 modèle de certificat pour AirWatch, Kerberos 138 modifier un mot de passe Active Directory 31 modifier un mot de passe AD 31 Modules ThinApp, activer 111 mot de passe 104 mot de passe (répertoire local), admin 49 mots de passe, expiré 31 mots de passe Active Directory expirés 31 N navigateurs, pris en charge 9 navigateurs pour kerberos 62 navigation dans la console d'administration 9 noms d'attribut personnalisés, ne pas utiliser 24 noms d'utilisateur 96, 97 noms de groupe 96, 97 notification des rappels de mot de passe 104 notification monotouche 76 O ordre des méthodes d'authentification 85 P page Attributs utilisateur 24 page de connexion, personnaliser 123 page Portail, personnaliser 125 paramètres, catalogue 113 paramètres de gestion des identités et des accès 10 paramètres de répertoire local 47 paramètres de sécurité, ignorer 34 paramètres de synchronisation 24 paramètres du catalogue, applications publiées Citrix 116 paramètres globaux, désactiver l'application auxiliaire 114 personnaliser la page Portail 125 personnaliser les informations de marque 123 plage d'adresses IP 83 plage réseau 81, 83 plages réseau, relation à des stratégies d'accès 87, 92, 93 popularité des ressources 119 portail de l'utilisateur, personnaliser 123 préférences, cookie persistant 94 profil Apple iOS dans AirWatch 141 profil Tunnel par application pour Android 146 profil utilisateur 97 propriété siteaware.subnet 21 propriétés ICA 116 protection 10 protections, synchronisation d'annuaire 33 provisionnement d'utilisateurs juste-à-temps aperçu 51 assertions SAML 55 attributs utilisateur 53 configuration 54 Index VMware, Inc. 153
désactivation 56 groupes locaux 52 messages d'erreurs 57 préparation 52 suppression du répertoire 56 public concerné 7 Q questions de sécurité 70 R rapport activité des ressources 121 rôles 121 utilisation des périphériques 121 Rapport Appartenance à un groupe 121 rapport d'activité des ressources 121 Rapport d'événement audité 122 rapport d'utilisation des périphériques 121 Rapport Droits des ressources 121 rapport sur l'attribution des rôles 121 Rapport Utilisateurs 121 Rapport Utilisation des ressources 121 rapports 121 recherche de l'emplacement du service DNS 19, 21, 22 recherche SRV 19, 21, 22 règle de stratégie, vérification de conformité 149 règles 93 règles de stratégie, chaînage d'authentification 87 réinitialiser un mot de passe Active Directory 31 réinitialiser VMware Verify 77 répertoire juste-à-temps 51, 56 répertoire LDAP 15 répertoire local ajouter un domaine 47 associer à un fournisseur d'identité 46 attributs utilisateur 47 changer le nom 47 créer 43, 44 modifier 47 modifier le nom de domaine 47 supprimer 48 supprimer un domaine 47 répertoire système 41 répertoires locaux 41, 43, 46–48 ressource, approbation de licence 117 ressources attribuer à des groupes 98 autoriser 101 catégories 111, 112 pourcentage de types utilisés 119 révocation du certificat des cartes à puce 74 rôles, utilisateur 97 RSA Adaptive Authentication, inscrire des utilisateurs 70 RSA Adaptive Authentication, configurer 71 S SAML certificat 113 fournisseurs d'identité tiers 81 métadonnées 113 SecurID, configurer 66 sécurité des synchronisations, ignorer 34 sécurité, seuil 33 sélection de fournisseur d'identité, configuration 81 serveur RADIUS 68 serveur RSA SecurID 65 SMS 76 stratégie, modification 93 stratégie des mots de passe 104 stratégies d'accès Niveau d'authentification 84 relation à des fournisseurs d'identité 87, 92, 93 réseau 87, 90 Réseau 84 score d'authentification minimal 87, 90 spécifiques à une application Web 90, 92, 93 TTL 84, 87, 90 Type de client 84 supprimer un utilisateur local 103 surveiller la santé de l'espace de travail 120 synchroniser le domaine, utilisateur 97 T tableau de bord 119 tableau de bord Diagnostics du système 120 TOTP 76 travailleur 15 tunnel, AirWatch 144 U UPN 73 userName 96 utilisateur, droits 97 utilisateur final,Workspace ONE 9 utilisateur local ajouter 102 désactivation 103 supprimer 103 Administration de VMware Identity Manager 154 VMware, Inc.
utilisateurs Active Directory 95 attributs utilisateur 24 utilisateurs connectés, nombre 119 utilisateurs invités 95 utilisateurs locaux 41 utilisateurs locaux, ajouter 102 V validation technique 81 vérification de conformité avec AirWatch 149 vérification de conformité dans AirWatch 149 version 120 VMware Verify jeton de sécurité 76 réinitialiser 97 VMware Verify, activer 76 VMware Verify, annuler l'enregistrement de 77 VMware Verify, authentification à deux facteurs 76 VMware Verify, enregistrer des utilisateurs 77 VMware Verify,informations de marque 126 vue Mobile, personnaliser 125 vue Tablette, personnaliser 125 Index VMware, Inc. 155
Administration de VMware Identity Manager 156 VMware, Inc.

Contenu connexe

PPT
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
parfabricemeillon
 
PDF
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
parMicrosoft Décideurs IT
 
PDF
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Décideurs IT
 
PDF
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
parWorteks
 
PPTX
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
parMicrosoft Technet France
 
PDF
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
parMicrosoft Décideurs IT
 
PDF
Tutojres 13-jeromefenal
parinf_med13
 
PDF
LinShare : partage de fichiers sécurisé et coffre-fort électronique
parLINAGORA
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
parfabricemeillon
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
parMicrosoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
parMicrosoft Décideurs IT
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
parWorteks
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
parMicrosoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
parMicrosoft Décideurs IT
 
Tutojres 13-jeromefenal
parinf_med13
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
parLINAGORA
 

Tendances

PDF
Mise en place d’un gestionnaire d’annuaire
parJeff Hermann Ela Aba
 
PPTX
Implémenter de l’authentification forte pour vos environnements Cloud
parMicrosoft Décideurs IT
 
PPTX
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
parKyos
 
PDF
Présentations séminaire OSSA - mai 2010
parLINAGORA
 
PPTX
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
parMicrosoft Technet France
 
PDF
LinPKI
parLINAGORA
 
PDF
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
parAZUG FR
 
PDF
Sécurité Active Directory: Etablir un référentiel
parMicrosoft Décideurs IT
 
PPT
Les 11 bonnes raisons de migrer vers Windows Server 2008
parfabricemeillon
 
PPTX
Active Directory : nouveautés Windows Server 2012
parMicrosoft Technet France
 
PPTX
Services de bureaux distants dans Windows Server 2012 R2 et Azure
parMicrosoft Technet France
 
PPT
Projet Pki Etapes Clefs
parfabricemeillon
 
PDF
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
parLINAGORA
 
PPTX
radius
parmohamed hadrich
 
PDF
Active Directory Sur Windows 2008 R2
parSIMOES AUGUSTO
 
PPTX
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
parMicrosoft Technet France
 
PPTX
Les nouveautés stockage dans Windows Server 2012 R2
parGeorgeot Cédric
 
PPTX
AD Audit Plus
parPGSoftware
 
PDF
Alphorm.com Formation Elastic : Maitriser les fondamentaux
parAlphorm
 
PPTX
Hébergement du protocole kerberos dans un cloud
parMouadNahri
 
Mise en place d’un gestionnaire d’annuaire
parJeff Hermann Ela Aba
 
Implémenter de l’authentification forte pour vos environnements Cloud
parMicrosoft Décideurs IT
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
parKyos
 
Présentations séminaire OSSA - mai 2010
parLINAGORA
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
parMicrosoft Technet France
 
LinPKI
parLINAGORA
 
Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris
parAZUG FR
 
Sécurité Active Directory: Etablir un référentiel
parMicrosoft Décideurs IT
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
parfabricemeillon
 
Active Directory : nouveautés Windows Server 2012
parMicrosoft Technet France
 
Services de bureaux distants dans Windows Server 2012 R2 et Azure
parMicrosoft Technet France
 
Projet Pki Etapes Clefs
parfabricemeillon
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
parLINAGORA
 
radius
parmohamed hadrich
 
Active Directory Sur Windows 2008 R2
parSIMOES AUGUSTO
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
parMicrosoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
parGeorgeot Cédric
 
AD Audit Plus
parPGSoftware
 
Alphorm.com Formation Elastic : Maitriser les fondamentaux
parAlphorm
 
Hébergement du protocole kerberos dans un cloud
parMouadNahri
 

Similaire à Idm 28-administrator

PPT
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
parfabricemeillon
 
PPT
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
parfabricemeillon
 
PDF
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
parCERTyou Formation
 
PDF
Vsomft formation-vmware-vsphere-with-operations-management-fast-track
parCERTyou Formation
 
PDF
Vmvdft formation-vmware-view-desktop-fast-track
parCERTyou Formation
 
PDF
Hyper-V Cloud Guides de déploiement Module 3
parMicrosoft France
 
PDF
Vsso formation-vmware-vsphere-skills-for-operators
parCERTyou Formation
 
PPTX
Windows server-2008-r2-lessentiel HISOFT
pargroupe_hisoft
 
PPT
VMWare.ppt - R!L3S Développement.ppt
parNatijTDI
 
PDF
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
parMicrosoft Technet France
 
PDF
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
parMicrosoft Décideurs IT
 
PDF
Tutoriel Vmware
parelharrab
 
PPTX
Formation VMWare vSphere & vCenter 6.7 - Slides.pptx
parAzzouziassine027
 
PDF
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
parCERTyou Formation
 
PDF
Hyper-V Cloud Guides de déploiement Module 2
parMicrosoft France
 
PDF
Hyper-V Cloud Guides de déploiement Module 1
parMicrosoft France
 
PPTX
Cours 70 410 - J4
parMohamed Diallo
 
PDF
Sécuriser votre chaîne d'information dans Azure
parNis
 
PDF
Vmview formation-vmware-horizon-view-install-configure-manage
parCERTyou Formation
 
PDF
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
parCERTyou Formation
 
Comment créer, gérer et sauvegarder éfficacement vos environnements virtuels ...
parfabricemeillon
 
Techdays 2009 - Administration centralisée des infrastructures de virtualisation
parfabricemeillon
 
Vmcmvim formation-vmware-vcenter-configuration-manager-for-virtual-infrastruc...
parCERTyou Formation
 
Vsomft formation-vmware-vsphere-with-operations-management-fast-track
parCERTyou Formation
 
Vmvdft formation-vmware-view-desktop-fast-track
parCERTyou Formation
 
Hyper-V Cloud Guides de déploiement Module 3
parMicrosoft France
 
Vsso formation-vmware-vsphere-skills-for-operators
parCERTyou Formation
 
Windows server-2008-r2-lessentiel HISOFT
pargroupe_hisoft
 
VMWare.ppt - R!L3S Développement.ppt
parNatijTDI
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
parMicrosoft Technet France
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
parMicrosoft Décideurs IT
 
Tutoriel Vmware
parelharrab
 
Formation VMWare vSphere & vCenter 6.7 - Slides.pptx
parAzzouziassine027
 
M10755 formation-mettre-en-oeuvre-et-gerer-la-virtualisation-de-serveurs-micr...
parCERTyou Formation
 
Hyper-V Cloud Guides de déploiement Module 2
parMicrosoft France
 
Hyper-V Cloud Guides de déploiement Module 1
parMicrosoft France
 
Cours 70 410 - J4
parMohamed Diallo
 
Sécuriser votre chaîne d'information dans Azure
parNis
 
Vmview formation-vmware-horizon-view-install-configure-manage
parCERTyou Formation
 
Vmcmosm formation-vmware-vcenter-configuration-manager-for-operating-systems-...
parCERTyou Formation
 

Idm 28-administrator

  • 1.
    Administration de VMwareIdentity Manager VMware Identity Manager 2.8
  • 2.
    Administration de VMwareIdentity Manager 2 VMware, Inc. Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : https://docs.vmware.com/fr/ Le site Web de VMware propose également les dernières mises à jour des produits. N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante : docfeedback@vmware.com Copyright © 2013 – 2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc. 100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr
  • 3.
    Table des matières Àpropos de l'administration de VMware Identity Manager 7 1 Utilisation de la console d'administration de VMware Identity Manager 9 Navigation dans la console d'administration 9 Présentation des paramètres de gestion des identités et des accès 10 2 Intégration à votre annuaire d'entreprise 15 Concepts importants relatifs à l'intégration d'annuaire 15 3 Intégration à Active Directory 17 Environnements Active Directory 17 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) 19 Gestion des attributs utilisateur synchronisés à partir d'Active Directory 24 Autorisations requises pour joindre un domaine 25 Configuration de la connexion Active Directory au service 26 Autoriser les utilisateurs à modifier des mots de passe Active Directory 31 Configuration de la sécurité des synchronisations d'annuaire 33 4 Intégration à des annuaires LDAP 35 Limites de l'intégration d'annuaire LDAP 35 Intégrer un annuaire LDAP au service 36 5 Utilisation de répertoires locaux 41 Création d'un répertoire local 43 Modification des paramètres du répertoire local 47 Suppression d'un répertoire local 48 Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système 49 6 Provisionnement d'utilisateurs juste-à-temps 51 À propos du provisionnement d'utilisateurs juste-à-temps 51 Préparation du provisionnement juste-à-temps 52 Configuration du provisionnement d'utilisateurs juste-à-temps 54 Exigences des assertions SAML 55 Désactivation du provisionnement d'utilisateurs juste-à-temps 56 Suppression d'un répertoire juste-à-temps 56 Messages d'erreur 57 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager 59 Configuration de Kerberos pour VMware Identity Manager 61 Configuration de SecurID pour VMware Identity Manager 65 VMware, Inc. 3
  • 4.
    Configuration de RADIUSpour VMware Identity Manager 67 Configuration de RSA Adaptive Authentication dans VMware Identity Manager 70 Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager 72 Configuration de VMware Verify pour l'authentification à deux facteurs 76 Configuration d'un fournisseur d'identité intégré 78 Configurer des fournisseurs d'identité Workspace supplémentaires 80 Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs 81 Gestion des méthodes d'authentification à appliquer aux utilisateurs 83 8 Gestion des stratégies d'accès 87 Configuration de paramètres de stratégie d'accès 87 Gestion des stratégies spécifiques à une application Web et de poste de travail 90 Ajouter une stratégie spécifique à une application Web ou de poste de travail 92 Configurer le message d'erreur d'accès refusé personnalisé 92 Modifier une stratégie d'accès 93 Activation du cookie persistant sur des périphériques mobiles 94 9 Gestion des utilisateurs et des groupes 95 Types d'utilisateurs et de groupes 95 À propos des noms d'utilisateur et des noms de groupe 96 Gestion des utilisateurs 97 Créer des groupes et configurer des règles de groupe 98 Modifier les règles du groupe 101 Ajouter des ressources à des groupes 101 Créer des utilisateurs locaux 102 Gestion des mots de passe 104 10 Gestion du catalogue 107 Gestion des ressources dans le catalogue 108 Groupement des ressources en catégories 111 Gestion des paramètres du catalogue 113 11 Utiliser le tableau de bord de la console d'administration 119 Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord 119 Surveiller les informations système et la santé 120 Consultation des rapports 121 12 Personnaliser les informations de marque des services VMware Identity Manager 123 Personnalisation des informations de marque dans VMware Identity Manager 123 Personnaliser les informations de marque pour le portail de l'utilisateur 125 Personnaliser des informations de marque pour l'application VMware Verify 126 13 Intégration d'AirWatch à VMware Identity Manager 127 Configuration d'AirWatch pour l'intégrer à VMware Identity Manager 127 Configuration d'une instance d'AirWatch dans VMware Identity Manager 131 Activer le catalogue unifié pour AirWatch 132 Implémentation de l'authentification avec AirWatch Cloud Connector 133 Administration de VMware Identity Manager 4 VMware, Inc.
  • 5.
    Implémentation de l'authentificationunique mobile pour des périphériques iOS gérés par AirWatch 135 Implémentation de l'authentification Mobile SSO pour périphériques Android 143 Activer la vérification de la conformité pour les périphériques gérés par AirWatch 149 Index 151 Table des matières VMware, Inc. 5
  • 6.
    Administration de VMwareIdentity Manager 6 VMware, Inc.
  • 7.
    À propos del'administration de VMware Identity Manager Administration de VMware Identity Manager fournit des informations et des instructions sur l'utilisation et la maintenance des services VMware Identity Manager. Avec VMware Identity Manager™, vous pouvez configurer et gérer des méthodes d'authentification et des stratégies d'accès, personnaliser un catalogue de ressources pour les applications de votre entreprise et fournir un accès sécurisé, multi-périphérique géré par l'utilisateur à ces ressources. Ces ressources comprennent des applications Web, des applications Windows capturées sous forme de modules ThinApp, des applications Citrix et des pools de postes de travail et d'applications View. Public concerné Ces informations sont destinées à toute personne souhaitant configurer et administrer VMware Identity Manager. Ces informations sont écrites à l'intention des administrateurs Windows ou Linux expérimentés et familiers avec la technologie des machines virtuelles, de la gestion d'identité, de Kerberos et des services de dossiers. La connaissance d'autres technologies, telles que VMware ThinApp ® , View, la virtualisation d'applications Citrix et les méthodes d'authentification, telles que RSA SecurID, est utile si vous prévoyez de mettre en œuvre ces fonctionnalités. VMware, Inc. 7
  • 8.
    Administration de VMwareIdentity Manager 8 VMware, Inc.
  • 9.
    Utilisation de laconsole d'administration de VMware Identity Manager 1 La console d'administration de VMware Identity Manager™ fournit une console de gestion centralisée avec laquelle vous pouvez gérer des utilisateurs et des groupes, ajouter des ressources au catalogue, gérer des droits pour des ressources dans le catalogue, configurer l'intégration AirWatch et configurer et gérer des stratégies d'authentification et d'accès. Les tâches importantes que vous réalisez depuis la console d'administration sont la gestion des stratégies d'authentification et d'accès et l'octroi de ressources à des utilisateurs. D'autres tâches soutiennent cette tâche principale en vous fournissant un contrôle plus précis sur les utilisateurs ou groupes qui sont attribués à certaines ressources sous certaines conditions. Les utilisateurs finaux peuvent se connecter à leur portail VMware Workspace™ ONE™ à partir de leurs périphériques de poste de travail ou mobiles pour accéder à des ressources de travail, notamment des postes de travail, des navigateurs, des documents d'entreprise partagés et divers types d'applications que vous leur octroyez. Ce chapitre aborde les rubriques suivantes : n « Navigation dans la console d'administration », page 9 n « Présentation des paramètres de gestion des identités et des accès », page 10 Navigation dans la console d'administration Les tâches de la console d'administration sont organisées par onglets. Onglet Description Tableau de bord Le tableau de bord Engagement de l'utilisateur permet de surveiller les utilisateurs et l'utilisation des ressources. Ce tableau de bord affiche des informations sur les utilisateurs connectés, les applications utilisées et leur fréquence d'utilisation. Le tableau de bord Diagnostics du système affiche une présentation détaillée du service dans votre environnement et d'autres informations sur les services. Vous pouvez créer des rapports pour suivre les activités des utilisateurs et des groupes, l'utilisation des ressources et des dispositifs, et les événements d'audit par utilisateur. Utilisateurs et groupes Dans l'onglet Utilisateurs et groupes, vous pouvez gérer et surveiller les utilisateurs et les groupes importés depuis votre annuaire Active Directory ou LDAP, créer des utilisateurs et des groupes et autoriser des utilisateurs et des groupes à utiliser des ressources. Vous pouvez configurer la stratégie de mot de passe pour des utilisateurs locaux. Catalogue Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Dans l'onglet Catalogue, vous pouvez ajouter des applications Web, des modules ThinApp, des pools et des applications View, des postes de travail Horizon Air et des applications Citrix. Vous pouvez créer une application, regrouper des applications en catégories et accéder à des informations sur chaque ressource. Sur la page Paramètres du catalogue, vous pouvez télécharger des certificats SAML, gérer des configurations de ressource et personnaliser l'apparence du portail utilisateur. VMware, Inc. 9
  • 10.
    Onglet Description Gestion des identitéset des accès Dans l'onglet Identité et gestion de l'accès, vous pouvez configurer le service de connecteur, configurer l'intégration AirWatch, configurer des méthodes d'authentification et appliquer des informations de marque personnalisées à la page de connexion et à la console d'administration. Vous pouvez gérer des paramètres de répertoire, des fournisseurs d'identité et des stratégies d'accès. Vous pouvez également configurer des fournisseurs d'identité tiers. Paramètres du dispositif Dans l'onglet Paramètres du dispositif, vous pouvez gérer la configuration du dispositif, notamment la configuration des certificats SSL du dispositif, modifier les mots de passe d'administrateur et système des services et gérer d'autres fonctions d'infrastructure. Vous pouvez également mettre à jour les paramètres de licence et configurer des paramètres SMTP. Navigateurs pris en charge pour accéder à la console d'administration La console d'administration VMware Identity Manager est une application Web qui vous permet de gérer votre locataire. Vous pouvez accéder à la console d'administration à partir des navigateurs suivants. n Internet Explorer 11 pour systèmes Windows n Mozilla Firefox 42.0 ou version ultérieure pour systèmes Windows et Mac n Mozilla Firefox 40 ou version ultérieure pour les systèmes Windows et Mac n Safari 6.2.8 et version ultérieure pour les systèmes Mac Remarque Dans Internet Explorer 11, JavaScript doit être activé et les cookies autorisés pour s'authentifier via VMware Identity Manager. Composants de l'utilisateur final de VMware Identity Manager Les utilisateurs peuvent accéder aux ressources auxquelles ils ont droit depuis leur portail Workspace ONE. Ils peuvent accéder aux applications Windows virtualisées capturées sous forme de modules ThinApp depuis Identity Manager Desktop. Tableau 1‑1. Composants client utilisateur Composant utilisateur Description Points de terminaison disponibles Portail d'applications de l'utilisateur Workspace ONE Le portail d'applications est une application Web sans agent. Il s'agit de l'interface par défaut utilisée lorsque les utilisateurs accèdent avec un navigateur aux ressources qui leur ont été octroyées. Si un utilisateur final dispose d'applications ThinApp autorisées et emploie un ordinateur Windows sur lequel l'application Identity Manager Desktop est installée et active, il peut voir et lancer les modules ThinApp qui lui ont été octroyés à l'aide de ce portail d'applications. Le portail des applications Web est disponible sur tous les points de terminaison système pris en charge, tels que les ordinateurs Windows, les ordinateurs Mac, les périphériques iOS et les périphériques Android. Identity Manager Desktop Lorsque ce programme est installé sur les ordinateurs Windows des utilisateurs, ces derniers peuvent travailler avec leurs applications Windows virtualisées capturées sous forme de modules ThinApp. Ordinateurs Windows Présentation des paramètres de gestion des identités et des accès Dans l'onglet Identité et gestion de l'accès de la console d'administration, vous pouvez configurer et gérer les méthodes d'authentification, les stratégies d'accès, le service d'annuaire, et personnaliser l'apparence du portail de l'utilisateur final et de la console d'administration. Voici une description des paramètres de configuration dans l'onglet Identité et gestion de l'accès. Administration de VMware Identity Manager 10 VMware, Inc.
  • 11.
    Figure 1‑1. PagesConfiguration de l'onglet Identité et gestion de l'accès Tableau 1‑2. Paramètres de configuration de l'onglet Identité et gestion de l'accès Paramètre Description Configuration > Connecteurs La page Connecteurs répertorie les connecteurs qui sont déployés dans votre réseau d'entreprise. Le connecteur est utilisé pour synchroniser les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service, et lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre répertoire d'entreprise et le service au moyen d'un ou de plusieurs travailleurs. n Dans la colonne Travailleur, sélectionnez un travailleur pour consulter les détails du connecteur et accédez à la page Adaptateurs d'authentification pour afficher l'état des méthodes d'authentification disponibles. Pour de plus amples informations sur l'authentification, reportez-vous au Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. n Dans la colonne Fournisseur d'identité, sélectionnez l'IdP à afficher, modifier ou désactiver. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. n Dans la colonne Annuaire associé, accédez à l'annuaire associé à ce travailleur. Avant de pouvoir ajouter un nouveau connecteur, vous devez cliquer sur Ajouter un connecteur pour générer un code d'activation que vous collez dans l'Assistant Configuration pour établir une connexion avec le connecteur. Lien Joindre le domaine n Vous devez cliquer sur Joindre le domaine pour joindre le connecteur à un domaine Active Directory spécifique. Par exemple, lorsque vous configurez l'authentification Kerberos, vous devez joindre le domaine Active Directory contenant des utilisateurs ou ayant une relation d'approbation avec les domaines contenant des utilisateurs. n Lorsque vous configurez un annuaire avec un environnement Active Directory à authentification Windows intégrée, le connecteur joint le domaine en fonction des détails de configuration. Configuration > Informations de marque personnalisées Sur la page Informations de marque personnalisées, vous pouvez personnaliser l'apparence de l'en-tête de la console d'administration et de l'écran de connexion. Voir « Personnalisation des informations de marque dans VMware Identity Manager », page 123. Pour personnaliser le portail Web de l'utilisateur final, les vues Mobile et Tablette, accédez à Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125. Configuration > Attributs utilisateur La page Attributs utilisateur répertorie les attributs utilisateur par défaut qui sont synchronisés dans l'annuaire et vous pouvez ajouter d'autres attributs et les mapper aux attributs Active Directory. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Configuration > Plages réseau Cette page répertorie les plages réseau que vous avez ajoutées. Vous pouvez configurer une plage réseau pour accorder un accès aux utilisateurs via ces adresses IP. Vous pouvez ajouter des plages réseau supplémentaires et modifier les plages existantes. Voir « Ajout ou modification d'une plage réseau », page 83. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 11
  • 12.
    Tableau 1‑2. Paramètresde configuration de l'onglet Identité et gestion de l'accès (suite) Paramètre Description Configuration > Découverte automatique Lorsque VMware Identity Manager et AirWatch sont intégrés, vous pouvez intégrer le service Découverte automatique de Windows que vous avez déployé dans votre configuration d'AirWatch au service VMware Identity Manager. Pour plus de détails sur la configuration de la découverte automatique dans AirWatch, consultez la documentation d'AirWatch « VMware AirWatch Windows Autodiscovery Service Installation Guide », disponible sur le site Web d'AirWatch, http://air-watch.com Enregistrez votre domaine de messagerie pour utiliser le service de découverte automatique afin de faciliter l'accès des utilisateurs à leur portail d'applications avec Workspace ONE. Les utilisateurs finaux peuvent entrer leurs adresses e-mail au lieu de l'URL de l'organisation lorsqu'ils accèdent à leur portail d'applications via Workspace ONE. Pour plus d'informations sur la découverte automatique, consultez le guide Configuration de l'application VMware Workspace ONE sur des périphériques. Configuration > AirWatch Sur cette page, vous pouvez configurer l'intégration à AirWatch. Une fois l'intégration configurée et enregistrée, vous pouvez activer le catalogue unifié pour fusionner des applications paramétrées dans le catalogue AirWatch avec le catalogue unifié, activer la vérification de la conformité afin de vérifier que les périphériques gérés respectent les stratégies de conformité d'AirWatch et activer l'authentification par mot de passe utilisateur via AirWatch Cloud Connector (ACC). Voir Chapitre 13, « Intégration d'AirWatch à VMware Identity Manager », page 127. Configuration > Préférences La page Préférences affiche des fonctionnalités que l'administrateur peut activer. Cela inclut n Les cookies persistants peuvent être activés sur cette page. Voir « Activer le cookie persistant », page 94. n Lorsque des utilisateurs locaux sont configurés dans votre service, pour afficher Utilisateurs locaux sous la forme d'une option de domaine sur la page de connexion, activez Afficher les utilisateurs locaux sur la page de connexion. Voici une description des paramètres utilisés pour gérer les services dans l'onglet Identité et gestion de l'accès. Figure 1‑2. Pages Gérer de l'onglet Identité et gestion de l'accès Administration de VMware Identity Manager 12 VMware, Inc.
  • 13.
    Tableau 1‑3. Paramètresde gestion de l'onglet Identité et gestion de l'accès Paramètre Description Gérer > Annuaires La page Annuaires répertorie les annuaires que vous avez créés. Vous devez créer un ou plusieurs répertoires, puis les synchroniser avec le déploiement de votre répertoire d'entreprise. Cette page présente le nombre de groupes et d'utilisateurs qui sont synchronisés avec l'annuaire ainsi que l'heure de la dernière synchronisation. Vous pouvez cliquer sur Synchroniser maintenant afin de lancer la synchronisation de l'annuaire. Voir Chapitre 2, « Intégration à votre annuaire d'entreprise », page 15. Lorsque vous cliquez sur le nom d'un annuaire, vous pouvez modifier les paramètres de synchronisation, accéder à la page Fournisseurs d'identité et consulter le journal de synchronisation. Sur la page des paramètres de synchronisation des répertoires, vous pouvez programmer la fréquence de synchronisation, voir la liste de domaines associés à ce répertoire, modifier la liste d'attributs mappés, mettre à jour la liste des utilisateurs et des groupes qui se synchronisent et définir les cibles de protection. Gérer > Fournisseurs d'identité La page Fournisseurs d'identité répertorie les fournisseurs d'identité que vous avez configurés. Le connecteur est le fournisseur d'identité initial. Vous pouvez ajouter des instances de fournisseurs d'identité tiers ou avoir une combinaison des deux. Le fournisseur d'identité intégré de VMware Identity Manager peut être configuré pour l'authentification. Voir « Ajouter et configurer une instance de fournisseur d'identité », page 81. Gérer > Assistant Récupération de mot de passe Sur la page Assistant Récupération de mot de passe, vous pouvez modifier le comportement par défaut lorsque l'utilisateur final clique sur le bouton « Mot de passe oublié » de l'écran de connexion. Gérer > Stratégies La page Stratégies répertorie la stratégie d'accès par défaut et toute autre stratégie d'accès aux applications Web que vous avez créées. Les stratégies sont des ensembles de règles qui spécifient les critères à respecter pour que les utilisateurs accèdent à leur portail Mes applications ou pour lancer des applications Web spécialement activées pour ces derniers. Vous pouvez modifier la stratégie par défaut et, si des applications Web sont ajoutées au catalogue, vous pouvez ajouter de nouvelles stratégies pour gérer l'accès à ces applications Web. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Chapitre 1 Utilisation de la console d'administration de VMware Identity Manager VMware, Inc. 13
  • 14.
    Administration de VMwareIdentity Manager 14 VMware, Inc.
  • 15.
    Intégration à votreannuaire d'entreprise 2 Vous intégrez VMware Identity Manager à votre annuaire d'entreprise pour synchroniser les utilisateurs et les groupes entre votre annuaire d'entreprise et le service VMware Identity Manager. Les types d'annuaires suivants sont pris en charge. n Active Directory via LDAP n Active Directory, authentification Windows intégrée n répertoire LDAP Pour l'intégration à votre annuaire d'entreprise, vous effectuez les tâches suivantes. n Spécifiez les attributs que vous voulez que les utilisateurs aient dans le service VMware Identity Manager. n Créez un annuaire dans le service VMware Identity Manager du même type que celui de votre annuaire d'entreprise et spécifiez les détails de connexion. n Mappez les attributs VMware Identity Manager aux attributs utilisés dans votre annuaire Active Directory ou LDAP. n Spécifiez les utilisateurs et les groupes à synchroniser. n Synchronisez les utilisateurs et les groupes. Après avoir intégré votre annuaire d'entreprise et effectué la synchronisation initiale, vous pouvez mettre à jour la configuration, configurer un planning de synchronisation régulier ou démarrer une synchronisation à tout moment. Concepts importants relatifs à l'intégration d'annuaire Plusieurs concepts sont essentiels pour comprendre comment le service VMware Identity Manager s'intègre à votre environnement d'annuaire Active Directory ou LDAP. Connector Le connecteur, composant du service, exécute les fonctions suivantes. n Synchronise les données des utilisateurs et des groupes de votre annuaire Active Directory ou LDAP avec le service. n Lorsqu'il est utilisé comme fournisseur d'identité, il authentifie les utilisateurs sur le service. VMware, Inc. 15
  • 16.
    Le connecteur estle fournisseur d'identité par défaut. Vous pouvez également utiliser les fournisseurs d'identité tiers prenant en charge le protocole SAML 2.0. Utilisez un fournisseur d'identité tiers pour un type d'authentification non pris en charge par le connecteur ou si le fournisseur d'identité tiers est préférable en fonction de la stratégie de sécurité de votre entreprise. Remarque Si vous utilisez des fournisseurs d'identité tiers, vous pouvez configurer le connecteur pour synchroniser des données utilisateur et groupe ou configurer le provisionnement utilisateur juste-à- temps. Consultez la section Provisionnement utilisateur juste-à-temps dans Administration de VMware Identity Manager pour plus d'informations. Annuaire Le service VMware Identity Manager dispose de son propre concept d'annuaire, qui correspond à l'annuaire Active Directory ou LDAP dans votre environnement. Cet annuaire utilise des attributs pour définir des utilisateurs et des groupes. Vous devez créer un ou plusieurs annuaires dans le service, puis les synchroniser avec votre annuaire Active Directory ou LDAP. Vous pouvez créer les types d'annuaires suivants dans le service. n Active Directory n Active Directory via LDAP : Créez ce type d'annuaire si vous prévoyez de vous connecter à un seul environnement de domaine Active Directory. Pour le type d'annuaire Active Directory via LDAP, le connecteur se lie à Active Directory via une authentification Bind simple. n Active Directory, authentification Windows intégrée. Créez ce type d'annuaire si vous prévoyez de vous connecter à un environnement Active Directory à forêts et domaines multiples. Le connecteur se lie à Active Directory via l'authentification Windows intégrée. Le type et le nombre d'annuaires que vous créez varie selon votre environnement Active Directory, par exemple à domaine simple ou multiple, et le type d'approbation utilisé entre les domaines. Dans la plupart des environnements, vous devez créer un seul annuaire. n Annuaire LDAP Le service n'a pas un accès direct à votre annuaire Active Directory ou LDAP. Seul le connecteur a un accès direct. Par conséquent, vous devez associer chaque annuaire créé dans le service à une connecteur instance. Travailleur Lorsque vous associez un annuaire à une instance de connecteur, le connecteur crée une partition pour l'annuaire associé, appelée travailleur. Une instance de connecteur peut être associée à plusieurs travailleurs. Chaque travailleur fait office de fournisseur d'identité. Vous devez définir et configurer les méthodes d'authentification pour chaque travailleur. Le connecteur synchronise les données des utilisateurs et des groupes entre votre annuaire Active Directory ou LDAP et le service au moyen d'un ou de plusieurs travailleurs. Important La même instance de connecteur ne peut pas comporter deux travailleurs d'Active Directory de type Authentification Windows intégrée. Considérations de sécurité Pour les répertoires d'entreprise intégrés au service VMware Identity Manager, des paramètres de sécurité, tels que les règles de complexité des mots de passe utilisateur et des stratégies de verrouillage de compte, doivent être définis directement dans le répertoire d'entreprise. VMware Identity Manager ne remplace pas ces paramètres. Administration de VMware Identity Manager 16 VMware, Inc.
  • 17.
    Intégration à ActiveDirectory 3 Vous pouvez intégrer VMware Identity Manager à votre déploiement d'Active Directory pour synchroniser les utilisateurs et les groupes entre Active Directory et VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Environnements Active Directory », page 17 n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n « Autoriser les utilisateurs à modifier des mots de passe Active Directory », page 31 n « Configuration de la sécurité des synchronisations d'annuaire », page 33 Environnements Active Directory Vous pouvez intégrer le service dans un environnement Active Directory composé d'un seul domaine Active Directory, de plusieurs domaines dans une forêt Active Directory unique, ou de plusieurs domaines dans différentes forêts Active Directory. Environnement à un seul domaine Active Directory Un déploiement Active Directory unique vous permet de synchroniser les utilisateurs et les groupes d'un seul domaine Active Directory. Pour cet environnement, lorsque vous ajoutez un annuaire au service, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 VMware, Inc. 17
  • 18.
    Environnement Active Directoryà domaines multiples, forêt unique Un déploiement à domaines multiples, forêt unique vous permet de synchroniser des utilisateurs et des groupes à partir de multiples domaines Active Directory au sein d'une forêt unique. Vous pouvez configurer le service pour cet environnement Active Directory en tant qu'annuaire de type Authentification Windows intégrée à Active Directory unique ou en tant qu'annuaire de type Active Directory via LDAP configuré avec l'option de catalogue global. n L'option recommandée consiste à créer un annuaire de type Authentification Windows intégrée à Active Directory unique. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 n Si l'authentification Windows intégrée ne fonctionne pas dans votre environnement Active Directory, créez un annuaire de type Active Directory via LDAP et sélectionnez l'option de catalogue global. Certaines limitations sont définies pour la sélection de l'option de catalogue global, parmi lesquelles : n Les attributs d'objet Active Directory qui sont répliqués sur le catalogue global sont identifiés dans le schéma Active Directory sous forme d'ensemble d'attributs partiels (PAS) : Seuls ces attributs sont disponibles pour le mappage des attributs par le service. Si nécessaire, modifiez le schéma pour ajouter ou supprimer les attributs qui sont stockés dans le catalogue global. n Le catalogue global stocke l'appartenance au groupe (l'attribut membre) des groupes universels uniquement. Seuls les groupes universels sont synchronisés avec le service. Si nécessaire, vous pouvez modifier la portée d'un groupe d'un domaine local ou passer de global à universel. n Le compte ND Bind que vous définissez lors de la configuration d'un annuaire dans le service doit disposer d'autorisations pour lire l'attribut TGGAU (Token-Groups-Global-And-Universal). Active Directory utilise les ports 389 et 636 pour les requêtes LDAP standard. Pour les requêtes de catalogue global, les ports 3268 et 3269 sont utilisées. Lorsque vous ajoutez un annuaire pour l'environnement de catalogue global, spécifiez les actions suivantes lors de la configuration. n Sélectionnez l'option Active Directory via LDAP. n Décochez la case correspondant à l'option Cet annuaire prend en charge l'emplacement du service DNS. n Sélectionnez l'option Cet annuaire comporte un catalogue global. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3268. Aussi, du fait que le ND de base n'est pas nécessaire lors de la configuration de l'option de catalogue global, la zone de texte ND de base n'apparaît pas. n Ajoutez le nom d'hôte du serveur Active Directory. n Si votre annuaire Active Directory requiert un accès via SSL, sélectionnez l'option Cet annuaire exige que toutes les connexions utilisent SSL et collez le certificat dans la zone de texte indiquée. Lorsque vous sélectionnez cette option, le numéro de port du serveur est automatiquement modifié à 3269. Administration de VMware Identity Manager 18 VMware, Inc.
  • 19.
    Environnement Active Directoryà forêts multiples avec relations d'approbation Un déploiement Active Directory à forêts multiples avec relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts où des relations d'approbation bidirectionnelles existent entre les domaines. Lorsque vous ajoutez un annuaire pour cet environnement, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 Environnement Active Directory à forêts multiples sans relations d'approbation Un déploiement Active Directory à forêts multiples sans relations d'approbation vous permet de synchroniser des utilisateurs et des groupes provenant de plusieurs domaines Active Directory dans des forêts sans relation d'approbation entre les domaines. Dans cet environnement, vous devez créer plusieurs annuaires dans le service, à raison d'un annuaire par forêt. Le type d'annuaire que vous créez dans le service varie selon la forêt. Pour les forêts à plusieurs domaines, sélectionnez l'option Active Directory (Authentification Windows intégrée). Pour une forêt ne comptant qu'un seul domaine, sélectionnez l'option Active Directory via LDAP. Pour plus d'informations, voir : n « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19 n « Gestion des attributs utilisateur synchronisés à partir d'Active Directory », page 24 n « Autorisations requises pour joindre un domaine », page 25 n « Configuration de la connexion Active Directory au service », page 26 À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) Le fichier domain_krb.properties détermine les contrôleurs de domaine qui sont utilisés pour les annuaires sur lesquels la recherche de l'emplacement du service DNS (enregistrements SRV) est activée. Il contient une liste de contrôleurs de domaine pour chaque domaine. Le connecteur crée le fichier, et vous devez le gérer par la suite. Le fichier remplace la recherche de l'emplacement du service DNS (SRV). La recherche de l'emplacement du service DNS est activée sur les types d'annuaires suivants : n Active Directory sur LDAP avec l'option Cet annuaire prend en charge l'emplacement du service DNS sélectionnée n Active Directory (authentification Windows intégrée), pour lequel la recherche de l'emplacement du service DNS est toujours activée La première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée, un fichier domain_krb.properties est automatiquement créé dans le répertoire /usr/local/horizon/conf de la machine virtuelle, puis rempli avec des contrôleurs de domaine pour chaque domaine. Pour remplir le fichier, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site que le connecteur et en sélectionne deux qui sont accessibles et qui réagissent le plus vite. Chapitre 3 Intégration à Active Directory VMware, Inc. 19
  • 20.
    Lorsque vous créezdes annuaires supplémentaires sur lesquels la recherche de l'emplacement du service DNS est activée, ou lorsque vous ajoutez de nouveaux domaines à un annuaire Authentification Windows intégrée, les nouveaux domaines, et une liste de leurs contrôleurs de domaine, sont ajoutés au fichier. Vous pouvez remplacer la sélection par défaut à tout moment en modifiant le fichier domain_krb.properties. Après avoir créé un annuaire, il vous est conseillé de consulter le fichier domain_krb.properties et de vérifier que les contrôleurs de domaine répertoriés sont les plus adaptés à votre configuration. Pour un déploiement Active Directory global avec plusieurs contrôleurs de domaine dans différents emplacements géographiques, le fait d'utiliser un contrôleur de domaine proche du connecteur garantit une communication plus rapide avec Active Directory. Vous devez également mettre à jour le fichier manuellement pour toute autre modification. Les règles suivantes s'appliquent. n Le fichier domain_krb.properties est créé dans la machine virtuelle qui contient le connecteur. Dans un déploiement classique, sans connecteurs supplémentaires déployés, le fichier est créé dans la machine virtuelle de service VMware Identity Manager. Si vous utilisez un connecteur supplémentaire pour l'annuaire, le fichier est créé dans la machine virtuelle de connecteur. Une machine virtuelle ne peut contenir qu'un seul fichier domain_krb.properties. n Le fichier est créé et rempli automatiquement avec des contrôleurs de domaine pour chaque domaine, la première fois que vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée. n Les contrôleurs de domaine de chaque domaine sont classés par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. n Le fichier est mis à jour uniquement lorsque vous créez un annuaire sur lequel la recherche de l'emplacement du service DNS est activée ou lorsque vous ajoutez un domaine à un annuaire Authentification Windows intégrée. Le nouveau domaine et une liste de contrôleurs de domaine le concernant sont ajoutés au fichier. Notez que si une entrée pour un domaine existe déjà dans le fichier, elle n'est pas mise à jour. Par exemple, si vous avez créé puis supprimé un annuaire, l'entrée de domaine d'origine reste dans le fichier et elle n'est pas mise à jour. n Le fichier n'est mis à jour automatiquement dans aucun autre scénario. Par exemple, si vous supprimez un annuaire, l'entrée de domaine n'est pas supprimée du fichier. n Si un contrôleur de domaine répertorié dans le fichier n'est pas accessible, modifiez le fichier et supprimez-le. n Si vous ajoutez ou supprimez une entrée de domaine manuellement, vos modifications ne seront pas remplacées. Pour plus d'informations sur la modification du fichier domain_krb.properties, reportez-vous à la section « Modification du fichier domain_krb.properties », page 22. Important Le fichier /etc/krb5.conf doit être cohérent avec le fichier domain_krb.properties. Lorsque vous mettez à jour le fichier domain_krb.properties, mettez également à jour le fichier krb5.conf. Pour plus d'informations, consultez la section « Modification du fichier domain_krb.properties », page 22 et l'article 2091744 de la base de connaissances. Administration de VMware Identity Manager 20 VMware, Inc.
  • 21.
    Mode de sélectiondes contrôleurs de domaine pour remplir automatiquement le fichier domain_krb.properties Pour remplir automatiquement le fichier domain_krb.properties, des contrôleurs de domaine sont sélectionnés en déterminant le sous-réseau sur lequel réside le connecteur (en fonction de l'adresse IP et du masque de réseau), puis en utilisant la configuration Active Directory afin d'identifier le site de ce sous- réseau, en obtenant la liste de contrôleurs de domaine de ce site, en filtrant la liste pour le domaine approprié et en choisissant les deux contrôleurs de domaine qui réagissent le plus vite. Pour détecter les contrôleurs de domaine qui sont les plus proches, VMware Identity Manager a les exigences suivantes : n Le sous-réseau du connecteur doit être présent dans la configuration Active Directory, ou un sous- réseau doit être spécifié dans le fichier runtime-config.properties. Voir « Remplacement de la sélection de sous-réseau par défaut », page 21. Le sous-réseau est utilisé pour déterminer le site. n La configuration Active Directory doit être liée au site. Si le sous-réseau ne peut pas être déterminé ou si votre configuration Active Directory n'est pas liée au site, la recherche de l'emplacement du service DNS est utilisée pour rechercher des contrôleurs de domaine, et le fichier est rempli avec quelques contrôleurs de domaine qui sont accessibles. Notez qu'il est possible que ces contrôleurs de domaine ne se trouvent pas dans le même emplacement géographique que le connecteur, ce qui peut entraîner des retards ou des délais d'expiration lors de la communication avec Active Directory. Dans ce cas, modifiez le fichier domain_krb.properties manuellement et spécifiez les contrôleurs de domaine corrects à utiliser pour chaque domaine. Voir « Modification du fichier domain_krb.properties », page 22. Exemple de fichier domain_krb.properties example.com=host1.example.com:389,host2.example.com:389 Remplacement de la sélection de sous-réseau par défaut Pour remplir automatiquement le fichier domain_krb.properties, le connecteur tente de rechercher les contrôleurs de domaine qui se trouvent sur le même site afin qu'il y ait une latence minimale entre le connecteur et Active Directory. Pour rechercher le site, le connecteur détermine le sous-réseau sur lequel il réside, en fonction de son adresse IP et de son masque de réseau, puis utilise la configuration Active Directory pour identifier le site pour ce sous-réseau. Si le sous-réseau de la machine virtuelle ne se trouve pas dans Active Directory, ou si vous voulez remplacer la sélection de sous-réseau automatique, vous pouvez spécifier un sous-réseau dans le fichier runtime-config.properties. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez le fichier /usr/local/horizon/conf/runtime-config.properties pour ajouter l'attribut suivant. siteaware.subnet.override=subnet où subnet est un sous-réseau du site dont vous voulez utiliser les contrôleurs de domaine. Par exemple : siteaware.subnet.override=10.100.0.0/20 Chapitre 3 Intégration à Active Directory VMware, Inc. 21
  • 22.
    3 Enregistrez etfermez le fichier. 4 Redémarrez le service. service horizon-workspace restart Modification du fichier domain_krb.properties Le fichier /usr/local/horizon/conf/domain_krb.properties détermine les contrôleurs de domaine à utiliser pour les annuaires sur lesquels la recherche de l'emplacement du service DNS est activée. Vous pouvez modifier le fichier à tout moment pour changer la liste de contrôleurs de domaine d'un domaine ou pour ajouter ou supprimer des entrées de domaine. Vos modifications ne seront pas remplacées. Le fichier est créé et rempli automatiquement par le connecteur. Vous devez le mettre à jour manuellement dans les scénarios suivants. n Si les contrôleurs de domaine sélectionnés par défaut ne sont pas les plus adaptés à votre configuration, modifiez le fichier et spécifiez les contrôleurs de domaine à utiliser. n Si vous supprimez un répertoire, supprimez l'entrée de domaine correspondante dans le fichier. n Si des contrôleurs de domaine dans le fichier ne sont pas accessibles, supprimez-les du fichier. Reportez-vous également à la section « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. Procédure 1 Connectez-vous à la machine virtuelle de VMware Identity Manager en tant qu'utilisateur racine. Remarque Si vous utilisez un connecteur supplémentaire pour l'annuaire, connectez-vous à la machine virtuelle de connecteur. 2 Modifiez les répertoires sur /usr/local/horizon/conf. 3 Modifiez le fichier domain_krb.properties pour ajouter ou modifier la liste de domaine aux valeurs d'hôte. Utilisez le format suivant : domain=host:port,host2:port,host3:port Par exemple : example.com=examplehost1.example.com:389,examplehost2.example.com:389 Répertoriez les contrôleurs de domaine par ordre de priorité. Pour se connecter à Active Directory, le connecteur teste le premier contrôleur de domaine de la liste. S'il n'est pas accessible, il teste le deuxième de la liste, etc. Important Les noms de domaine doivent être en minuscules. 4 Remplacez le propriétaire du fichier domain_krb.properties par horizon et le groupe par www à l'aide de la commande suivante. chown horizon:www /usr/local/horizon/conf/domain_krb.properties 5 Redémarrez le service. service horizon-workspace restart Administration de VMware Identity Manager 22 VMware, Inc.
  • 23.
    Suivant Une fois quevous avez modifié le fichier domain_krb.properties, modifiez le fichier /etc/krb5.conf. Le fichier krb5.conf doit être cohérent avec le fichier domain_krb.properties. 1 Modifiez le fichier /etc/krb5.conf et mettez à jour la section realms pour spécifier les mêmes valeurs domaine-vers-l'hôte qui sont utilisées dans le fichier /usr/local/horizon/conf/domain_krb.properties. Vous n'avez pas besoin de spécifier le numéro de port. Par exemple, si votre fichier domain_krb.properties contient l'entrée de domaine example.com=examplehost.example.com:389, vous devez mettre à jour le fichier krb5.conf comme suit. [realms] GAUTO-QA.COM = { auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO-QA.COM.*)s/^GAUTO-QA.COM/GAUTO-QA/ auth_to_local = RULE:[1:$0$1](^GAUTO2QA.GAUTO-QA.COM.*)s/^GAUTO2QA.GAUTO- QA.COM/GAUTO2QA/ auth_to_local = RULE:[1:$0$1](^GLOBEQE.NET.*)s/^GLOBEQE.NET/GLOBEQE/ auth_to_local = DEFAULT kdc = examplehost.example.com } Remarque Il est possible d'avoir plusieurs entrées kdc. Toutefois, il ne s'agit pas d'une obligation, car dans la plupart des cas il n'y a qu'une seule valeur kdc. Si vous choisissez de définir des valeurs kdc supplémentaires, chaque ligne aura une entrée kdc qui définira un contrôleur de domaine. 2 Redémarrez le service workspace. service horizon-workspace restart Consultez également l'article 2091744 de la base de connaissances. Dépannage du fichier domain_krb.properties Utilisez les informations suivantes pour dépanner le fichier domain_krb.properties. Erreur « Erreur lors de la résolution du domaine » Si le fichier domain_krb.properties comporte déjà une entrée pour un domaine et si vous tentez de créer un annuaire d'un type différent pour le même domaine, une « Erreur lors de la résolution du domaine » se produit. Vous devez modifier le fichier domain_krb.properties et supprimer manuellement l'entrée de domaine avant de créer l'annuaire. Des contrôleurs de domaine sont inaccessibles Une fois l'entrée de domaine ajoutée au fichier domain_krb.properties, elle n'est pas mise à jour automatiquement. Si des contrôleurs de domaine répertoriés dans le fichier deviennent inaccessibles, modifiez le fichier manuellement et supprimez-les. Chapitre 3 Intégration à Active Directory VMware, Inc. 23
  • 24.
    Gestion des attributsutilisateur synchronisés à partir d'Active Directory Lors de la configuration de répertoire du service VMware Identity Manager, vous devez sélectionner des attributs utilisateur et des filtres Active Directory pour sélectionner les utilisateurs à synchroniser dans le répertoire VMware Identity Manager. Il est possible de modifier les attributs utilisateur qui se synchronisent avec la console d'administration, onglet Gestion des identités et des accès, Configuration > Attributs utilisateur. Les modifications effectuées et sauvegardées sur la page Attributs utilisateur sont ajoutées sur la page Attributs mappés dans le répertoire de VMware Identity Manager. Les modifications des attributs sont mises à jour dans le répertoire lors de la synchronisation suivante à Active Directory. La page Attributs utilisateur répertorie les attributs d'annuaire par défaut pouvant être mappés aux attributs Active Directory. Vous devez sélectionner les attributs obligatoires et ajouter les autres attributs que vous souhaitez synchroniser avec le répertoire. Lorsque vous ajoutez des attributs, le nom d'attribut que vous entrez est sensible à la casse. Par exemple, adresse, Adresse et ADRESSE sont des attributs différents. Tableau 3‑1. Attributs Active Directory par défaut à synchroniser avec le répertoire Nom de l'attribut du répertoire de VMware Identity Manager Mappage par défaut vers l'attribut Active Directory userPrincipalName userPrincipalName distinguishedName distinguishedName employeeId employeeID domaine canonicalName. Ajoute le nom de domaine complet de l'objet. disabled (utilisateur externe désactivé) userAccountControl. Indiqué par UF_Account_Disable Lorsqu'un compte est désactivé, les utilisateurs ne peuvent pas se connecter pour accéder à leurs applications et à leurs ressources. Comme les ressources attribuées aux utilisateurs ne sont pas supprimées du compte, lorsque l'indicateur est supprimé du compte, les utilisateurs peuvent se connecter et accéder aux ressources qui leur sont octroyées phone telephoneNumber lastName sn firstName givenName email mail userName sAMAccountName. Sélection des attributs à synchroniser avec l'annuaire Lorsque vous configurez l'annuaire VMware Identity Manager à synchroniser avec Active Directory, vous devez spécifier les attributs utilisateur qui sont synchronisés avec l'annuaire. Avant de configurer l'annuaire, vous pouvez spécifier sur la page Attributs utilisateur les attributs par défaut requis et ajouter les attributs supplémentaires que vous souhaitez mapper aux attributs Active Directory. Lorsque vous configurez la page Attributs utilisateur avant la création de l'annuaire, vous pouvez faire passer les attributs par défaut de l'état obligatoire à l'état facultatif, marquer les attributs si nécessaire et ajouter des attributs personnalisés. Une fois l'annuaire créé, vous pouvez faire passer un attribut obligatoire à l'état facultatif, et vous pouvez supprimer des attributs personnalisés. Il n'est pas possible de modifier un attribut pour le faire passer à l'état obligatoire. Administration de VMware Identity Manager 24 VMware, Inc.
  • 25.
    Lorsque vous ajoutezd'autres attributs à synchroniser avec l'annuaire, une fois l'annuaire créé, accédez à la page Attributs mappés de l'annuaire pour mapper ces attributs à ceux d'Active Directory. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut obligatoire. Vous devez spécifier cela avant de créer l'annuaire VMware Identity Manager. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, cliquez sur Configuration > Attributs utilisateur. 2 Dans la section Attributs par défaut, examinez la liste d'attributs obligatoires et apportez les modifications souhaitées pour refléter les attributs obligatoires. 3 Dans la section Attributs, ajoutez le nom d'attribut de l'annuaire VMware Identity Manager à la liste. 4 Cliquez sur Enregistrer. L'état d'attribut par défaut est mis à jour et les attributs que vous avez ajoutés sont ajoutés à la liste d'attributs mappés de l'annuaire. 5 Une fois l'annuaire créé, accédez à la page Gérer > Annuaires et sélectionnez l'annuaire. 6 Cliquez sur Paramètres de synchronisation > Attributs mappés. 7 Dans le menu déroulant des attributs que vous avez ajoutés, sélectionnez l'attribut Active Directory à mapper. 8 Cliquez sur Enregistrer. L'annuaire est mis à jour lors de sa prochaine synchronisation avec Active Directory. Autorisations requises pour joindre un domaine Vous pouvez avoir besoin de joindre le connecteur VMware Identity Manager à un domaine. Pour les annuaires Active Directory via LDAP, vous pouvez joindre un domaine après la création de l'annuaire. Pour les annuaires de type Active Directory (authentification Windows intégrée), le connecteur est joint au domaine automatiquement lorsque vous créez l'annuaire. Dans les deux scénarios, vous êtes invité à fournir des informations d'identification. Pour joindre un domaine, vous avez besoin d'informations d'identification Active Directory avec le privilège pour « joindre un ordinateur au domaine AD ». Cela est configuré dans Active Directory avec les droits suivants : n Créer des objets Ordinateur n Supprimer des objets Ordinateur Lorsque vous joignez un domaine, un objet d'ordinateur est créé dans l'emplacement par défaut dans Active Directory, sauf si vous spécifiez une OU personnalisée. Si vous ne disposez pas des droits de joindre un domaine, suivez ces étapes. 1 Demandez à votre administrateur Active Directory de créer l'objet Ordinateur dans Active Directory, dans un emplacement déterminé par votre stratégie d'entreprise. Fournissez le nom d'hôte du connecteur . Vérifiez que vous fournissez le nom de domaine complet, par exemple, serveur.exemple.com. Conseil Vous pouvez voir le nom d'hôte dans la colonne Nom d'hôte sur la page Connecteurs dans la console d'administration. Cliquez sur Identité et gestion de l'accès > Configuration > Connecteurs pour afficher la page Connecteurs. Chapitre 3 Intégration à Active Directory VMware, Inc. 25
  • 26.
    2 Une foisl'objet Ordinateur créé, joignez le domaine à l'aide d'un compte d'utilisateur de domaine dans la console d'administration de VMware Identity Manager. La commande Joindre le domaine est disponible sur la page Connecteurs, accessible en cliquant sur Identité et gestion de l'accès > Configuration > Connecteurs. Option Description Domaine Sélectionnez ou entrez le domaine Active Directory à joindre. Vérifiez que vous entrez le nom de domaine complet. Par exemple, server.example.com. Utilisateur du domaine Nom d'utilisateur d'un utilisateur Active Directory disposant des droits de joindre des systèmes au domaine Active Directory. Mot de passe du domaine Mot de passe de l'utilisateur. Unité d'organisation (OU) (Facultatif) Unité d'organisation (OU) de l'objet ordinateur. Cette option crée un objet ordinateur dans l'OU spécifiée plutôt que l'OU Ordinateurs par défaut. Par exemple, ou=testou,dc=test,dc=example,dc=com. Configuration de la connexion Active Directory au service La console d'administration permet de spécifier les informations requises pour vous connecter à votre annuaire Active Directory et de sélectionner les utilisateurs et les groupes à synchroniser avec l'annuaire VMware Identity Manager. Les options de connexion à Active Directory sont Active Directory via LDAP et Authentification Windows intégrée à Active Directory. La connexion Active Directory via LDAP prend en charge la recherche de l'emplacement du service DNS. Avec l'authentification Windows intégrée à Active Directory, vous devez configurer le domaine à joindre. Prérequis n Sélectionnez les attributs par défaut souhaités et ajoutez des attributs supplémentaires, si nécessaire, sur la page Attributs utilisateur. Voir « Sélection des attributs à synchroniser avec l'annuaire », page 24. Important Si vous prévoyez de synchroniser des ressources XenApp avec VMware Identity Manager, vous devez faire de distinguishedName un attribut requis. Vous devez faire cette sélection avant de créer un annuaire car les attributs ne peuvent pas être modifiés en attributs requis si l'annuaire est déjà créé. n Liste des groupes et utilisateurs d'Active Directory à synchroniser depuis Active Directory. n Pour Active Directory via LDAP, les informations requises incluent le nom unique de base, le nom unique de liaison et le mot de passe du nom unique de liaison. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Pour l'authentification Windows intégrée à Active Directory, les informations requises incluent l'adresse et le mot de passe de l'UPN de l'utilisateur Bind du domaine. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Si Active Directory requiert un accès via SSL ou STARTTLS, le certificat d'autorité de certification racine du contrôleur de domaine Active Directory est requis. Administration de VMware Identity Manager 26 VMware, Inc.
  • 27.
    n Pour l'authentificationWindows intégrée à Active Directory, lorsque vous avez configuré un annuaire Active Directory à forêts multiples et que le groupe local du domaine contient des membres de domaines provenant de différentes forêts, assurez-vous que l'utilisateur Bind est ajouté au groupe Administrateurs du domaine dans lequel se trouve le groupe local du domaine. Sinon, ces membres ne seront pas présents dans le groupe local du domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Répertoires, cliquez sur Ajouter un répertoire. 3 Entrez un nom pour cet annuaire VMware Identity Manager. Chapitre 3 Intégration à Active Directory VMware, Inc. 27
  • 28.
    4 Sélectionnez letype d'annuaire Active Directory dans votre environnement et configurez les informations de connexion. Option Description Active Directory via LDAP a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory utilise la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, cochez la case Ce répertoire prend en charge l'emplacement du service DNS. Un fichier domain_krb.properties, rempli automatiquement avec une liste de contrôleurs de domaine, sera créé lors de la création de l'annuaire. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Si l'annuaire Active Directory n'utilise pas la recherche de l'emplacement du service DNS, faites les sélections suivantes. n Dans la section Emplacement du serveur, vérifiez que la case Cet annuaire prend en charge l'emplacement du service DNS n'est pas cochée et entrez le nom d'hôte et le numéro de port du serveur Active Directory. Pour configurer l'annuaire comme catalogue global, reportez-vous à la section Environnement Active Directory à forêt unique et domaines multiples au chapitre « Environnements Active Directory », page 17. n Si l'annuaire Active Directory requiert un accès via SSL, cochez la case Cet annuaire exige que toutes les connexions utilisent SSL dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Administration de VMware Identity Manager 28 VMware, Inc.
  • 29.
    Option Description Vérifiez quele certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Remarque Si l'annuaire Active Directory requiert SSL et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. f Dans le champ ND de base, entrez le ND à partir duquel vous souhaitez lancer les recherches de comptes. Par exemple : OU=myUnit,DC=myCorp,DC=com. g Dans le champ ND Bind, entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. h Après avoir entré le mot de passe Bind, cliquez sur Tester la connexion pour vérifier que l'annuaire peut se connecter à votre annuaire Active Directory. Active Directory (authentification Windows intégrée) a Dans le champ Connecteur de synchronisation, sélectionnez le connecteur à utiliser pour la synchronisation avec Active Directory. b Dans le champ Authentification, si cet annuaire Active Directory est utilisé pour authentifier des utilisateurs, cliquez sur Oui. Si un fournisseur d'identité tiers est utilisé pour authentifier les utilisateurs, cliquez sur Non. Après avoir configuré la connexion Active Directory pour synchroniser les utilisateurs et les groupes, accédez à la page Gestion des identités et des accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, sélectionnez l'attribut de compte qui contient le nom d'utilisateur. d Si l'annuaire Active Directory requiert le chiffrement STARTTLS, cochez la case Cet annuaire a besoin de toutes les connexions pour pouvoir utiliser STARTTLS dans la section Certificats, puis copiez et collez le certificat d'autorité de certification racine Active Directory dans le champ Certificat SSL. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Si l'annuaire dispose de plusieurs domaines, ajoutez les certificats d'autorité de certification racine pour tous les domaines, un par un. Remarque Si l'annuaire Active Directory requiert STARTTLS et que vous ne fournissez pas le certificat, vous ne pouvez pas créer l'annuaire. e Entrez le nom du domaine Active Directory à joindre. Entrez un nom d'utilisateur et un mot de passe disposant des droits pour joindre le domaine. Voir « Autorisations requises pour joindre un domaine », page 25 pour obtenir plus d'informations. f Dans le champ UPN de l'utilisateur Bind, entrez le nom principal de l'utilisateur pouvant s'authentifier dans le domaine. Par exemple, username@example.com. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. g Entrez le mot de passe de l'utilisateur Bind. 5 Cliquez sur Enregistrer et Suivant. La page contenant la liste de domaines apparaît. Chapitre 3 Intégration à Active Directory VMware, Inc. 29
  • 30.
    6 Pour ActiveDirectory via LDAP, les domaines sont signalés par une coche. Pour Active Directory (authentification Windows intégrée), sélectionnez les domaines qui doivent être associés à cette connexion Active Directory. Remarque Si vous ajoutez un domaine d'approbation après la création de l'annuaire, le service ne le détecte pas automatiquement. Pour activer le service afin de détecter le domaine, le connecteur doit quitter, puis rejoindre le domaine. Lorsque le connecteur rejoint le domaine, le domaine d'approbation apparaît dans la liste. Cliquez sur Suivant. 7 Vérifiez que les noms d'attribut de l'annuaire VMware Identity Manager sont mappés aux attributs Active Directory corrects et apportez des modifications, si nécessaire, puis cliquez sur Suivant. 8 Sélectionnez les groupes que vous souhaitez synchroniser entre Active Directory et l'annuaire VMware Identity Manager. Option Description Indiquer les ND du groupe Pour sélectionner des groupes, spécifiez un ou plusieurs ND de groupe et sélectionnez les groupes situés en dessous. a Cliquez sur + et spécifiez le ND du groupe. Par exemple, CN=users,DC=example,DC=company,DC=com. Important Spécifiez des ND du groupe qui se trouvent sous le nom unique de base que vous avez entré. Si un ND du groupe se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b Cliquez sur Rechercher des groupes. La colonne Groupes à synchroniser répertorie le nombre de groupes trouvés dans le ND. c Pour sélectionner tous les groupes dans le ND, cliquez sur Sélectionner tout, sinon cliquez sur Sélectionner et sélectionnez les groupes spécifiques à synchroniser. Remarque Lorsque vous synchronisez un groupe, les utilisateurs ne disposant pas d'Utilisateurs de domaine comme groupe principal dans Active Directory ne sont pas synchronisés. Synchroniser les membres du groupe imbriqué L'option Synchroniser les membres du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs seront des membres du groupe parent que vous avez sélectionné pour la synchronisation. Si l'option Synchroniser les membres du groupe imbriqué est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations Active Directory importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 9 Cliquez sur Suivant. Administration de VMware Identity Manager 30 VMware, Inc.
  • 31.
    10 Spécifiez desutilisateurs supplémentaires à synchroniser, si nécessaire. a Cliquez sur + et entrez les ND d'utilisateur. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Important Spécifiez des ND d'utilisateur qui se trouvent sous le nom unique de base que vous avez entré. Si un ND d'utilisateur se trouve en dehors du nom unique de base, les utilisateurs de ce ND seront synchronisés, mais ne pourront pas se connecter. b (Facultatif) Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. 11 Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchronisent avec l'annuaire et pour voir le planning de synchronisation. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation avec l'annuaire. La connexion à Active Directory est établie et les utilisateurs et les groupes sont synchronisés entre Active Directory et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Suivant n Si vous avez créé un annuaire qui prend en charge l'emplacement du service DNS, un fichier domain_krb.properties a été créé et rempli automatiquement avec une liste de contrôleurs de domaine. Affichez le fichier pour vérifier ou modifier la liste de contrôleurs de domaine. Voir « À propos de la sélection des contrôleurs de domaine (fichier domain_krb.properties) », page 19. n Configurez les méthodes d'authentification. Une fois les utilisateurs et groupes synchronisés avec l'annuaire, si le connecteur est également utilisé pour l'authentification, vous pouvez configurer des méthodes d'authentification supplémentaires sur le connecteur. Si un tiers est le fournisseur d'identité d'authentification, configurez ce dernier dans le connecteur. n Examinez la stratégie d'accès par défaut. La stratégie d'accès par défaut est configurée de manière à permettre à tous les dispositifs de l'ensemble des plages réseau d'accéder au navigateur Web, avec un délai d'expiration de session défini à 8 heures ou pour accéder à une application cliente ayant un délai d'expiration de session de 2 160 heures (90 jours). Vous pouvez modifier la stratégie d'accès par défaut et lorsque vous ajoutez des applications Web au catalogue, vous pouvez créer d'autres stratégies. n Appliquez des informations de marque à la console d'administration, aux pages du portail utilisateur et à l'écran de connexion. Autoriser les utilisateurs à modifier des mots de passe Active Directory Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion. Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur la page Paramètres de répertoire. Chapitre 3 Intégration à Active Directory VMware, Inc. 31
  • 32.
    Les utilisateurs peuventmodifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe. Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory. Les limites suivantes s'appliquent. n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que l'option Autoriser la modification du mot de passe n'est disponible qu'avec le connecteur version 2016.11.1 et ultérieures. n Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636. n Le mot de passe d'un utilisateur de nom unique de liaison ne peut pas être réinitialisé à partir de VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager. Prérequis n Pour activer l'option Autoriser la modification du mot de passe, vous devez utiliser un compte d'utilisateur de nom unique de liaison et disposer d'autorisations d'accès en écriture pour Active Directory. n Le port 464 doit être ouvert sur le contrôleur de domaine. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Dans l'onglet Répertoires, cliquez sur le répertoire. 3 Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe. 4 Entrez le mot de passe de nom unique de liaison dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer. Administration de VMware Identity Manager 32 VMware, Inc.
  • 33.
    Configuration de lasécurité des synchronisations d'annuaire Des limites de seuil de sécurité de synchronisation peuvent être configurées dans l'annuaire pour éviter toute modification accidentelle de la configuration par les utilisateurs et les groupes qui se synchronisent avec l'annuaire à partir d'Active Directory. Les seuils de sécurité de synchronisation définis limitent le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Si un seuil de sécurité d'annuaire est atteint, la synchronisation d'annuaire s'arrête et un message s'affiche sur la page Journal de synchronisation de l'annuaire. Lorsque SMTP est configuré dans la console d'administration de VMware Identity Manager, vous recevez un e-mail lorsque la synchronisation échoue en raison d'une violation de la sécurité. Lorsque la synchronisation échoue, vous pouvez accéder à la page Paramètres de synchronisation > Journal de synchronisation de l'annuaire pour voir une description du type de violation de la sécurité. Pour terminer correctement la synchronisation, vous pouvez augmenter le pourcentage de seuil de la sécurité sur la page de paramètres Sécurité des synchronisations ou vous pouvez planifier une exécution de test de la synchronisation et cocher Ignorer la sécurité. Lorsque vous choisissez d'ignorer la valeur de seuil de la sécurité, les valeurs de sécurité ne sont pas appliquées pour cette session de synchronisation uniquement. Lors de la première synchronisation d'annuaire, les valeurs de sécurité de la synchronisation ne sont pas appliquées. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Configurer des protections de synchronisation d'annuaire Configurez les paramètres de seuil de protection de synchronisation pour limiter le nombre de modifications pouvant être apportées aux utilisateurs et aux groupes lorsque l'annuaire se synchronise. Remarque Si vous ne voulez pas utiliser la fonctionnalité de protections de synchronisation, supprimez les valeurs du menu déroulant. Lorsque les zones de texte de seuil de protection de synchronisation sont vides, les protections de synchronisation ne sont pas activées. Procédure 1 Pour modifier les paramètres de protection, dans l'onglet Gestion des identités et des accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire pour définir les protections et cliquez sur Paramètres de synchronisation 3 Cliquez sur Protections. 4 Définissez le pourcentage de modifications pour déclencher la synchronisation. 5 Cliquez sur Enregistrer. Chapitre 3 Intégration à Active Directory VMware, Inc. 33
  • 34.
    Ignorer les paramètresde sécurité pour terminer la synchronisation avec l'annuaire Lorsque vous recevez une notification indiquant que la synchronisation ne s'est pas terminée en raison d'une violation de la sécurité, vous pouvez planifier une exécution de test de la synchronisation et cocher la case Ignorer la sécurité pour remplacer le paramètre de sécurité et terminer la synchronisation. Procédure 1 Dans l'onglet Identité et gestion de l'accès, sélectionnez Gérer > Annuaires. 2 Sélectionnez l'annuaire qui n'a pas terminé la synchronisation et accédez à la page Journal de synchronisation. 3 Pour voir le type de violation de la sécurité, dans la colonne Détails de la synchronisation, cliquez sur Échec de l'exécution de la synchronisation. Vérifiez la sécurité. 4 Cliquez sur OK. 5 Pour continuer la synchronisation sans modifier les paramètres de sécurité, cliquez sur Synchroniser maintenant. 6 Sur la page Vérification, cochez la case Ignorer la sécurité. 7 Cliquez sur Synchroniser l'annuaire. La synchronisation d'annuaire est exécutée et les paramètres de seuil de sécurité sont ignorés pour cette session de synchronisation uniquement. Administration de VMware Identity Manager 34 VMware, Inc.
  • 35.
    Intégration à desannuaires LDAP 4 Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Reportez-vous également à la section « Concepts importants relatifs à l'intégration d'annuaire », page 15. Ce chapitre aborde les rubriques suivantes : n « Limites de l'intégration d'annuaire LDAP », page 35 n « Intégrer un annuaire LDAP au service », page 36 Limites de l'intégration d'annuaire LDAP Les limites suivantes s'appliquent actuellement à la fonctionnalité d'intégration d'annuaire LDAP. n Vous ne pouvez intégrer qu'un environnement d'annuaire LDAP à un seul domaine. Pour intégrer plusieurs domaines à partir d'un annuaire LDAP, vous devez créer des annuaires VMware Identity Manager supplémentaires, un pour chaque domaine. n Les méthodes d'authentification suivantes ne sont pas prises en charge pour les annuaires VMware Identity Manager de type LDAP. n authentification Kerberos n RSA Adaptive Authentication n ADFS en tant que fournisseur d'identité tiers n SecurID n Authentification Radius avec serveur Vasco et SMS Passcode n Vous ne pouvez pas joindre un domaine LDAP. n L'intégration à des ressources View ou publiées Citrix n'est pas prise en charge pour les annuaires VMware Identity Manager de type LDAP. n Les noms d'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis sur la page Attributs utilisateur, à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. VMware, Inc. 35
  • 36.
    n Si vousdisposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques dans le service VMware Identity Manager. Vous pouvez spécifier les noms lorsque vous sélectionnez les groupes à synchroniser. n L'option pour autoriser les utilisateurs à réinitialiser leurs mots de passe expirés n'est pas disponible. n Le fichier domain_krb.properties n'est pas pris en charge. Intégrer un annuaire LDAP au service Vous pouvez intégrer votre annuaire LDAP d'entreprise à VMware Identity Manager pour synchroniser des utilisateurs et des groupes entre l'annuaire LDAP et le service VMware Identity Manager. Pour intégrer votre annuaire LDAP, vous créez un annuaire VMware Identity Manager correspondant et synchronisez les utilisateurs et les groupes depuis votre annuaire LDAP vers l'annuaire VMware Identity Manager. Vous pouvez configurer un planning de synchronisation régulier pour les mises à jour suivantes. De plus, vous sélectionnez les attributs LDAP que vous voulez synchroniser pour les utilisateurs et les mappez aux attributs VMware Identity Manager. La configuration de votre annuaire LDAP peut être basée sur des schémas par défaut ou vous pouvez avoir créé des schémas personnalisés. Vous pouvez également avoir défini des attributs personnalisés. Pour que VMware Identity Manager puisse interroger votre annuaire LDAP afin d'obtenir des objets d'utilisateur ou de groupe, vous devez fournir les filtres de recherche et les noms d'attribut LDAP qui s'appliquent à votre annuaire LDAP. En particulier, vous devez fournir les informations suivantes. n Filtres de recherche LDAP pour obtenir des groupes, des utilisateurs et l'utilisateur Bind n Noms d'attribut LDAP pour l'appartenance au groupe, l'UUID et le nom unique Certaines limites s'appliquent à la fonctionnalité d'intégration d'annuaire LDAP. Voir « Limites de l'intégration d'annuaire LDAP », page 35. Prérequis n Si vous utilisez des dispositifs virtuels de connecteur externes supplémentaires, notez que la capacité à intégrer des répertoires LDAP n'est disponible qu'avec le connecteur version 2016.6.1 et ultérieures. n Examinez les attributs sur la page Identité et gestion de l'accès > Configuration > Attributs utilisateur et ajoutez des attributs supplémentaires que vous voulez synchroniser. Vous mappez ces attributs de VMware Identity Manager aux attributs de votre annuaire LDAP ultérieurement lorsque vous créez l'annuaire. Ces attributs sont synchronisés pour les utilisateurs dans l'annuaire. Remarque Lorsque vous modifiez les attributs utilisateur, tenez compte des effets sur les autres annuaires dans le service. Si vous prévoyez d'ajouter des annuaires Active Directory et LDAP, veillez à ne pas marquer des attributs comme requis à l'exception de userName, qui peut être marqué comme requis. Les paramètres sur la page Attributs utilisateur s'appliquent à tous les annuaires dans le service. Si un attribut est marqué comme requis, les utilisateurs sans cet attribut ne sont pas synchronisés avec le service VMware Identity Manager. n Un compte d'utilisateur de nom unique de liaison. Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. n Dans votre annuaire LDAP, l'UUID des utilisateurs et des groupes doit être au format de texte brut. n Dans votre annuaire LDAP, un attribut de domaine doit exister pour tous les utilisateurs et les groupes. Vous mappez cet attribut à l'attribut VMware Identity Manager domain lorsque vous créez l'annuaire VMware Identity Manager. Administration de VMware Identity Manager 36 VMware, Inc.
  • 37.
    n Les nomsd'utilisateur ne doivent pas contenir d'espaces. Si un nom d'utilisateur contient une espace, l'utilisateur est synchronisé, mais les droits ne sont pas disponibles pour l'utilisateur. n Si vous utilisez l'authentification par certificat, les utilisateurs doivent posséder des valeurs pour les attributs userPrincipalName et d'adresse électronique. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Annuaires, cliquez sur Ajouter un annuaire et sélectionnez Ajouter un annuaire LDAP. 3 Entrez les informations requises sur la page Ajouter un annuaire LDAP. Option Description Nom du répertoire Un nom pour l'annuaire de VMware Identity Manager. Synchronisation et authentification du répertoire a Dans le champ Synchroniser le connecteur, sélectionnez le connecteur que vous voulez utiliser pour synchroniser des utilisateurs et des groupes de l'annuaire LDAP avec l'annuaire VMware Identity Manager. Un composant de connecteur est toujours disponible avec le service VMware Identity Manager par défaut. Ce connecteur apparaît dans la liste déroulante. Si vous installez plusieurs dispositifs VMware Identity Manager pour la haute disponibilité, le composant de connecteur de chaque dispositif apparaît dans la liste. Vous n'avez pas besoin d'un connecteur séparé pour un annuaire LDAP. Un connecteur peut prendre en charge plusieurs annuaires, qu'il s'agisse d'annuaires Active Directory ou LDAP. Pour les scénarios dans lesquels vous avez besoin de connecteurs supplémentaires, consultez la section « Installation de dispositifs de connecteur supplémentaires » dans le Guide d'installation de VMware Identity Manager. b Dans le champ Authentification, si vous voulez utiliser cet annuaire LDAP pour authentifier des utilisateurs, sélectionnez Oui. Si vous voulez utiliser un fournisseur d'identité tiers pour authentifier des utilisateurs, sélectionnez Non. Après avoir ajouté la connexion d'annuaire pour synchroniser les utilisateurs et les groupes, accédez à la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité pour ajouter le fournisseur d'identité tiers à des fins d'authentification. c Dans le champ Attribut de recherche d'annuaire, spécifiez l'attribut d'annuaire LDAP à utiliser pour le nom d'utilisateur. Si l'attribut n'est pas répertorié, sélectionnez Personnalisé et tapez le nom de l'attribut. Par exemple, cn. Emplacement su serveur Entrez le numéro de port et l'hôte du serveur d'annuaire LDAP. Pour l'hôte de serveur, vous pouvez spécifier le nom de domaine complet ou l'adresse IP. Par exemple : myLDAPserver.example.com ou 100.00.00.0. Si vous disposez d'un cluster de serveurs derrière un équilibrage de charge, entrez les informations de ce dernier à la place. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 37
  • 38.
    Option Description Configuration LDAPSpécifiez les filtres et les attributs de recherche LDAP que VMware Identity Manager peut utiliser pour interroger votre annuaire LDAP. Les valeurs par défaut sont fournies en fonction du schéma LDAP principal. Requêtes LDAP n Obtenir des groupes : filtre de recherche pour obtenir des objets de groupe. Par exemple : (objectClass=group) n Obtenir l'utilisateur Bind : filtre de recherche pour obtenir l'objet d'utilisateur Bind, c'est-à-dire l'utilisateur pouvant établir la liaison à l'annuaire. Par exemple : (objectClass=person) n Obtenir l'utilisateur : filtre de recherche pour obtenir des utilisateurs à synchroniser. Par exemple :(&(objectClass=user)(objectCategory=person)) Attributs n Appartenance : attribut utilisé dans votre annuaire LDAP pour définir les membres d'un groupe. Par exemple : membre n UUID d'objet : attribut utilisé dans votre annuaire LDAP pour définir l'UUID d'un utilisateur ou d'un groupe. Par exemple : entryUUID n Nom unique : attribut utilisé dans votre annuaire LDAP pour le nom unique d'un utilisateur ou d'un groupe. Par exemple : entryDN Certificats Si votre annuaire LDAP requiert un accès sur SSL, sélectionnez Cet annuaire exige que toutes les connexions utilisent SSL, copiez et collez le certificat SSL d'autorité de certification racine du serveur d'annuaire LDAP. Vérifiez que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ». Détails de l'utilisateur Bind Nom unique de base : entrez le nom unique à partir duquel vous souhaitez lancer les recherches. Par exemple, cn=users,dc=example,dc=com Nom unique Bind : entrez le nom d'utilisateur à utiliser pour établir la liaison à l'annuaire LDAP. Remarque Il est recommandé d'utiliser un compte d'utilisateur de nom unique de liaison avec un mot de passe sans date d'expiration. Mot de passe du nom unique de liaison : entrez le mot de passe de l'utilisateur de nom unique de liaison. 4 Pour tester la connexion au serveur d'annuaire LDAP, cliquez sur Tester la connexion. Si la connexion échoue, vérifiez les informations que vous avez entrées et effectuez les modifications nécessaires. 5 Cliquez sur Enregistrer et Suivant. 6 Sur la page Domaines, vérifiez que le bon domaine est répertorié, puis cliquez sur Suivant. 7 Sur la page Mapper des attributs, vérifiez que les attributs de VMware Identity Manager sont mappés aux bons attributs LDAP. Important Vous devez spécifier un mappage pour l'attribut domain. Vous pouvez ajouter des attributs à la liste sur la page Attributs utilisateur. 8 Cliquez sur Suivant. Administration de VMware Identity Manager 38 VMware, Inc.
  • 39.
    9 Sur lapage Groupes, cliquez sur + pour sélectionner les groupes que vous souhaitez synchroniser entre l'annuaire LDAP et l'annuaire VMware Identity Manager. Si vous disposez de plusieurs groupes avec le même nom dans votre annuaire LDAP, vous devez spécifier des noms uniques sur la page des groupes. L'option Synchroniser les utilisateurs du groupe imbriqué est activée par défaut. Lorsque cette option est activée, tous les utilisateurs qui appartiennent directement au groupe que vous sélectionnez, ainsi que les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe, sont synchronisés. Notez que les groupes imbriqués ne sont pas synchronisés ; seuls les utilisateurs qui appartiennent aux groupes imbriqués le sont. Dans l'annuaire VMware Identity Manager, ces utilisateurs apparaissent en tant que membres du groupe de niveau supérieur que vous avez sélectionné pour la synchronisation. En effet, la hiérarchie sous un groupe sélectionné est aplatie et les utilisateurs de tous les niveaux apparaissent dans VMware Identity Manager en tant que membres du groupe sélectionné. Si cette option est désactivée, lorsque vous spécifiez un groupe à synchroniser, tous les utilisateurs qui appartiennent directement à ce groupe sont synchronisés. Les utilisateurs qui appartiennent à des groupes imbriqués sous ce groupe ne sont pas synchronisés. La désactivation de cette option est utile pour les configurations d'annuaire importantes pour lesquelles parcourir une arborescence de groupes demande beaucoup de ressources et de temps. Si vous désactivez cette option, veillez à sélectionner tous les groupes dont vous voulez synchroniser les utilisateurs. 10 Cliquez sur Suivant. 11 Cliquez sur + pour ajouter des utilisateurs supplémentaires. Par exemple, entrez CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com. Pour exclure des utilisateurs, créez un filtre permettant d'exclure certains types d'utilisateurs. Vous pouvez sélectionner un attribut utilisateur à filtrer, la règle de requête et sa valeur. Cliquez sur Suivant. 12 Examinez la page pour voir combien d'utilisateurs et de groupes se synchroniseront avec l'annuaire et pour voir le planning de synchronisation par défaut. Pour apporter des modifications aux utilisateurs et aux groupes, ou à la fréquence de synchronisation, cliquez sur les liens Modifier. 13 Cliquez sur Synchroniser l'annuaire pour démarrer la synchronisation d'annuaire. La connexion à l'annuaire LDAP est établie et les utilisateurs et les groupes sont synchronisés entre l'annuaire LDAP et l'annuaire VMware Identity Manager. L'utilisateur de nom unique de liaison dispose d'un rôle d'administrateur dans VMware Identity Manager par défaut. Chapitre 4 Intégration à des annuaires LDAP VMware, Inc. 39
  • 40.
    Administration de VMwareIdentity Manager 40 VMware, Inc.
  • 41.
    Utilisation de répertoireslocaux 5 Un répertoire local est l'un des types de répertoires que vous pouvez créer dans le service VMware Identity Manager. Un répertoire local vous permet de provisionner des utilisateurs locaux dans le service et de leur fournir un accès à des applications spécifiques, sans avoir à les ajouter à votre répertoire d'entreprise. Un répertoire local n'est pas connecté à un répertoire d'entreprise et les utilisateurs et les groupes ne sont pas synchronisés à partir d'un répertoire d'entreprise. Au lieu de cela, vous créez des utilisateurs locaux directement dans le répertoire local. Un répertoire local par défaut, nommé Répertoire système, est disponible dans le service. Vous pouvez également créer plusieurs répertoires locaux. Répertoire système Le répertoire système est un répertoire local créé automatiquement dans le service lors de sa première configuration. Ce répertoire dispose du domaine Domaine système. Vous ne pouvez pas modifier le nom ou le domaine du répertoire système, ni lui ajouter de nouveaux domaines. Vous ne pouvez pas non plus supprimer le répertoire système ou le domaine système. L'utilisateur administrateur local créé lorsque vous configurez le dispositif VMware Identity Managerpour la première fois est créé dans le domaine système du répertoire système. Vous pouvez ajouter d'autres utilisateurs au répertoire système. Le répertoire système est en général utilisé pour configurer quelques utilisateurs administrateurs locaux afin de gérer le service. Pour provisionner des utilisateurs finaux et des administrateurs supplémentaires et les autoriser à accéder à des applications, il est recommandé de créer un répertoire local. Répertoires locaux Vous pouvez créer plusieurs répertoires locaux. Chaque répertoire local peut disposer d'un ou de plusieurs domaines. Lorsque vous créez un utilisateur local, vous spécifiez le répertoire et le domaine pour l'utilisateur. Vous pouvez également sélectionner des attributs pour tous les utilisateurs dans un répertoire local. Les attributs utilisateur tels que userName, lastName et firstName, sont spécifiés au niveau global dans le service VMware Identity Manager. Une liste par défaut d'attributs est disponible et vous pouvez ajouter des attributs personnalisés. Des attributs utilisateur globaux s'appliquent à tous les répertoires dans le service, y compris les répertoires locaux. Au niveau du répertoire local, vous pouvez sélectionner les attributs qui sont obligatoires pour le répertoire. Cela vous permet de disposer d'un ensemble personnalisé d'attributs pour différents répertoires locaux. Notez que les attributs userName, lastName, firstName et email sont toujours obligatoires pour les répertoires locaux. Remarque La capacité de personnaliser les attributs utilisateur au niveau du répertoire n'est disponible que pour les répertoires locaux, pas pour les répertoires Active Directory ou LDAP. VMware, Inc. 41
  • 42.
    Il est utilede créer des répertoires locaux dans les scénarios suivants. n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement aux applications spécifiques dont ils ont besoin. n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un répertoire local pour des distributeurs avec des attributs utilisateur tels que région et taille de marché, et un autre répertoire local pour les fournisseurs avec des attributs utilisateur tels que catégorie de produit et type de fournisseur. Fournisseur d'identité pour un répertoire système et des répertoires locaux Par défaut, le répertoire système est associé à un fournisseur d'identité nommé Fournisseur d'identité système. La méthode Mot de passe (Cloud Directory) est activée par défaut sur ce fournisseur d'identité et s'applique à la stratégie default_access_policy_set pour la plage réseau TOUTES LES PLAGES et le type de périphérique Navigateur Web. Vous pouvez configurer des méthodes d'authentification supplémentaires et définir des stratégies d'authentification. Lorsque vous créez un répertoire local, il n'est associé à aucun fournisseur d'identité. Après avoir créé le répertoire, créez un fournisseur d'identité de type Incorporé et associez-le au répertoire. Activez la méthode d'authentification Mot de passe (Cloud Directory) sur le fournisseur d'identité. Plusieurs répertoires locaux peuvent être associés au même fournisseur d'identité. Le connecteur VMware Identity Manager n'est pas requis pour le répertoire système ou pour les répertoires locaux que vous créez. Pour plus d'informations, consultez « Configuration de l'authentification utilisateur dans VMware Identity Manager » dans Administration de VMware Identity Manager. Gestion des mots de passe pour les utilisateurs du répertoire local Par défaut, tous les utilisateurs de répertoires locaux ont la capacité de modifier leur mot de passe dans le portail ou l'application Workspace ONE. Vous pouvez définir une stratégie de mot de passe pour des utilisateurs locaux. Vous pouvez également réinitialiser des mots de passe d'utilisateur local, si nécessaire. Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe. Pour plus d'informations sur la définition de stratégies de mot de passe et sur la réinitialisation des mots de passe d'utilisateur local, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « Création d'un répertoire local », page 43 n « Modification des paramètres du répertoire local », page 47 n « Suppression d'un répertoire local », page 48 n « Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système », page 49 Administration de VMware Identity Manager 42 VMware, Inc.
  • 43.
    Création d'un répertoirelocal Pour créer un répertoire local, spécifiez les attributs utilisateur pour le répertoire, créez le répertoire et identifiez-le avec un fournisseur d'identité. Définir des attributs utilisateur au niveau global Avant de créer un répertoire local, examinez les attributs utilisateur globaux sur la page Attributs utilisateur et ajoutez des attributs personnalisés, si nécessaire. Les attributs utilisateur, tels que firstName, lastName, email et domain, font partie du profil d'un utilisateur. Dans le service VMware Identity Manager, des attributs utilisateur sont définis au niveau global et s'appliquent à tous les répertoires dans le service, notamment des répertoires locaux. Au niveau du répertoire local, vous pouvez remplacer si un attribut est obligatoire ou facultatif pour les utilisateurs dans ce répertoire local, mais vous ne pouvez pas ajouter d'attributs personnalisés. Si un attribut est obligatoire, vous devez lui fournir une valeur lorsque vous créez un utilisateur. Les mots suivants ne peuvent pas être utilisés lorsque vous créez des attributs personnalisés. Tableau 5‑1. Mots à ne pas utiliser comme noms d'attribut personnalisé active addresses costCenter department displayName division emails employeeNumber droits externalId groupes id ims locale manager meta name nickName organization mot de passe phoneNumber photos preferredLanguage profileUrl rôles timezone title userName userType x509Certificate Remarque La capacité de remplacer les attributs utilisateur au niveau du répertoire ne s'applique qu'aux répertoires locaux, pas aux répertoires Active Directory ou LDAP. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Cliquez sur Configuration, puis sur l'onglet Attributs utilisateur. 3 Examinez la liste d'attributs utilisateur et ajoutez des attributs supplémentaires, si nécessaire. Remarque Même si la page vous permet de choisir quels attributs sont obligatoires, il vous est recommandé de faire la sélection des répertoires locaux au niveau du répertoire local. Si un attribut est marqué comme obligatoire sur cette page, il s'applique à tous les répertoires dans le service, y compris les répertoires Active Directory ou LDAP. 4 Cliquez sur Enregistrer. Suivant Créez le répertoire local. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 43
  • 44.
    Créer un répertoirelocal Après avoir examiné et défini des attributs utilisateur globaux, créez le répertoire local. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires. 2 Cliquez sur Ajouter un répertoire et sélectionnez Ajouter un répertoire d'utilisateur local dans le menu déroulant. 3 Sur la page Ajouter un répertoire, entrez un nom de répertoire et spécifiez au moins un nom de domaine. Le nom de domaine doit être unique dans tous les répertoires du service. Par exemple : Administration de VMware Identity Manager 44 VMware, Inc.
  • 45.
    4 Cliquez surEnregistrer. 5 Sur la page Répertoires, cliquez sur le nouveau répertoire. 6 Cliquez sur l'onglet Attributs utilisateur. Tous les attributs de la page Identité et gestion de l'accès > Configuration > Attributs utilisateur sont répertoriés pour le répertoire local. Les attributs marqués comme obligatoires sur cette page le sont également sur la page Répertoire local. 7 Personnalisez les attributs pour le répertoire local. Vous pouvez spécifier les attributs qui sont obligatoires et ceux qui sont facultatifs. Vous pouvez également modifier l'ordre d'affichage des attributs. Important Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les répertoires locaux. n Pour rendre un attribut obligatoire, cochez la case à côté du nom d'attribut. n Pour rendre un attribut facultatif, décochez la case à côté du nom d'attribut. n Pour modifier l'ordre des attributs, cliquez sur l'attribut et faites-le glisser vers le nouvel emplacement. Si un attribut est obligatoire, lorsque vous créez un utilisateur, vous devez spécifier une valeur pour l'attribut. Par exemple : Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 45
  • 46.
    8 Cliquez surEnregistrer. Suivant Associez le répertoire local au fournisseur d'identité que vous voulez utiliser pour authentifier des utilisateurs dans le répertoire. Associer le répertoire local à un fournisseur d'identité Associez le répertoire local à un fournisseur d'identité de sorte que les utilisateurs dans le répertoire puissent être authentifiés. Créez un fournisseur d'identité de type Incorporé et activez la méthode d'authentification Mot de passe (répertoire local) dessus. Remarque N'utilisez pas le fournisseur d'identité Intégré. Il n'est pas recommandé d'activer la méthode d'authentification Mot de passe (répertoire local) sur le fournisseur d'identité Intégré. Procédure 1 Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP intégré. 3 Entrez les informations suivantes. Option Description Nom du fournisseur d'identité Entrez un nom pour le fournisseur d'identité. Utilisateurs Sélectionnez le répertoire local que vous avez créé. Réseau Sélectionnez les réseaux depuis lesquels vous pouvez accéder à ce fournisseur d'identité. Méthodes d'authentification Sélectionnez Mot de passe (répertoire local). Exportation de certificat KDC Vous n'avez pas besoin de télécharger le certificat, sauf si vous configurez Mobile SSO pour des périphériques iOS gérés par AirWatch. Administration de VMware Identity Manager 46 VMware, Inc.
  • 47.
    4 Cliquez surAjouter. Le fournisseur d'identité est créé et associé au répertoire local. Ultérieurement, vous pouvez configurer d'autres méthodes d'authentification sur le fournisseur d'identité. Pour plus d'informations sur l'authentification, consultez « Configuration de l'authentification utilisateur dans VMware Identity Manager » dans Administration de VMware Identity Manager. Vous pouvez utiliser le même fournisseur d'identité pour plusieurs répertoires locaux. Suivant Créez des utilisateurs et des groupes locaux. Vous créez des utilisateurs et des groupes locaux dans l'onglet Utilisateurs et groupes de la console d'administration. Pour plus d'informations, consultez « Gestion des utilisateurs et des groupes » dans Administration de VMware Identity Manager. Modification des paramètres du répertoire local Une fois que vous avez créé un répertoire local, vous pouvez modifier ses paramètres à tout moment. Vous pouvez modifier les paramètres suivants. n Modifier le nom du répertoire. n Ajouter, supprimer ou renommer des domaines. n Les noms de domaine doivent être uniques dans tous les répertoires du service. n Lorsque vous modifiez un nom de domaine, les utilisateurs qui étaient associés à l'ancien domaine sont associés au nouveau domaine. n Le répertoire doit contenir au moins un domaine. n Vous ne pouvez pas ajouter un domaine au répertoire système ou supprimer le répertoire système. n Ajouter de nouveaux attributs utilisateur ou rendre un attribut existant obligatoire ou facultatif. n Si le répertoire local ne contient pas encore d'utilisateurs, vous pouvez ajouter de nouveaux attributs avec l'état facultatif ou obligatoire, et rendre des attributs existants obligatoires ou facultatifs. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 47
  • 48.
    n Si vousavez déjà créé des utilisateurs dans le répertoire local, vous pouvez ajouter de nouveaux attributs en tant qu'attributs facultatifs uniquement, et rendre facultatifs des attributs existants obligatoires. Vous ne pouvez pas rendre obligatoire un attribut facultatif une fois que les utilisateurs ont été créés. n Les attributs userName, firstName, lastName et email sont toujours obligatoires pour les répertoires locaux. n Comme les attributs utilisateur sont définis au niveau global dans le service VMware Identity Manager, les nouveaux attributs que vous ajoutez apparaissent dans tous les répertoires du service. n Changer l'ordre d'apparition des attributs. Procédure 1 Cliquez sur l'onglet Identité et gestion de l'accès. 2 Sur la page Répertoires, cliquez sur le répertoire que vous voulez modifier. 3 Modifiez les paramètres du répertoire local. Option Action Modifier le nom du répertoire a Dans l'onglet Paramètres, modifiez le nom du répertoire. b Cliquez sur Enregistrer. Ajouter, supprimer ou renommer un domaine a Dans l'onglet Paramètres, modifiez la liste Domaines. b Pour ajouter un domaine, cliquez sur l'icône verte représentant le signe plus. c Pour supprimer un domaine, cliquez sur l'icône de suppression rouge. d Pour renommer un domaine, modifiez le nom de domaine dans la zone de texte. Ajouter des attributs utilisateur au répertoire a Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Configuration. b Cliquez sur l'onglet Attributs utilisateur. c Ajoutez des attributs dans la liste Ajouter d'autres attributs à utiliser et cliquez sur Enregistrer. Rendre un attribut obligatoire ou facultatif pour le répertoire a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Répertoires. b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur. c Cochez la case à côté d'un attribut pour le rendre obligatoire ou décochez la case pour le rendre facultatif. d Cliquez sur Enregistrer. Modifier l'ordre des attributs a Dans l'onglet Identité et gestion de l'accès, cliquez sur l'onglet Répertoires. b Cliquez sur le nom du répertoire local, puis sur l'onglet Attributs utilisateur. c Cliquez sur les attributs et faites-les glisser vers le nouvel emplacement. d Cliquez sur Enregistrer. Suppression d'un répertoire local Vous pouvez supprimer un répertoire local que vous avez créé dans le service VMware Identity Manager. Vous ne pouvez pas supprimer le répertoire système, qui est créé par défaut lorsque vous configurez le service pour la première fois. Avertissement Lorsque vous supprimez un répertoire, tous les utilisateurs dans le répertoire sont également supprimés du service. Administration de VMware Identity Manager 48 VMware, Inc.
  • 49.
    Procédure 1 Cliquez surl'onglet Identité et gestion de l'accès, puis sur l'onglet Répertoires. 2 Cliquez sur le répertoire que vous voulez supprimer. 3 Sur la page Répertoire, cliquez sur Supprimer le répertoire. Configuration d'une méthode d'authentification pour les utilisateurs administrateurs système La méthode d'authentification par défaut des utilisateurs administrateurs pour se connecter au répertoire système est Mot de passe (répertoire local). La stratégie d'accès par défaut est configurée avec Mot de passe (répertoire local) comme méthode de secours de sorte que les administrateurs peuvent se connecter à la console d'administration de VMware Identity Manager et au portail Workspace ONE. Si vous créez des stratégies d'accès pour des applications Web et de poste de travail spécifiques auxquelles les administrateurs système ont le droit d'accéder, ces stratégies doivent être configurées pour inclure Mot de passe (répertoire local) comme méthode d'authentification de secours. Sinon, les administrateurs ne peuvent pas se connecter à l'application. Chapitre 5 Utilisation de répertoires locaux VMware, Inc. 49
  • 50.
    Administration de VMwareIdentity Manager 50 VMware, Inc.
  • 51.
    Provisionnement d'utilisateurs juste- à-temps6 Le provisionnement d'utilisateurs juste-à-temps vous permet de créer des utilisateurs dans le service VMware Identity Manager de façon dynamique lors de la connexion, à l'aide d'assertions SAML envoyées par un fournisseur d'identité tiers. Le provisionnement d'utilisateurs juste-à-temps n'est disponible que pour les fournisseurs d'identité tiers. Il n'est pas disponible pour le connecteur VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « À propos du provisionnement d'utilisateurs juste-à-temps », page 51 n « Préparation du provisionnement juste-à-temps », page 52 n « Configuration du provisionnement d'utilisateurs juste-à-temps », page 54 n « Exigences des assertions SAML », page 55 n « Désactivation du provisionnement d'utilisateurs juste-à-temps », page 56 n « Suppression d'un répertoire juste-à-temps », page 56 n « Messages d'erreur », page 57 À propos du provisionnement d'utilisateurs juste-à-temps Le provisionnement juste-à-temps représente un autre moyen de provisionner des utilisateurs dans le service VMware Identity Manager. Au lieu de synchroniser des utilisateurs à partir d'une instance Active Directory, avec le provisionnement juste-à-temps, les utilisateurs sont créés et mis à jour de façon dynamique lorsqu'ils se connectent, en fonction des assertions SAML envoyées par le fournisseur d'identité. Dans ce scénario, VMware Identity Manager agit en tant que fournisseur de service SAML. La configuration juste-à-temps ne peut être configurée que pour des fournisseurs d'identité tiers. Elle n'est pas disponible pour le connecteur. Avec une configuration juste-à-temps, vous n'avez pas besoin d'installer un connecteur sur site car la création et la gestion de tous les utilisateurs sont gérées via des assertions SAML et l'authentification est gérée par le fournisseur d'identité tiers. Création et gestion d'utilisateurs Si le provisionnement d'utilisateurs juste-à-temps est activé, lorsqu'un utilisateur accède à la page de connexion du service VMware Identity Manager et sélectionne un domaine, la page le redirige vers le bon fournisseur d'identité. L'utilisateur se connecte, est authentifié, puis redirigé par le fournisseur d'identité vers le service VMware Identity Manager avec une assertion SAML. Les attributs dans l'assertion SAML sont utilisés pour créer l'utilisateur dans le service. Seuls les attributs qui correspondent aux attributs utilisateur définis dans le service sont utilisés ; les autres attributs sont ignorés. L'utilisateur est également ajouté à des groupes en fonction des attributs, et il reçoit les droits définis pour ces groupes. VMware, Inc. 51
  • 52.
    Lors des connexionssuivantes, si des modifications sont apportées à l'assertion SAML, l'utilisateur est mis à jour dans le service. Il n'est pas possible de supprimer les utilisateurs provisionnés juste-à-temps. Pour supprimer des utilisateurs, vous devez supprimer le répertoire juste-à-temps. Notez que la gestion de tous les utilisateurs est gérée via des assertions SAML. Vous ne pouvez pas créer ou mettre à jour ces utilisateurs directement à partir du service. Les utilisateurs juste-à-temps ne peuvent pas être synchronisés depuis Active Directory. Pour plus d'informations sur les attributs requis dans l'assertion SAML, voir « Exigences des assertions SAML », page 55. Répertoire juste-à-temps Le fournisseur d'identité tiers doit être associé à un répertoire juste-à-temps dans le service. La première fois que vous activez le provisionnement juste-à-temps pour un fournisseur d'identité, vous créez un répertoire juste-à-temps et lui spécifiez un ou plusieurs domaines. Les utilisateurs appartenant à ces domaines sont provisionnés vers le répertoire. Si plusieurs domaines sont configurés pour le répertoire, les assertions SAML doivent inclure un attribut de domaine. Si un seul domaine est configuré pour le répertoire, un attribut de domaine n'est pas requis dans les assertions SAML mais, s'il est spécifié, cette valeur doit correspondre au nom de domaine. Un seul répertoire, de type juste-à-temps, peut être associé à un fournisseur d'identité sur lequel le provisionnement juste-à-temps est activé. Préparation du provisionnement juste-à-temps Avant de configurer le provisionnement d'utilisateurs juste-à-temps, examinez vos groupes, les droits de groupe et les paramètres d'attribut utilisateur et apportez des modifications, si nécessaire. De plus, identifiez les domaines que vous voulez utiliser pour le répertoire juste-à-temps. Créer des groupes locaux Les utilisateurs provisionnés avec le provisionnement juste-à-temps sont ajoutés à des groupes en fonction de leurs attributs utilisateur et ils tirent leurs droits de ressources des groupes auxquels ils appartiennent. Avant de configurer le provisionnement juste-à-temps, vérifiez que vous disposez de groupes locaux dans le service. Créez un ou plusieurs groupes locaux, selon vos besoins. Pour chaque groupe, définissez les règles d'appartenance au groupe et ajoutez des droits. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Utilisateurs et groupes. 2 Cliquez sur Créer un groupe, fournissez un nom et une description du groupe et cliquez sur Ajouter. 3 Sur la page Groupes, cliquez sur le nouveau groupe. 4 Configurez des utilisateurs pour le groupe. a Dans le volet de gauche, sélectionnez Utilisateurs dans ce groupe. b Cliquez sur Modifier des utilisateurs dans ce groupe et définissez les règles d'appartenance au groupe. Administration de VMware Identity Manager 52 VMware, Inc.
  • 53.
    5 Ajoutez desdroits au groupe. a Dans le volet de gauche, sélectionnez Droits. b Cliquez sur Ajouter des droits, puis sélectionnez les applications et la méthode de déploiement de chaque application. c Cliquez sur Enregistrer. Examiner les attributs utilisateur Examinez les attributs utilisateur qui sont définis pour tous les répertoires VMware Identity Manager sur la page Attributs utilisateur et modifiez-les, si nécessaire. Lorsqu'un utilisateur est provisionné via le provisionnement juste-à-temps, l'assertion SAML est utilisée pour créer l'utilisateur. Seuls les attributs dans l'assertion SAML qui correspondent aux attributs répertoriés sur la page Attributs utilisateur sont utilisés. Important Si un attribut est marqué comme obligatoire sur la page Attributs utilisateur, l'assertion SAML doit inclure l'attribut, sinon la connexion échoue. Lorsque vous apportez des modifications aux attributs utilisateur, tenez compte de l'effet sur les autres répertoires et sur les configurations dans votre locataire. La page Attributs utilisateur s'applique à tous les répertoires dans votre locataire. Remarque Vous n'avez pas à marquer l'attribut domain comme obligatoire. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Cliquez sur Configuration et sur Attributs utilisateur. 3 Examinez les attributs et apportez des modifications, si nécessaire. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 53
  • 54.
    Configuration du provisionnementd'utilisateurs juste-à-temps Vous configurez le provisionnement d'utilisateurs juste-à-temps pour un fournisseur d'identité tiers lors de la création ou de la mise à jour du fournisseur d'identité dans le service VMware Identity Manager. Lorsque vous activez le provisionnement juste-à-temps, vous créez un répertoire juste-à-temps et spécifiez un ou plusieurs domaines pour lui. Les utilisateurs appartenant à ces domaines sont ajoutés au répertoire. Vous devez spécifier au moins un domaine. Le nom de domaine doit être unique dans tous les répertoires dans le service VMware Identity Manager. Si vous spécifiez plusieurs domaines, des assertions SAML doivent inclure l'attribut de domaine. Si vous spécifiez un seul domaine, il est utilisé comme domaine pour les assertions SAML sans attribut de domaine. Si un attribut de domaine est spécifié, sa valeur doit correspondre à l'un des domaines, sinon la connexion échoue. Procédure 1 Connectez-vous à la console d'administration du service VMware Identity Manager. 2 Cliquez sur l'onglet Identité et gestion de l'accès et cliquez sur Fournisseurs d'identité. 3 Cliquez sur Ajouter un fournisseur d'identité ou sélectionnez un fournisseur d'identité. 4 Dans la section Provisionnement d'utilisateurs juste-à-temps, cliquez sur Activer. Administration de VMware Identity Manager 54 VMware, Inc.
  • 55.
    5 Spécifiez lesinformations suivantes. n Un nom pour le nouveau répertoire juste-à-temps. n Un ou plusieurs domaines. Important Les noms de domaine doivent être uniques dans tous les répertoires du locataire. Par exemple : 6 Remplissez le reste de la page et cliquez sur Ajouter ou Enregistrer. Pour plus d'informations, consultez « Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs », page 81. Exigences des assertions SAML Lorsque le provisionnement d'utilisateurs juste-à-temps est activé pour un fournisseur d'identité tiers, des utilisateurs sont créés ou mis à jour dans le service VMware Identity Manager lors de la connexion en fonction des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs. n L'assertion SAML doit inclure l'attribut userName. n L'assertion SAML doit inclure tous les attributs utilisateur qui sont marqués comme requis dans le service VMware Identity Manager. Pour voir ou modifier les attributs utilisateur dans la console d'administration, dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration et sur Attributs utilisateur. Important Vérifiez que les clés dans l'assertion SAML correspondent exactement aux noms d'attribut, y compris la casse. n Si vous configurez plusieurs domaines pour le répertoire juste-à-temps, l'assertion SAML doit inclure l'attribut domain. La valeur de l'attribut doit correspondre à l'un des domaines configurés pour le répertoire. Si la valeur ne correspond pas ou si un domaine n'est pas spécifié, la connexion échoue. n Si vous configurez un seul domaine pour le répertoire juste-à-temps, la spécification de l'attribut domain dans l'assertion SAML est facultative. Si vous spécifiez l'attribut domain, vérifiez que sa valeur correspond au domaine configuré pour le répertoire. Si l'assertion SAML ne contient pas d'attribut de domaine, l'utilisateur est associé au domaine configuré pour le répertoire. n Si vous voulez autoriser les mises à jour des noms d'utilisateur, incluez l'attribut ExternalId dans l'assertion SAML. L'utilisateur est identifié par ExternalId. Si, lors d'une prochaine connexion, l'assertion SAML contient un nom d'utilisateur différent, l'utilisateur est toujours identifié correctement, la connexion réussit et le nom d'utilisateur est mis à jour dans le service Identity Manager. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 55
  • 56.
    Les attributs del'assertion SAML sont utilisés pour créer ou mettre à jour les utilisateurs comme suit. n Les attributs obligatoires ou facultatifs dans le service Identity Manager (tels que répertoriés sur la page Attributs utilisateur) sont utilisés. n Les attributs qui ne correspondent à aucun attribut sur la page Attributs utilisateur sont ignorés. n Les attributs sans valeur sont ignorés. Désactivation du provisionnement d'utilisateurs juste-à-temps Vous pouvez désactiver le provisionnement d'utilisateurs juste-à-temps. Lorsque l'option est désactivée, de nouveaux utilisateurs ne sont pas créés et les utilisateurs existants ne sont pas mis à jour lors de la connexion. Les utilisateurs existants sont toujours authentifiés par le fournisseur d'identité. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Identité et gestion de l'accès, puis sur Fournisseurs d'identité. 2 Cliquez sur le fournisseur d'identité que vous voulez modifier. 3 Dans la section Provisionnement d'utilisateurs juste-à-temps, décochez la case Activer. Suppression d'un répertoire juste-à-temps Un répertoire juste-à-temps est le répertoire associé à un fournisseur d'identité tiers dont le provisionnement d'utilisateurs juste-à-temps est activé. Lorsque vous supprimez le répertoire, tous les utilisateurs dans le répertoire sont supprimés et la configuration juste-à-temps est désactivée. Comme un fournisseur d'identité juste-à-temps ne peut contenir qu'un seul répertoire, lorsque vous supprimez le répertoire, le fournisseur d'identité ne peut plus être utilisé. Pour activer de nouveau la configuration juste-à-temps pour le fournisseur d'identité, vous devez créer un nouveau répertoire. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Gestion des identités et des accès. 2 Sur la page Répertoires, localisez le répertoire que vous voulez supprimer. Vous pouvez identifier des répertoires juste-à-temps en regardant le type de répertoire dans la colonne Type. 3 Cliquez sur le nom du répertoire. 4 Cliquez sur Supprimer le répertoire. Administration de VMware Identity Manager 56 VMware, Inc.
  • 57.
    Messages d'erreur Les administrateursou les utilisateurs finaux peuvent voir des erreurs liées au provisionnement juste-à- temps. Par exemple, si un attribut obligatoire est manquant dans l'assertion SAML, une erreur se produit et l'utilisateur ne peut pas se connecter. Les erreurs suivantes peuvent apparaître dans la console d'administration : Message d'erreur Solution Si le provisionnement d'utilisateurs JIT est activé, au moins un répertoire doit être associé au fournisseur d'identité. Aucun répertoire n'est associé au fournisseur d'identité. Un fournisseur d'identité avec l'option de provisionnement juste-à- temps activée doit être associé à un répertoire juste-à-temps. 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, cliquez sur Fournisseurs d'identité et sur le fournisseur d'identité. 2 Dans la section Provisionnement d'utilisateurs juste-à-temps, spécifiez un nom de répertoire et un ou plusieurs domaines. 3 Cliquez sur Enregistrer. Un répertoire juste-à-temps est créé. Les erreurs suivantes peuvent apparaître sur la page de connexion : Message d'erreur Solution L'attribut utilisateur est manquant : nom. Un attribut utilisateur obligatoire est manquant dans l'assertion SAML envoyée par le fournisseur d'identité tiers. Tous les attributs qui sont marqués comme étant obligatoires sur la page Attributs utilisateur doivent être inclus dans l'assertion SAML. Modifiez les paramètres du fournisseur d'identité tiers pour envoyer les bonnes assertions SAML. Le domaine est manquant et ne peut pas être inféré. L'assertion SAML n'inclut pas l'attribut de domaine et le domaine ne peut pas être déterminé. Un attribut de domaine est obligatoire dans les cas suivants : n Si plusieurs domaines sont configurés pour le répertoire juste-à-temps. n Si un domaine est marqué comme étant un attribut obligatoire sur la page Attributs utilisateur. Si un attribut de domaine est spécifié, sa valeur doit correspondre à l'un des domaines spécifiés pour le répertoire. Modifiez les paramètres du fournisseur d'identité tiers pour envoyer les bonnes assertions SAML. Chapitre 6 Provisionnement d'utilisateurs juste-à-temps VMware, Inc. 57
  • 58.
    Message d'erreur Solution Nomd'attribut : nom, valeur : valeur. L'attribut dans l'assertion SAML ne correspond à aucun des attributs sur la page Attributs utilisateur dans le locataire et il sera ignoré. Échec de la création ou de la mise à jour d'un utilisateur JIT. L'utilisateur n'a pas pu être créé dans le service. Les causes possibles sont les suivantes : n Un attribut obligatoire est manquant dans l'assertion SAML. Examinez les attributs sur la page Attributs utilisateur et vérifiez que l'assertion SAML inclut tous les attributs qui sont marqués comme étant obligatoires. n Le domaine de l'utilisateur n'a pas pu être déterminé. Spécifiez l'attribut de domaine dans l'assertion SAML et vérifiez que sa valeur correspond à l'un des domaines configurés pour le répertoire juste-à-temps. Administration de VMware Identity Manager 58 VMware, Inc.
  • 59.
    Configuration de l'authentification desutilisateurs dans VMware Identity Manager 7 VMware Identity Manager prend en charge plusieurs méthodes d'authentification. Vous pouvez configurer une seule méthode d'authentification et vous pouvez configurer une authentification à deux facteurs par enchaînement. Vous pouvez également utiliser une méthode d'authentification externe pour les protocoles RADIUS et SAML. L'instance de fournisseur d'identité que vous utilisez avec le service VMware Identity Manager crée une autorité fédératrice intégrée au réseau qui communique avec le service à l'aide d'assertions SAML 2.0. Lors du déploiement initial du service VMware Identity Manager, le connecteur est le fournisseur d'identité initial pour le service. Votre infrastructure Active Directory existante est utilisée pour l'authentification et la gestion des utilisateurs. Les méthodes d'authentification suivantes sont prises en charge. Vous configurez ces méthodes d'authentification à partir de la console d'administration. Méthodes d'authentification Description Mot de passe (déploiement sur site) Sans configuration supplémentaire après la configuration d'Active Directory, VMware Identity Manager prend en charge l'authentification par mot de passe d'Active Directory. Cette méthode authentifie les utilisateurs avec Active Directory. Kerberos pour postes de travail L'authentification Kerberos fournit aux utilisateurs de domaine un accès à authentification unique à leur portail d'applications. Les utilisateurs n'ont pas besoin de se connecter de nouveau à leur portail d'applications une fois qu'ils sont connectés au réseau. Deux méthodes d'authentification Kerberos peuvent être configurées : l'authentification Kerberos pour postes de travail avec l'authentification Windows intégrée et l'authentification Kerberos intégré pour périphériques mobiles iOS 9 lorsqu'une relation de confiance est établie entre Active Directory et AirWatch. Certificat (déploiement sur site) L'authentification par certificat peut être configurée afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce que possède l'utilisateur et sur ce que la personne sait. Un certificat X.509 utilise la norme d'infrastructure de clé publique pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. RSA SecurID (déploiement sur site) Lorsque l'authentification RSA SecurID est configurée, VMware Identity Manager est configuré comme agent d'authentification sur le serveur RSA SecurID. L'authentification RSA SecurID nécessite l'utilisation d'un système d'authentification à jeton par les utilisateurs. RSA SecurID est une méthode d'authentification pour les utilisateurs qui accèdent à VMware Identity Manager depuis l'extérieur du réseau de l'entreprise. RADIUS (déploiement sur site) L'authentification RADIUS fournit des options d'authentification à deux facteurs. Vous configurez le serveur RADIUS qui est accessible par le service VMware Identity Manager. Lorsque des utilisateurs se connectent avec leur nom d'utilisateur et leur code secret, une demande d'accès est soumise au serveur RADIUS pour authentification. VMware, Inc. 59
  • 60.
    Méthodes d'authentification Description RSA Adaptive Authentication (déploiementsur site) L'authentification RSA offre une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Lorsque RSA Adaptive Authentication est activé, les indicateurs de risque spécifiés dans la stratégie de risque sont configurés dans l'application RSA Policy Management. La configuration du service VMware Identity Manager d'Adaptive Authentication est utilisée pour déterminer les invites d'authentification requises. Mobile SSO (pour iOS) L'authentification Mobile SSO pour iOS est utilisée pour l'authentification unique pour les périphériques iOS gérés par AirWatch. L'authentification Mobile SSO (pour iOS) utilise un centre de distribution de clés (KDC) qui fait partie du service Identity Manager. Vous devez initier le service KDC dans le service VMware Identity Manager avant de pouvoir activer cette méthode d'authentification. Mobile SSO (pour Android) L'authentification Mobile SSO pour Android est utilisée pour l'authentification unique pour les périphériques Android gérés par AirWatch. Un service proxy est configuré entre le service VMware Identity Manager et AirWatch pour récupérer le certificat auprès d'AirWatch à des fins d'authentification. Mot de passe (AirWatch Connector) AirWatch Cloud Connector peut être intégré au service VMware Identity Manager pour l'authentification par mot de passe utilisateur. Vous configurez le service VMware Identity Manager pour synchroniser des utilisateurs à partir de l'annuaire AirWatch. VMware Verify VMware Verify peut être utilisé comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise. La première méthode d'authentification consiste à fournir un nom d'utilisateur et un mot de passe, la seconde à fournir une approbation de demande ou un code VMware Verify. VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité. Mot de passe (répertoire local) La méthode Mot de passe (répertoire local) est activée par défaut pour le fournisseur d'identité Système-IDP utilisé avec le répertoire système. Elle s'applique à la stratégie d'accès par défaut. Une fois les méthodes d'authentification configurées, vous créez des règles de stratégie d'accès qui spécifient les méthodes d'authentification à utiliser par type de périphérique. Les utilisateurs sont authentifiés en fonction des méthodes d'authentification, des règles de stratégie d'accès par défaut, des plages réseau et de l'instance du fournisseur d'identité que vous configurez. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Ce chapitre aborde les rubriques suivantes : n « Configuration de Kerberos pour VMware Identity Manager », page 61 n « Configuration de SecurID pour VMware Identity Manager », page 65 n « Configuration de RADIUS pour VMware Identity Manager », page 67 n « Configuration de RSA Adaptive Authentication dans VMware Identity Manager », page 70 n « Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager », page 72 n « Configuration de VMware Verify pour l'authentification à deux facteurs », page 76 n « Configuration d'un fournisseur d'identité intégré », page 78 n « Configurer des fournisseurs d'identité Workspace supplémentaires », page 80 n « Configuration d'une instance de fournisseur d'identité tiers pour authentifier des utilisateurs », page 81 n « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83 Administration de VMware Identity Manager 60 VMware, Inc.
  • 61.
    Configuration de Kerberospour VMware Identity Manager L'authentification Kerberos permet aux utilisateurs correctement connectés à leur domaine d'accéder à leur portail d'applications sans devoir saisir de nouveau leurs informations d'identification. Le protocole d'authentification Kerberos peut être configuré dans le service Identity Manager pour les postes de travail avec l'authentification Windows intégrée afin de sécuriser les interactions entre les navigateurs des utilisateurs et le service Identity Manager et pour l'authentification unique monotouche sur des périphériques mobiles iOS 9 gérés dans AirWatch. Pour plus d'informations sur l'authentification Kerberos sur des périphériques iOS 9, reportez-vous à la section « Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch », page 135. Implémentation de Kerberos pour des postes de travail avec l'authentification Windows intégrée Pour configurer l'authentification Kerberos pour des postes de travail, vous activez l'authentification Windows intégrée afin de permettre au protocole Kerberos de sécuriser les interactions entre les navigateurs des utilisateurs et le service Identity Manager. Lorsque l'authentification Kerberos est activée pour les postes de travail, le service Identity Manager valide les informations d'identification du poste de travail de l'utilisateur à l'aide des tickets Kerberos distribués par le centre de distribution de clés (KDC) implémenté comme service de domaine dans Active Directory. Il n'est pas nécessaire de configurer directement Active Directory pour faire fonctionner Kerberos avec votre déploiement. Vous devez configurer les navigateurs Web de l'utilisateur final pour envoyer vos informations d'identification Kerberos au service lorsque des utilisateurs se connectent. Voir « Configuration de votre navigateur pour Kerberos », page 62. Configurer l'authentification Kerberos pour des postes de travail avec l'authentification Windows intégrée Pour configurer le service VMware Identity Manager afin qu'il effectue l'authentification Kerberos pour des postes de travail, vous devez rejoindre le domaine et autoriser l'authentification Kerberos sur le connecteur VMware Identity Manager. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs du connecteur configuré pour l'authentification Kerberos, cliquez sur Joindre le domaine. 3 Sur la page Joindre le domaine, entrez les informations pour le domaine Active Directory. Option Description Contrôleur Saisissez le nom de domaine complet d'Active Directory. Le nom de domaine que vous entrez doit être le même domaine Windows que celui du serveur du connecteur. Utilisateur du domaine Saisissez le nom d'utilisateur d'un compte de l'instance d'Active Directory disposant des autorisations nécessaires pour joindre des systèmes à ce domaine Active Directory. Mot de passe du domaine Saisissez le mot de passe associé au Nom d'utilisateur AD. Ce mot de passe n'est pas stocké par VMware Identity Manager. Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 61
  • 62.
    La page Joindrele domaine est actualisée et affiche un message confirmant que vous êtes actuellement joint au domaine. 4 Dans la colonne Travailleur correspondant au connecteur, cliquez sur Adaptateurs d'authentification. 5 Cliquez sur KerberosIdpAdapter Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 6 Cliquez sur Modifier sur la ligne KerberosldpAdapter et configurez la page d'authentification de Kerberos. Option Description Nom Un nom est requis. Le nom par défaut est KerberosIdpAdapter. Vous pouvez modifier ce paramètre. Attribut UID du répertoire Entrez l'attribut du compte contenant le nom d'utilisateur. Activer l'authentificati on Windows Sélectionnez cette option pour étendre les interactions d'authentification entre les navigateurs des utilisateurs et VMware Identity Manager. Activer NTLM Sélectionnez cette option pour activer l'authentification par protocole du gestionnaire de LAN NT (NTLM) uniquement si votre infrastructure Active Directory dépend de l'authentification NTLM. Activer la redirection Sélectionnez cette option si le DNS tourniquet et les équilibrages de charge ne prennent pas en charge Kerberos. Les demandes d'authentification sont redirigées vers Rediriger le nom d'hôte. Si cette option est cochée, entrez le nom d'hôte de redirection dans la zone de texte Rediriger le nom d'hôte. Il s'agit généralement du nom d'hôte du service. 7 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Gestion des identités et des accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification Kerberos à la règle en respectant l'ordre de l'authentification. Configuration de votre navigateur pour Kerberos Lorsque Kerberos est activé, vous devez configurer les navigateurs Web afin qu'ils envoient vos informations d'identification Kerberos au service lorsque les utilisateurs se connectent. Les navigateurs Web suivants peuvent être configurés pour envoyer vos informations d'identification Kerberos au service Identity Manager sur les ordinateurs exécutés sous Windows : Firefox, Internet Explorer et Chrome. Tous les navigateurs nécessitent une configuration supplémentaire. Configuration d'Internet Explorer pour accéder à l'interface Web Vous devez configurer le navigateur Internet Explorer si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web à l'aide d'Internet Explorer. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation. Prérequis Configurez le navigateur Internet Explorer pour chaque utilisateur ou fournissez les instructions aux utilisateurs, après avoir configuré Kerberos. Administration de VMware Identity Manager 62 VMware, Inc.
  • 63.
    Procédure 1 Vérifiez quevous êtes connecté à Windows en tant qu'utilisateur du domaine. 2 Dans Internet Explorer, activez la connexion automatique. a Sélectionnez Outils > Options Internet > Sécurité. b Cliquez sur Personnaliser le niveau. c Sélectionnez Connexion automatique uniquement dans la zone intranet. d Cliquez sur OK. 3 Vérifiez que cette instance du dispositif virtuel du connecteur fait partie de la zone intranet locale. a Utilisez Internet Explorer pour accéder à l'URL de connexion de VMware Identity Manager à l'adresse https://myconnectorhost.domain/authenticate/. b Localisez la zone dans le coin inférieur droit de la barre d'état de la fenêtre du navigateur. Si la zone est Intranet local, la configuration d'Internet Explorer est terminée. 4 Si la zone n'est pas Intranet local, ajoutez l'URL de connexion de VMware Identity Manager à la zone intranet. a Sélectionnez Outils > Options Internet > Sécurité > Intranet local > Sites. b Sélectionnez Détecter automatiquement le réseau Intranet. Si cette option n'est pas sélectionnée, sa sélection peut être suffisante pour ajouter à la zone intranet. c (Facultatif) Si vous avez sélectionné Détecter automatiquement le réseau Intranet, cliquez sur OK jusqu'à ce que toutes les boîtes de dialogue soient fermées. d Dans la boîte de dialogue Intranet local, cliquez sur Avancé. Une deuxième boîte de dialogue nommée Intranet local s'affiche. e Tapez l'URL de VMware Identity Manager dans la zone de texte Ajouter ce site Web à la zone. https://myconnectorhost.domain/authenticate/ f Cliquez sur Ajouter > Fermer > OK. 5 Vérifiez qu'Internet Explorer est autorisé à passer l'authentification Windows pour accéder au site de confiance. a Dans la boîte de dialogue Options Internet, cliquez sur l'onglet Avancé. b Sélectionnez Activer l'authentification Windows intégrée. Cette option prend effet seulement après le redémarrage d'Internet Explorer. c Cliquez sur OK. 6 Connectez-vous à l'interface Web pour vérifier l'adresse. Si l'authentification Kerberos est réussie, l'URL de test vous redirige vers l'interface Web. Le protocole Kerberos sécurise toutes les interactions entre cette instance Internet Explorer et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 63
  • 64.
    Configuration de Firefoxpour accéder à l'interface Web Vous devez configurer le navigateur Firefox si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web via Firefox. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Prérequis Configurez le navigateur Firefox pour chaque utilisateur, ou communiquez des instructions aux utilisateurs après la configuration de Kerberos. Procédure 1 Dans la zone de texte de l'URL du navigateur Firefox, saisissez about:config pour accéder aux paramètres avancés. 2 Cliquez sur Je ferai attention, promis !. 3 Double-cliquez sur network.negotiate-auth.trusted-uris dans la colonne Nom de l'option. 4 Tapez l'URL de VMware Identity Manager dans la zone de texte. https://myconnectorhost.domain.com 5 Cliquez sur OK. 6 Double-cliquez sur network.negotiate-auth.delegation-uris dans la colonne Nom de l'option. 7 Tapez l'URL de VMware Identity Manager dans la zone de texte. https://myconnectorhost.domain.com/authenticate/ 8 Cliquez sur OK. 9 Testez la fonctionnalité de Kerberos en utilisant Firefox pour accéder à l'URL de connexion de . Par exemple, https://myconnectorhost.domain.com/authenticate/. Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web. Le protocole Kerberos sécurise toutes les interactions entre cette instance Firefox et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Configuration du navigateur Chrome pour accéder à l'interface Web Vous devez configurer le navigateur Chrome si Kerberos est configuré pour votre déploiement et si vous voulez accorder aux utilisateurs l'accès à l'interface Web via Chrome. L'authentification Kerberos fonctionnement conjointement avec VMware Identity Manager sur les systèmes d'exploitation Windows. Remarque N'effectuez pas ces étapes relatives à Kerberos sur d'autres systèmes d'exploitation. Prérequis n Configurez Kerberos. n Dans la mesure où Chrome utilise la configuration d'Internet Explorer pour activer l'authentification Kerberos, vous devez configurer Internet Explorer afin de permettre à Chrome d'utiliser la configuration d'Internet Explorer. Pour en savoir plus sur la procédure de configuration de Chrome pour l'authentification Kerberos, reportez-vous à la documentation de Google. Administration de VMware Identity Manager 64 VMware, Inc.
  • 65.
    Procédure 1 Testez lesfonctionnalités de Kerberos à l'aide du navigateur Chrome. 2 Connectez-vous à VMware Identity Manager sur https://myconnectorhost.domain.com/authenticate/. Si l'authentification Kerberos réussit, l'URL de test vous redirige vers l'interface Web. Si toutes les configuration relatives à Kerberos sont correctes, le protocole correspondant (Kerberos) sécurise toutes les interactions entre cette instance Chrome et VMware Identity Manager. Les utilisateurs peuvent utiliser l'authentification unique pour accéder à leur portail Workspace ONE. Configuration de SecurID pour VMware Identity Manager Lorsque vous configurez le serveur RSA SecurID, vous devez ajouter les informations sur le service du VMware Identity Manager en tant qu'agent d'authentification sur le serveur RSA SecurID, et configurer les informations du serveur RSA SecurID sur le service du VMware Identity Manager. Lorsque vous configurez SecurID pour offrir une sécurité supplémentaire, vous devez vérifier que votre réseau est correctement configuré pour votre déploiement de VMware Identity Manager. Pour SecurID en particulier, assurez-vous que le port adéquat est ouvert afin de permettre à SecurID d'authentifier les utilisateurs hors de votre réseau. Après avoir exécuté l'assistant Configuration du VMware Identity Manager et configuré votre connexion à Active Directory, vous disposez des informations nécessaires à la préparation du serveur RSA SecurID. Après avoir préparé le serveur RSA SecurID de VMware Identity Manager, activez SecurID dans la console d'administration. n Préparer le serveur RSA SecurID page 65 Le serveur RSA SecurID doit être configuré avec des informations sur le dispositif VMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent au nom d'hôte et aux adresses IP des interfaces réseau. n Configurer l'authentification RSA SecurID page 66 Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur. Préparer le serveur RSA SecurID Le serveur RSA SecurID doit être configuré avec des informations sur le dispositif VMware Identity Manager en tant qu'agent d'authentification. Les informations requises correspondent au nom d'hôte et aux adresses IP des interfaces réseau. Prérequis n Vérifiez que l'une des versions suivantes de RSA Authentication Manager est installée et fonctionne sur le réseau d'entreprise : RSA AM 6.1.2, 7.1 SP2 et versions ultérieures, ainsi que 8.0 et versions ultérieures. Le serveur VMware Identity Manager utilise AuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1), qui prend en charge uniquement les versions précédentes de RSA Authentication Manager (serveur RSA SecurID). Pour obtenir des informations sur l'installation et la configuration de RSA Authentication Manager (serveur RSA SecurID), consultez la documentation de RSA. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 65
  • 66.
    Procédure 1 Sur uneversion prise en charge du serveur RSA SecurID, ajoutez le connecteur VMware Identity Manager en tant qu'agent d'authentification. Entrez les informations suivantes. Option Description nom d'hôte Le nom d'hôte de VMware Identity Manager. Adresse IP L'adresse IP de VMware Identity Manager. Adresse IP alternative Si le trafic provenant du connecteur traverse un périphérique NAT (Network Address Translation) pour atteindre le serveur RSA SecurID, entrez l'adresse IP privée du dispositif. 2 Téléchargez le fichier de configuration compressé et extrayez le fichier sdconf.rec. Préparez-vous à charger ce fichier ultérieurement lorsque vous configurez RSA SecurID dans VMware Identity Manager. Suivant Accédez à la console d'administration et, dans les pages Configuration de l'onglet Gestion des identités et des accès, sélectionnez le connecteur et la page Adaptateurs d'authentification pour configurer SecurID. Configurer l'authentification RSA SecurID Une fois le dispositif VMware Identity Manager configuré en tant qu'agent d'authentification sur le serveur RSA SecurID, vous devez ajouter les informations de configuration RSA SecureID au connecteur. Prérequis n Vérifiez que RSA Authentication Manager (serveur RSA SecurID) est installé et correctement configuré. n Téléchargez le fichier compressé depuis le serveur RSA SecurID et extrayez le fichier de configuration du serveur. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré avec RSA SecurID. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur SecurIDldpAdapter. Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 4 Sur la ligne SecurIDldpAdapter de la page Adaptateurs d'authentification, cliquez sur Modifier. 5 Configurez la page Adaptateur d'authentification SecurID. Les informations utilisées et les fichiers générés sur le serveur RSA SecurID sont nécessaires lors de la configuration de la page SecurID. Option Action Nom Un nom est requis. Le nom par défaut est SecurIDldpAdapter. Vous pouvez modifier ce paramètre. Activer SecurID Cochez cette case pour activer l'authentification securID. Administration de VMware Identity Manager 66 VMware, Inc.
  • 67.
    Option Action Nombre de tentatives d'authentificat ionautorisées Entrez le nombre maximal d'échecs de tentatives de connexion à l'aide du jeton RSA SecurID. La valeur par défaut est de cinq tentatives. Remarque Lorsque plusieurs annuaires sont configurés et que vous implémentez l'authentification RSA SecurID avec des annuaires supplémentaires, configurez Nombre de tentatives d'authentification autorisées avec la même valeur pour chaque configuration RSA SecurID. Si la valeur est différente, l'authentification SecurID échoue. Adresse du connecteur Entrez l'adresse IP de l'instance de connecteur. La valeur que vous entrez doit correspondre à la valeur que vous avez utilisée lorsque vous avez ajouté le dispositif du connecteur en tant qu'agent d'authentification du serveur RSA SecurID. Si votre serveur RSA SecurID dispose d'une valeur assignée à l'invite Adresse IP alternative, entrez cette valeur comme adresse IP du connecteur. Si aucune adresse IP alternative n'est attribuée, entrez la valeur attribuée à l'invite de l'adresse IP. Adresse IP de l'agent Entrez la valeur assignée à l'invite Adresse IP sur le serveur RSA SecurID. Configuration du serveur Chargez le fichier de configuration du serveur RSA SecureID. Vous devez d'abord télécharger le fichier compressé auprès du serveur RSA SecurID, puis extraire le fichier de configuration du serveur qui est appelé par défaut sdconf.rec. Nœud secret Laisser vide le champ nœud secret permet à celui-ci de se générer lui-même. Nous vous recommandons d'effacer le fichier du secret du nœud du serveur RSA SecurID et de ne pas charger volontairement le fichier du secret du nœud. Assurez-vous que le fichier du nœud secret sur le serveur RSA SecurID et sur l'instance du connecteur de serveur correspondent toujours. Si vous modifiez le nœud secret à un emplacement, modifiez-le sur l'autre emplacement. 6 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification SecurID à la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Configuration de RADIUS pour VMware Identity Manager Vous pouvez configurer VMware Identity Manager pour que les utilisateurs soient obligés d'utiliser l'authentification RADIUS (Remote Authentication Dial-In User Service). Vous configurez les informations du serveur RADIUS sur le service VMware Identity Manager. Le support RADIUS offre une large gamme d'options alternatives d'authentification à jeton à deux facteurs. Puisque ces solutions d'authentification à deux facteurs, telles que RADIUS, fonctionnent avec les gestionnaires d'authentification installés sur des serveurs distincts, configurez le serveur RADIUS et mettez- le à disposition du service du gestionnaire d'identité. Lorsque les utilisateurs se connectent à leur portail Workspace ONE et que l'authentification RADIUS est activée, une boîte de dialogue de connexion spéciale apparaît dans le navigateur. Les utilisateurs entrent leur nom d'utilisateur et leur code secret d'authentification RADUS dans la boîte de dialogue de connexion. Si le serveur RADIUS émet une stimulation d'accès, le service du gestionnaire d'identité ouvre une boîte de dialogue qui invite à entrer un second code secret. Le support actuel des challenges RADIUS est limité à la demande de saisie de texte. Une fois que l'utilisateur a entré ses informations d'identification dans la boîte de dialogue, le serveur RADIUS peut envoyer un SMS ou un e-mail, ou du texte à l'aide d'un autre mécanisme hors bande sur le téléphone portable de l'utilisateur avec un code. L'utilisateur peut entrer ce texte et le code dans la boîte de dialogue de connexion pour terminer l'authentification. Si le serveur RADIUS permet d'importer des utilisateurs depuis Active Directory, les utilisateurs finaux peuvent d'abord être invités à fournir des informations d'identification Active Directory avant d'être invités à fournir un nom d'utilisateur et un code secret d'authentification RADIUS. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 67
  • 68.
    Préparer le serveurRADIUS Installez le serveur RADIUS et configurez-le pour qu'il accepte les demandes RADIUS provenant du service VMware Identity Manager. Pour plus d'informations sur la configuration du serveur RADIUS, consultez les guides de configuration du fournisseur RADIUS. Notez les informations de votre configuration RADIUS car vous en avez besoin lorsque vous configurez RADIUS dans le service. Pour voir le type d'informations RADIUS requises pour configurer VMware Identity Manager, reportez-vous à la section « Configurer l'authentification RADIUS dans VMware Identity Manager », page 68. Vous pouvez configurer un serveur d'authentification Radius secondaire afin de l'utiliser pour la haute disponibilité. Si le serveur RADIUS principal ne répond pas dans le délai d'attente du serveur configuré pour l'authentification RADIUS, la demande est routée vers le serveur secondaire. Lorsque le serveur principal ne répond pas, le serveur secondaire reçoit toutes les futures demandes d'authentification. Configurer l'authentification RADIUS dans VMware Identity Manager Vous activez l'authentification RADIUS et configurez les paramètres RADIUS dans la console d'administration de VMware Identity Manager. Prérequis Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur. Vous devez connaître les informations suivantes sur le serveur RADIUS pour configurer RADIUS sur le service. n Adresse IP ou nom DNS du serveur RADIUS. n Numéros de port d'authentification. En général, le port d'authentification est le port 1812. n Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2). n Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS. n Valeurs du délai d’expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré pour l'authentification RADIUS. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RadiusAuthAdapter. Vous serez redirigé vers la page de connexion du gestionnaire d'identité. 4 Cliquez sur Modifier pour configurer ces champs sur la page Adaptateur d'authentification. Option Action Nom Un nom est requis. Le nom par défaut est RadiusAuthAdapter. Vous pouvez modifier ce paramètre. Activer l'adaptateur Radius Cochez cette case pour activer l'authentification RADIUS. Administration de VMware Identity Manager 68 VMware, Inc.
  • 69.
    Option Action Nombre de tentatives d'authentificat ionautorisées Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de cinq tentatives. Nombre de tentatives pour le serveur Radius Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend l'heure configurée avant de réessayer. Nom d'hôte/adresse du serveur Radius Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS. Port d'authentificat ion Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812. Port de gestion Entrez 0 pour le numéro de port. Le port de gestion n'est pas utilisé actuellement. Type d'authentificat ion Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2. Code secret partagé Entrez le code secret partagé utilisé entre le serveur RADIUS et le service VMware Identity Manager. Délai d'attente du serveur en secondes Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas. Préfixe du domaine (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine. Si vous spécifiez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A est spécifié, le nom d'utilisateur DOMAIN-Ajdoe est envoyé au serveur RADIUS. Si vous ne configurez pas ces champs, seul le nom d'utilisateur qui est entré est envoyé. Suffixe du domaine (Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur jdoe@myco.com est envoyé au serveur RADIUS. Conseil pour la phrase secrète de la page de connexion Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le bon code secret Radius. Par exemple, si ce champ est configuré avec Mot de passe AD en premier, puis code secret SMS, le message sur la page de connexion serait Entrez votre mot de passe AD en premier, puis le code secret SMS. La chaîne de texte par défaut est RADIUS Passcode. 5 Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité. Configurez le serveur secondaire comme décrit à l'étape 4. 6 Cliquez sur Enregistrer. Suivant Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification RADIUS à la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 69
  • 70.
    Configuration de RSAAdaptive Authentication dans VMware Identity Manager RSA Adaptive Authentication peut être implémenté pour offrir une authentification multifacteur plus forte que l'authentification par nom d'utilisateur et mot de passe avec Active Directory. Adaptive Authentication surveille et authentifie les tentatives de connexion des utilisateurs selon des niveaux de risque et des stratégies. Lorsque Adaptive Authentication est activé, les indicateurs de risque spécifiés dans les stratégies de risque configurées dans l'application RSA Policy Management et la configuration du service VMware Identity Manager d'Adaptive Authentication sont utilisés pour déterminer si un utilisateur est authentifié avec un nom d'utilisateur et un mot de passe ou si des informations supplémentaires sont nécessaires pour authentifier l'utilisateur. Méthodes d'authentification prises en charge de RSA Adaptive Authentication Les méthodes d'authentification forte de RSA Adaptive Authentication prises en charge dans le service VMware Identity Manager sont une authentification hors bande par téléphone, e-mail ou SMS et des questions de sécurité. Vous activez sur le service les méthodes de RSA Adaptive Authentication pouvant être fournies. Les stratégies de RSA Adaptive Authentication déterminent si une méthode d'authentification secondaire est nécessaire. L'authentification hors bande est un processus qui requiert qu'une vérification supplémentaire soit envoyée avec le nom d'utilisateur et le mot de passe. Lorsque des utilisateurs s'inscrivent sur le serveur RSA Adaptive Authentication, ils fournissent une adresse e-mail, un numéro de téléphone, ou les deux, en fonction de la configuration du serveur. Lorsqu'une vérification supplémentaire est requise, le serveur RSA Adaptive Authentication envoie un code secret unique par le canal fourni. Les utilisateurs entrent ce code secret, ainsi que leur nom d'utilisateur et leur mot de passe. Les questions de sécurité requièrent que l'utilisateur réponde à une série de questions lorsqu'il s'inscrit sur le serveur RSA Adaptive Authentication. Vous pouvez configurer le nombre de questions d'inscription à poser et le nombre de questions de sécurité à présenter sur la page de connexion. Inscription d'utilisateurs avec le serveur RSA Adaptive Authentication Les utilisateurs doivent être provisionnés dans la base de données RSA Adaptive Authentication pour pouvoir utiliser Adaptive Authentication pour l'authentification. Les utilisateurs sont ajoutés à la base de données RSA Adaptive Authentication la première fois qu'ils se connectent avec leur nom d'utilisateur et leur mot de passe. En fonction de la façon dont vous avez configuré RSA Adaptive Authentication dans le service, lorsque les utilisateurs se connectent, il peut leur être demandé de fournir leur adresse e-mail, leur numéro de téléphone, leur numéro de service de messagerie texte (SMS) ou de répondre à des questions de sécurité. Remarque RSA Adaptive Authentication n'autorise pas les caractères internationaux dans les noms d'utilisateur. Si vous prévoyez d'autoriser les caractères multioctet dans les noms d'utilisateur, contactez le support RSA pour configurer RSA Adaptive Authentication et RSA Authentication Manager. Administration de VMware Identity Manager 70 VMware, Inc.
  • 71.
    Configurer RSA AdaptiveAuthentication dans Identity Manager Pour configurer RSA Adaptive Authentication sur le service, vous activez RSA Adaptive Authentication, sélectionnez les méthodes d'authentification adaptative à appliquer et ajoutez les informations de connexion et le certificat Active Directory. Prérequis n RSA Adaptive Authentication correctement configuré avec les méthodes d'authentification à utiliser pour l'authentification secondaire. n Détails sur l'adresse de point de terminaison SOAP et le nom d'utilisateur SOAP. n Informations de configuration Active Directory et certificat SSL Active Directory disponibles. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteur, colonne Travailleurs, sélectionnez le lien correspondant au connecteur qui est configuré. 3 Cliquez sur Adaptateurs d'authentification, puis cliquez sur RSAAAldpAdapter. Vous serez redirigé vers la page de l'adaptateur d'authentification du gestionnaire d'identité. 4 Cliquez sur le lien Modifier à côté de RSAAAldpAdapter 5 Sélectionnez les réglages appropriés pour votre environnement. Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sont facultatifs. Option Description *Nom Un nom est requis. Le nom par défaut est RSAAAldpAdapter. Vous pouvez modifier ce nom. Activer l'adaptateur RSA AA Cochez la case pour activer RSA Adaptive Authentication. *Point de terminaison SOAP Entrez l'adresse du point de terminaison SOAP pour l'intégration entre l'adaptateur RSA Adaptive Authentication et le service. *Nom d'utilisateur SOAP Entrez le nom d'utilisateur et le mot de passe utilisés pour signer des messages SOAP. Domaine RSA Entrez l'adresse de domaine du serveur Adaptive Authentication. Activer les e-mails OOB Cochez cette case pour activer l'authentification hors bande qui envoie un code secret unique à l'utilisateur final par e-mail. Activer les SMS OOB Cochez cette case pour activer l'authentification hors bande qui envoie un code secret unique à l'utilisateur final par SMS. Activer SecurID Cochez cette case pour activer securID. Les utilisateurs sont invités à entrer leur jeton et leur code secret RSA. Activer la question secrète Cochez cette case si vous voulez utiliser des questions d'inscription et de sécurité pour l'authentification. *Nombre de questions d'inscription Entrez le nombre de questions que l'utilisateur devra configurer lorsqu'il s'inscrit sur le serveur de l'adaptateur d'authentification. *Nombre de questions de sécurité Entrez le nombre de questions de sécurité auxquelles les utilisateurs doivent répondre correctement pour se connecter. *Nombre de tentatives d'authentification autorisées Entrez le nombre de fois que les questions de sécurité seront affichées à un utilisateur essayant de se connecter avant que l'authentification échoue. Type d'annuaire Le seul annuaire pris en charge est Active Directory. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 71
  • 72.
    Option Description Port duserveur Entrez le numéro de port Active Directory. Hôte du serveur Entrez le nom d'hôte Active Directory. Utiliser SSL Cochez cette case si vous utilisez SSL pour vous connecter au dossier. Vous ajoutez le certificat SSL Active Directory dans le champ Certificat de l'annuaire. Utiliser l'emplacement du service DNS Cochez cette case si l'emplacement du service DNS est utilisé pour vous connecter au dossier. ND de base Saisissez le ND à partir duquel effectuer les recherches de compte. Par exemple : OU=myUnit,DC=myCorp,DC=com. ND Bind Entrez le compte pouvant rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com. Mot de passe Bind Entrez le mot de passe du compte ND Bind. Attribut de recherche Entrez l'attribut du compte contenant le nom d'utilisateur. Certificat de l'annuaire Pour établir des connexions SSL sécurisées, ajoutez le certificat du serveur d'annuaire dans la zone de texte. S'il existe plusieurs serveurs, ajoutez le certificat racine de l'autorité de certification. 6 Cliquez sur Enregistrer. Suivant Activez la méthode d'authentification RSA Adaptive Authentication dans le fournisseur d'identité intégré dans l'onglet Identité et gestion de l'accès > Gérer. Voir « Configuration d'un fournisseur d'identité intégré », page 78. Ajoutez la méthode d'authentification RSA Adaptive Authentication à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès> Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter Adaptive Authentication. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Configuration d'un certificat ou d'un adaptateur de carte à puce pour VMware Identity Manager Vous pouvez configurer l'authentification par certificat x509 afin de permettre aux utilisateurs de s'authentifier avec des certificats sur leur poste de travail et périphériques mobiles ou d'utiliser un adaptateur de carte à puce pour l'authentification. L'authentification par certificat est basée sur ce que possède l'utilisateur (la clé privée ou la carte à puce) et sur ce que la personne sait (le mot de passe de la clé Administration de VMware Identity Manager 72 VMware, Inc.
  • 73.
    privée ou lecode PIN de la carte à puce). Un certificat X.509 utilise la norme d'infrastructure de clé publique (KPI) pour vérifier qu'une clé publique contenue dans le certificat appartient à l'utilisateur. Pour l'authentification par carte à puce, les utilisateurs connectent la carte à puce à l'ordinateur et saisissent un code PIN. Les certificats des cartes à puce sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance de VMware Identity Manager dans ce navigateur. Remarque Lorsque l'authentification par certificat est configurée et que le dispositif de service est paramétré derrière un équilibrage de charge, assurez-vous que VMware Identity Manager Connector est configuré avec un relais SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur. Lorsque votre équilibrage de charge est configuré pour mettre fin à SSL au niveau de l'équilibrage de charge, vous pouvez déployer un second connecteur derrière un autre équilibrage de charge pour prendre en charge l'authentification par certificat. Pour plus d'informations sur l'ajout d'un second connecteur, consultez le Guide d'installation et de configuration de VMware Identity Manager. Utilisation du nom de l'utilisateur principal pour l'authentification par certificat Vous pouvez utiliser le mappage de certificat dans Active Directory. Les connexions par certificat et par carte à puce utilisent le nom de l'utilisateur principal (UPN) d'Active Directory pour valider les comptes d'utilisateur. Les comptes d'utilisateurs Active Directory qui essaient de s'authentifier dans le service VMware Identity Manager doivent disposer d'un UPN valide qui correspond à l'UPN du certificat. Vous pouvez configurer le VMware Identity Manager pour utiliser une adresse e-mail afin de valider le compte d'utilisateur si l'UPN n'existe pas dans le certificat. Vous pouvez également activer un type d'UPN alternatif à utiliser. Autorité de certification requise pour l'authentification Pour activer la connexion à l'aide de l'authentification par certificat, des certificats racine et intermédiaires doivent être chargés dans le VMware Identity Manager. Les certificats sont copiés dans le magasin de certificats local de l'ordinateur de l'utilisateur. Les certificats du magasin de certificats local sont disponibles pour tous les navigateurs exécutés sur l'ordinateur de cet utilisateur, avec certaines exceptions, et sont ainsi disponibles pour l'instance de VMware Identity Manager dans ce navigateur. Pour l'authentification par carte à puce, lorsqu'un utilisateur initie une connexion sur l'instance de VMware Identity Manager, le service VMware Identity Manager envoie une liste d'autorités de certification (CA) approuvées au navigateur. Le navigateur compare la liste des CA approuvées aux certificats d'utilisateur disponibles, sélectionne un certificat adapté, puis demande à l'utilisateur de saisir le code PIN d'une carte à puce. Si plusieurs certificats d'utilisateur valides sont disponibles, le navigateur demande à l'utilisateur de sélectionner un certificat. Si un utilisateur ne peut pas s'authentifier, les autorités de certification racine et intermédiaire sont peut-être mal configurées, ou le service n'a peut-être pas été redémarré après le téléchargement des autorités de certification racine et intermédiaire sur le serveur. Dans ces situations, le navigateur ne peut pas afficher les certificats installés, l'utilisateur ne peut pas sélectionner le certificat correct, ce qui fait échouer l'authentification par certificat. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 73
  • 74.
    Utilisation du contrôlede la révocation des certificats Vous pouvez configurer le contrôle de la révocation des certificats pour empêcher les utilisateurs dont les certificats d'utilisateur sont révoqués de s'authentifier. Les certificats sont souvent révoqués lorsqu'un utilisateur quitte une organisation, perd une carte à puce ou change de service. Le contrôle de la révocation des certificats à l'aide de listes de révocation de certificats (CRL) et du protocole OCSP est pris en charge. Une CRL est une liste de certificats révoqués publiée par l'autorité de certification ayant émis les certificats. OCSP est un protocole de validation des certificats utilisé pour obtenir le statut de révocation d'un certificat. Il est possible de configurer la CRL et OCSP en configurant le même adaptateur d'authentification par certificat. Lorsque vous configurez les deux types de contrôle de révocation des certificats et que la case Utiliser la CRL en cas de défaillance d'OCSP est cochée, OCSP est contrôlé en premier et, s'il échoue, le contrôle de la révocation est effectué par la CRL. Le contrôle de la révocation ne revient pas à OCSP en cas d'échec de la CRL. Connexion avec le contrôle de la CRL Lorsque la révocation des certificats est autorisée, le serveur VMware Identity Manager lit une CRL pour déterminer l'état de révocation d'un certificat d'utilisateur. Si un certificat est révoqué, l'authentification par certificat échoue. Connexion avec le contrôle de certificat OCSP Lorsque vous configurez le contrôle de la révocation par le protocole OCSP, VMware Identity Manager envoie une demande à un répondeur OCSP pour déterminer le statut de révocation d'un certificat d'utilisateur spécifique. Le serveur VMware Identity Manager utilise le certificat de signature OCSP pour vérifier l'authenticité des réponses reçues de la part du répondeur OCSP. Si le certificat est révoqué, l'authentification échoue. Il est possible de configurer l'authentification pour basculer vers le contrôle par CRL si aucune réponse n'est reçue de la part du répondeur OSCP ou si la réponse n'est pas valide. Configurer l'authentification par certificat pour VMware Identity Manager Vous activez et configurez l'authentification par certificat dans la console d'administration de VMware Identity Manager. Prérequis n Obtenez les certificats racines et intermédiaires auprès de l'autorité de certification ayant signé les certificats présentés par vos utilisateurs. n (Facultatif) Une liste des identificateurs d'objets (OID) des stratégies de certificat valides pour l'authentification par certificat. n Pour le contrôle de la révocation, l'emplacement du fichier du CRL et l'URL du serveur OCSP. n (Facultatif) L'emplacement du fichier de la signature du certificat de la réponse OCSP. n Le contenu du formulaire de consentement, si un tel formulaire s'affiche avant l'authentification. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration. 2 Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré. Administration de VMware Identity Manager 74 VMware, Inc.
  • 75.
    3 Cliquez surAdaptateurs d'authentification, puis cliquez sur CertificateAuthAdapter. 4 Configurez la page Adaptateur d'authentification par certificat. Remarque Les champs obligatoires sont indiqués par un astérisque. Les autres champs sont facultatifs. Option Description *Nom Un nom est requis. Le nom par défaut est CertificateAuthAdapter. Vous pouvez modifier ce nom. Activer l'adaptateur de certificat Cochez la case pour permettre l'authentification par certificat. *Certificats d'autorité de certification racine et intermédiaire Sélectionnez les fichiers de certificat à télécharger. Il est possible de sélectionner plusieurs certificats d'autorité de certification racine et intermédiaire qui utilisent l'encodage DER ou PEM. Certificats d'autorité de certification téléchargés Les fichiers de certificat téléchargés sont répertoriés dans la section Certificats d'autorité de certification téléchargés du formulaire. Utiliser une adresse e-mail s'il n'existe pas d'UPN dans le certificat Si le nom principal de l'utilisateur (UPN) n'existe pas dans le certificat, cochez cette case pour utiliser l'attribut emailAddress comme extension Autre nom de l'objet afin de valider des comptes d'utilisateurs. Stratégies de certificat acceptées Créez une liste d'identificateurs d'objet qui sont acceptés dans les extensions de stratégie de certificat. Entrez les numéros d'ID d'objet (OID) pour la stratégie d'émission de certificat. Cliquez sur Ajouter une autre valeur pour ajouter des OID supplémentaires. Activer la révocation de certificat Cochez cette case pour permettre le contrôle de la révocation des certificats. Le contrôle de la révocation empêche les utilisateurs avec des certificats d'utilisateur révoqués de s'authentifier. Utiliser la CRL des certificats Cochez cette case pour utiliser la liste de révocation de certificats (CRL) publiée par l'autorité de certification qui a émis les certificats afin de valider le statut d'un certificat, révoqué ou non révoqué. Emplacement de la CRL Entrez le chemin d'accès au fichier de serveur ou local depuis lequel la CRL peut être récupérée. Autoriser la révocation OCSP Cochez la case pour utiliser le protocole de validation des certificats OCSP (Online Certificate Status Protocol) afin d'obtenir le statut de révocation d'un certificat. Utiliser la CRL en cas de défaillance du protocole Si vous configurez une CRL et OCSP, vous pouvez cocher cette case pour basculer vers l'utilisation de la CRL si le contrôle OCSP n'est pas disponible. Envoi de nonce OCSP Cochez cette case si vous souhaitez que l'identificateur unique de la requête OCSP soit envoyée dans la réponse. URL d'OCSP Si vous avez activé la révocation OCSP, entrez l'adresse de serveur OCSP pour le contrôle de la révocation. Certificat de la signature du répondeur OCSP Entrez le chemin d'accès au certificat OCSP du répondeur, /path/to/file.cer. Activer le formulaire de consentement avant l'authentification Cochez cette case pour inclure une page du formulaire de consentement qui s'affiche avant que les utilisateurs se connectent à leur portail Workspace ONE à l'aide de l'authentification par certificat. Contenu du formulaire de consentement Saisissez le texte qui s'affiche sur le formulaire de consentement dans cette zone de texte. 5 Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 75
  • 76.
    Suivant n Ajoutez laméthode d'authentification de certificat à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter Certificat. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. n Lorsque l'authentification par certificat est configurée et que le dispositif de service est configuré derrière un équilibrage de charge, assurez-vous que le connecteur VMware Identity Manager est configuré avec un passe-système SSL au niveau de l'équilibrage de charge et qu'il n'est pas configuré pour mettre fin à SSL au niveau de l'équilibrage de charge. Cette configuration permet de s'assurer que la négociation SSL a lieu entre le connecteur et le client afin de transmettre le certificat au connecteur. Configuration de VMware Verify pour l'authentification à deux facteurs Dans la console d'administration de VMware Identity Manager, vous pouvez activer le service VMware Verify comme seconde méthode d'authentification lorsque l'authentification à deux facteurs est requise. Vous activez VMware Verify dans le fournisseur d'identité intégré dans la console d'administration et ajoutez le jeton de sécurité VMware Verify que vous recevez de la part du support VMware. Vous configurez l'authentification à deux facteurs dans les règles de stratégie d'accès pour exiger des utilisateurs qu'ils s'authentifient avec deux méthodes d'authentification. Les utilisateurs installent l'application VMware Verify sur leurs périphériques et fournissent un numéro de téléphone pour enregistrer leur périphérique auprès du service VMware Verify. Le périphérique et le numéro de téléphone sont également enregistrés dans le profil Utilisateur et groupes dans la console d'administration. Les utilisateurs inscrivent leur compte une fois lorsqu'ils se connectent avec l'authentification par mot de passe, puis qu'ils entrent le code secret VMware Verify qui s'affiche sur leur périphérique. Après l'authentification initiale, les utilisateurs peuvent s'authentifier via l'une de ces trois méthodes. n Approbation push avec une notification monotouche. Les utilisateurs approuvent ou refusent l'accès de VMware Identity Manager avec un clic. Les utilisateurs cliquent sur Approuver ou sur Refuser sur le message envoyé. n Code secret TOTP (Time-based One Time Password). Un code secret à usage unique est généré toutes les 20 secondes. Les utilisateurs entrent ce code secret sur l'écran de connexion. n SMS. Phone SMS est utilisé pour envoyer un code de vérification à usage unique dans un SMS au numéro de téléphone enregistré. Les utilisateurs entrent ce code de vérification sur l'écran de connexion. VMware Verify utilise un service cloud tiers pour offrir cette fonctionnalité aux périphériques d'utilisateur. Pour cela, les informations d'utilisateur telles que le nom, l'e-mail et le numéro de téléphone, sont stockées dans le service, mais pas utilisées à des fins autres que l'offre de la fonctionnalité. Activer VMware Verify Pour activer l'authentification à deux facteurs avec le service VMware Verify, vous devez ajouter un jeton de sécurité à la page VMware Verify et activer VMware Verify dans le fournisseur d'identité intégré. Prérequis Créez un ticket de support avec le support VMware ou AirWatch pour recevoir le jeton de sécurité qui active VMware Verify. L'équipe du support traite votre demande et met à jour le ticket de support avec des instructions et un jeton de sécurité. Vous ajoutez ce jeton de sécurité à la page VMware Verify. (Facultatif) Personnalisez le logo et l'icône qui s'affichent dans l'application VMware Verify sur les périphériques. Voir « Personnaliser des informations de marque pour l'application VMware Verify », page 126. Administration de VMware Identity Manager 76 VMware, Inc.
  • 77.
    Procédure 1 Dans l'ongletIdentité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Sélectionnez le fournisseur d'identité nommé Intégré. 3 Cliquez sur l'icône d'engrenage de VMware Verify. 4 Cochez la case Activer l'authentification multi-facteur. 5 Collez le jeton de sécurité que vous avez reçu de la part de l'équipe du support VMware ou AirWatch dans la zone de texte Jeton de sécurité. 6 Cliquez sur Enregistrer. Suivant Créez une règle de stratégie d'accès dans la stratégie d'accès par défaut pour ajouter la méthode d'authentification VMware Verify comme seconde méthode d'authentification dans la règle. Voir « Gestion des méthodes d'authentification à appliquer aux utilisateurs », page 83. Appliquez des informations de marque personnalisées sur la page de connexion de VMware Verify. Voir « Personnaliser des informations de marque pour l'application VMware Verify », page 126. Enregistrement des utilisateurs finaux avec VMware Verify Lorsque l'authentification VMware Verify est requise pour l'authentification à deux facteurs, les utilisateurs installent et utilisent l'application VMware Verify pour enregistrer leur périphérique. Remarque L'application VMware Verify peut être téléchargée depuis les boutiques d'applications. Lorsque l'authentification à deux facteurs VMware Verify est activée, la première fois que les utilisateurs se connectent à l'application Workspace ONE, il leur est demandé d'entrer leur nom d'utilisateur et leur mot de passe. Lorsque le nom d'utilisateur et le mot de passe sont vérifiés, les utilisateurs sont invités à entrer le numéro de téléphone de leur périphérique à inscrire dans VMware Verify. Lorsqu'ils cliquent sur Inscription, le numéro de téléphone est enregistré avec VMware Verify et, s'ils n'ont pas téléchargé cette application, ils sont invités à le faire. Lorsque l'application est installée, il est demandé aux utilisateurs d'entrer le même numéro de téléphone que celui entré précédemment et de sélectionner une méthode de notification pour recevoir un code d'enregistrement à usage unique. Le code d'enregistrement est entré sur la page Code PIN d'enregistrement. Une fois le numéro de téléphone du périphérique enregistré, les utilisateurs peuvent utiliser un code secret à usage unique basé sur l’heure affiché dans l'application VMware Verify pour se connecter à Workspace ONE. Le code secret est un numéro unique généré sur le périphérique et qui change constamment. Les utilisateurs peuvent enregistrer plusieurs périphériques. Le code secret VMware Verify est synchronisé automatiquement sur chaque périphérique enregistré. Supprimer le numéro de téléphone enregistré du profil d'utilisateur Pour résoudre les problèmes de connexion à Workspace ONE, vous pouvez supprimer le numéro de téléphone de l'utilisateur du profil utilisateur dans la console d'administration de VMware Identity Manager. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sur la page Utilisateur, sélectionnez le nom d'utilisateur à réinitialiser. 3 Dans l'onglet VMware Verify, cliquez sur Réinitialiser VMware Verify. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 77
  • 78.
    Le numéro detéléphone est supprimé du profil utilisateur et la liste Utilisateur indique S/O dans la colonne Numéro de téléphone de VMware Verify. L'enregistrement du numéro de téléphone est annulé du service VMware Verify. Lorsque l'utilisateur se connecte à son application Workspace ONE, il est invité à entrer le numéro de téléphone pour s'inscrire de nouveau au service VMware Verify. Configuration d'un fournisseur d'identité intégré Un fournisseur d'identité intégré est disponible sur la page Identité et gestion de l'accès > Fournisseurs d'identité de la console d'administration. Vous pouvez créer des fournisseurs d'identité intégrés supplémentaires. Le fournisseur d'identité intégré disponible peut être configuré sur des méthodes d'authentification de service qui ne nécessitent pas un connecteur. Méthodes d'authentification configurées sur un connecteur déployé derrière la zone DMZ en mode de connexion sortie seule sur le service VMware Identity Manager. Les méthodes d'authentification que vous configurez dans ce fournisseur d'identité intégré peuvent être activées dans d'autres fournisseurs d'identité intégrés que vous ajoutez. Vous n'avez pas besoin de configurer des méthodes d'authentification dans les fournisseurs d'identité intégrés que vous ajoutez. Les méthodes d'authentification suivantes ne requièrent pas un connecteur et elles sont configurées sur le fournisseur d'identité intégré par défaut. n Mobile SSO pour iOS n Certificat (déploiement de Cloud) n Mot de passe utilisant AirWatch Connector n VMware Verify pour authentification à deux facteurs n Mobile SSO pour Android n Conformité des périphériques avec AirWatch n Mot de passe (répertoire local) Remarque Le mode de connexion sortie seule n'exige pas qu'un port de pare-feu soit ouvert. Lorsque ces méthodes d'authentification sont configurées dans le fournisseur d'identité intégré, si des utilisateurs et des groupes se trouvent dans un annuaire d'entreprise, avant d'utiliser ces méthodes d'authentification, vous devez synchroniser les utilisateurs et les groupes dans le service VMware Identity Manager. Une fois que vous avez activé les méthodes d'authentification, vous créez des stratégies d'accès à appliquer à ces méthodes d'authentification. Configurer des fournisseurs d'identité intégrés Configurez le fournisseur d'identité intégré par défaut avec les méthodes d'authentification qui ne requièrent pas un connecteur. Les méthodes d'authentification que vous configurez ici peuvent être activées sur d'autres fournisseurs d'identité intégrés que vous ajoutez à votre environnement. Procédure 1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité. Administration de VMware Identity Manager 78 VMware, Inc.
  • 79.
    2 Sélectionnez lefournisseur d'identité avec l'étiquette Intégré et configurez ses détails. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré. Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sont répertoriés. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Méthodes d'authentification Pour configurer une méthode d'authentification, cliquez sur les icônes d'engrenage et configurez les méthodes d'authentification. Lorsque vous intégrez AirWatch à VMware Identity Manager, vous pouvez sélectionner les méthodes d'authentification à utiliser. Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatch Connector), vérifiez que l'option est activée sur la page de configuration d'AirWatch. 3 Une fois que vous avez créé les méthodes d'authentification, cochez les cases de celles que vous voulez utiliser avec ce fournisseur d'identité intégré. 4 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser dans la configuration AirWatch du profil de gestion du périphérique iOS. 5 Cliquez sur Ajouter. Les méthodes d'authentification que vous avez configurées peuvent être activées dans d'autres fournisseurs d'identité intégrés que vous ajoutez, sans configuration supplémentaire. Configurer un fournisseur d'identité intégré lorsque le connecteur est en mode sortie seule Pour la connexion sortie seule au service VMware Identity Manager Cloud, dans le fournisseur d'identité intégré, activez les méthodes d'authentification que vous avez configurées dans le connecteur. Prérequis n Les utilisateurs et les groupes situés dans un répertoire d'entreprise doivent être synchronisés avec le répertoire VMware Identity Manager. n Liste des plages réseau que vous souhaitez rediriger vers l'instance du fournisseur d'identité intégré à des fins d'authentification. n Pour activer des méthodes d'authentification du fournisseur d'identité intégré, vérifiez que les méthodes d'authentification sont configurées dans le connecteur. Procédure 1 Dans l'onglet Identité et gestion de l'accès, accédez à Gérer > Fournisseurs d'identité. 2 Sélectionnez le fournisseur d'identité avec l'étiquette Intégré et configurez ses détails. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance du fournisseur d'identité intégré. Utilisateurs Sélectionner des utilisateurs pour l'authentification. Les annuaires configurés sont répertoriés. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction des adresses IP que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 79
  • 80.
    Option Description Méthodes d'authentificationLorsque vous intégrez AirWatch à VMware Identity Manager, vous pouvez sélectionner les méthodes d'authentification à utiliser. Cliquez sur l'icône d'engrenage des méthodes d'authentification à configurer. Pour Conformité des périphériques (avec AirWatch) et Mot de passe (AirWatch Connector), vérifiez que l'option est activée sur la page de configuration d'AirWatch. Connecteur(s) (Facultatif) Sélectionnez le connecteur qui est configuré en mode de connexion sortie seule. Méthodes d'authentification du connecteur Les méthodes d'authentification configurées sur le connecteur sont répertoriées dans cette section. Cochez la case pour activer les méthodes d'authentification. 3 Si vous utilisez l'authentification Kerberos intégré, téléchargez le certificat de l'émetteur KDC à utiliser dans la configuration AirWatch du profil de gestion du périphérique iOS. 4 Cliquez sur Enregistrer. Configurer des fournisseurs d'identité Workspace supplémentaires Quand le connecteur VMware Identity Manager est configuré initialement, lorsque vous activez le connecteur afin d'authentifier des utilisateurs, un IDP Workspace est créé en tant que fournisseur d'identité et l'authentification par mot de passe est activée. Des connecteurs supplémentaires peuvent être configurés derrière différents équilibrages de charge. Lorsque votre environnement inclut plusieurs équilibrages de charge, vous pouvez configurer un fournisseur d'identité Workspace différent pour l'authentification dans chaque configuration à équilibrage de charge. Consultez les rubriques Installation de dispositifs de connecteur supplémentaires dans le Guide d'installation et de configuration de VMware Identity Manager. Les différents fournisseurs d'identité Workspace peuvent être associés au même annuaire ou, si vous disposez de plusieurs annuaires configurés, vous pouvez sélectionner l'annuaire à utiliser. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP Workspace. 3 Modifiez les paramètres de l'instance de fournisseur d'identité. Option Description Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité Workspace. Utilisateurs Sélectionnez l'annuaire VMware Identity Manager des utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité Workspace. Connecteur(s) Les connecteurs qui ne sont pas associés à l'annuaire que vous avez sélectionné sont répertoriés. Sélectionnez le connecteur à associer à l'annuaire. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. 4 Cliquez sur Ajouter. Administration de VMware Identity Manager 80 VMware, Inc.
  • 81.
    Configuration d'une instancede fournisseur d'identité tiers pour authentifier des utilisateurs Vous pouvez configurer un fournisseur d'identité tiers utilisé pour authentifier des utilisateurs dans le service VMware Identity Manager. Effectuez les tâches suivantes avant d'utiliser la console d'administration pour ajouter l'instance de fournisseur d'identité tiers. n Vérifiez que les instances tierces sont conformes à la norme SAML 2.0 et que le service peut atteindre l'instance tierce. n Obtenez les informations sur les métadonnées tierces à ajouter lors de la configuration du fournisseur d'identité dans la console d'administration. Les informations de métadonnées que vous obtenez de l'instance tierce correspondent à l'URL d'accès aux métadonnées ou aux métadonnées proprement dites. n Si le provisionnement juste-à-temps est activé pour ce fournisseur d'identité, tenez compte des exigences des assertions SAML. Les assertions SAML envoyées par le fournisseur d'identité doivent contenir certains attributs. Voir « Exigences des assertions SAML », page 55. Ajouter et configurer une instance de fournisseur d'identité En ajoutant et en configurant des instances de fournisseurs d'identité pour votre déploiement VMware Identity Manager, vous pouvez garantir une disponibilité élevée, prendre en charge des méthodes d'authentification d'utilisateurs supplémentaires et améliorer la souplesse de gestion du processus d'authentification des utilisateurs en fonction des plages d'adresses IP de ces derniers. Prérequis n Configurez les plages réseau que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Voir « Ajout ou modification d'une plage réseau », page 83. n Accédez au document sur les métadonnées tierces. Il peut s'agir de l'URL d'accès aux métadonnées ou des métadonnées réelles. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Gérer > Fournisseurs d'identité. 2 Cliquez sur Ajouter un fournisseur d'identité et sélectionnez Créer un IDP tiers. Modifiez les paramètres de l'instance de fournisseur d'identité. 3 Modifiez les paramètres de l'instance de fournisseur d'identité. Élément de formulaire Description Nom du fournisseur d'identité Entrez un nom pour cette instance de fournisseur d'identité. Métadonnées SAML Ajoutez le document sur les métadonnées XML IdP tierces afin d'établir une relation d'approbation avec le fournisseur d'identité. 1 Entrez l'URL des métadonnées SAML ou le contenu xml dans la zone de texte. 2 Cliquez sur Traiter les métadonnées IdP. Les formats NameID pris en charge par l'IdP sont extraits des métadonnées et ajoutés au tableau Format d'ID de nom. 3 Dans la colonne de valeurs ID de nom, sélectionnez l'attribut utilisateur dans le service à mapper aux formats d'ID affichés. Vous pouvez ajouter des formats d'ID de nom tiers et les mapper aux valeurs d'attribut utilisateur du service. 4 (Facultatif) Sélectionnez le format de la chaîne d'identificateur de réponse NameIDPolicy. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 81
  • 82.
    Élément de formulaireDescription Provisionnement juste- à-temps Configurez le provisionnement juste-à-temps afin de créer des utilisateurs dans le service Identity Manager de manière dynamique lorsqu'ils se connectent pour la première fois. Un répertoire JIT est créé et les attributs dans l'assertion SAML sont utilisés pour créer l'utilisateur dans le service. Voir Chapitre 6, « Provisionnement d'utilisateurs juste-à- temps », page 51. Utilisateurs Sélectionnez les répertoires des utilisateurs qui peuvent s'authentifier à l'aide de ce fournisseur d'identité. Réseau Les plages réseau existantes configurées dans le service sont répertoriées. Sélectionnez les plages réseau des utilisateurs en fonction de leurs adresses IP, que vous souhaitez rediriger vers cette instance de fournisseur d'identité à des fins d'authentification. Méthodes d'authentification Ajoutez les méthodes d'authentification prises en charge par le fournisseur d'identité tiers. Sélectionnez la classe de contexte d'authentification SAML qui prend en charge la méthode d'authentification. Configuration de la déconnexion unique Activez la déconnexion unique pour fermer la session de fournisseur d'identité des utilisateurs lorsqu'ils se déconnectent. Si la déconnexion unique n'est pas activée, la session de fournisseur d'identité des utilisateurs est toujours active lorsqu'ils se déconnectent. (Facultatif) Si le fournisseur d'identité prend en charge le profil de déconnexion unique SAML, activez la déconnexion unique et laissez la case URL de redirection vide. Si le fournisseur d'identité ne prend pas en charge le profil de déconnexion unique SAML, activez la déconnexion unique et entrez l'URL de déconnexion du fournisseur d'identité vers laquelle les utilisateurs sont redirigés lorsqu'ils se déconnectent de VMware Identity Manager. Si vous avez configuré l'URL de redirection et si vous voulez que les utilisateurs retournent à la page de connexion de VMware Identity Manager après avoir été redirigés vers l'URL de déconnexion du fournisseur d'identité, entrez le nom de paramètre utilisé par l'URL de redirection du fournisseur d'identité. Certificat de signature SAML Cliquez sur Métadonnées du fournisseur de services (SP) pour voir l'URL vers les métadonnées du fournisseur de services SAML VMware Identity Manager. Copiez et enregistrez l'URL. Cette URL est configurée lorsque vous modifiez l'assertion SAML dans le fournisseur d'identité tiers pour mapper des utilisateurs VMware Identity Manager. Nom d'hôte IdP Si la zone de texte Nom d'hôte s'affiche, entrez le nom d'hôte vers lequel le fournisseur d'identité est redirigé pour l'authentification. Si vous utilisez un port non standard autre que 443, vous pouvez définir le nom d'hôte avec le format Nom d'hôte:Port. Par exemple, myco.example.com:8443. 4 Cliquez sur Ajouter. Suivant n Ajoutez la méthode d'authentification du fournisseur d'identité à la stratégie par défaut des services. Voir « Application de méthodes d'authentification aux règles de stratégie », page 85. n Modifiez la configuration du fournisseur d'identité tiers pour ajouter l'URL de certificat de signature SAML que vous avez enregistrée. Administration de VMware Identity Manager 82 VMware, Inc.
  • 83.
    Gestion des méthodesd'authentification à appliquer aux utilisateurs Le service VMware Identity Manager tente d'authentifier les utilisateurs selon les méthodes d'authentification, la stratégie d'accès par défaut, les plages réseau et les instances de fournisseurs d'identité que vous configurez. Lorsque des utilisateurs tentent de se connecter, le service évalue les règles de stratégie par défaut pour déterminer la règle de la stratégie à appliquer. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance de fournisseur d'identité qui répond aux exigences relatives à la méthode d'authentification et à la plage réseau de la règle est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance de fournisseur d'identité à des fins d'authentification. Si l'authentification échoue, la méthode d'authentification suivante configurée dans la règle est appliquée. Vous pouvez ajouter des règles qui spécifient les méthodes d'authentification à utiliser par type de périphérique ou par type de périphérique et à partir d'une plage réseau spécifique. Par exemple, vous pouvez configurer une règle qui exige que les utilisateurs qui se connectent à l'aide de périphériques iOS à partir d'un réseau spécifique s'authentifient à l'aide de RSA SecurID. Configurez ensuite une autre règle qui exige que les utilisateurs qui se connectent avec un autre type de périphérique à partir de l'adresse IP du réseau interne s'authentifient à l'aide de leur mot de passe. Ajout ou modification d'une plage réseau Créez des plages réseau pour définir les adresses IP à partir desquelles les utilisateurs peuvent se connecter. Vous ajoutez les plages réseau que vous créez à des instances de fournisseurs d'identité spécifiques et pour accéder à des règles de stratégie. Une plage réseau, appelée TOUTES LES PLAGES, est créée comme plage par défaut. Cette plage réseau comprend chaque adresse IP disponible sur Internet, de 0.0.0.0 à 255.255.255.255. Si votre déploiement compte une seule instance de fournisseur d'identité, vous pouvez modifier la plage d'adresses IP et ajouter d'autres plages afin d'exclure ou d'inclure des adresses IP spécifiques à la plage réseau par défaut. Vous pouvez créer d'autres plages réseau avec des adresses IP spécifiques que vous pouvez appliquer à des fins particulières. Remarque La plage réseau par défaut (TOUTES LES PLAGES) et sa description (« un réseau pour toutes les plages ») sont modifiables. Vous pouvez modifier le nom et la description, notamment traduire le texte dans une autre langue, à l'aide de la fonctionnalité Modifier de la page Plages réseau. Prérequis n Définissez les plages réseau pour votre déploiement de VMware Identity Manager en fonction de la topologie du réseau. n Lorsque View est activé dans le service, vous spécifiez l'URL View par plage réseau. Pour ajouter une plage réseau lorsque le module View est activé, notez l'URL d'accès à Horizon Client et le numéro de port de la plage réseau. Pour plus d'informations, consultez la documentation de View. Consultez le chapitre Configuration des ressources dans VMware Identity Manager, Fourniture d'un accès aux pools de postes de travail et d'applications View. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration > Plages réseau. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 83
  • 84.
    2 Modifiez uneplage réseau existante ou ajoutez une plage. Option Description Modifier une plage réseau existante Cliquez sur le nom de la plage réseau pour la modifier. Ajouter une plage Cliquez sur Ajouter une plage réseau pour ajouter une nouvelle plage. 3 Modifiez la page Ajouter une plage réseau. Élément de formulaire Description Nom Entrez un nom pour la plage réseau. Description Entrez une description pour la plage réseau. Espaces View L'option Espaces View s'affiche uniquement lorsque le module View est activé. Hôte de l'URL d'accès au client. Entrez l'URL d'accès à Horizon Client correspondant à la plage réseau. Port d'accès à Client. Entrez le numéro de port d'accès à Horizon Client correspondant à la plage réseau. Plages d'adresses IP Modifiez ou ajoutez des plages d'adresses IP jusqu'à ce que toutes les adresses IP souhaitées soient incluses et toutes les adresses IP non souhaitées soient exclues. Suivant n Associez chaque plage réseau à une instance de fournisseur d'identité. n Associez les plages réseau à une règle de stratégie d'accès, si nécessaire. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Application de la stratégie d'accès par défaut Le service VMware Identity Manager inclut une stratégie d'accès par défaut qui contrôle l'accès des utilisateurs à leurs portails Workspace ONE et leurs applications Web. Il est possible de modifier la stratégie pour changer ses règles si nécessaire. Lorsque vous activez des méthodes d'authentification autres qu'une authentification par mot de passe, vous devez modifier la stratégie par défaut pour ajouter la méthode d'authentification activée aux règles de la stratégie. Chaque règle de la stratégie d'accès par défaut exige qu'un ensemble de critères soit satisfait pour accorder à l'utilisateur l'accès au portail d'applications. Vous pouvez appliquer une plage réseau, déterminer le type d'utilisateur autorisé à accéder au contenu et sélectionner la méthode d'authentification souhaitée. Voir Chapitre 8, « Gestion des stratégies d'accès », page 87. Le nombre de tentatives effectuées par le service pour connecter un utilisateur à l'aide d'une méthode d'authentification donnée varie. Le service n'effectue qu'une seule tentative d'authentification pour Kerberos ou l'authentification par certificat. Si la tentative de connexion d'un utilisateur échoue, une tentative est effectuée sur la méthode d'authentification suivante de la règle. Le nombre maximal d'échecs de la tentative de connexion pour l'authentification par mot de passe Active Directory et RSA SecurID est de cinq par défaut. Lorsqu'un utilisateur enregistre cinq tentatives de connexion infructueuses, le service tente de connecter l'utilisateur en utilisant la méthode d'authentification suivante dans la liste. Lorsque toutes les méthodes d'authentification ont été utilisées sans succès, le service affiche un message d'erreur. Administration de VMware Identity Manager 84 VMware, Inc.
  • 85.
    Application de méthodesd'authentification aux règles de stratégie Seule la méthode d'authentification par mot de passe est configurée dans les règles de stratégie par défaut. Vous devez modifier les règles de stratégie pour sélectionner les autres méthodes d'authentification que vous avez configurées et définir l'ordre dans lequel les méthodes d'authentification sont utilisées pour l'authentification. Vous pouvez configurer des règles de stratégie d'accès qui exigent que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Voir « Configuration de paramètres de stratégie d'accès », page 87. Prérequis Activez et configurez les méthodes d'authentification que votre organisation prend en charge. Voir Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur la stratégie d'accès par défaut à modifier. 3 Dans la section Règles de stratégie, cliquez sur la méthode d'authentification à modifier ou, pour ajouter une nouvelle règle de stratégie, cliquez sur l'icône +. a Vérifiez que la plage réseau est correcte. Si vous ajoutez une règle, sélectionnez la plage réseau de cette règle de stratégie. b Sélectionnez le type de périphérique que cette règle gère dans le menu déroulant et que l'utilisateur essaie d'accéder à du contenu provenant de…. c Configurez l'ordre d'authentification. Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, sélectionnez la méthode d'authentification à appliquer en priorité. Pour exiger que les utilisateurs s'authentifient via deux méthodes d'authentification, cliquez sur + et, dans le menu déroulant, sélectionnez une seconde méthode d'authentification. d (Facultatif) Pour configurer des méthodes d'authentification de secours supplémentaires, dans le menu déroulant Si la méthode d'authentification précédente échoue :, sélectionnez une autre méthode d'authentification activée. Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle. e Dans le menu déroulant Nouvelle authentification après, sélectionnez la durée de la session après laquelle les utilisateurs doivent s'authentifier de nouveau. f (Facultatif) Créez un message d'accès refusé personnalisé qui s'affiche lorsque l'authentification utilisateur échoue. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ 650 mots. Si vous voulez envoyer les utilisateurs vers une autre page, dans la zone de texte URL du lien, entrez l'adresse de lien de l'URL. Dans la zone de texte Texte du lien, entrez le texte qui doit s'afficher pour le lien. Si vous laissez cette zone de texte vide, le mot Continuer s'affiche. g Cliquez sur Enregistrer. Chapitre 7 Configuration de l'authentification des utilisateurs dans VMware Identity Manager VMware, Inc. 85
  • 86.
    4 Cliquez surEnregistrer. Administration de VMware Identity Manager 86 VMware, Inc.
  • 87.
    Gestion des stratégiesd'accès 8 Pour offrir un accès sécurisé au portail d'applications des utilisateurs et pour lancer des applications Web et de poste de travail, vous configurez des stratégies d'accès avec des règles qui spécifient des critères devant être respectés pour que les utilisateurs puissent se connecter à leur portail d'applications et utiliser leurs ressources. Les règles de stratégie mappent l'adresse IP demandeuse à des plages réseau et désignent le type de périphériques que les utilisateurs peuvent utiliser pour se connecter. La règle définit les méthodes d'authentification et le nombre d'heures pendant lesquelles l'authentification est valide. Le service VMware Identity Manager inclut une stratégie par défaut qui contrôle l'accès au service globalement. Cette stratégie est configurée pour autoriser l'accès à toutes les plages réseau, depuis tous les types de périphérique, avec un délai d'expiration de la session de huit heures, et la méthode d'authentification est l'authentification par mot de passe. Vous pouvez modifier la stratégie par défaut. Remarque Les stratégies ne contrôlent pas la durée d'une session d'application. Elles contrôlent plutôt la durée de la période pendant laquelle les utilisateurs peuvent lancer une application. Ce chapitre aborde les rubriques suivantes : n « Configuration de paramètres de stratégie d'accès », page 87 n « Gestion des stratégies spécifiques à une application Web et de poste de travail », page 90 n « Ajouter une stratégie spécifique à une application Web ou de poste de travail », page 92 n « Configurer le message d'erreur d'accès refusé personnalisé », page 92 n « Modifier une stratégie d'accès », page 93 n « Activation du cookie persistant sur des périphériques mobiles », page 94 Configuration de paramètres de stratégie d'accès Une stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vous pouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façon globale ou à des applications Web et de poste de travail spécifiques. Une règle de stratégie peut être configurée pour prendre des mesures, comme bloquer, autoriser ou authentifier par relais des utilisateurs, en fonction de conditions telles que le réseau, le type de périphérique, l'état d'inscription et de conformité du périphérique AirWatch ou l'application en cours d'accès. VMware, Inc. 87
  • 88.
    Plage réseau Pour chaquerègle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuis l'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer les ensembles de stratégies d'accès. Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau est couverte par l'instance d'un fournisseur d'identité existant. Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuvent se connecter et accéder à leurs applications. Type de périphérique Sélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web, l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques. Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu et toutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle de stratégie. Méthodes d'authentification Dans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée. Vous pouvez configurer des règles de stratégie d'accès pour exiger que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Si une méthode d'authentification, ou les deux, échoue et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification configurées suivantes. Les deux scénarios suivants décrivent comment ce chaînage d'authentification peut fonctionner. n Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas à entrer les bonnes informations d'identification Kerberos. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe. n Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas entrer les bonnes informations d'identification Kerberos. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification. Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques, Conformité des périphériques avec AirWatch doit être activé sur la page du fournisseur d'identité intégré. Voir « Configurer une règle de stratégie d'accès pour la vérification de la conformité », page 149. Administration de VMware Identity Manager 88 VMware, Inc.
  • 89.
    Durée de lasession d'authentification Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour démarrer une application spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatre heures pour démarrer l'application Web sans devoir initier un autre événement d'authentification qui étend la durée. Message d'erreur d'accès refusé personnalisé Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée. Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide. Exemple de stratégie par défaut La stratégie suivante est un exemple de configuration de la stratégie par défaut pour contrôler l'accès au portail d'applications et à des applications Web auxquelles aucune stratégie spécifique n'est attribuée. Les règles de stratégie sont évaluées dans l'ordre indiqué dans la stratégie. Vous pouvez modifier l'ordre des règles en effectuant un glisser-déposer de la règle dans la section Règles de stratégie. 1 n Pour le réseau interne, deux méthodes d'authentification sont configurées pour la règle, l'authentification Kerberos et par mot de passe, comme méthode de secours. Pour accéder au portail d'applications depuis un réseau interne, le service tente d'authentifier les utilisateurs d'abord avec l'authentification Kerberos, car il s'agit de la première méthode d'authentification répertoriée dans la règle. Si cela échoue, les utilisateurs sont invités à entrer leur mot de passe Active Directory. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails utilisateur pendant une session de huit heures. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 89
  • 90.
    n Pour l'accèsdepuis le réseau externe (Toutes les plages), une seule méthode d'authentification est configurée, RSA SecurID. Pour accéder au portail d'applications depuis un réseau externe, les utilisateurs doivent se connecter avec SecurID. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails d'applications pendant une session de quatre heures. 2 Cette stratégie par défaut s'applique à toutes les applications Web et de poste de travail ne disposant pas d'une stratégie spécifique à une application. Gestion des stratégies spécifiques à une application Web et de poste de travail Lorsque vous ajoutez des applications Web et de poste de travail au catalogue, vous pouvez créer des stratégies d'accès spécifiques à une application. Par exemple, vous pouvez créer une stratégie de règles pour une application Web qui spécifie les adresses IP ayant accès à l'application, les méthodes d'authentification à utiliser et l'intervalle au terme duquel une réauthentification est requise. La stratégie spécifique à une application Web suivante fournit un exemple de stratégie que vous pouvez créer pour contrôler l'accès aux applications Web spécifiées. Exemple 1 Stratégie spécifique à une application Web stricte Dans cet exemple, une nouvelle stratégie est créée et appliquée à une application Web sensible. 1 Pour accéder au service depuis l'extérieur du réseau d'entreprise, l'utilisateur doit se connecter à l'aide de RSA SecurID. L'utilisateur se connecte via un navigateur et a maintenant accès au portail d'applications pour une session de quatre heures, comme spécifié par la règle d'accès par défaut. 2 Au bout de quatre heures, l'utilisateur tente de démarrer une application Web à laquelle la stratégie Applications Web sensibles est appliquée. 3 Le service vérifie les règles de la stratégie et applique la stratégie avec la plage réseau TOUTES LES PLAGES, car la demande de l'utilisateur provient d'un navigateur Web et de la plage réseau TOUTES LES PLAGES. Administration de VMware Identity Manager 90 VMware, Inc.
  • 91.
    L'utilisateur s'est connectéavec la méthode d'authentification RSA SecurID, mais la session vient d'expirer. L'utilisateur est redirigé pour une réauthentification. La réauthentification fournit à l'utilisateur une autre session de 4 heures et la possibilité de démarrer l'application. Pendant les quatre heures suivantes, l'utilisateur peut continuer à exécuter l'application sans devoir s'authentifier de nouveau. Exemple 2 Stratégie spécifique à une application Web plus stricte Pour qu'une règle plus stricte s'applique à des applications Web extra sensibles, vous pouvez avoir à vous authentifier de nouveau avec SecureId sur un périphérique après une heure. Voici un exemple de la mise en œuvre d'une règle d'accès de ce type de stratégie. 1 L'utilisateur se connecte depuis le réseau d'entreprise à l'aide de la méthode d'authentification Kerberos. L'utilisateur peut à présent accéder au portail d'applications pendant huit heures, comme indiqué dans l'exemple 1. 2 L'utilisateur tente immédiatement de démarrer une application Web à laquelle la règle de stratégie Exemple 2 est appliquée, ce qui nécessite une authentification RSA SecurID. 3 L'utilisateur est redirigé vers la page de connexion d'authentification RSA SecurID. 4 Une fois que l'utilisateur s'est connecté, le service lance l'application et enregistre l'événement d'authentification. L'utilisateur peut continuer à exécuter cette application pendant au moins une heure, mais doit s'authentifier de nouveau au bout d'une heure, comme l'exige la règle de stratégie. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 91
  • 92.
    Ajouter une stratégiespécifique à une application Web ou de poste de travail Vous pouvez créer des stratégies spécifiques à une application pour gérer l'accès des utilisateurs à des applications Web et de poste de travail spécifiques. Prérequis n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plage réseau », page 83. n Configurez les méthodes d'authentification adaptées à votre déploiement. Voir Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. n Si vous prévoyez de modifier la stratégie par défaut (pour contrôler globalement l'accès de l'utilisateur au service), configurez-la avant de créer une stratégie spécifique à une application. n Ajoutez les applications Web et de poste de travail au catalogue. Au moins une application doit être répertoriée sur la page Catalogue avant de pouvoir ajouter une stratégie spécifique à une application. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur Ajouter une stratégie pour ajouter une nouvelle stratégie. 3 Ajoutez le nom et la description de la stratégie dans les zones de texte respectives. 4 Dans la section Appliquer à, cliquez sur Sélectionner et, sur la page qui s'affiche, sélectionnez les applications associées à cette stratégie. 5 Dans la section Règles de la stratégie, cliquez sur + pour ajouter une règle. La page Ajouter une règle de stratégie s'affiche. a Sélectionnez la plage réseau pour appliquer cette règle. b Sélectionnez le type de périphérique pouvant accéder aux applications pour cette règle. c Sélectionnez les méthodes d'authentification à utiliser, dans l'ordre dans lequel elles doivent être appliquées. d Spécifiez le nombre d'heures pendant lesquelles une session d'application peut être ouverte. e Cliquez sur Enregistrer. 6 Configurez des règles supplémentaires si nécessaire. 7 Cliquez sur Enregistrer. Configurer le message d'erreur d'accès refusé personnalisé Pour chaque règle de stratégie, vous pouvez créer un message d'erreur d'accès refusé personnalisé qui s'affiche lorsque des utilisateurs tentent de se connecter mais échouent, car leurs informations d'identification ne sont pas valides. Le message personnalisé peut inclure du texte et un lien vers une autre URL afin d'aider les utilisateurs à résoudre leurs problèmes. Vous pouvez utiliser jusqu'à 4 000 caractères, ce qui représente environ 650 mots. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. Administration de VMware Identity Manager 92 VMware, Inc.
  • 93.
    2 Cliquez surla stratégie d'accès à modifier. 3 Pour ouvrir la page d'une règle de stratégie, cliquez sur le nom d'authentification dans la colonne Méthode d'authentification de la règle à modifier. 4 Dans la zone de texte Message d'erreur personnalisé, saisissez le message d'erreur. 5 Pour ajouter un lien à une URL, dans la zone Texte du lien, entrez une description du lien et, dans URL du lien, entrez l'URL. Le lien s'affiche à la fin du message personnalisé. Si vous n'ajoutez pas de texte dans la zone Texte du lien mais que vous ajoutez une URL, le texte du lien qui s'affiche est Continuer. 6 Cliquez sur Enregistrer. Suivant Créez des messages d'erreur personnalisés pour d'autres règles de stratégie. Modifier une stratégie d'accès Vous pouvez modifier la stratégie d'accès par défaut pour modifier les règles de stratégie et vous pouvez modifier des stratégies spécifiques à une application afin d'ajouter ou de supprimer des applications et de modifier des règles de stratégie. Vous pouvez à tout moment supprimer une stratégie d'accès spécifique à une application. La stratégie d'accès par défaut est permanente. Vous ne pouvez pas supprimer la stratégie par défaut. Prérequis n Configurez les plages réseau adaptées à votre déploiement. Voir « Ajout ou modification d'une plage réseau », page 83. n Configurez les méthodes d'authentification adaptées à votre déploiement. Chapitre 7, « Configuration de l'authentification des utilisateurs dans VMware Identity Manager », page 59. Procédure 1 Sur l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Gérer > Stratégies. 2 Cliquez sur la stratégie pour la modifier. 3 Si cette stratégie s'applique à des applications Web ou de poste de travail, cliquez sur Modifier des applications pour ajouter ou supprimer des applications dans cette stratégie. 4 Dans la section Règles de stratégie, colonne Méthode d'authentification, sélectionnez la règle à modifier. La page Modifier une règle de stratégie s'affiche avec la configuration existante. 5 Pour configurer l'ordre d'authentification, dans le menu déroulant l'utilisateur doit ensuite s'authentifier à l'aide de la méthode suivante, sélectionnez la méthode d'authentification à appliquer en priorité. 6 (Facultatif) Pour configurer une méthode d'authentification de secours si la première authentification échoue, sélectionnez une autre méthode d'authentification activée dans le menu déroulant suivant. Vous pouvez ajouter plusieurs méthodes d'authentification de secours à une règle. 7 Cliquez sur Enregistrer et de nouveau sur Enregistrer sur la page Stratégie. La règle de stratégie modifiée prend immédiatement effet. Chapitre 8 Gestion des stratégies d'accès VMware, Inc. 93
  • 94.
    Suivant Si la stratégieest une stratégie d'accès spécifique à une application, vous pouvez également appliquer la stratégie à des applications de la page Catalogue. Voir « Ajouter une stratégie spécifique à une application Web ou de poste de travail », page 92 Activation du cookie persistant sur des périphériques mobiles Activez le cookie persistant pour activer l'authentification unique entre le navigateur du système et les applications natives ainsi que l'authentification unique entre les applications natives lorsque les applications utilisent Safari View Controller sur des périphériques iOS et Chrome Custom Tabs sur des périphériques Android. Le cookie persistant stocke les détails de session de connexion de l'utilisateur afin que les utilisateurs n'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressources gérées via VMware Identity Manager. Le délai d'expiration du cookie peut être configuré dans les règles de stratégie d'accès que vous configurez pour les périphériques iOS et Android. Remarque Les cookies sont vulnérables et sensibles au vol de cookies sur des navigateurs communs et aux attaques de script intersites. Activer le cookie persistant Le cookie persistant stocke les détails de session de connexion des utilisateurs afin que ces derniers n'aient pas besoin d'entrer de nouveau leurs informations d'identification lorsqu'ils accèdent à leurs ressources gérées depuis leurs périphériques mobiles iOS ou Android. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration > Préférences. 2 Cochez Activer le cookie persistant. 3 Cliquez sur Enregistrer. Suivant Pour régler le délai d'expiration de session du cookie persistant, modifiez la valeur de réauthentification dans les règles de stratégie d'accès pour les types de périphérique iOS et Android. Administration de VMware Identity Manager 94 VMware, Inc.
  • 95.
    Gestion des utilisateurset des groupes 9 Les utilisateurs et les groupes dans le service VMware Identity Manager sont importés depuis votre répertoire d'entreprise ou sont créés en tant qu'utilisateurs et groupes locaux dans la console d'administration de VMware Identity Manager. Dans la console d'administration, la page Utilisateurs et groupes fournit un affichage axé sur les utilisateurs et les groupes du service. Vous pouvez gérer les droits des utilisateurs et des groupes, des affiliations de groupe et des numéros de téléphone VMware Verify. Pour les utilisateurs locaux, vous pouvez également gérer les stratégies de mot de passe. Ce chapitre aborde les rubriques suivantes : n « Types d'utilisateurs et de groupes », page 95 n « À propos des noms d'utilisateur et des noms de groupe », page 96 n « Gestion des utilisateurs », page 97 n « Créer des groupes et configurer des règles de groupe », page 98 n « Modifier les règles du groupe », page 101 n « Ajouter des ressources à des groupes », page 101 n « Créer des utilisateurs locaux », page 102 n « Gestion des mots de passe », page 104 Types d'utilisateurs et de groupes Les utilisateurs dans le service VMware Identity Manager peuvent être des utilisateurs synchronisés à partir de votre annuaire d'entreprise, des utilisateurs locaux que vous provisionnez dans la console d'administration ou des utilisateurs créés avec le provisionnement juste-à-temps. Les groupes dans le service VMware Identity Manager peuvent être des groupes synchronisés à partir de votre annuaire d'entreprise et des groupes locaux que vous créez dans la console d'administration. Les utilisateurs et les groupes importés depuis votre annuaire d'entreprise sont mis à jour dans l'annuaire VMware Identity Manager en fonction du planning de synchronisation de votre serveur. Vous pouvez voir les comptes d'utilisateur et de groupe sur les pages Utilisateur et groupes. Il n'est pas possible de modifier ou de supprimer ces utilisateurs et ces groupes. Vous pouvez créer des utilisateurs et des groupes locaux. Des utilisateurs locaux sont ajoutés à un annuaire local. Vous gérez les stratégies de mappage d'attributs utilisateur local et les stratégies de mot de passe. Vous pouvez créer des groupes locaux pour gérer des droits de ressource pour des utilisateurs. VMware, Inc. 95
  • 96.
    Les utilisateurs créésavec le provisionnement juste-à-temps sont créés et mis à jour dynamiquement lorsque l'utilisateur se connecte, en fonction des assertions SAML envoyées par le fournisseur d'identité. La gestion de tous les utilisateurs est gérée via des assertions SAML. Pour utiliser le provisionnement juste-à-temps, consultez Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51. À propos des noms d'utilisateur et des noms de groupe Dans le service VMware Identity Manager, les utilisateurs et les groupes sont identifiés exclusivement par leur nom et leur domaine. Cela permet d'avoir plusieurs utilisateurs ou groupes avec le même nom dans différents domaines Active Directory. Les noms d'utilisateur et les noms de groupe doivent être uniques dans un domaine. Noms d'utilisateur Le service VMware Identity Manager permet de disposer de plusieurs utilisateurs de même nom dans différents domaines Active Directory. Les noms d'utilisateur doivent être uniques dans un domaine. Par exemple, il peut exister un utilisateur jean dans le domaine ing.exemple.com et un autre utilisateur jean dans le domaine ventes.exemple.com. Les utilisateurs sont identifiés exclusivement par leur nom d'utilisateur et leur domaine. L'attribut userName dans VMware Identity Manager est utilisé pour les noms d'utilisateur et, en général, il est mappé à l'attribut sAMAccountName dans Active Directory. L'attribut de domaine est utilisé pour les domaines et, en général, il est mappé à l'attribut canonicalName dans Active Directory. Lors de la synchronisation du répertoire, les utilisateurs portant le même nom, mais appartenant à des domaines différents sont correctement synchronisés. S'il existe un conflit de noms d'utilisateur dans un domaine, le premier utilisateur est synchronisé, et une erreur se produit pour les utilisateurs suivants portant le même nom. Remarque Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur est incorrect ou manquant, vérifiez les paramètres du domaine et synchronisez de nouveau le répertoire. Voir « Synchroniser l'annuaire pour corriger des informations de domaine », page 97. Dans la console d'administration, vous pouvez identifier les utilisateurs exclusivement par leur nom d'utilisateur et leur domaine. Par exemple : n Dans l'onglet Tableau de bord, dans la colonne Utilisateurs et groupes, les utilisateurs sont répertoriés sous la forme utilisateur (domaine). Par exemple, jean (ventes.exemple.com). n Dans l'onglet Utilisateurs et groupes sur la page Utilisateurs, la colonne DOMAINE indique le domaine auquel l'utilisateur appartient. n Les rapports contenant des informations utilisateur, tels que le rapport Droits de ressources, comportent une colonne DOMAINE. Lorsque des utilisateurs finaux se connectent au portail utilisateur, sur la page de connexion, ils sélectionnent le domaine auquel ils appartiennent. Si plusieurs utilisateurs portent le même nom, chaque utilisateur peut se connecter en utilisant le domaine approprié. Remarque Ces informations s'appliquent aux utilisateurs synchronisés depuis Active Directory. Si vous utilisez un fournisseur d'identité tiers et que vous avez configuré le provisionnement d'utilisateur juste-à- temps, voir Chapitre 6, « Provisionnement d'utilisateurs juste-à-temps », page 51 pour plus d'informations. Le provisionnement d'utilisateur juste-à-temps prend également en charge plusieurs utilisateurs avec le même nom dans des domaines différents. Administration de VMware Identity Manager 96 VMware, Inc.
  • 97.
    Noms de groupe Leservice VMware Identity Manager permet de disposer de plusieurs groupes de même nom dans différents domaines Active Directory. Les noms de groupe doivent être uniques dans un domaine. Par exemple, vous pouvez avoir un groupe appelé tousutilisateurs dans le domaine ing.exemple.com et un autre groupe appelé tousutilisateurs dans le domaine ventes.exemple.com. Les groupes sont identifiés exclusivement par leur nom et leur domaine. Lors de la synchronisation du répertoire, les groupes portant le même nom, mais appartenant à des domaines différents sont correctement synchronisés. S'il existe un conflit de noms de groupe dans un domaine, le premier groupe est synchronisé et une erreur se produit pour les groupes suivants avec le même nom. Dans l'onglet Utilisateur et groupes, sur la page Groupes de la console d'administration, des groupes Active Directory sont répertoriés selon leurs noms et leurs domaines. Cela vous permet de distinguer les groupes portant le même nom. Les groupes créés localement dans le service VMware Identity Manager sont répertoriés selon leurs noms. Le domaine est répertorié sous la forme Utilisateurs locaux. Synchroniser l'annuaire pour corriger des informations de domaine Si vous disposez d'un répertoire VMware Identity Manager dans lequel le domaine d'utilisateur est incorrect ou manquant, vous devez vérifier les paramètres du domaine et synchroniser de nouveau le répertoire. Il est nécessaire de vérifier les paramètres de domaine pour que les utilisateurs ou les groupes de même nom dans différents domaines Active Directory soient correctement synchronisés avec le répertoire VMware Identity Manager et pour que les utilisateurs puissent se connecter. Procédure 1 Dans la console d'administration, accédez à la page Identité et gestion de l'accès > Répertoires. 2 Sélectionnez le répertoire à synchroniser, puis cliquez sur Paramètres de synchronisation et sur l'onglet Attributs mappés. 3 Sur la page Attributs mappés, vérifiez que l'attribut domaine de VMware Identity Manager est mappé vers le nom d'attribut correct dans Active Directory. L'attribut domaine est en général mappé vers l'attribut canonicalName dans Active Directory. L'attribut domaine n'est pas marqué comme Obligatoire. 4 Cliquez sur Enregistrer et synchroniser pour synchroniser le répertoire. Gestion des utilisateurs La page Utilisateurs dans la console d'administration affiche des informations sur chaque utilisateur, notamment son ID, son domaine, les groupes dont il est membre, son numéro de téléphone VMware Verify et s'il est activé dans VMware Identity Manager. Sélectionnez un nom d'utilisateur pour voir des informations détaillées. Les détails incluent le profil utilisateur, les affiliations de groupe, les périphériques activés via VMware Verify et les droits de l'utilisateur. Profil utilisateur La page Profil utilisateur affiche les données personnelles associées à l'utilisateur et le rôle affecté (Utilisateur ou Administrateur). Les informations utilisateur qui se synchronisent à partir d'un répertoire externe peuvent également inclure le nom principal, le nom unique et les données ID externes. La page de profil d'un utilisateur local affiche les attributs utilisateur disponibles pour les utilisateurs dans le répertoire de l'utilisateur local. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 97
  • 98.
    Les données surla page Profil utilisateur des utilisateurs qui se synchronisent à partir de votre répertoire externe ne peuvent pas être modifiées. Vous pouvez modifier le rôle de l'utilisateur. Sur les pages de profil utilisateur local, vous pouvez modifier les informations d'attribut, désactiver l'utilisateur pour qu'il ne puisse pas se connecter et supprimer l'utilisateur. Affiliations du groupe Une liste des groupes auxquels l'utilisateur appartient s'affiche sur la page Groupes. Vous pouvez cliquer sur le nom d'un groupe pour afficher la page des détails de ce groupe. Enregistré avec VMware Verify La page VMware Verify affiche le numéro de téléphone que l'utilisateur a enregistré avec VMware Verify et les périphériques enregistrés. Vous pouvez également voir quand le compte a été utilisé pour la dernière fois. Vous pouvez supprimer le numéro de téléphone de l'utilisateur. Lorsque vous réinitialisez VMware Verify, les utilisateurs doivent entrer de nouveau leur numéro de téléphone pour se réinscrire à Verify. Voir « Supprimer le numéro de téléphone enregistré du profil d'utilisateur », page 77. Droits d'application Cliquez sur Ajouter un droit pour attribuer à un utilisateur les ressources disponibles dans votre catalogue. Ensuite, définissez la façon dont l'application est ajoutée à son portail Workspace ONE. Sélectionnez le déploiement pour qu'il soit Automatique afin que l'application s'affiche automatiquement dans le portail Workspace ONE. Sélectionnez Activé par l'utilisateur pour que l'utilisateur active l'application avant qu'elle soit ajoutée au portail Workspace ONE à partir de la collection de catalogue. Certains types de ressources disposent d'un bouton X. Vous pouvez cliquer dessus pour retirer à l'utilisateur l'accès à la ressource. Créer des groupes et configurer des règles de groupe Vous pouvez créer des groupes, ajouter des membres à des groupes et créer des règles de groupe qui vous permettent de remplir des groupes en fonction des règles que vous définissez. Utilisez les groupes pour attribuer simultanément plusieurs utilisateurs aux mêmes ressources, plutôt que d'attribuer chaque utilisateur individuellement. Un utilisateur peut appartenir à plusieurs groupes. Par exemple, si vous créez un groupe Ventes et un groupe Gestion, un représentant commercial peut appartenir aux deux groupes. Vous pouvez spécifier quels paramètres de stratégie s'appliquent aux membres d'un groupe. Les utilisateurs dans des groupes sont définis par des règles que vous définissez pour un attribut utilisateur. Si la valeur d'un attribut d'un utilisateur change de la valeur de règle de groupe définie, l'utilisateur est supprimé du groupe. Procédure 1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Groupes. 2 Cliquez sur Ajouter un groupe. 3 Entrez le nom du groupe et sa description. Cliquez sur Suivant. 4 Pour ajouter des utilisateurs au groupe, entrez les lettres du nom d'utilisateur. Lorsque vous tapez le texte, une liste de noms qui correspondent s'affiche. 5 Sélectionnez le nom d'utilisateur et cliquez sur +Ajouter un utilisateur. Continuez à ajouter des membres au groupe. Administration de VMware Identity Manager 98 VMware, Inc.
  • 99.
    6 Une foisles utilisateurs ajoutés au groupe, cliquez sur Suivant. 7 Sur la page Règles de groupe, sélectionnez comment l'appartenance au groupe doit être accordée. Dans le menu déroulant, sélectionnez indifférent ou tous. Option Action Indifférent Accorde l'appartenance au groupe lorsque l'une des conditions d'appartenance au groupe est satisfaite. Cette action fonctionne comme une condition OU. Par exemple, si vous sélectionnez Indifférent pour les règles Groupe Est Ventes et Groupe Est Marketing, le personnel des Ventes et du Marketing devient membre de ce groupe. Tous Accorde l'appartenance au groupe lorsque toutes les conditions d'appartenance au groupe sont satisfaites. L'utilisation de Tous fonctionne comme une condition ET. Par exemple, si vous sélectionnez Tous les éléments suivants pour les règles Groupe Est Ventes et E-mail Commence par 'région_ouest', seul le personnel des ventes dans la région Ouest devient membre de ce groupe. Le personnel des ventes des autres régions ne devient pas membre. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 99
  • 100.
    8 Configurez uneou plusieurs règles pour votre groupe. Vous pouvez imbriquer des règles. Option Description Attribut Sélectionnez l'un de ces attributs dans le menu déroulant de la première colonne. Sélectionnez Groupe pour ajouter un groupe existant au groupe que vous créez. Vous pouvez ajouter d'autres types d'attribut pour gérer quels utilisateurs dans les groupes sont membres du groupe que vous créez. Règles d'attributs Les règles suivantes sont disponibles selon l'attribut que vous avez sélectionné. n Sélectionnez est pour choisir un groupe ou un répertoire à associer à ce groupe. Entrez un nom dans la zone de texte. Pendant que vous tapez, une liste des groupes ou des répertoires disponibles s'affiche. n Sélectionnez n'est pas pour choisir un groupe ou un répertoire à exclure. Entrez un nom dans la zone de texte. Pendant que vous tapez, une liste des groupes ou des répertoires disponibles s'affiche. n Sélectionnez correspond à pour accorder l'appartenance au groupe aux entrées qui correspondent exactement au critère que vous avez saisi. Par exemple, votre organisation pourrait avoir un département de voyages d'affaires qui partage un numéro de central téléphonique. Si vous voulez accorder l'accès à une application de réservation de voyages à tous les employés qui partagent le même numéro de téléphone, vous créez une règle telle que Téléphone correspond à (555) 555-1000. n Sélectionnez ne correspond pas à pour accorder l'appartenance au groupe à toutes les entrées du serveur d'annuaire, à l'exception de celles qui correspondent au critère que vous avez entré. Par exemple, si l'un de vos départements partage un numéro de central téléphonique, vous pouvez exclure ce département de l'accès à une application de réseau social en créant une règle telle que Téléphone ne correspond pas à (555) 555-2000. Les entrées du serveur d'annuaire avec d'autres numéros de téléphone ont accès à l'application. n Sélectionnez commence par pour accorder l'appartenance au groupe aux entrées du serveur d'annuaire qui commencent par le critère que vous avez entré. Par exemple, les adresses e-mail de l'organisation peuvent commencer par le nom du département, comme ventes_nomutilisateur@exemple.com. Si vous voulez accorder l'accès à une application à tous les membres de l'équipe des ventes, vous pouvez créer une règle, telle que E-mail commence par ventes_. n Sélectionnez ne commence pas par pour accorder l'appartenance au groupe à toutes les entrées du serveur d'annuaire, à l'exception de celles qui commencent par le critère que vous avez entré. Par exemple, si les adresses e-mail de votre département des ressources humaines sont au format rh_nomutilisateur@exemple.com, vous pouvez refuser l'accès à une application en créant une règle telle que E-mail ne commence pas par rh_. Les entrées du serveur de dossiers comportant d'autres adresses e-mail ont accès à l'application. Utilisation de l'attribut Indifférent ou Tous (Facultatif) Pour inclure les attributs Indifférent ou Tous dans le cadre de la règle de groupe, ajoutez cette règle en dernier. n Sélectionnez Indifférent pour l'appartenance au groupe à accorder lorsque l'une des conditions d'appartenance au groupe est satisfaite pour cette règle. L'utilisation de Indifférent permet d'imbriquer des règles. Par exemple, vous pouvez créer une règle qui stipule Tous les éléments suivants : Groupe est ventes ; Groupe est Californie. Pour Groupe est Californie, tous les éléments suivants : téléphone commence par 415 ; téléphone commence par 510. Le membre du groupe doit appartenir à votre équipe des Ventes en Californie et disposer d'un numéro de téléphone qui commence par 415 ou 510. n Sélectionnez Tous pour toutes les conditions à satisfaire pour cette règle. Il est possible d'imbriquer les règles. Par exemple, vous pouvez créer une règle qui stipule L'un des éléments suivants : Groupe Est Gestionnaires ; Groupe Est Service Client. Pour Groupe est service Client, tous les éléments suivants : E-mail commence par sc_ ; Administration de VMware Identity Manager 100 VMware, Inc.
  • 101.
    Option Description téléphone commencepar 555. Les membres du groupe peuvent être gestionnaires ou représentants du service client, mais les représentants du service client doivent disposer d'une adresse e-mail qui commence par sc et d'un numéro de téléphone qui commence par 555. 9 (Facultatif) Pour exclure des utilisateurs spécifiques, entrez un nom d'utilisateur dans la zone de texte et cliquez sur Exclure un utilisateur. 10 Cliquez sur Suivant et examinez les informations de groupe. Cliquez sur Créer un groupe. Suivant Ajoutez les ressources que le groupe a le droit d'utiliser. Modifier les règles du groupe Vous pouvez modifier des règles de groupe afin de modifier le nom du groupe, ajouter et supprimer des utilisateurs. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes. 2 Cliquez sur le nom du groupe à modifier. 3 Cliquez sur Modifier les utilisateurs du groupe. 4 Cliquez sur les pages pour modifier le nom, les utilisateurs dans le groupe et les règles. 5 Cliquez sur Enregistrer. Ajouter des ressources à des groupes La façon la plus efficace d'autoriser des utilisateurs à accéder à des ressources consiste à ajouter les droits à un groupe. Tous les membres du groupe peuvent accéder aux applications octroyées au groupe. Prérequis Des applications sont ajoutées à la page Catalogue. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes > Groupes. La page affiche une liste des groupes. 2 Pour ajouter des ressources à un groupe, cliquez sur le nom du groupe. 3 Cliquez sur l'onglet Applications, puis sur Ajouter un droit. 4 Sélectionnez le type d'application à octroyer dans le menu déroulant. Les types d'applications indiqués dans le menu déroulant se basent sur les types d'applications ajoutés au catalogue. 5 Sélectionnez les applications à octroyer au groupe. Vous pouvez rechercher une application spécifique ou cocher la case à côté de Applications pour sélectionner toutes les applications affichées. Si une application est déjà octroyée au groupe, elle n'est pas répertoriée. 6 Cliquez sur Enregistrer. Les applications sont répertoriées sur la page Applications et les utilisateurs dans le groupe sont immédiatement autorisés à accéder aux ressources. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 101
  • 102.
    Créer des utilisateurslocaux Vous pouvez créer des utilisateurs locaux dans le service VMware Identity Manager pour ajouter et gérer des utilisateurs qui ne sont pas provisionnés dans votre répertoire d'entreprise. Vous pouvez créer différents répertoires locaux et personnaliser le mappage d'attribut pour chaque répertoire. Vous créez un répertoire, sélectionnez des attributs et créez des attributs personnalisés pour ce répertoire local. Les attributs utilisateur requis userName, lastName, firstName et email sont spécifiés au niveau global sur la page Identité et gestion de l'accès > Attributs utilisateur. Dans la liste d'attributs utilisateur de répertoire local, vous pouvez sélectionner d'autres attributs requis et créer des attributs personnalisés pour avoir des ensembles d'attributs personnalisés pour différents répertoires locaux. Consultez Utilisation de répertoires locaux dans le guide Installation et configuration de VMware Identity Manager. Créez des utilisateurs locaux lorsque vous voulez autoriser des utilisateurs à accéder à vos applications, mais que vous ne voulez pas les ajouter à votre répertoire d'entreprise. n Vous pouvez créer un répertoire local pour un type spécifique d'utilisateur qui ne fait pas partie de votre répertoire d'entreprise. Par exemple, vous pouvez créer un répertoire local pour des partenaires, qui ne font normalement pas partie de votre répertoire d'entreprise, et leur fournir l'accès uniquement aux applications spécifiques dont ils ont besoin. n Vous pouvez créer plusieurs répertoires locaux si vous voulez différents attributs utilisateur ou méthodes d'authentification pour différents groupes d'utilisateurs. Par exemple, vous pouvez créer un répertoire local pour des distributeurs disposant d'attributs utilisateur avec les étiquettes région et taille de marché. Vous créez un autre répertoire local pour les fournisseurs disposant d'un attribut utilisateur avec l'étiquette catégorie de produit. Vous configurez la méthode d'authentification que les utilisateurs locaux utilisent pour se connecter à votre site Web d'entreprise. Une stratégie de mot de passe est appliquée pour le mot de passe d'utilisateur local. Vous pouvez définir des restrictions de mot de passe et des règles de gestion du mot de passe. Lorsque vous avez provisionné un utilisateur, un e-mail est envoyé à cet utilisateur avec la procédure de connexion pour lui permettre d'activer son compte. Lorsqu'il se connecte, il crée un mot de passe et son compte est activé. Ajouter des utilisateurs locaux Vous créez un utilisateur à la fois. Lorsque vous ajoutez l'utilisateur, vous sélectionnez le répertoire local configuré avec les attributs de l'utilisateur local à utiliser et le domaine auquel l'utilisateur se connecte. Outre l'ajout des informations utilisateur, vous sélectionnez son rôle, utilisateur ou administrateur. Le rôle d'administrateur permet à l'utilisateur d'accéder à la console d'administration pour gérer les services VMware Identity Manager. Prérequis n Répertoire local créé n Domaine identifié pour les utilisateurs locaux n Attributs utilisateur devant être sélectionnés sur la page Attributs utilisateur du répertoire local n Stratégies de mot de passe configurées n Serveur SMTP configuré dans l'onglet Paramètres du dispositif pour envoyer une notification par e-mail aux utilisateurs locaux nouvellement créés Procédure 1 Dans l'onglet Utilisateurs et groupes de la console d'administration, cliquez sur Ajouter un utilisateur. Administration de VMware Identity Manager 102 VMware, Inc.
  • 103.
    2 Sur lapage Ajouter un utilisateur, sélectionnez le répertoire local pour cet utilisateur. La page se développe pour afficher les attributs utilisateur à configurer. 3 Sélectionnez le domaine auquel est attribué cet utilisateur et renseignez les informations utilisateur requises. 4 Si ce rôle d'utilisateur est administrateur, dans la zone de texte Utilisateur, sélectionnez Administrateur. 5 Cliquez sur Ajouter. L'utilisateur local est créé. Un e-mail est envoyé à l'utilisateur pour lui demander de se connecter afin d'activer son compte et de créer un mot de passe. Le lien dans l'e-mail expire selon la valeur définie sur la page Stratégie de mot de passe. La valeur par défaut est sept jours. Si le lien expire, vous pouvez cliquer sur Réinitialiser le mot de passe pour renvoyer la notification par e-mail. Un utilisateur est ajouté à des groupes existants en fonction des règles d'attribut de groupe configurées. Suivant Accédez au compte d'utilisateur local pour examiner le profil, ajouter l'utilisateur à des groupes et autoriser l'utilisateur à accéder aux ressources à utiliser. Si vous avez créé un utilisateur administrateur dans le répertoire système qui est autorisé à accéder à des ressources gérées par une stratégie d'accès spécifique, vérifiez que les règles de stratégie d'application incluent Mot de passe (répertoire local) comme méthode d'authentification de secours. Si Mot de passe (répertoire local) n'est pas configuré, l'administrateur ne peut pas se connecter à l'application. Désactiver ou activer des utilisateurs locaux Vous pouvez désactiver des utilisateurs locaux pour les empêcher de se connecter et d'accéder à leur portail et à des ressources autorisées au lieu de les supprimer. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sur la page Utilisateurs, sélectionnez l'utilisateur. La page Profil d'utilisateur s'affiche. 3 En fonction de l'état de l'utilisateur local, effectuez l'une des actions suivantes. a Pour désactiver le compte, décochez la case Activer. b Pour activer le compte, sélectionnez Activer. Les utilisateurs désactivés ne peuvent pas se connecter au portail ou aux ressources qui leur étaient attribuées. S'ils travaillent dans une ressource autorisée lorsque l'utilisateur local est désactivé, ce dernier peut accéder aux ressources jusqu'à expiration de la session. Supprimer des utilisateurs locaux Vous pouvez supprimer des utilisateurs locaux. Procédure 1 Dans la console d'administration, cliquez sur Utilisateurs et groupes. 2 Sélectionnez l'utilisateur à supprimer. La page Profil d'utilisateur s'affiche. 3 Cliquez sur Supprimer l'utilisateur. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 103
  • 104.
    4 Dans lafenêtre de confirmation, cliquez sur OK. L'utilisateur est supprimé de la liste Utilisateurs. Les utilisateurs supprimés ne peuvent pas se connecter au portail ou aux ressources qui leur étaient attribuées. Gestion des mots de passe Vous pouvez créer une stratégie de mot de passe pour gérer des mots de passe d'utilisateur local. Les utilisateurs locaux peuvent modifier leur mot de passe en fonction des règles de stratégie de mot de passe. Les utilisateurs locaux peuvent modifier leur mot de passe dans le portail Workspace ONE, en sélectionnant Compte dans le menu déroulant à côté de leur nom. Configurer une stratégie de mot de passe pour des utilisateurs locaux La stratégie de mot de passe d'utilisateurs locaux est un ensemble de règles et de restrictions sur le format et l'expiration des mots de passe d'utilisateurs locaux. La stratégie de mot de passe s'applique uniquement aux utilisateurs locaux que vous avez créés à partir de la console d'administration de VMware Identity Manager. La stratégie de mot de passe peut inclure des restrictions de mot de passe, la durée de vie maximale d'un mot de passe et, pour les réinitialisations de mot de passe, la durée de vie maximale du mot de passe temporaire. La stratégie de mot de passe par défaut requiert six caractères. Les restrictions de mot de passe peuvent inclure une combinaison de caractères en majuscule, en minuscule, numériques et spéciaux pour définir des mots de passe forts. Procédure 1 Dans la console d'administration, sélectionnez Utilisateurs et groupes > Paramètres. 2 Cliquez sur Stratégie de mot de passe pour modifier les paramètres de restriction de mot de passe. Option Description Longueur minimale des mots de passe La longueur minimale est de six caractères, mais vous pouvez exiger un nombre supérieur. La longueur minimale ne doit pas être inférieure au minimum combiné des exigences de caractères alphabétiques, numériques et spéciaux. Caractères minuscules Nombre minimal de caractères en minuscule. Minuscules a-z Caractères majuscules Nombre minimal de caractères en majuscule. Majuscules A-Z Caractères numériques (0 à 9) Nombre minimal de caractères numériques. Chiffres (0-9) Caractères spéciaux Nombre minimal de caractères non alphanumériques, par exemple & # % $ ! Caractères identiques consécutifs Nombre maximal de caractères identiques consécutifs. Par exemple, si vous entrez 1, le mot de passe p@s$word est autorisé, mais pas p@$$word. Historique des mots de passe Nombre de mots de passe précédents qui ne peuvent être sélectionnés. Par exemple, si un utilisateur ne peut réutiliser aucun des six derniers mots de passe, tapez « 6 ». Pour désactiver cette fonctionnalité, définissez la valeur sur 0. Administration de VMware Identity Manager 104 VMware, Inc.
  • 105.
    3 Dans lasection Gestion des mots de passe, modifiez les paramètres de durée de vie des mots de passe. Option Description Durée du mot de passe temporaire Nombre d'heures pendant lesquelles un lien de mot de passe oublié ou de réinitialisation de mot de passe est valide. La valeur par défaut est de 168 heures. Durée de vie du mot de passe Nombre maximal de jours d'existence d'un mot de passe au terme duquel l'utilisateur doit le changer. Rappel de mot de passe Nombre de jours pour l'envoi de la notification d'expiration du mot de passe avant l'expiration d'un mot de passe. Fréquence de notification des rappels de mot de passe Une fois la première notification d'expiration de mot de passe envoyée, fréquence à laquelle les rappels sont envoyés. Chaque case doit contenir une valeur pour configurer la stratégie de durée de vie du mot de passe. Pour ne pas définir d'option de stratégie, entrez 0. 4 Cliquez sur Enregistrer. Chapitre 9 Gestion des utilisateurs et des groupes VMware, Inc. 105
  • 106.
    Administration de VMwareIdentity Manager 106 VMware, Inc.
  • 107.
    Gestion du catalogue10 Votre catalogue est le référentiel de toutes les ressources que vous pouvez attribuer aux utilisateurs. Vous ajoutez des applications au catalogue directement depuis l'onglet Catalogue. Pour voir les applications ajoutées au catalogue, cliquez sur l'onglet Catalogue dans la console d'administration. Sur la page Catalogue, vous pouvez effectuer les tâches suivantes : n Ajouter de nouvelles ressources à votre catalogue. n Visualiser les ressources auxquelles vous pouvez actuellement attribuer des utilisateurs. n Accéder aux informations sur chaque ressource de votre catalogue. Les applications Web peuvent être ajoutées directement dans votre catalogue depuis la page Catalogue. D'autres types de ressources nécessitent une action de votre part en dehors de console d'administration. Pour plus d'informations sur la configuration des ressources, reportez-vous à Configuration des ressources dans VMware Identity Manager. Ressource Comment voir la ressource dans votre catalogue Application Web Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications Web. Application Windows virtualisée capturée en tant que module ThinApp Synchronisez les packages ThinApp avec votre catalogue à partir de console d'administration, page Applications packagées - ThinApp. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Modules ThinApp. Pool de postes de travail View Synchronisez les pools View avec votre catalogue à partir de console d'administration, page Pools View. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Pools de postes de travail View. Applications hébergées View Synchronisez les applications View hébergées avec votre catalogue à partir de console d'administration, page Pools View. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications hébergées View. Application Citrix Synchronisez les applications Citrix avec votre catalogue à partir de console d'administration, page Applications packagées - Citrix. Sur la page Catalogue de la console d'administration, sélectionnez le type d'application Applications publiées Citrix. Ce chapitre aborde les rubriques suivantes : n « Gestion des ressources dans le catalogue », page 108 n « Groupement des ressources en catégories », page 111 n « Gestion des paramètres du catalogue », page 113 VMware, Inc. 107
  • 108.
    Gestion des ressourcesdans le catalogue Avant de pouvoir attribuer une ressource particulière à vos utilisateurs, vous devez doter votre catalogue de cette ressource. La méthode utilisée pour doter votre catalogue d'une ressource dépend du type de cette ressource. Les types de ressources que vous pouvez définir dans votre catalogue pour l'octroi et la distribution aux utilisateurs sont les applications Web, les applications Windows capturées sous forme de modules VMware ThinApp, les pools de poste de travail Horizon View et les applications hébergées View, ou les applications Citrix. Pour intégrer et activer des pools de postes de travail et d'applications View, des ressources publiées Citrix ou des applications packagées ThinApp, vous utilisez le menu Gérer des applications de poste de travail dans l'onglet Catalogue. Pour obtenir plus d'informations et connaître les exigences, l'installation et la configuration de ces ressources, reportez-vous à la section Configuration des ressources dans VMware Identity Manager. Applications web Vous pouvez doter votre catalogue d'applications Web directement sur la page Catalogue de la console d'administration. Lorsque vous cliquez sur une application Web affichée sur la page Catalogue, les informations sur cette application s'affichent. Depuis la page qui s'affiche, vous pouvez configurer l'application Web, par exemple fournir les attributs SAML appropriés pour configurer une connexion Single Sign-On entre VMware Identity Manager et l'application Web ciblée. Lorsque l'application Web est configurée, vous pouvez alors lui attribuer des utilisateurs et des groupes. Voir « Ajout d'applications Web dans votre catalogue », page 108. Ajout d'applications Web dans votre catalogue Vous pouvez directement ajouter des applications Web dans votre catalogue à l'aide de la page Catalogue de la console d'administration. Reportez-vous à la section Configuration des ressources dans VMware Identity Manager, chapitre Fourniture d'un accès aux applications Web, pour obtenir des instructions détaillées sur l'ajout d'une application Web à votre catalogue. Les instructions suivantes fournissent un aperçu des étapes impliquées dans l'ajout de ces types de ressources à votre catalogue. Administration de VMware Identity Manager 108 VMware, Inc.
  • 109.
    Procédure 1 Dans laconsole d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur + Ajouter une application. 3 Cliquez sur une option en fonction du type de ressource et de l'emplacement de l'application. Nom du lien Type de ressource Description Applications Web ...du catalogue d'applications Cloud Application Web VMware Identity Manager inclut l'accès aux applications Web par défaut, disponibles dans le catalogue d'applications Cloud et que vous pouvez ajouter à votre catalogue en tant que ressources. Application Web ... créer un nouvel enregistrement Application Web En renseignant le formulaire approprié, vous pouvez créer un enregistrement d'application pour les applications Web que vous voulez ajouter à votre catalogue en tant que ressources. Application Web ... importer un fichier ZIP ou JAR Application Web Vous pouvez importer une application Web précédemment configurée. Vous pouvez utiliser cette méthode pour effectuer un déploiement, depuis l'environnement de test jusqu'à la production. Dans une telle situation, vous pouvez exporter une application Web depuis le déploiement de l'environnement de test sous forme de fichier ZIP. Vous pouvez ensuite importer le fichier ZIP dans le déploiement de production. 4 Suivez les invites à l'écran pour finir l'ajout des ressources au catalogue. Ajouter des applications Web à votre catalogue Lorsque vous ajoutez une application Web au catalogue, vous créez une entrée qui pointe indirectement vers cette application. L'entrée est définie par l'enregistrement d'application, qui est un formulaire incluant une URL vers l'application Web. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur Ajouter une application > Application Web ...à partir du catalogue d'applications Cloud. 3 Cliquez sur l'icône de l'application Web que vous voulez ajouter. L'enregistrement d'application est ajouté à votre catalogue et la page Détails de l'enregistrement s'affiche, le nom et le profil d'authentification étant déjà spécifiés. 4 (Facultatif) Personnalisez les informations de la page Détails en fonction des besoins de votre organisation. Les éléments sur la page sont remplis avec des informations spécifiques de l'application Web. Vous pouvez modifier certains éléments, selon l'application. Élément de formulaire Description Nom Le nom de l'application. Description Une description de l'application que les utilisateurs peuvent lire. Icône Cliquez sur Parcourir pour télécharger une icône pour l'application. Les icônes aux formats de fichier PNG, JPG et ICON d'une taille maximale de 4 Mo sont prises en charge. Les icônes téléchargées sont redimensionnées à 80 px x 80 px. Pour éviter toute distorsion, envoyez des icônes dont la hauteur et la largeur sont égales et aussi proches que possible des dimensions de 80 px X 80 px. Chapitre 10 Gestion du catalogue VMware, Inc. 109
  • 110.
    Élément de formulaire Description CatégoriesPour permettre à une application d'être incluse dans une recherche de ressources de catalogue par catégorie, sélectionnez une catégorie dans le menu déroulant. Vous devez avoir déjà créé la catégorie. 5 Cliquez sur Enregistrer. 6 Cliquez sur Configuration, modifiez les détails de la configuration de l'enregistrement d'application, puis cliquez sur Enregistrer. Certains des éléments du formulaire sont pré-renseignés avec des informations spécifiques de l'application Web. Certains des éléments pré-renseignés sont modifiables, d'autres ne le sont pas. Les informations demandées varient d'une application à l'autre. Pour certaines applications, le formulaire dispose d'une section Paramètres de l'application. Si cette section existe pour une application et qu'un paramètre dans la section ne comporte pas de valeur par défaut, fournissez une valeur pour permettre à l'application de se lancer. Si une valeur par défaut est fournie, vous pouvez modifier cette valeur. 7 Sélectionnez les onglets Droits, Licences et Provisionnement, puis personnalisez les informations de manière appropriée. Onglet Description Droits Attribuez l'application à des utilisateurs et des groupes. Vous pouvez configurer des droits lors de la configuration initiale de l'application ou ultérieurement. Stratégies d'accès Appliquez une stratégie d'accès pour contrôler l'accès de l'utilisateur à l'application. Gestion des licences Configurez le suivi d'approbation. Ajoutez des informations de licence pour l'application afin de suivre l'utilisation des licences dans des rapports. Les approbations doivent être activées et configurées sur la page Catalogue > Paramètres. Vous devez également enregistrer l'URI de rappel du gestionnaire de demande d'approbation. Provisionnement Provisionnez une application Web pour extraire des informations spécifiques du service VMware Identity Manager. Si le provisionnement est configuré pour une application Web, lorsque vous autorisez un utilisateur à accéder à l'application, l'utilisateur est provisionné dans l'application Web. Actuellement, un adaptateur de provisionnement est disponible pour Google Apps et Office 365. Accédez à Intégrations de VMware Identity Manager à l'adresse https://www.vmware.com/support/pubs/vidm_webapp_sso.html pour voir les guides de configuration de ces applications. Ajout de postes de travail et d'applications hébergées View Vous dotez votre catalogue de pools de postes de travail View et d'applications hébergées View et vous intégrez votre déploiement de VMware Identity Manager à Horizon View. Lorsque vous cliquez sur Application View dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Pools View. Sélectionnez Activer les pools View pour ajouter des espaces View, effectuer une synchronisation d'annuaire pour View et configurer le type de déploiement que le service utilise pour étendre les droits des ressources View à des utilisateurs. Après avoir effectué ces tâches, les postes de travail et les applications hébergées View que vous avez attribués aux utilisateurs avec Horizon View sont disponibles sous forme de ressources dans votre catalogue. Vous pouvez revenir à la page à tout moment pour modifier la configuration de View ou pour ajouter ou supprimer des espaces View. Pour voir des informations détaillées sur l'intégration de View avec VMware Identity Manager, consultez le chapitre Fourniture de l'accès aux pools de postes de travail View dans le guide Configuration des ressources. Administration de VMware Identity Manager 110 VMware, Inc.
  • 111.
    Ajout d'applications publiéesCitrix Vous pouvez utiliser VMware Identity Manager pour l'intégrer à des déploiements Citrix existants, puis doter votre catalogue d'applications Citrix. Lorsque vous cliquez sur Application publiée Citrix dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Applications publiées - Citrix. Sélectionnez Applications Citrix pour établir la communication et programmer la fréquence de synchronisation entre VMware Identity Manager et la batterie de serveurs Citrix. Pour voir des informations détaillées sur l'intégration d'applications publiées Citrix avec VMware Identity Manager, consultez le chapitre Fourniture d'un accès à des ressources publiées Citrix dans le guide Configuration des ressources. Ajout d'applications ThinApp Avec VMware Identity Manager, vous pouvez distribuer et gérer de façon centralisée des modules ThinApp. Vous devez activer VMware Identity Manager pour qu'il localise le référentiel qui stocke les modules ThinApp et synchronise les modules avec VMware Identity Manager. Pour doter le catalogue d'applications Windows capturées sous forme de modules ThinApp, procédez comme suit. 1 Si les modules ThinApp auxquels vous souhaitez donner accès aux utilisateurs n'existent pas déjà, créez des modules ThinApp compatibles avec VMware Identity Manager. Voir la documentation de VMware ThinApp. 2 Créez un partage réseau et insérez-y les modules ThinApp compatibles. 3 Configurez VMware Identity Manager afin de l'intégrer aux modules sur le partage réseau. Lorsque vous cliquez sur Application ThinApp dans le menu Catalogue > Gérer des applications de poste de travail, vous êtes redirigé vers la page Applications packagées - ThinApp. Sélectionnez Activer les applications packagées. Entrez l'emplacement du référentiel ThinApp et configurez la fréquence de synchronisation. Une fois ces tâches effectuées, les modules ThinApp que vous avez ajoutés au partage réseau sont maintenant disponibles en tant que ressources dans votre catalogue. Pour voir des informations détaillées sur la configuration de VMware Identity Manager afin qu'il distribue et gère des modules ThinApp, consultez le chapitre Fournir l'accès aux modules VMware ThinApp dans le guide Configuration des ressources. Groupement des ressources en catégories Il est possible d'organiser les ressources en catégories logiques, afin que les utilisateurs puissent localiser facilement la ressource dont ils ont besoin dans l'espace de travail du portail Workspace ONE. Lorsque vous créez des catégories, tenez compte de la structure de votre organisation, de la fonction des ressources et du type de ressource. Une ressource peut correspondre à plusieurs catégories. Par exemple, vous pouvez créer une catégorie appelée Éditeur de texte et une autre appelée Ressources recommandées. Attribuez ensuite tous les éditeurs de texte à la catégorie Éditeur de texte. Attribuez également celui que vous préférez que les utilisateurs utilisent à la catégorie Ressources recommandées. Chapitre 10 Gestion du catalogue VMware, Inc. 111
  • 112.
    Créer une catégoriede ressources Vous pouvez créer une catégorie de ressources sans l'appliquer immédiatement, ou vous pouvez créer et appliquer une catégorie sur une ressource simultanément. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Pour créer et appliquer des catégories simultanément, cochez les cases des applications auxquelles appliquer la nouvelle catégorie. 3 Cliquez sur Catégories. 4 Entrez le nom de la nouvelle catégorie dans la zone de texte. 5 Cliquez sur Ajouter une catégorie.... Une nouvelle catégorie est créée mais n'est appliquée à aucune ressource. 6 Pour appliquer la catégorie aux ressources sélectionnées, cochez la case du nom de la nouvelle catégorie. Cette catégorie est ajoutée à l'application et répertoriée dans la colonne Catégories. Suivant Appliquez la catégorie à d'autres applications. Voir « Appliquer une catégorie à des ressources », page 112. Appliquer une catégorie à des ressources Une fois que vous avez créé une catégorie, vous pouvez l'appliquer à toute ressource du catalogue. Il est possible d'appliquer plusieurs catégories à une même ressource. Prérequis Créez une catégorie. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cochez les cases de toutes les applications auxquelles appliquer la catégorie. 3 Cliquez sur Catégories et sélectionnez le nom de la catégorie à appliquer. La catégorie est appliquée aux applications sélectionnées. Retirer une catégorie d'une application Il est possible de dissocier une catégorie d'une application. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cochez les cases des applications à supprimer d'une catégorie. 3 Cliquez sur Catégories. Les catégories appliquées aux applications sont cochées. 4 Désélectionnez la catégorie à dissocier de l'application et fermez le menu. La catégorie est supprimée de la liste Catégories de l'application. Administration de VMware Identity Manager 112 VMware, Inc.
  • 113.
    Supprimer une catégorie Vouspouvez supprimer une catégorie du catalogue de façon permanente. Procédure 1 Dans la console d'administration, cliquez sur l'onglet Catalogue. 2 Cliquez sur Catégories. 3 Survolez la catégorie à supprimer. Un x s'affiche. Cliquez sur le x. 4 Cliquez sur OK pour supprimer la catégorie. La catégorie ne figure plus dans le menu déroulant Catégories ou sous la forme d'une étiquette dans toutes les applications auxquelles vous l'aviez précédemment appliquée. Gestion des paramètres du catalogue La page Paramètres du catalogue peut être utilisée pour gérer des ressources dans le catalogue, télécharger un certificat SAML, personnaliser le portail utilisateur et définir des paramètres globaux. Téléchargement des certificats SAML à configurer avec des applications de confiance Lorsque vous configurez des applications Web, vous devez copier les certificats de signature SAML de votre organisation et les envoyer aux applications de confiance afin qu'elles puissent accepter les connexions d'utilisateur à partir du service. Le certificat SAML est utilisé pour authentifier les connexions d'utilisateur du service sur des applications de confiance comme WebEx ou Google Apps. Vous devez copier le certificat de signature SAML et les métadonnées du fournisseur de services SAML à partir du service et modifier l'assertion SAML dans le fournisseur d'identité tiers pour mapper les utilisateurs de VMware Identity Manager. Procédure 1 Connectez-vous à la console d'administration. 2 Dans l'onglet Catalogue, sélectionnez Paramètres > Métadonnées SAML. 3 Copiez et enregistrez le certificat de signature SAML qui s'affiche. a Copiez les informations du certificat qui se trouve dans la section Certificat de signature. b Enregistrez les informations du certificat dans un fichier texte en vue d'une utilisation ultérieure, lors de la configuration de l'instance de fournisseur d'identité tiers. 4 Rendez les métadonnées SAML du fournisseur de services (SP) disponibles à l'instance de fournisseur d'identité tiers. a Dans la page Télécharger un certificat SAML, cliquez sur Métadonnées du fournisseur de services (SP). b Copiez et enregistrez les informations affichées en utilisant la méthode convenant le mieux à votre organisation. Utilisez ces informations copiées ultérieurement, lors de la configuration du fournisseur d'identité tiers. Chapitre 10 Gestion du catalogue VMware, Inc. 113
  • 114.
    5 Déterminez lemappage utilisateur de l'instance de fournisseur d'identité tiers à VMware Identity Manager. Lorsque vous configurez le fournisseur d'identité tiers, modifiez l'assertion SAML dans le fournisseur d'identité tiers pour mapper des utilisateurs VMware Identity Manager. Format NameID Mappage d'utilisateurs urn:oasis:names:tc:SAML: 1.1:nameid-format:emailAddress La valeur NameID dans l'assertion SAML est mappée à l'attribut d'adresse e-mail dans VMware Identity Manager. urn:oasis:names:tc:SAML: 1.1:nameid-format:unspecified La valeur NameID dans l'assertion SAML est mappée à l'attribut username dans VMware Identity Manager. Suivant Appliquez les informations que vous avez copiées pour cette tâche afin de configurer l'instance de fournisseur d'identité tiers. Désactiver l'invite pour télécharger des applications auxiliaires Les postes de travail View, les applications publiées Citrix et les ressources ThinApp requièrent que les applications auxiliaires suivantes soient installées sur les ordinateurs ou les périphériques des utilisateurs. n Les postes de travail View utilisent Horizon Client. n Les applications publiées Citrix requièrent Citrix Receiver. n Les ressources ThinApp requièrent VMware Identity Manager pour postes de travail. Il est demandé aux utilisateurs de télécharger des applications auxiliaires sur leur poste de travail ou leur périphérique la première fois qu'ils lancent des applications depuis ces types de ressources. Vous pouvez complètement désactiver l'affichage de cette invite à chaque lancement de la ressource sur la page Catalogue > Paramètres > Paramètres globaux. La désactivation de l'invite est une bonne option lorsque des ordinateurs ou des périphériques sont gérés, et que vous savez que les applications auxiliaires se trouvent sur l'image locale de l'utilisateur. Procédure 1 Dans la console d'administration, sélectionnez Catalogue > Paramètres. 2 Sélectionnez Paramètres globaux. 3 Sélectionnez les systèmes d'exploitation qui ne doivent pas demander le lancement des applications auxiliaires. 4 Cliquez sur Enregistrer. Création de clients pour activer l'accès à des applications distantes Vous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec VMware Identity Manager afin d'autoriser un accès utilisateur à une application spécifique sur la page Catalogue > Paramètres de la console d'administration. Le SDK utilise l'authentification OAuth pour se connecter à VMware Identity Manager. Vous devez créer une valeur d'ID de client et une valeur clientSecret dans la console d'administration. Administration de VMware Identity Manager 114 VMware, Inc.
  • 115.
    Créer un accèsà distance à une ressource de catalogue Vous pouvez créer un client pour permettre à une application spécifique de s'enregistrer avec les services VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique. Procédure 1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Accès à distance aux applications. 2 Sur la page Clients, cliquez sur Créer un client. 3 Sur la page Créer un client, entrez les informations suivantes sur l'application. Libellé Description Type d'accès Les options sont Jeton d'accès utilisateur ou Jeton de client de service. Code identifiant client Entrez un ID de client unique pour la ressource à enregistrer avec VMware Identity Manager. Livraison Sélectionnez Identity Manager. étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS, OpenID est également sélectionné. URI de redirection Entrez l'URI de redirection enregistré. Section avancée Code secret partagé Cliquez sur Générer le code secret partagé pour générer un code secret partagé entre ce service et le service de ressource d'application. Copiez et enregistrez le code secret client à configurer dans la configuration de l'application. Le code secret client doit rester confidentiel. Si une application déployée ne peut pas maintenir le code secret confidentiel, le code secret n'est pas utilisé. Le code secret partagé n'est pas utilisé avec les applications de type navigateur Web. Issue Refresh Token Décochez la case. Type de jeton Sélectionnez Bearer. Longueur du jeton Laissez le paramètre par défaut, 32 octets. Issue Refresh Token Cochez Jeton d'actualisation. Durée de vie du jeton d'accès (Facultatif) Modifiez les paramètres Durée de vie du jeton d'accès. Durée de vie du jeton d'actualisation (Facultatif) Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder. 4 Cliquez sur Ajouter. La configuration client s'affiche sur la page OAuth2 Client, ainsi que le code secret partagé qui a été généré. Suivant Entrez l'ID client et le code secret partagé dans les pages de configuration des ressources. Consultez la documentation de l'application. Créer un modèle d'accès à distance Vous pouvez créer un modèle pour permettre à un groupe de clients de s'enregistrer dynamiquement avec le service VMware Identity Manager pour autoriser un accès utilisateur à une application spécifique. Chapitre 10 Gestion du catalogue VMware, Inc. 115
  • 116.
    Procédure 1 Dans l'ongletCatalogue de la console d'administration, sélectionnez Paramètres > Accès à distance aux applications. 2 Cliquez sur Modèles. 3 Cliquez sur Créer un modèle. 4 Sur la page Créer un modèle, entrez les informations suivantes sur l'application. Libellé Description Code identifiant de modèle Entrez un identifiant unique pour cette ressource. Livraison Sélectionnez Identity Manager. étendue Sélectionnez l'étendue appropriée. Lorsque vous sélectionnez NAAPS, OpenID est également sélectionné. URI de redirection Entrez l'URI de redirection enregistré. Section avancée Type de jeton Sélectionnez Bearer. Longueur du jeton Laissez le paramètre par défaut, 32 octets. Issue Refresh Token Cochez Jeton d'actualisation. Durée de vie du jeton d'accès (Facultatif) Durée de vie du jeton d'actualisation (Facultatif) Concession utilisateur Ne cochez pas Inviter les utilisateurs à accéder. 5 Cliquez sur Ajouter. Suivant Dans l'application de ressource, configurez l'URL du service VMware Identity Manager sur le site qui prend en charge l'authentification intégrée. Modification des propriétés ICA dans des applications publiées Citrix Vous pouvez modifier les paramètres d'applications et de postes de travail publiés Citrix individuels dans votre déploiement de VMware Identity Manager sur les pages Catalogue > Paramètres > Application publiée Citrix. La page Configuration ICA est configurée pour des applications individuelles. Les zones de texte Propriétés ICA des applications individuelles sont vides jusqu'à ce que vous ajoutiez manuellement des propriétés. Lorsque vous modifiez les paramètres de livraison d'applications, les propriétés ICA, d'une ressource publiée Citrix individuelle, ces paramètres sont prioritaires sur les paramètres globaux. Sur la page Configuration NetScaler, vous pouvez configurer le service avec les paramètres appropriés pour que, lorsque des utilisateurs lancent des applications Citrix, le trafic soit routé via NetScaler vers le serveur XenApp. Lorsque vous modifiez les propriétés ICA dans l'onglet Applications publiées Citrix > Configuration Netscaler ICA, les paramètres s'appliquent au trafic de lancement d'application routé via Netscaler. Pour plus d'informations sur la configuration de propriétés ICA, consultez les rubriques Configuration de NetScaler et Modification des paramètres de livraison d'applications de VMware Identity Manager pour une seule ressource publiée Citrix dans le centre de documentation. Administration de VMware Identity Manager 116 VMware, Inc.
  • 117.
    Examen des alertesThinApp L'option Alertes d'application ThinApp dans le menu Catalogues, Paramètres, vous redirige vers la page Alertes des applications packagées. Toutes les erreurs trouvées lorsque les modules ThinApp ont été synchronisés avec VMware Identity Manager sont répertoriées sur la page. Activation de l'approbation d'application pour l'utilisation des ressources Vous pouvez gérer l'accès à des applications qui requièrent une approbation de la part de votre organisation avant que l'application puisse être utilisée. Activez les approbations sur la page Paramètres de catalogue et configurez l'URL pour recevoir la demande d'approbation. Lorsque vous ajoutez des applications qui requièrent une approbation au catalogue, activez l'option Licence. Lorsque l'option Licence est configurée, les utilisateurs voient l'application dans leur catalogue Workspace ONE et demandent l'utilisation de l'application. VMware Identity Manager envoie le message de demande d'approbation à l'URL d'approbation configurée de l'organisation. Le processus de workflow de serveur examine la demande et envoie un message d'approbation ou de refus. Consultez Gérer des approbations d'application dans le guide de VMware Identity Manager pour voir les étapes de configuration. Vous pouvez consulter les rapports sur l'utilisation des ressources et les droits des ressources de VMware Identity Manager pour voir le nombre d'applications approuvées en cours d'utilisation. Configurer le workflow d'approbation et le moteur d'approbation Vous pouvez choisir parmi deux types d'options de workflow d'approbation. Vous pouvez enregistrer votre URI REST d'appel pour intégrer votre système de gestion d'applications à VMware Identity Manager, ou effectuer l'intégration via le connecteur VMware Identity Manager. Prérequis Lorsque vous configurez l'API REST, votre système de gestion d'application doit être configuré et l'URI disponible via l'API REST d'appel qui reçoit les demandes de la part de VMware Identity Manager. Configurez l'API REST via le connecteur lorsque des systèmes de workflow d'approbation se trouvent sur des centres de données sur site. Le connecteur peut acheminer les messages de demande d'approbation du service VMware Identity Manager Cloud vers une application d'approbation sur site et communiquer la réponse. Procédure 1 Dans l'onglet Catalogue de la console d'administration, sélectionnez Paramètres > Approbations. 2 Cochez Activer les approbations. 3 Dans le menu déroulant Moteur d'approbation, sélectionnez le moteur d'approbation API REST à utiliser : API REST via votre serveur Web ou API REST via le connecteur. 4 Configurez les zones de texte suivantes. Option Description URI Entrez l'URI du gestionnaire de demandes d'approbation de l'API REST qui écoute les demandes d'appel. Nom d'utilisateur (Facultatif) Si l'API REST requiert un nom d'utilisateur et un mot de passe pour l'accès, entrez le nom ici. Si aucune authentification n'est requise, vous pouvez laisser le nom d'utilisateur et le mot de passe vides. Chapitre 10 Gestion du catalogue VMware, Inc. 117
  • 118.
    Option Description Mot depasse (Facultatif) Entrez le mot de passe de l'utilisateur. Certificat SSL au format PEM (Facultatif) Si vous avez sélectionné API REST et que la vôtre utilise SSL et se trouve sur un serveur sans certificat SSL public, collez le certificat SSL de l'API REST au format PEM ici. Suivant Accédez à la page Catalogue et configurez la fonctionnalité Licence pour les applications qui requièrent une approbation pour que les utilisateurs puissent les utiliser. Administration de VMware Identity Manager 118 VMware, Inc.
  • 119.
    Utiliser le tableaude bord de la console d'administration 11 Deux tableaux de bord sont disponibles dans la console d'administration. Le tableau de bord Engagement de l'utilisateur permet de suivre les utilisateurs et l'utilisation des ressources. Le tableau de bord Diagnostics système peut être utilisé pour surveiller la santé du service VMware Identity Manager. Ce chapitre aborde les rubriques suivantes : n « Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord », page 119 n « Surveiller les informations système et la santé », page 120 n « Consultation des rapports », page 121 Surveiller les utilisateurs et l'utilisation des ressources avec le tableau de bord Le tableau de bord Engagement de l'utilisateur affiche des informations relatives aux utilisateurs et aux ressources. Vous pouvez voir les personnes connectées, les ressources utilisées et la fréquence d'accès aux applications. Vous pouvez créer des rapports pour assurer le suivi des utilisateurs, des activités de groupe et de l'utilisation des ressources. L'heure affichée sur le tableau de bord Engagement de l'utilisateur est fondée sur le fuseau horaire défini pour le navigateur. Le tableau de bord est mis à jour toutes les minutes. Procédure n L'en-tête affiche le nombre d'utilisateurs uniques connectés ce jour-là ainsi qu'un calendrier indiquant le nombre d'événements de connexion quotidiens sur une période de sept jours. Le nombre affiché dans le tableau de bord Utilisateurs connectés aujourd'hui est entouré d'un cercle qui indique le pourcentage d'utilisateurs connectés. Le graphique mobile Connexions affiche les événements de connexion survenus pendant la semaine. Pointez sur l'un des points du graphique pour afficher le nombre de connexions ce jour-là. n La section Utilisateurs et groupes affiche le nombre de comptes d'utilisateur et de groupes configurés dans VMware Identity Manager. Les utilisateurs s'étant connectés en dernier sont affichés en premier. Vous pouvez cliquer sur Voir les rapports complets pour créer un rapport sur les événements d'audit qui affiche les utilisateurs qui se sont connectés durant une plage de jours. n La section Popularité des ressources affiche un graphique à barres par type d'applications qui indique le nombre de lancements de chaque application pendant une période de 7 jours. Pointez sur un jour spécifique pour afficher une infobulle indiquant le type des applications utilisées et le nombre d'applications lancées ce jour-là. La liste en dessous du graphique indique le nombre de lancements des applications spécifiques. Développez le menu déroulant de droite en cliquant sur la flèche pour VMware, Inc. 119
  • 120.
    sélectionner l'affichage deces informations sur un jour, une semaine, un mois ou 12 semaines. Vous pouvez cliquez sur Voir les rapports complets pour créer un rapport d'utilisation des ressources indiquant l'application, le type de ressource et l'activité du nombre d'utilisateurs sur une plage de temps. n La section Adoption des applications affiche un graphique à barres indiquant le pourcentage de personnes ayant ouvert les applications auxquelles elles ont ont droit. Pointez sur l'application pour afficher une infobulle indiquant le nombre réel d'adoptions et de droits. n Le graphique à secteurs Applications lancées affiche les ressources lancées sous forme de pourcentage du total. Pointez sur une section spécifique du graphique à secteurs pour voir le nombre réel par type de ressource. Développez le menu déroulant de droite en cliquant sur la flèche pour sélectionner l'affichage de ces informations sur un jour, une semaine, un mois ou 12 semaines. n La section Clients indique le nombre de postes travail Identity Manager Desktop utilisés. Surveiller les informations système et la santé Le tableau de bord Diagnostics du système VMware Identity Manager affiche une présentation détaillée des dispositifs VMware Identity Manager dans votre environnement et des informations sur les services. Vous pouvez visualiser la santé globale sur le serveur de base de données VMware Identity Manager, les machines virtuelles et les services disponibles sur chacune d'entre elles. Dans le tableau de bord Diagnostics du système, vous pouvez sélectionner la machine virtuelle à surveiller et voir l'état des services sur cette dernière, y compris la version de VMware Identity Manager qui est installée. En cas de problème lié à la base de données ou à une machine virtuelle, la barre d'en-tête affiche l'état de la machine en rouge. Pour voir les problèmes, vous pouvez sélectionner la machine virtuelle affichée en rouge. Procédure n Expiration du mot de passe utilisateur Les dates d'expiration du mot de passe racine du dispositif VMware Identity Manager et du mot de passe de connexion à distance sont affichées. Si un mot de passe expire, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Sécurité du système pour modifier le mot de passe. n Certificats. L'émetteur du certificat, la date de début et la date de fin sont affichés. Pour gérer le certificat, accédez à la page Paramètres et sélectionnez Configurations VA. Ouvrez la page Installer le certificat. n Configurator - État de déploiement de l'application. Les informations relatives aux services Appliance Configurator sont affichées. L'état du serveur Web indique si le serveur Tomcat est en cours d'exécution. L'état de l'application Web indique si la page Appliance Configurator est accessible. La version du dispositif indique la version du dispositif VMware Identity Manager installé. n Application Manager - État de déploiement de l'application. L'état de connexion du dispositif VMware Identity Manager est affiché. n Connector - État de déploiement de l'application. L'état de la connexion console d'administration est affiché. Lorsque Connexion réussie s'affiche, vous pouvez accéder aux pages console d'administration. n Nom de domaine complet VMware Identity Manager Affiche le nom de domaine complet que les utilisateurs entrent pour accéder à leur portail d'applications VMware Identity Manager. Le nom de domaine complet VMware Identity Manager pointe vers l'équilibreur de charge lorsqu'un équilibreur de charge est utilisé. n Application Manager - Composants intégrés. Les informations relatives à la connexion de base de données VMware Identity Manager, aux services d'audit et à la connexion d'analyse sont affichées. Administration de VMware Identity Manager 120 VMware, Inc.
  • 121.
    n Connector -Composants intégrés. Les informations relatives aux services gérés à partir des pages d'administration des services Connector sont affichées. Les informations relatives aux ressources d'applications ThinApp, View et Citrix publiées sont affichées. n Modules. Affiche les ressources activées dans VMware Identity Manager. Cliquez sur Activé pour accéder à la page d'administration des ressources des services Connector pour la ressource concernée. Consultation des rapports Vous pouvez créer des rapports pour assurer le suivi des activités des utilisateurs et des groupes et l'utilisation des ressources. Vous pouvez consulter les rapports sur la page Rapports du Tableau de bord de la console d'administration. Vous pouvez exporter des rapports dans un fichier de valeurs séparées par des virgules (csv). Tableau 11‑1. Types de rapports Rapport Description Activité récente Activité récente est un rapport sur les actions que les utilisateurs ont effectuées en utilisant leur portail Workspace ONE la veille, la semaine précédente, le mois précédent ou les 12 semaines précédentes. L'activité peut inclure des informations sur l'utilisateur, telles que le nombre de connexions utilisateur uniques, le nombre de connexions générales, et des informations sur les ressources, telles que le nombre de ressources lancées, les droits d'accès aux ressources ajoutés. Vous pouvez cliquer sur Afficher les événements pour voir la date, l'heure et les détails de l'utilisateur correspondant à l'activité. Utilisation des ressources Utilisation des ressources est un rapport sur toutes les ressources dans le catalogue avec des détails pour chaque ressource sur le nombre d'utilisateurs, de lancements et de licences. Vous pouvez choisir de voir les activités de la veille, de la semaine précédente, du mois précédent ou des 12 semaines précédentes. Droits des ressources Droits des ressources est un rapport par ressource qui indique le nombre d'utilisateurs auxquels la ressource est octroyée, le nombre de lancements et le nombre de licences utilisées. Activité des ressources Le rapport Activité des ressources peut être créé pour tous les utilisateurs ou un groupe spécifique d'utilisateurs. Les informations sur l'activité des ressources répertorient le nom d'utilisateur, la ressource octroyée à l'utilisateur, la date du dernier accès à la ressource et des informations sur le type de périphérique utilisé par l'utilisateur pour accéder à la ressource. Appartenance à un groupe Appartenance à un groupe répertorie les membres d'un groupe que vous spécifiez. Attribution de rôles Attribution de rôles répertorie les utilisateurs qui sont des administrateurs uniquement API ou des administrateurs et leurs adresses e-mail. Utilisateurs Le rapport Utilisateurs affiche tous les utilisateurs et fournit des détails sur chacun d'eux, tels que l'adresse e-mail, le rôle et les affiliations de groupe de l'utilisateur. Utilisateurs simultanés Le rapport Utilisateurs simultanés indique le nombre de sessions utilisateur qui ont été ouvertes en même temps, la date et l'heure. Utilisation des périphériques Le rapport Utilisation des périphériques peut indiquer l'utilisation des périphériques pour tous les utilisateurs ou un groupe spécifique d'utilisateurs. Les informations de périphérique sont répertoriées par utilisateur individuel et incluent le nom de l'utilisateur, le nom du périphérique, les informations du système d'exploitation et la date de dernière utilisation. Événements d'audit Le rapport Événements d'audit affiche les événements relatifs à un utilisateur que vous spécifiez, tels que les connexions utilisateur des 30 derniers jours. Vous pouvez également voir les détails des événements d'audit. Cette fonctionnalité est utile dans le cadre de la résolution de problèmes. Pour exécuter des rapports Événements d'audit, l'audit doit être activé sur la page Catalogue > Paramètres > Audit. Voir « Générer un rapport d'événement audité », page 122. Chapitre 11 Utiliser le tableau de bord de la console d'administration VMware, Inc. 121
  • 122.
    Générer un rapportd'événement audité Vous pouvez générer un rapport des événements audités que vous spécifiez. Les rapports d'événements audités peuvent être utiles en tant que méthode de résolution de problèmes. Prérequis L'audit doit être activé. Pour vérifier s'il est activé, dans la console d'administration, accédez à la page Catalogue > Paramètres et sélectionnez Audit. Procédure 1 Dans la console d'administration, sélectionnez Rapports > Événements audités 2 Sélectionnez les critères d'événement audité. Critères d'événement audité Description Utilisateur Ce champ texte vous permet de réduire la recherche des événements audités à ceux générés par un utilisateur spécifique. Type Cette liste déroulante vous permet de réduire la recherche des événements audités à un type d'événement audité spécifique. La liste déroulante n'affiche pas tous les types d'événements audités potentiels. La liste n'affiche que les types d'événements qui se sont produits dans votre déploiement. Les types d'événements audités qui sont affichés en majuscules sont des événements d'accès, tels que CONNEXION et LANCEMENT, qui ne génèrent pas de modification dans la base de données. Les autres types d'événements audités génèrent des modifications dans la base de données. Action Cette liste déroulante vous permet de réduire votre recherche à des actions spécifiques. La liste affiche des événements qui produisent des modifications spécifiques dans la base de données. Si vous sélectionnez un événement d'accès dans la liste déroulante Type, ce qui signifie un événement de non-action, ne spécifiez pas d'action dans la liste déroulante Action. Objet Ce champ texte vous permet de réduire la recherche à un objet spécifique. Des exemples d'objets sont les groupes, les utilisateurs et les périphériques. Les objets sont identifiés par un nom ou un numéro d'identification. Plage de dates Ces champs texte vous permettent de réduire votre recherche à une plage de dates au format « De ___ à ___ jours auparavant ». La plage de date maximale est de 30 jours. Par exemple, la plage « De 90 à 60 jours auparavant » est valide tandis que la plage « De 90 à 45 jours auparavant » ne l'est pas, car elle dépasse la période maximale de 30 jours. 3 Cliquez sur Afficher. Un rapport d'événement audité apparaît conformément aux critères que vous avez spécifiés. Remarque Occasionnellement, lors du redémarrage du sous-système d'audit, la page Auditer les événements risque d'afficher un message d'erreur et de ne pas afficher le rapport. Si vous voyez un tel message d'erreur concernant le non-affichage du rapport, attendez quelques minutes, puis recommencez. 4 Pour plus d'informations sur un événement audité, cliquez sur Afficher les détails pour cet événement. Administration de VMware Identity Manager 122 VMware, Inc.
  • 123.
    Personnaliser les informationsde marque des services VMware Identity Manager 12 Vous pouvez personnaliser les logos, les polices et l'arrière-plan qui s'affichent dans la console d'administration, les écrans de connexion de l'utilisateur et de l'administrateur, la vue Web du portail d'applications Workspace ONE et la vue Web de l'application Workspace ONE sur les périphériques mobiles. Vous pouvez utiliser l'outil de personnalisation pour adopter l'apparence des couleurs, des logos et du design de votre entreprise. n L'onglet d'adresse du navigateur et les pages de connexion sont personnalisés à partir des pages Identité et gestion de l'accès > Configuration > Informations de marque personnalisées. n Ajoutez un logo et personnalisez les vues Mobile et Tablette du portail Web d'utilisateur à partir des pages Catalogue > Paramètres > Informations de marque du portail de l'utilisateur. Ce chapitre aborde les rubriques suivantes : n « Personnalisation des informations de marque dans VMware Identity Manager », page 123 n « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125 n « Personnaliser des informations de marque pour l'application VMware Verify », page 126 Personnalisation des informations de marque dans VMware Identity Manager Vous pouvez ajouter le nom de votre entreprise, un nom de produit et une icône favorite à la barre d'adresses pour la console d'administration et le portail utilisateur. Vous pouvez également personnaliser la page de connexion pour définir des couleurs d'arrière-plan qui correspondent aux couleurs et au logo de votre entreprise. Pour ajouter le logo de votre entreprise, accédez à la page Catalogue > Paramètres > Informations de marque du portail de l'utilisateur dans la console d'administration. Procédure 1 Dans l'onglet Gestion des identités et des accès de la console d'administration, sélectionnez Configuration > Personnaliser les informations de marque. 2 Modifiez les paramètres suivants du formulaire comme nécessaire. Remarque Si un paramètre n'est pas répertorié dans le tableau, cela signifie qu'il n'est pas utilisé et qu'il ne peut pas être personnalisé. VMware, Inc. 123
  • 124.
    Champ de formulaireDescription Noms et logos Nom de l'entreprise L'option Nom de l'entreprise s'applique aux postes de travail et aux périphériques mobiles. Vous pouvez ajouter le nom de votre entreprise comme titre qui apparaît dans l'onglet du navigateur. Saisissez un nom d'entreprise sur le nom existant pour le modifier. Nom du produit L'option Nom du produit s'applique aux postes de travail et aux périphériques mobiles. Le nom du produit apparaît après le nom d'entreprise dans l'onglet du navigateur. Saisissez un nom de produit sur le nom existant pour le modifier. Icône Favorite Une icône favorite est une icône associée à une URL qui s'affiche dans la barre d'adresses du navigateur. La taille maximale de l'image d'icône favorite est de 16 x 16 pixels. Le format peut être JPEG, PNG, GIF ou ICO. Cliquez sur Télécharger pour télécharger une nouvelle image qui remplacera l'icône favorite actuelle. Un message vous demande de confirmer la modification. La modification est immédiate. Écran d'ouverture de session Logo Cliquez sur Télécharger pour télécharger un nouveau logo afin de remplacer le logo actuel dans les écrans d'ouverture de session. Lorsque vous cliquez sur Confirmer, la modification s'applique immédiatement. La taille de page minimale recommandée pour le téléchargement est de 350 x 100 px. Si vous téléchargez des images supérieures à 350 x 100 px, elles sont redimensionnées à la taille 350 x 100 px. Le format peut être JPEG, PNG ou GIF. Couleur d'arrière-plan Couleur d'arrière-plan de l'écran de connexion. Saisissez le code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan. Couleur d'arrière-plan de la case La couleur de l'écran de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Couleur d'arrière-plan du bouton de connexion La couleur du bouton de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Couleur de texte du bouton de connexion La couleur du texte qui s'affiche sur le bouton de connexion peut être personnalisée. Saisissez le code couleur hexadécimal à six chiffres sur le code existant. Lorsque vous personnalisez l'écran de connexion, vous pouvez voir vos modifications dans le volet Aperçu avant de les enregistrer. 3 Cliquez sur Enregistrer. Les mises à jour des informations de marque sur la console d'administration et des pages de connexion sont appliquées dans un délai de cinq minutes après que vous avez cliqué sur Enregistrer. Suivant Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces. Mettez à jour l'apparence du portail Workspace ONE de l'utilisateur final et des vues Mobile et Tablette. Voir « Personnaliser les informations de marque pour le portail de l'utilisateur », page 125 Administration de VMware Identity Manager 124 VMware, Inc.
  • 125.
    Personnaliser les informationsde marque pour le portail de l'utilisateur Vous pouvez ajouter un logo, modifier les couleurs d'arrière-plan et ajouter des images pour personnaliser le portail Workspace ONE. Procédure 1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations de marque du portail de l'utilisateur. 2 Modifiez les paramètres du formulaire comme nécessaire. Élément de formulaire Description Logo Ajoutez un logo d'en-tête à la bannière dans la partie supérieure de la console d'administration et des pages Web du portail Workspace ONE. La taille maximale de l'image est de 220 x 40 pixels. Le format peut être JPEG, PNG ou GIF. Portail Couleur d'arrière-plan de l'en-tête Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan de l'en-tête. La couleur d'arrière-plan change dans l'écran d'aperçu du portail d'applications lorsque vous tapez un nouveau code couleur. Couleur de texte de l'en-tête Saisissez un code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur du texte qui s'affiche dans l'en-tête. Couleur d'arrière-plan Couleur d'arrière-plan de l'écran du portail Web. Saisissez un nouveau code couleur hexadécimal à six chiffres sur le code existant pour changer la couleur d'arrière-plan. La couleur d'arrière-plan change dans l'écran d'aperçu du portail d'applications lorsque vous tapez un nouveau code couleur. Sélectionnez Mise en surbrillance de l'arrière-plan pour accentuer la couleur de l'arrière- plan. Si cette option est activée, les navigateurs prenant en charge plusieurs images d'arrière-plan affichent la superposition sur les pages du lanceur et du catalogue. Sélectionnez Modèle d'arrière-plan pour définir le modèle de triangle préconçu dans la couleur d'arrière-plan. Nom et couleur des icônes Vous pouvez sélectionner la couleur de texte des noms répertoriés sous les icônes sur les pages du portail d'applications. Saisissez un code de couleur hexadécimal sur le code existant pour modifier la couleur de la police. Effet de lettrage Sélectionnez le type de lettrage à utiliser pour le texte dans les écrans du portail Workspace ONE. Image (en option) Pour ajouter une image plutôt qu'une couleur à l'arrière-plan sur l'écran du portail des applications, téléchargez une image. 3 Cliquez sur Enregistrer. Les mises à jour des informations de marque personnalisées sont actualisées toutes les 24 heures pour le portail de l'utilisateur. Pour appliquer les modifications plus tôt, en tant qu'administrateur, ouvrez un nouvel onglet et entrez cette URL, en remplaçant votre nom de domaine par myco.example.com. https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true. Suivant Vérifiez l'effet que produisent les modifications des informations de marque dans les diverses interfaces. Chapitre 12 Personnaliser les informations de marque des services VMware Identity Manager VMware, Inc. 125
  • 126.
    Personnaliser des informationsde marque pour l'application VMware Verify Si vous avez activé VMware Verify pour l'authentification à deux facteurs, vous pouvez personnaliser la page de connexion avec votre logo d'entreprise. Prérequis VMware Verify activé. Procédure 1 Dans l'onglet Catalogues de la console d'administration, sélectionnez Paramètres > Informations de marque du portail de l'utilisateur. 2 Modifiez la section VMware Verify. Élément de formulaire Description Logo Téléchargez le logo d'entreprise qui s'affiche sur les pages de demande d'approbation. La taille des image est de 540 x 170 px, format PNG, et de 128 Ko ou moins. Icône Téléchargez une icône qui s'affiche sur le périphérique lorsque VMware Verify est lancé. La taille des image est de 81 x 81 px, format PNG, et de 128 Ko ou moins. 3 Cliquez sur Enregistrer. Administration de VMware Identity Manager 126 VMware, Inc.
  • 127.
    Intégration d'AirWatch àVMware Identity Manager 13 AirWatch offre la gestion de la mobilité d'entreprise pour les périphériques ; VMware Identity Manager offre l'authentification unique et la gestion des identités pour les utilisateurs. Lorsqu'AirWatch et VMware Identity Manager sont intégrés, les utilisateurs des périphériques inscrits AirWatch peuvent se connecter à leurs applications activées en toute sécurité sans entrer plusieurs mots de passe. Lorsqu'AirWatch est intégré à VMware Identity Manager, vous pouvez configurer les intégrations suivantes avec AirWatch. n Annuaire AirWatch qui synchronise les utilisateurs et les groupes AirWatch avec un annuaire dans le service VMware Identity Manager, puis configure l'authentification par mot de passe via AirWatch Cloud Connector. n Authentification unique à un catalogue unifié contenant des applications autorisées depuis AirWatch et VMware Identity Manager. n Authentification unique utilisant l'authentification Kerberos à des périphériques iOS 9. n Règles de stratégie d'accès pour vérifier que les périphériques iOS 9 gérés par AirWatch sont conformes. Ce chapitre aborde les rubriques suivantes : n « Configuration d'AirWatch pour l'intégrer à VMware Identity Manager », page 127 n « Configuration d'une instance d'AirWatch dans VMware Identity Manager », page 131 n « Activer le catalogue unifié pour AirWatch », page 132 n « Implémentation de l'authentification avec AirWatch Cloud Connector », page 133 n « Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch », page 135 n « Implémentation de l'authentification Mobile SSO pour périphériques Android », page 143 n « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149 Configuration d'AirWatch pour l'intégrer à VMware Identity Manager Vous configurez des paramètres dans la console d'administration d'AirWatch pour communiquer avec VMware Identity Manager avant de configurer les paramètres d'AirWatch dans la console d'administration de VMware Identity Manager. Pour intégrer AirWatch et VMware Identity Manager, les éléments suivants sont requis. n Le groupe d'organisation dans AirWatch pour lequel vous configurez VMware Identity Manager est Customer. VMware, Inc. 127
  • 128.
    n Une cléd'administration API REST pour la communication avec le service VMware Identity Manager et une clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch Cloud Connector sont créées sur le groupe d'organisation où est configuré VMware Identity Manager. n Les paramètres de compte d'administration API et le certificat d'authentification d'administration d'AirWatch sont ajoutés aux paramètres d'AirWatch dans la console d'administration de VMware Identity Manager. n Des comptes d'utilisateur Active Directory sont configurés sur le groupe d'organisation où est configuré VMware Identity Manager. n Si des utilisateurs finaux sont placés dans un groupe d'organisation enfant où est configuré VMware Identity Manager après l'enregistrement et l'inscription, le mappage Groupe d'utilisateurs dans la configuration d'inscription AirWatch doit être utilisé pour filtrer les utilisateurs et leurs périphériques respectifs sur le groupe d'organisation approprié. Les éléments suivants sont configurés dans la console d'administration d'AirWatch. n Une clé API d'administration REST pour la communication avec le service VMware Identity Manager n Un compte d'administration API pour VMware Identity Manager et le certificat d'authentification d'administration qui est exporté depuis AirWatch et ajouté aux paramètres d'AirWatch dans VMware Identity Manager n Clé API d'utilisateur inscrit REST pour l'authentification par mot de passe AirWatch Cloud Connector Créer des clés API REST dans AirWatch L'accès API d'administration REST et l'accès des utilisateurs inscrits doivent être activés dans la console d'administration d'AirWatch pour intégrer VMware Identity Manager à AirWatch. Lorsque vous activez l'accès API, une clé API est générée. Procédure 1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Groupes et paramètres > Tous les paramètres > Système > Avancé > API > API REST. 2 Dans l'onglet Général, cliquez sur Ajouter pour générer la clé API à utiliser dans le service VMware Identity Manager. Le type de compte doit être Administrateur. Fournissez un nom de service unique. Ajoutez une description, telle que AirWatchAPI pour IDM. 3 Pour générer la clé API d'utilisateur inscrit, cliquez de nouveau sur Ajouter. 4 Dans le menu déroulant Type de compte, sélectionnez Utilisateur de l'enrôlement. Fournissez un nom de service unique. Ajoutez une description, telle que UserAPI pour IDM. Administration de VMware Identity Manager 128 VMware, Inc.
  • 129.
    5 Copiez lesdeux clés API et enregistrez les clés dans un fichier. Vous ajoutez ces clés lorsque vous configurez AirWatch dans la console d'administration de VMware Identity Manager. 6 Cliquez sur Enregistrer. Créez un compte d'administrateur et un certificat dans AirWatch Une fois la clé API d'administration créée, vous ajoutez un compte d'administrateur et configurez l'authentification par certificat dans la console d'administration d'AirWatch. Pour l'authentification par certificat API REST, un certificat de niveau utilisateur est généré à partir de la console d'administration d'AirWatch. Le certificat utilisé est un certificat AirWatch auto-signé généré à partir du certificat racine d'administration AirWatch. Prérequis La clé API d'administration REST AirWatch est créée. Procédure 1 Dans la console d'administration d'AirWatch, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Comptes > Administrateurs > Vue Liste. 2 Cliquez sur Ajouter > Ajouter un administrateur. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 129
  • 130.
    3 Dans l'ongletStandard, entrez le nom d'utilisateur et le mot de passe de l'administrateur de certificat dans les zones de texte requises. 4 Sélectionnez l'onglet Rôles, choisissez le groupe d'organisation actuel, cliquez sur la deuxième zone de texte et sélectionnez Administrateur AirWatch. 5 Sélectionnez l'onglet API et, dans la zone de texte Authentification, sélectionnez Certificats. 6 Entrez le mot de passe du certificat. Le mot de passe est le même que celui entré pour l'administrateur dans l'onglet Standard. 7 Cliquez sur Enregistrer. Le nouveau compte d'administrateur et le certificat client sont créés. 8 Sur la page Vue Liste, sélectionnez l'administrateur que vous avez créé et ouvrez de nouveau l'onglet API. La page des certificats affiche des informations sur le certificat. Administration de VMware Identity Manager 130 VMware, Inc.
  • 131.
    9 Entrez lemot de passe que vous avez défini dans la zone de texte Mot de passe du certificat, cliquez sur Exporter le certificat client et enregistrez le fichier. Le certificat client est enregistré sous un fichier de type .p12. Suivant Configurez vos paramètres d'URL AirWatch dans la console d'administration de VMware Identity Manager. Configuration d'une instance d'AirWatch dans VMware Identity Manager Après avoir configuré les paramètres dans la console d'administration d'AirWatch, sur la page Identité et gestion de l'accès de la console d'administration de VMware Identity Manager, vous entrez l'URL d'AirWatch, les valeurs de clé API et le certificat. Une fois les paramètres d'AirWatch configurés, vous pouvez activer des options de fonctionnalité disponibles avec l'intégration d'AirWatch. Ajouter des paramètres d'AirWatch à VMware Identity Manager Configurez des paramètres d'AirWatch dans VMware Identity Manager pour intégrer AirWatch à VMware Identity Manager et activer les options d'intégration de la fonctionnalité AirWatch. La clé API AirWatch et le certificat sont ajoutés pour l'autorisation VMware Identity Manager avec AirWatch. Prérequis n URL du serveur AirWatch que l'administrateur utilise pour se connecter à la console d'administration d'AirWatch. n Clé API d'administration AirWatch utilisée pour faire des demandes API depuis VMware Identity Manager au serveur AirWatch afin de configurer l'intégration. n Fichier de certificat AirWatch utilisé pour passer des appels API et mot de passe du certificat. Le fichier de certificat doit être au format .p12. n Clé API d'utilisateur inscrit AirWatch. n ID de groupe AirWatch de votre locataire, qui est l'identifiant du locataire dans AirWatch. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration de VMware Identity Manager, cliquez sur Configuration > AirWatch. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 131
  • 132.
    2 Entrez lesparamètres d'intégration d'AirWatch dans les champs suivants. Champ Description URL API d'AirWatch Entrez l'URL d'AirWatch. Par exemple, https://myco.airwatch.com Certificat API AirWatch Téléchargez le fichier de certificat utilisé pour passer des appels API. Mot de passe du certificat Entrez le mot de passe du certificat. Clé API d'administration AirWatch Entrez la valeur de clé API d'administration. Exemple de valeur de clé API FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs= Clé API d'utilisateur inscrit AirWatch Entrez la valeur de clé API d'utilisateur inscrit. ID de groupe AirWatch Entrez l'ID de groupe AirWatch pour le groupe d'organisation dans lequel la clé API et le compte d'administrateur ont été créés. 3 Cliquez sur Enregistrer. Suivant n Activez l'option de la fonctionnalité Catalogue unifié pour fusionner des applications configurées dans le catalogue AirWatch avec le catalogue unifié. n Activez la vérification de la conformité pour vérifier que les périphériques gérés par AirWatch respectent les stratégies de conformité d'AirWatch. Voir « Activer la vérification de la conformité pour les périphériques gérés par AirWatch », page 149. Activer le catalogue unifié pour AirWatch Lorsque vous configurez VMware Identity Manager avec votre instance d'AirWatch, vous pouvez activer le catalogue unifié ce qui permet aux utilisateurs finaux de voir toutes les applications qui leur sont attribuées depuis VMware Identity Manager et AirWatch. Lorsqu'AirWatch n'est pas intégré au catalogue unifié, les utilisateurs finaux ne voient que les applications qui leur sont attribuées depuis le service VMware Identity Manager. Administration de VMware Identity Manager 132 VMware, Inc.
  • 133.
    Prérequis AirWatch configuré dansVMware Identity Manager. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, cliquez sur Configuration > AirWatch. 2 Dans la section Catalogue unifié de cette page, sélectionnez Activer. 3 Cliquez sur Enregistrer. Suivant Indiquez aux utilisateurs finaux d'AirWatch comment accéder au catalogue unifié et voir leur portail Workspace ONE via VMware Identity Manager. Implémentation de l'authentification avec AirWatch Cloud Connector Vous pouvez intégrer votre AirWatch Cloud Connector au service VMware Identity Manager pour l'authentification par mot de passe utilisateur. Vous pouvez configurer le service VMware Identity Manager pour synchroniser des utilisateurs à partir de l'annuaire AirWatch au lieu de déployer un connecteur VMware Identity Manager. Pour implémenter l'authentification AirWatch Cloud Connector, vous activez l'authentification par mot de passe AirWatch Cloud Connector sur la page du fournisseur d'identité intégré dans la console d'administration de VMware Identity Manager. Remarque AirWatch Cloud Connector doit être configuré sur AirWatch version 8.3 et ultérieures pour l'authentification avec VMware Identity Manager. L'authentification par nom d'utilisateur et mot de passe est intégrée dans le déploiement d'AirWatch Cloud Connector. Pour authentifier des utilisateurs à l'aide d'autres méthodes d'authentification prises en charge par VMware Identity Manager, le connecteur VMware Identity Manager doit être configuré. Gestion du mappage d'attributs utilisateur Vous pouvez configurer le mappage d'attribut utilisateur entre l'annuaire AirWatch et l'annuaire VMware Identity Manager. La page Attributs utilisateur de la console d'administration de VMware Identity Manager, Identité et gestion de l'accès > Configuration > Attributs utilisateur, répertorie les attributs d'annuaire par défaut pouvant être mappés avec des attributs AirWatch Directory. Les attributs obligatoires sont signalés par un astérisque. Les utilisateurs pour qui il manque un attribut obligatoire dans le profil ne sont pas synchronisés avec le service VMware Identity Manager. Tableau 13‑1. Mappage d'attributs d'annuaire AirWatch par défaut Nom de l'attribut utilisateur de VMware Identity Manager Mappage par défaut avec l'attribut utilisateur AirWatch userPrincipalName userPrincipalName distinguishedName distinguishedName employeeID employeeID domaine Contrôleur disabled (utilisateur externe désactivé) disabled phone telephoneNumber lastName lastname* Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 133
  • 134.
    Tableau 13‑1. Mappaged'attributs d'annuaire AirWatch par défaut (suite) Nom de l'attribut utilisateur de VMware Identity Manager Mappage par défaut avec l'attribut utilisateur AirWatch firstName firstname* email Email* userName username* Synchroniser des utilisateurs et des groupes entre l'annuaire AirWatch Directory et VMware Identity Directory Configurez les paramètres de VMware Identity Manager dans la console d'administration d'AirWatch pour établir une connexion entre votre instance du groupe d'organisation du répertoire AirWatch et VMware Identity Manager. Cette connexion est utilisée pour synchroniser des utilisateurs et des groupes avec un répertoire créé dans le service VMware Identity Manager. Le répertoire VMware Identity Manager peut être utilisé avec AirWatch Cloud Connector pour l'authentification par mot de passe. Les utilisateurs et les groupes commencent par synchroniser le répertoire VMware Identity Manager manuellement. Le planning de synchronisation d'AirWatch détermine le moment auquel les utilisateurs et les groupes se synchronisent avec le répertoire VMware Identity Manager. Lorsqu'un utilisateur ou un groupe est ajouté ou supprimé sur le serveur AirWatch, la modification est immédiatement reflétée sur le service VMware Identity Manager. Prérequis n Nom et mot de passe d'administrateur local de VMware Identity Manager. n Identifiez des valeurs d'attribut à mapper depuis le répertoire AirWatch. Voir « Gestion du mappage d'attributs utilisateur », page 133. Procédure 1 Dans la console d'administration d'AirWatch, sur la page Groupes et paramètres, Tous les paramètres, sélectionnez le groupe d'organisation de niveau Global > Client et accédez à Système > Intégration d'entreprise >VMware Identity Manager. 2 Dans la section Serveur, cliquez sur Configurer. Remarque Le bouton de configuration n'est disponible que lorsque le service de répertoire est également configuré pour le même groupe d'organisation. Si le bouton Configurer n'est pas visible, vous ne vous trouvez pas dans le bon groupe d'organisation. Vous pouvez modifier le groupe d'organisation dans le menu déroulant Global. 3 Entrez les paramètres de VMware Identity Manager. Option Description URL Entrez l'URL VMware de votre locataire. Par exemple, https://myco.identitymanager.com. Nom d'utilisateur de l'administrateur Entrez le nom d'utilisateur Admin local de VMware Identity Manager. Mot de passe de l'administrateur Entrez le mot de passe de l'utilisateur Admin local de VMware Identity Manager. 4 Cliquez sur Suivant. Administration de VMware Identity Manager 134 VMware, Inc.
  • 135.
    5 Activez lemappage personnalisé pour configurer le mappage d'attributs utilisateur entre AirWatch et le service VMware Identity Manager. 6 Cliquez sur Tester la connexion pour vérifier que les paramètres sont corrects. 7 Cliquez sur Synchroniser maintenant pour synchroniser manuellement tous les utilisateurs et les groupes avec le service VMware Identity Manager. Remarque Pour contrôler la charge système, la synchronisation manuelle ne peut être effectuée que quatre heures après une précédente synchronisation. Un annuaire AirWatch est créé dans le service VMware Identity Manager et les utilisateurs et les groupes sont synchronisés avec un annuaire dans VMware Identity Manager. Suivant Examinez l'onglet Utilisateurs et groupes dans la console d'administration de VMware Identity Manager pour vérifier que les noms d'utilisateur et de groupe sont synchronisés. Mise à jour de VMware Identity Manager après la mise à niveau d'AirWatch Lorsque vous effectuez la mise à niveau d'AirWatch vers une nouvelle version, vous devez mettre à jour le catalogue unifié et l'authentification par mot de passe utilisateur via des options de configuration d'AirWatch dans le service VMware Identity Manager. Lorsque vous enregistrez les options après la mise à niveau d'AirWatch, les paramètres d'AirWatch dans le service VMware Identity Manager sont mis à jour avec la nouvelle version d'AirWatch. Procédure 1 Après la mise à niveau d'AirWatch, connectez-vous à la console d'administration de VMware Identity Manager. 2 Dans l'onglet Identité et gestion de l'accès, cliquez sur Configuration > AirWatch. 3 Faites défiler la page jusqu'à la section Catalogue unifié et cliquez sur Enregistrer. 4 Faites défiler jusqu'à la section Authentification par mot de passe utilisateur via AirWatch et cliquez sur Enregistrer. La configuration d'AirWatch est mise à jour avec la nouvelle version dans le service VMware Identity Manager. Implémentation de l'authentification unique mobile pour des périphériques iOS gérés par AirWatch Pour l'authentification des périphériques iOS, VMware Identity Manager utilise un fournisseur d'identité intégré au service Identity Manager pour fournir l'accès à l'authentification Mobile SSO. Cette méthode d'authentification utilise un centre de distribution de clés (KDC) sans utiliser un connecteur ou un système tiers. Vous devez initier le service KDC dans le fournisseur d'identité intégré VMware Identity Manager avant d'activer Kerberos dans la console d'administration. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 135
  • 136.
    L'implémentation de l'authentificationMobile SSO pour les périphériques iOS 9 gérés par AirWatch requiert les étapes de configuration suivantes. Remarque L'authentification Mobile SSO est prise en charge sur les périphériques iOS exécutant iOS 9 et versions ultérieures. n Initialisez le centre de distribution de clés (KDC) dans le dispositif VMware Identity Manager. Consultez le chapitre Préparation pour utiliser l'authentification Kerberos sur des périphériques iOS dans le Guide d'installation. n Si vous utilisez des services de certificats Active Directory, configurez un modèle d'autorité de certification pour la distribution de certificats Kerberos dans les services de certificats Active Directory. Ensuite, configurez AirWatch pour qu'il utilise l'autorité de certification Active Directory. Ajoutez le modèle de certificat dans la console d'administration d'AirWatch. Téléchargez le certificat de l'émetteur pour configurer Mobile SSO pour iOS. n Si vous utilisez l'autorité de certification AirWatch, activez des certificats sur la page Intégrations de VMware Identity Manager. Téléchargez le certificat de l'émetteur pour configurer Mobile SSO pour iOS. n Configurez le fournisseur d'identité intégré, puis activez et configurez l'authentification Mobile SSO pour iOS pour le fournisseur d'identité dans la console d'administration de VMware Identity Manager. n Configurez le profil de périphérique iOS et activez l'authentification unique dans la console d'administration d'AirWatch. Configurer une autorité de certification Active Directory dans AirWatch Pour configurer l'authentification unique sur des périphériques mobiles iOS 9 gérés par AirWatch, vous pouvez établir une relation de confiance entre Active Directory et AirWatch et activer la méthode d'authentification Mobile SSO pour iOS dans VMware Identity Manager. Après avoir configuré le modèle d'autorité de certification et le modèle de certificat pour la distribution de certificats Kerberos dans les services de certificats Active Directory, activez AirWatch pour demander le certificat utilisé pour l'authentification et ajouter l'autorité de certification à la console d'administration d'AirWatch. Procédure 1 Dans le menu principal de la console d'administration d'AirWatch, accédez à Périphériques > Certificats > Autorités de certification. 2 Cliquez sur Ajouter. 3 Configurez ce qui suit sur la page Autorité de certification. Remarque Vérifiez que Microsoft AD CS est sélectionné comme type d'autorité avant de commencer à remplir ce formulaire. Option Description Nom Entrez un nom pour la nouvelle autorité de certification. Type d'autorité Vérifiez que Microsoft ADCS est sélectionné. Protocole Sélectionnez ADCS comme protocole. Nom d'hôte de serveur Entrez l'URL du serveur. Entrez le nom d'hôte au format https://{servername.com}/certsrv.adcs/. Le site peut être http ou https, en fonction de la configuration du site. L'URL doit inclure la / de fin. Remarque Si la connexion échoue lorsque vous testez l'URL, supprimez la partie http:// ou https:// de l'adresse et testez de nouveau la connexion. Administration de VMware Identity Manager 136 VMware, Inc.
  • 137.
    Option Description Nom d'autoritéEntrez le nom de l'autorité de certification à laquelle le point de terminaison ADCS est connecté. Vous pouvez voir ce nom en lançant l'application Autorité de certification sur le serveur d'autorité de certification. Authentification Vérifiez que Compte de service est sélectionné. Nom d'utilisateur et mot de passe Entrez le nom d'utilisateur et le mot de passe du compte d'administrateur AD CS avec un accès suffisant pour autoriser AirWatch à demander et émettre des certificats. 4 Cliquez sur Enregistrer. Suivant Configurez le modèle de certificat dans AirWatch. Configuration d'AirWatch pour qu'il utilise l'autorité de certification Active Directory Votre modèle d'autorité de certification doit être correctement configuré pour la distribution de certificats Kerberos. Dans les services de certificats Active Directory (AD CS), vous pouvez dupliquer le modèle Authentification Kerberos existant pour configurer un nouveau modèle d'autorité de certification pour l'authentification Kerberos iOS. Lorsque vous dupliquez le modèle Authentification Kerberos depuis AD CS, vous devez configurer les informations suivantes dans la boîte de dialogue Propriétés du nouveau modèle. Figure 13‑1. Boîte de dialogue Propriétés du nouveau modèle des services de certificats Active Directory n Onglet Général. Entrez le nom complet du modèle et le nom du modèle. Par exemple iOSKerberos. Il s'agit du nom complet indiqué dans les composants logiciels enfichables Modèles de certificat, Certificats et Autorité de certification. n Onglet Nom du sujet. Activez le bouton radio Fournir dans la demande. Le nom du sujet est fourni par AirWatch lorsqu'il demande le certificat. n Onglet Extensions. Définissez les stratégies d'application. n Sélectionnez Stratégies d'application et cliquez sur Modifier pour ajouter une nouvelle stratégie d'application. Nommez cette stratégie Authentification client Kerberos. n Ajoutez l'identificateur d'objet (OID) comme suit : 1.3.6.1.5.2.3.4. Ne le modifiez pas. n Dans la liste Description des stratégies d'application, supprimez toutes les stratégies répertoriées, sauf les stratégies Authentification client Kerberos et Authentification par carte à puce. n Onglet Sécurité. Ajoutez le compte AirWatch à la liste d'utilisateurs pouvant utiliser le certificat. Définissez les autorisations du compte. Définissez Contrôle total pour autoriser le principal de sécurité à modifier tous les attributs d'un modèle de certificat, notamment les autorisations du modèle de certificat. Autrement, définissez les autorisations en fonction des exigences de votre entreprise. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 137
  • 138.
    Enregistrez les modifications.Ajoutez le modèle à la liste des modèles utilisés par l'autorité de certification Active Directory. Dans AirWatch, configurez l'autorité de certification et ajoutez le modèle de certificat. Ajouter un modèle de certificat dans AirWatch Vous ajoutez le modèle de certificat qui associe l'autorité de certification utilisée pour générer le certificat de l'utilisateur. Prérequis Configurez l'autorité de certification dans AirWatch. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > Autorités de certification. 2 Sélectionnez l'onglet Modèle de demande et cliquez sur Ajouter. 3 Configurez ce qui suit sur la page du modèle de certificat. Option Description Nom Entrez le nom du nouveau modèle de demande dans AirWatch. Autorité de certification Dans le menu déroulant, sélectionnez l'autorité de certification qui a été créée. Modèle d'émission Entrez le nom du modèle de certificat d'autorité de certification Microsoft exactement comme vous l'avez créé dans AD CS. Par exemple, iOSKerberos. Nom du sujet Après CN=, entrez {EnrollmentUser}, où la zone de texte {} est la valeur de recherche d'AirWatch. Le texte entré ici est le sujet du certificat, qui peut être utilisé pour déterminer qui a reçu le certificat. Longueur de clé privée Cette longueur de clé privée correspond au paramètre sur le modèle de certificat utilisé par AD CS. En général, elle est de 2 048. Type de clé privée Cochez la case Signature et chiffrement. Type d'autre nom du sujet Pour l'autre nom du sujet, sélectionnez Nom principal de l'utilisateur. La valeur doit être {EnrollmentUser}. Si la vérification de la conformité du périphérique est configurée avec l'authentification Kerberos, vous devez définir un deuxième type d'autre nom du sujet pour inclure l'UDID. Sélectionnez le type d'autre nom du sujet DNS. La valeur doit être UDID={DeviceUid}. Renouvellement automatique des certificats Cochez la case pour que les certificats utilisant ce modèle soient renouvelés automatiquement avant leur date d'expiration. Période de renouvellement automatique (jours) Spécifiez le renouvellement automatique en jours. Activer la révocation de certificat Cochez la case pour que les certificats soient automatiquement révoqués lorsque des périphériques applicables sont désinscrits ou supprimés, ou si le profil applicable est supprimé. Publier la clé privée Cochez cette case pour publier la clé privée. Destination de la clé privée Service de répertoire ou Service Web personnalisé Administration de VMware Identity Manager 138 VMware, Inc.
  • 139.
    4 Cliquez surEnregistrer. Suivant Dans la console d'administration du fournisseur d'identité, configurez le fournisseur d'identité intégré avec la méthode d'authentification Mobile SSO pour iOS. Configurer le profil Apple iOS dans AirWatch à l'aide du modèle d'autorité de certification et du modèle de certificat Active Directory Créez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres du fournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que le périphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique a utilisé pour s'authentifier. Activez l'authentification unique pour autoriser l'accès transparent sans que l'authentification soit requise dans chaque application. Prérequis n Mobile SSO pour iOS est configuré dans VMware Identity Manager. n Fichier d'autorité de certification Kerberos iOS enregistré sur un ordinateur accessible depuis la console d'administration d'AirWatch. n L'autorité de certification et le modèle de certificat sont correctement configurés dans AirWatch. n Liste d'URL et d'ID de bundle d'application qui utilisent l'authentification Mobile SSO pour iOS sur des périphériques iOS. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profils. 2 Sélectionnez Ajouter > Ajouter un profil et sélectionnez Apple iOS. 3 Entrez le nom iOSKerberos et configurez les paramètres Général. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 139
  • 140.
    4 Dans levolet de navigation de gauche, sélectionnez Informations d'identification > Configurer pour configurer les informations d'identification. Option Description Source des informations d'identification Sélectionnez Autorité de certification définie dans le menu déroulant. Autorité de certification Sélectionnez l'autorité de certification dans la liste du menu déroulant. Modèle de certificat Sélectionnez le modèle de demande qui fait référence à l'autorité de certification dans le menu déroulant. Il s'agit du modèle de certificat créé dans Ajout du modèle de certificat dans AirWatch. 5 Cliquez de nouveau sur + dans l'angle inférieur droit de la page et créez un second lot d'informations d'identification. 6 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger. 7 Entrez un nom d'informations d'identification. 8 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC qui est téléchargé depuis la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré. 9 Dans le volet de navigation de gauche, sélectionnez Authentification unique et cliquez sur Configurer. 10 Entrez les informations de connexion. Option Description Nom de compte Entrez Kerberos. Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}. Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avez initialisé KDC dans le dispositif VMware Identity Manager. Par exemple : EXAMPLE.COM Renouvellement de certificat Sélectionnez Certificate#1 dans le menu déroulant. Il s'agit du certificat d'autorité de certification Active Directory qui a été configuré en premier avec des informations d'identification. Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce compte pour l'authentification Kerberos sur HTTP. Entrez l'URL du serveur VMware Identity Manager sous la forme https://myco.example.com. Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cette connexion. Pour exécuter l'authentification unique à l'aide du navigateur Safari intégré d'iOS, entrez le premier ID de bundle d'application sous la forme com.apple.mobilesafari. Entrez les ID de bundle d'application suivants. Les applications répertoriées doivent prendre en charge l'authentification SAML. 11 Cliquez sur Enregistrer et publier. Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent se connecter à VMware Identity Manager à l'aide de la méthode d'authentification Mobile SSO pour iOS sans entrer leurs informations d'identification. Suivant Créez un autre profil pour configurer d'autres fonctionnalités de votre choix, par exemple des clips Web afin de créer des icônes pour des applications Web que vous transférez depuis AirWatch vers les pages d'accueil du périphérique iOS ou le catalogue d'applications. Administration de VMware Identity Manager 140 VMware, Inc.
  • 141.
    Utilisation de l'autoritéde certification AirWatch pour l'authentification Kerberos Vous pouvez utiliser l'autorité de certification AirWatch au lieu de l'autorité de certification Active Directory pour configurer l'authentification unique avec l'authentification Kerberos intégré sur des périphériques mobiles iOS 9 gérés par AirWatch. Vous pouvez activer l'autorité de certification AirWatch dans la console d'administration d'AirWatch et exporter le certificat de l'émetteur de l'autorité de certification afin de l'utiliser dans le service VMware Identity Manager. L'autorité de certification AirWatch est conçue pour suivre le protocole d'inscription du certificat simple (SCEP) et est utilisée avec des périphériques gérés par AirWatch qui prennent en charge SCEP. L'intégration de VMware Identity Manager à AirWatch utilise l'autorité de certification AirWatch pour émettre des certificats sur des périphériques mobiles iOS 9 dans le cadre du profil. Le certificat racine de l'émetteur de l'autorité de certification AirWatch est également le certificat de signature OCSP. Activer et exporter l'autorité de certification AirWatch Lorsque VMware Identity Manager est activé dans AirWatch, vous pouvez générer le certificat racine de l'émetteur AirWatch et exporter le certificat pour l'utiliser avec l'authentification Mobile SSO pour iOS sur des périphériques mobiles iOS 9. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > VMware Identity Manager. 2 Pour activer l'autorité de certification AirWatch, le type de groupe d'organisation doit être Client. Conseil Pour afficher ou modifier le type de groupe, accédez à Groupes et paramètres, Groupes > Groupes organisationnels> Détails du groupe organisationnel. 3 Dans la section CERTIFICAT, cliquez sur Activer. La page affiche les détails du certificat racine de l'émetteur. 4 Cliquez sur Exporter et enregistrez le fichier. Suivant Dans la console d'administration de VMware Identity Manager, configurez l'authentification Kerberos dans le fournisseur d'identité intégré et ajoutez le certificat de l'émetteur de l'autorité de certification. Configurer le profil Apple iOS dans AirWatch à l'aide de l'autorité de certification AirWatch Créez et déployez le profil de périphérique Apple iOS dans AirWatch afin de transférer les paramètres du fournisseur d'identité au périphérique. Ce profil contient les informations nécessaires pour que le périphérique se connecte au fournisseur d'identité VMware et le certificat que le périphérique utilise pour s'authentifier. Prérequis n Kerberos intégré configuré dans Identity Manager. n Fichier de certificat racine du serveur KDC VMware Identity Manager enregistré sur un ordinateur accessible depuis la console d'administration d'AirWatch. n Certificat activé et téléchargé depuis la console d'administration d'AirWatch, page Système > Intégration d'entreprise > VMware Identity Manager. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 141
  • 142.
    n Liste d'URLet d'ID de bundle d'application qui utilisent l'authentification Kerberos intégré sur des périphériques iOS. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils et ressources > Profil > Ajouter un profil et sélectionnez Apple iOS. 2 Configurez les paramètres Général du profil et entrez le nom du périphérique iOSKerberos. 3 Dans le volet de navigation de gauche, sélectionnez SCEP > Configurer pour configurer les informations d'identification. Option Description Source des informations d'identification Sélectionnez Autorité de certification AirWatch dans le menu déroulant. Autorité de certification Sélectionnez Autorité de certification AirWatch dans le menu déroulant. Modèle de certificat Sélectionnez Authentification unique pour définir le type de certificat émis par l'autorité de certification AirWatch. 4 Cliquez sur Informations d'identification > Configurer et créez d'autres informations d'identification. 5 Dans le menu déroulant Source des informations d'identification, sélectionnez Télécharger. 6 Entrez le nom des informations d'identification Kerberos iOS. 7 Cliquez sur Télécharger pour télécharger le certificat racine du serveur KDC VMware Identity Manager qui est téléchargé depuis la page Identité et gestion de l'accès > Gérer > Fournisseurs d'identité > Fournisseur d'identité intégré. 8 Dans le volet de navigation de gauche, sélectionnez Authentification unique. 9 Entrez les informations de connexion. Option Description Nom de compte Entrez Kerberos. Nom principal Kerberos Cliquez sur + et sélectionnez {EnrollmentUser}. Domaine Entrez le nom de domaine que vous avez utilisé lorsque vous avez initialisé KDC dans le dispositif VMware Identity Manager. Par exemple, EXAMPLE.COM. Renouvellement de certificat Sur les périphériques iOS 8 et versions ultérieures, sélectionnez le certificat utilisé pour réauthentifier l'utilisateur automatiquement sans interaction de sa part lorsque sa session d'authentification unique expire. Préfixes d'URL Entrez les préfixes d'URL qui doivent correspondre pour utiliser ce compte pour l'authentification Kerberos sur HTTP. Entrez l'URL du serveur VMware Identity Manager sous la forme https://myco.example.com. Applications Entrez la liste des identités d'application qui sont autorisées à utiliser cette connexion. Pour exécuter l'authentification unique à l'aide du navigateur Safari intégré d'iOS, entrez le premier ID de bundle d'application sous la forme com.apple.mobilesafari. Entrez les ID de bundle d'application suivants. Les applications répertoriées doivent prendre en charge l'authentification SAML. 10 Cliquez sur Enregistrer et publier. Lorsque le profil iOS est correctement transféré aux périphériques des utilisateurs, ces derniers peuvent se connecter à VMware Identity Manager à l'aide de la méthode d'authentification Kerberos intégré sans entrer leurs informations d'identification. Administration de VMware Identity Manager 142 VMware, Inc.
  • 143.
    Suivant Créez un autreprofil pour configurer d'autres fonctionnalités de votre choix pour iOS Kerberos, par exemple des clips Web afin de créer des icônes pour des applications Web que vous transférez depuis AirWatch vers les pages d'accueil du périphérique iOS ou le catalogue d'applications. Implémentation de l'authentification Mobile SSO pour périphériques Android Mobile SSO pour Android est une implémentation de la méthode d'authentification de certificat pour les périphériques Android gérés par AirWatch. L'application mobile AirWatch Tunnel est installée sur le périphérique Android. Le client AirWatch Tunnel est configuré pour accéder au service VMware Identity Manager à des fins d'authentification. Le client tunnel utilise le certificat client pour établir une session SSL authentifiée mutuelle et le service VMware Identity Manager récupère le certificat client à des fins d'authentification. Remarque L'authentification Mobile SSO pour Android est prise en charge pour les périphériques Android 4.4 et versions ultérieures. Authentification Mobile SSO sans accès VPN L'authentification Mobile SSO pour périphériques Android peut être configurée pour contourner le serveur Tunnel lorsque l'accès VPN n'est pas requis. L'implémentation de l'authentification Mobile SSO pour Android sans VPN utilise les mêmes pages de configuration que lors de la configuration d'AirWatch Tunnel, mais comme vous n'installez pas le serveur Tunnel, vous n'entrez pas le nom d'hôte et le port du serveur AirWatch Tunnel. Vous configurez toujours un profil à l'aide du formulaire de profil AirWatch Tunnel, mais le trafic n'est pas dirigé vers le serveur Tunnel. Le client Tunnel est utilisé uniquement pour l'authentification unique. Dans la console d'administration d'AirWatch, vous configurez les paramètres suivants. n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet aux périphériques Android d'accéder à des applications internes et publiques gérées via le client d'application mobile AirWatch Tunnel. n Profil Tunnel par application. Ce profil est utilisé pour activer les capacités de tunneling par application pour Android. n Sur la page Règles de trafic réseau, comme le serveur Tunnel n'est pas configuré, vous sélectionnez Contournement pour qu'aucun trafic ne soit dirigé vers un serveur Tunnel. Authentification Mobile SSO avec accès VPN Lorsque l'application configurée pour l'authentification unique est également utilisée pour accéder à des ressources intranet derrière le pare-feu, configurez l'accès VPN et le serveur Tunnel. Lorsque l'authentification unique est configurée avec VPN, le client Tunnel peut en option diriger le trafic de l'application et les demandes de connexion via le serveur Tunnel. Au lieu de la configuration par défaut utilisée pour le client Tunnel dans la console en mode authentification unique, la configuration doit pointer vers le serveur Tunnel. L'implémentation de l'authentification Mobile SSO pour Android pour les périphériques Android gérés par AirWatch requiert la configuration d'AirWatch Tunnel dans la console d'administration d'AirWatch et l'installation du serveur AirWatch Tunnel pour que vous puissiez configurer Mobile SSO pour Android dans la console d'administration de VMware Identity Manager. Le service AirWatch Tunnel fournit l'accès VPN par application aux applications gérées par AirWatch. AirWatch Tunnel permet également de diriger le trafic proxy d'une application mobile vers VMware Identity Manager pour l'authentification unique. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 143
  • 144.
    Dans la consoled'administration d'AirWatch, vous configurez les paramètres suivants. n Composant Tunnel par application dans AirWatch Tunnel. Cette configuration permet aux périphériques Android d'accéder à des applications internes et publiques gérées via le client d'application mobile AirWatch Tunnel. Une fois les paramètres d'AirWatch Tunnel configurés dans la console d'administration, vous téléchargez le programme d'installation d'AirWatch Tunnel et exécutez l'installation du serveur AirWatch Tunnel. n Profil VPN Android. Ce profil est utilisé pour activer les capacités de tunneling par application pour Android. n Activez le VPN pour chaque application qui utilise la fonctionnalité Tunnel par application à partir de la console d'administration. n Créez des règles de trafic de périphérique avec une liste de toutes les applications qui sont configurées pour VPN par application, les détails du serveur proxy et l'URL de VMware Identity Manager. Pour voir des informations détaillées sur l'installation et la configuration d'AirWatch Tunnel, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Configurer l'authentification unique pour un périphérique Android dans la console d'administration d'AirWatch Configurez l'authentification unique pour des périphériques Android afin de permettre aux utilisateurs de se connecter en toute sécurité à des applications d'entreprise, sans entrer leur mot de passe. Pour configurer l'authentification unique pour des périphériques Android, vous n'avez pas besoin de configurer AirWatch Tunnel, mais vous configurez l'authentification unique avec la plupart des mêmes champs. Prérequis n Android 4.4 ou version ultérieure n Les applications doivent prendre en charge SAML ou une autre norme de fédération prise en charge Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel. 2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant de configuration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite, cliquez sur Configurer. 3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez sur Suivant. Conservez Basique comme modèle de déploiement. 4 Sur la page Détails, entrez une valeur factice dans la zone de texte, car ce champ n'est pas requis pour la configuration de l'authentification unique. Cliquez sur Suivant. 5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public, cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant. Le certificat racine de périphérique tunnel est généré automatiquement. Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour le nom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques valide pour le domaine correspondant. Administration de VMware Identity Manager 144 VMware, Inc.
  • 145.
    6 Sur lapage Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez sur Suivant. Option Description Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch. Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle de certificat que vous avez configurés dans AirWatch s'affiche. Vous pouvez également télécharger le certificat racine de votre autorité de certification. Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité de certification sur la page de configuration d'AirWatch Tunnel. 7 Cliquez sur Suivant. 8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnel pour Android. Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profil Android dans AirWatch. 9 Examinez le résumé de votre configuration et cliquez sur Enregistrer. Vous êtes dirigé vers la page de configuration des paramètres système. Configurer des paramètres d'accès VPN d'AirWatch Tunnel dans la console d'administration d'AirWatch Vous activez le composant Tunnel par application dans les paramètres d'AirWatch Tunnel afin de configurer la fonctionnalité de tunnelling par application pour les périphériques Android. Le tunneling par application permet à vos applications internes et publiques gérées d'accéder à vos ressources d'entreprise application par application. Le VPN peut se connecter automatiquement lorsqu'une application spécifiée est lancée. Pour voir des instructions détaillées sur la configuration d'AirWatch Tunnel, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel. 2 La première fois que vous configurez AirWatch Tunnel, sélectionnez Configurer et suivez l'assistant de configuration. Sinon, sélectionnez Remplacer et cochez la case Activer AirWatch Tunnel. Ensuite, cliquez sur Configurer. 3 Sur la page Type de configuration, activez Tunnel par application (Linux uniquement). Cliquez sur Suivant. Conservez Basique comme modèle de déploiement. 4 Sur la page Détails, pour la configuration de tunneling par application, entrez le nom d'hôte et le port du serveur AirWatch Tunnel. Par exemple, entrez tunnel.example.com. Cliquez sur Suivant. 5 Sur la page SSL, configurez le certificat SSL de tunneling par application. Pour utiliser un SSL public, cochez la case Utiliser le certificat SSL public. Cliquez sur Suivant. Le certificat racine de périphérique tunnel est généré automatiquement. Remarque Les certificats SAN ne sont pas pris en charge. Vérifiez que votre certificat est émis pour le nom d'hôte de serveur correspondant ou qu'il s'agit d'un certificat avec caractères génériques valide pour le domaine correspondant. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 145
  • 146.
    6 Sur lapage Authentification, sélectionnez le type d'authentification de certificat à utiliser. Cliquez sur Suivant. Option Description Valeur par défaut Sélectionnez Par défaut pour utiliser les certificats émis par AirWatch. Autorité de certification d'entreprise Un menu déroulant répertoriant l'autorité de certification et le modèle de certificat que vous avez configurés dans AirWatch s'affiche. Vous pouvez également télécharger le certificat racine de votre autorité de certification. Si vous sélectionnez Autorité de certification d'entreprise, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID. Vous pouvez télécharger les certificats d'autorité de certification sur la page de configuration d'AirWatch Tunnel. Si la vérification de la conformité du périphérique est configurée pour Android, vérifiez que le modèle d'autorité de certification contient le nom du sujet CN=UDID ou définissez un type d'autre nom du sujet pour inclure l'UDID. Sélectionnez le type d'autre nom du sujet DNS. La valeur doit être UDID={DeviceUid}. 7 Cliquez sur Suivant. 8 Sur la page Association de profil, associez un profil existant ou créez un profil VPN AirWatch Tunnel pour Android. Si vous créez le profil à cette étape, vous devez toujours le publier. Consultez Configurer un profil Android dans AirWatch. 9 (Facultatif) Sur la page Divers, activez les journaux d'accès pour les composants Tunnel par application. Cliquez sur Suivant. Vous devez activer ces journaux avant d'installer le serveur AirWatch Tunnel. 10 Examinez le résumé de votre configuration et cliquez sur Enregistrer. Vous êtes dirigé vers la page de configuration des paramètres système. 11 Sélectionnez l'onglet Général et téléchargez le dispositif virtuel Tunnel. Vous pouvez utiliser VMware Access Point pour déployer le serveur Tunnel. Suivant Installez le serveur AirWatch Tunnel. Pour voir des instructions, consultez le guide VMware AirWatch Tunnel sur le site Web AirWatch Resources. Configurer le profil Tunnel par application pour Android Une fois que vous avez configuré et installé le composant Tunnel par application d'AirWatch Tunnel, vous pouvez configurer le profil VPN Android et ajouter une version au profil. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Périphériques > Profils > Ajouter un profil et sélectionnez Android ou Android for Work. 2 Configurez les Paramètres généraux pour Android, si ce n'est pas déjà fait. 3 Dans la colonne de gauche, sélectionnez VPN et cliquez sur Configurer. Administration de VMware Identity Manager 146 VMware, Inc.
  • 147.
    4 Renseignez lesinformations sur la connexion VPN. Option Description Type de connexion Sélectionnez AirWatch Tunnel. Nom de la connexion Entrer un nom pour cette connexion. Par exemple, Configuration AndroidSSO. Serveur L'URL du serveur AirWatch Tunnel est entrée automatiquement. Règles VPN par application Cochez la case Règles VPN par application. 5 Cliquez sur Ajouter une version. 6 Cliquez sur Enregistrer et publier. Suivant Activez le VPN par application pour les applications Android auxquelles vous pouvez accéder à l'aide de Mobile SSO pour Android. Voir « Activer VPN par application pour les applications Android », page 147. Activer VPN par application pour les applications Android Le paramètre Profil VPN par application est activé pour les applications Android auxquelles vous accédez avec Mobile SSO pour Android de VMware Identity Manager. Prérequis n AirWatch Tunnel configuré avec le composant Tunnel par application installé. n Profil VPN Android créé. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Applications et livres > Applications > Mode Liste. 2 Sélectionnez l'onglet Interne. 3 Sélectionnez Ajouter une application et ajoutez une application. 4 Cliquez sur Enregistrer et attribuer. 5 Sur la page Attribution, sélectionnez Ajouter une attribution et, dans la section Avancé du menu déroulant Profil VPN par application, sélectionnez le profil VPN Android que vous avez créé. 6 Cliquez sur Enregistrer et publier. Activez le VPN par application pour les applications Android auxquelles vous accédez à l'aide de Mobile SSO pour Android. Pour plus d'informations sur l'ajout ou la modifications d'applications, consultez le guide de gestion des applications mobiles VMware AirWatch, sur le site Web des ressources d'AirWatch. Suivant Créez les règles de trafic réseau. Voir « Configurer des règles de trafic réseau dans AirWatch », page 148. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 147
  • 148.
    Configurer des règlesde trafic réseau dans AirWatch Configurez les règles de trafic réseau pour que le client AirWatch Tunnel dirige le trafic vers le proxy HTTPS pour les périphériques Android. Vous répertoriez les applications Android qui sont configurées avec l'option VPN par application sur les règles de trafic, et vous configurez l'adresse du serveur proxy et le nom d'hôte destination. Pour voir des informations détaillées sur la création de règles de trafic réseau, consultez le guide VMware AirWatch Tunnel sur le site Web des ressources d'AirWatch. Prérequis n Option AirWatch Tunnel configurée avec le composant Tunnel par application installé. n Profil VPN Android créé. n VPN par application activé pour chaque application Android ajoutée aux règles de trafic réseau. Procédure 1 Dans la console d'administration d'AirWatch, accédez à Système > Intégration d'entreprise > AirWatch Tunnel > Règles de trafic réseau. 2 Configurez les paramètres de règles de trafic réseau comme décrit dans le guide d'AirWatch Tunnel. Point spécifique pour la configuration de Mobile SSO pour Android, sur la page Règles de trafic réseau, configurez les paramètres suivants. a Dans la colonne Application, ajoutez les applications Android qui sont configurées avec le profil VPN par application. b Dans la colonne Action, sélectionnez Proxy et spécifiez les informations du proxy HTTPS. Entrez le port et le nom d'hôte de VMware Identity Manager. Par exemple login.example.com:5262. Remarque Si vous fournissez un accès externe à l'hôte VMware Identity Manager, le port de pare- feu 5262 doit être ouvert ou le trafic du port 5262 doit être traité par proxy via un proxy inverse dans la zone DMZ. c Dans la colonne Nom d'hôte de destination, entrez le nom d'hôte VMware Identity Manager de destination. Par exemple myco.example.com. Le client AirWatch Tunnel dirige le trafic vers le proxy HTTPS à partir du nom d'hôte VMware Identity Manager. 3 Cliquez sur Enregistrer. Administration de VMware Identity Manager 148 VMware, Inc.
  • 149.
    Suivant Publiez ces règles.Une fois les règles publiées, le périphérique reçoit un profil VPN de mise à jour et l'application AirWatch Tunnel est configurée pour activer SSO. Accédez à la console d'administration de VMware Identity Manager et configurez Mobile SSO pour Android sur la page du fournisseur d'identité intégré. Voir GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD. Activer la vérification de la conformité pour les périphériques gérés par AirWatch Lorsque les utilisateurs inscrivent leurs périphériques via l'application AirWatch Agent, des exemples contenant des données utilisées pour évaluer la conformité sont envoyés selon un calendrier établi. L'évaluation de ces exemples de données garantit que le périphérique répond aux règles de conformité définies par l'administrateur dans la console AirWatch. Si le périphérique n'est plus conforme, les mesures correspondantes configurées dans la console AirWatch sont prises. VMware Identity Manager inclut une option de stratégie d'accès pouvant être configurée pour vérifier sur le serveur AirWatch l'état de conformité du périphérique lorsque des utilisateurs se connectent à partir du périphérique. La vérification de la conformité garantit que les utilisateurs ne peuvent pas se connecter à une application ou utiliser l'authentification unique sur le portail de VMware Identity Manager si le périphérique devient non conforme. Une fois le périphérique de nouveau conforme, il est possible de se connecter. L'application Workspace ONE se déconnecte automatiquement et bloque l'accès aux applications si le périphérique est compromis. Si le périphérique a été inscrit via la gestion adaptative, une commande de nettoyage d'entreprise émise via la console d'AirWatch désinscrit le périphérique et supprime les applications gérées à partir du périphérique. Les applications non gérées ne sont pas supprimées. Pour plus d'informations sur les stratégies de conformité d'AirWatch, consultez le guide de gestion des périphériques mobiles VMware AirWatch, disponible sur le site Web des ressources d'AirWatch. Configurer une règle de stratégie d'accès pour la vérification de la conformité Configurez une règle de stratégie d'accès qui requiert la vérification de la conformité pour permettre à VMware Identity Manager de vérifier que les périphériques gérés par AirWatch respectent les stratégies de conformité de périphérique d'AirWatch. Vous activez la vérification de la conformité dans le fournisseur d'identité intégré. Lorsque la vérification de la conformité est activée, vous créez une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques gérés par AirWatch. La règle de stratégie de vérification de la conformité fonctionne dans une chaîne d'authentification avec Mobile SSO pour iOS, Mobile SSO pour Android et le déploiement de Cloud de certificat. La méthode d'authentification à utiliser doit précéder l'option de conformité des périphériques dans la configuration de la règle de stratégie. Prérequis Les méthodes d'authentification configurées dans le fournisseur d'identité intégré. Procédure 1 Dans l'onglet Identité et gestion de l'accès de la console d'administration, sélectionnez Configuration > AirWatch. 2 Dans la section Vérification de la conformité de la page AirWatch, sélectionnez Activer. 3 Cliquez sur Enregistrer. Chapitre 13 Intégration d'AirWatch à VMware Identity Manager VMware, Inc. 149
  • 150.
    4 Dans l'ongletGestion des identités et des accès, accédez à Gérer > Stratégies. 5 Sélectionnez la stratégie d'accès à modifier. 6 Dans la section Règles de stratégie, sélectionnez la règle à modifier. 7 Dans le menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, cliquez sur + et sélectionnez la méthode d'authentification à utiliser. 8 Dans le second menu déroulant alors l'utilisateur doit s'authentifier selon la méthode suivante, sélectionnez Conformité des périphériques (avec AirWatch). 9 (Facultatif) Dans la zone de texte Texte du message de la section Message d'erreur personnalisé, créez un message personnalisé qui s'affiche lorsque l'authentification d'un utilisateur échoue parce que le périphérique n'est pas conforme. Dans la zone de texte Lien d'erreur personnalisé, vous pouvez ajouter un lien au message. 10 Cliquez sur Enregistrer. Administration de VMware Identity Manager 150 VMware, Inc.
  • 151.
    Index A accéder aux événements122 Accès à distance à l'application, client 114 Active Directory authentification Windows intégrée 15 déploiement 81 intégration 17 mappage d'attributs 24 Active Directory à forêt unique 17 Active Directory via LDAP 15, 26 activer l'approbation de licence 117 activer l'autorité de certification AirWatch 141 activer la vérification de conformité 149 activer le catalogue unifié 131 activer le cookie persistant 94 admin,authentification 49 Affichage, activer 110 affichage des informations de l'utilisateur 97 affiliations de groupe, utilisateur 97 AirWatch activer le catalogue unifié 132 certificat 129 compte d'administrateur 129 configurer le profil iOS 139, 141 vérification de conformité des périphériques 149 AirWatch Tunnel, configurer 145 AirWatch, configuration dans VMware Identity Manager 131 AirWatch, configurer 127 AirWatch, intégration à Identity Manager 127 AirWatch, règles de trafic réseau 148 ajouter Active Directory 26 ajouter des groupes 98 ajouter des utilisateurs locaux 102 Ajouter un bouton de fournisseur d'identité 81 ajouter un utilisateur local 102 ajouter une application Web 109 alertes ThinApp 117 Android, authentification unique 144 Android, VPN par application 147 annuaire ajout 26 ajouter 15 protections de synchronisation 33 sécurité des synchronisations 33 annuaire AirWatch, attributs utilisateur 133 annuaire, AirWatch 134 annuaires, ajouter 10 annuaires LDAP intégration 35, 36 limites 35 aperçu, Paramètres de gestion des identités et des accès 10 API REST 117 application, catégories 113 application auxiliaire 114 applications mobile 108 Web 108 applications mobiles, type de ressource 108 applications publiées Citrix, activer 111 applications Web 108 approbation de licence 117 approbations 117 assertions SAML, juste-à-temps 55 attributs mappage 24 par défaut 24 attributs utilisateur, configuration 10 attributs utilisateur pour répertoires locaux 43 attributs utilisateur, annuaire AirWatch 133 authentification RADIUS 67 VPN par application pour les applications Android 147 authentification à deux facteurs 76 authentification AirWatch Cloud Connector 133 authentification Android, règles de trafic réseau 148 authentification hors bande 70 authentification Kerberos iOS 61 authentification par carte à puce 72, 73 authentification par mot de passe AirWatch Cloud 79 authentification RADIUS 67 authentification Windows intégrée 26 authentification, AirWatch Cloud Connector 133 authentification, Mobile SSO pour Android 143 authentification, mot de passe AirWatch 79 VMware, Inc. 151
  • 152.
    authentification, profil Android146 autorité de certification Active Directory 137 autorité de certification AirWatch, OCSP 141 autorité de certification AirWatch, activer 141 autorité de certification de carte à puce 73 autorité de certification pour AirWatch, authentification Kerberos 136 autorité de certification, carte à puce 73 autre annuaire 134 AWCA 141 C carte à puce, configurer 74 catalogue ajouter une application Web 109 gestion 107 catalogue global Active Directory 17 catalogue unifié, activer pour AirWatch 132 catalogue, applications publiées Citrix 111 catalogue, modules ThinApp 111 catalogue, View 110 catégories application 112 création 112 retrait 112, 113 suppression 113 centre de distribution de clés 61 chaînage d'authentification 87 Chrome 64 clé API 127, 128 clé API AirWatch 128 clé API REST 128 configuration RADIUS 68 Configurer AirWatch 127 configurer l'intégration d'AirWatch 131 configurer le profil de périphérique iOS 139 configurer RSA Adaptive Authentication 71 connecteur 15 Connecteur 59 connecteurs, code d'activation 10 Connector 81, 83 console d'administration 9 contrôle de la révocation, carte à puce 74 cookie persistant, activer 94 cookie, persistant 94 D déconnexion unique, fournisseur d'identité 81 dépannage du fichier domain_krb.properties 23 désactivation téléchargement d'Horizon Client 114 téléchargement de Citrix Receiver 114 désactiver des utilisateurs locaux 103 désactiver un compte 24 descriptions de l'onglet d'administration 9 domaine 25 domaine système 41 domaines multiples 17 droits, utilisateur 97 durée de session de réauthentification, configurer 85 E enregistrer des utilisateurs dans VMware Verify 77 ensemble de stratégies d'accès, par défaut 92 ensembles de stratégies d'accès création 92 par défaut 84, 87, 93 portail 87, 92 spécifiques à une application Web 90, 92, 93 état du dispositif 120 exporter l'autorité de certification AirWatch 141 externe, surveiller 120 F fichier domain_krb.properties 19, 21, 22 fichier runtime-config.properties 21 Firefox 64 fournisseur d'identité système 41 fournisseur d'identité Connecteur 59 Connector 83 déconnexion unique 81 Espace de travail 80 intégré 78 tiers 59, 83, 113 fournisseur d'identité intégré, activer 78 fournisseur d'identité intégré, configurer 78, 79 fournisseur d'identité tiers 81 fournisseurs d'identité relation à des stratégies d'accès 87 tiers 81 G group ajouter des utilisateurs 98 attribuer des ressources 98, 101 groupes Active Directory 95 ajouter 98 Espace de travail 98 rapport d'appartenance 121 groupes du serveur de dossiers 95 Administration de VMware Identity Manager 152 VMware, Inc.
  • 153.
    H historique des motsde passe, paramètre 104 I IDP Workspace 80 images de l'espace de travail 108 informations de marque, VMware Verify 126 informations de marque personnalisées, configuration 10 informations système 120 instances de fournisseurs d'identité, sélection 83 intégration à Active Directory 17 intégration d'AirWatch 127 intégration d'annuaire 15 Internet Explorer 62 J joindre le domaine, kerberos 61 K Kerberos Authentification Windows 61 configurer 61 configurer AirWatch 137 intégré 135 navigateurs à configurer 62 vérification de conformité 149 Kerberos, implémentation avec IWA 61 L logo, ajouter 123 longueur minimale du mot de passe 104 M magasin d'utilisateurs 81 message d'accès refusé, configurer 85 message d'erreur d'authentification 92 message d'erreur personnalisé 92 méthode d'authentification 81 méthodes d'authentification ajout à une stratégie 85 relation à des stratégies d'accès 87, 92, 93 RSA Adaptive Authentication 70 mettre à niveau AirWatch Cloud Connector 135 mise à niveau d'AirWatch, mettre à jour le service 135 Mobile SSO pour Android, mise en œuvre 143 Mobile SSO pour iOS 135 modèle de certificat pour AirWatch, Kerberos 138 modifier un mot de passe Active Directory 31 modifier un mot de passe AD 31 Modules ThinApp, activer 111 mot de passe 104 mot de passe (répertoire local), admin 49 mots de passe, expiré 31 mots de passe Active Directory expirés 31 N navigateurs, pris en charge 9 navigateurs pour kerberos 62 navigation dans la console d'administration 9 noms d'attribut personnalisés, ne pas utiliser 24 noms d'utilisateur 96, 97 noms de groupe 96, 97 notification des rappels de mot de passe 104 notification monotouche 76 O ordre des méthodes d'authentification 85 P page Attributs utilisateur 24 page de connexion, personnaliser 123 page Portail, personnaliser 125 paramètres, catalogue 113 paramètres de gestion des identités et des accès 10 paramètres de répertoire local 47 paramètres de sécurité, ignorer 34 paramètres de synchronisation 24 paramètres du catalogue, applications publiées Citrix 116 paramètres globaux, désactiver l'application auxiliaire 114 personnaliser la page Portail 125 personnaliser les informations de marque 123 plage d'adresses IP 83 plage réseau 81, 83 plages réseau, relation à des stratégies d'accès 87, 92, 93 popularité des ressources 119 portail de l'utilisateur, personnaliser 123 préférences, cookie persistant 94 profil Apple iOS dans AirWatch 141 profil Tunnel par application pour Android 146 profil utilisateur 97 propriété siteaware.subnet 21 propriétés ICA 116 protection 10 protections, synchronisation d'annuaire 33 provisionnement d'utilisateurs juste-à-temps aperçu 51 assertions SAML 55 attributs utilisateur 53 configuration 54 Index VMware, Inc. 153
  • 154.
    désactivation 56 groupes locaux52 messages d'erreurs 57 préparation 52 suppression du répertoire 56 public concerné 7 Q questions de sécurité 70 R rapport activité des ressources 121 rôles 121 utilisation des périphériques 121 Rapport Appartenance à un groupe 121 rapport d'activité des ressources 121 Rapport d'événement audité 122 rapport d'utilisation des périphériques 121 Rapport Droits des ressources 121 rapport sur l'attribution des rôles 121 Rapport Utilisateurs 121 Rapport Utilisation des ressources 121 rapports 121 recherche de l'emplacement du service DNS 19, 21, 22 recherche SRV 19, 21, 22 règle de stratégie, vérification de conformité 149 règles 93 règles de stratégie, chaînage d'authentification 87 réinitialiser un mot de passe Active Directory 31 réinitialiser VMware Verify 77 répertoire juste-à-temps 51, 56 répertoire LDAP 15 répertoire local ajouter un domaine 47 associer à un fournisseur d'identité 46 attributs utilisateur 47 changer le nom 47 créer 43, 44 modifier 47 modifier le nom de domaine 47 supprimer 48 supprimer un domaine 47 répertoire système 41 répertoires locaux 41, 43, 46–48 ressource, approbation de licence 117 ressources attribuer à des groupes 98 autoriser 101 catégories 111, 112 pourcentage de types utilisés 119 révocation du certificat des cartes à puce 74 rôles, utilisateur 97 RSA Adaptive Authentication, inscrire des utilisateurs 70 RSA Adaptive Authentication, configurer 71 S SAML certificat 113 fournisseurs d'identité tiers 81 métadonnées 113 SecurID, configurer 66 sécurité des synchronisations, ignorer 34 sécurité, seuil 33 sélection de fournisseur d'identité, configuration 81 serveur RADIUS 68 serveur RSA SecurID 65 SMS 76 stratégie, modification 93 stratégie des mots de passe 104 stratégies d'accès Niveau d'authentification 84 relation à des fournisseurs d'identité 87, 92, 93 réseau 87, 90 Réseau 84 score d'authentification minimal 87, 90 spécifiques à une application Web 90, 92, 93 TTL 84, 87, 90 Type de client 84 supprimer un utilisateur local 103 surveiller la santé de l'espace de travail 120 synchroniser le domaine, utilisateur 97 T tableau de bord 119 tableau de bord Diagnostics du système 120 TOTP 76 travailleur 15 tunnel, AirWatch 144 U UPN 73 userName 96 utilisateur, droits 97 utilisateur final,Workspace ONE 9 utilisateur local ajouter 102 désactivation 103 supprimer 103 Administration de VMware Identity Manager 154 VMware, Inc.
  • 155.
    utilisateurs Active Directory 95 attributsutilisateur 24 utilisateurs connectés, nombre 119 utilisateurs invités 95 utilisateurs locaux 41 utilisateurs locaux, ajouter 102 V validation technique 81 vérification de conformité avec AirWatch 149 vérification de conformité dans AirWatch 149 version 120 VMware Verify jeton de sécurité 76 réinitialiser 97 VMware Verify, activer 76 VMware Verify, annuler l'enregistrement de 77 VMware Verify, authentification à deux facteurs 76 VMware Verify, enregistrer des utilisateurs 77 VMware Verify,informations de marque 126 vue Mobile, personnaliser 125 vue Tablette, personnaliser 125 Index VMware, Inc. 155
  • 156.
    Administration de VMwareIdentity Manager 156 VMware, Inc.