Guide d'accessagent sur infrastructure de bureau virtuelle

Transcription

1 IBM Security Access Manager for Enterprise Single Sign-On Version Guide d'accessagent sur infrastructure de bureau virtuelle SC

2

3 IBM Security Access Manager for Enterprise Single Sign-On Version Guide d'accessagent sur infrastructure de bureau virtuelle SC

4 Important Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 19. Deuxième édition - juin 2014 Réf. US : SC LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu'ils y seront annoncés. Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v (serveur IBM en France) v (serveur IBM au Canada) v (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité 17, avenue de l'europe Bois-Colombes Cedex Remarque : Cette édition s'applique à la version de IBM Security Access Manager for Enterprise Single Sign-On (numéro de produit 5724 V67) et à toutes les éditions et modifications postérieures jusqu'à indication contraire dans les nouvelles éditions. Copyright IBM Corporation 2002, 2014.

5 Table des matières Tableaux v Avis aux lecteurs canadiens..... vii A propos de cette publication..... ix Accès aux publications et à la terminologie.... ix Accessibilité xii Formation technique xii Informations relatives au support xiii Déclaration de bonnes pratiques de sécurité... xiii Chapitre 1. Présentation Infrastructure de bureau virtuel Chapitre 2. Configurations et limitations pour une infrastructure de bureau virtuel Chapitre 3. Configuration de la connexion unique Vérification de l'environnement VDI Création du modèle de règle machine VDI pour l'image de base Configuration d'accessagent dans l'image de base. 6 Création de pools de bureaux virtuels Création d'un catalogue de machines Mise à jour de l'image de base après des modifications dans AccessAgent Profils d'accès de connexion unique pour portail VDI Chapitre 4. Workflows utilisateur pour accéder au bureau virtuel Accès au bureau virtuel à partir d'un ordinateur client avec AccessAgent Accès au bureau virtuel à partir d'un ordinateur client sans AccessAgent Chapitre 5. Résolution des problèmes de bureau virtuel Chapitre 6. Paramètres de registre VDI 17 Remarques Glossaire A B C D E F G H I J L M N O P Q R S T U V W Index Copyright IBM Corp. 2002, 2014 iii

6 iv IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

7 Tableaux 1. Configuration de la connexion unique profils d'accès Copyright IBM Corp. 2002, 2014 v

8 vi IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

9 Avis aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claviers Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002, v le code clavier CF. Nomenclature Les touches présentées dans le tableau d'équivalence suivant sont libellées différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier. Copyright IBM Corp. 2002, 2014 vii

10 Brevets Il est possible qu'ibm détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'ibm vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d'utilisation au directeur général des relations commerciales d'ibm, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au viii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

11 A propos de cette publication IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle fournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau virtuel, ainsi que les différents flux de travaux utilisateur pour accéder au bureau virtuel. Accès aux publications et à la terminologie Cette section contient : v Une liste des publications contenues dans la «Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On». v Des liens vers «Des publications en ligne», à la page xii. v Un lien vers «Site Web de terminologie IBM», à la page xii. Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Les documents suivants sont disponibles dans la bibliothèque IBM Security Access Manager for Enterprise Single Sign-On : v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide, CF3T3ML IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide fournit un démarrage rapide pour les principales tâches d'installation et de configuration pour le déploiement et l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement contient des informations sur la planification du déploiement et la préparation de l'environnement. Il contient une présentation des fonctions et des composants du produit, de l'installation et de la configuration requises ainsi que les différents scénarios de déploiement. Il décrit également comment obtenir une haute disponibilité et la reprise sur sinistre. Lisez ce guide avant d'effectuer toute tâche d'installation ou de configuration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation, GI IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation fournit les procédures détaillées d'installation, de mise à niveau et de désinstallation d'ibm Security Access Manager for Enterprise Single Sign-On. Ce guide vous aide à installer les différents composants du produit et les middlewares qu'ils requièrent. Il comprend également les configurations initiales qui sont requises pour effectuer le déploiement du produit. Il traite des procédures d'utilisation des dispositifs virtuels, des éditions de WebSphere Application Server Base et du déploiement réseau. IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Server, de l'interface utilisateur d'accessagent et de son comportement. Copyright IBM Corp. 2002, 2014 ix

12 v v v v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration, SC Ce guide est destiné aux administrateurs. Il traite des différentes tâches d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration fournit les procédures pour créer et attribuer des modèles de règle, éditer des valeurs de règle, générer des journaux et des rapports et sauvegarder IMS Server et sa base de données. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles fournit une description détaillée des différentes règles utilisateur, machine et système que les administrateurs peuvent configurer dans AccessAdmin. Utilisez-le en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistance, SC Ce guide est destiné aux représentants du service d'assistance. IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistance fournit aux représentants du service d'assistance des informations pour gérer les demandes et requêtes des utilisateurs, portant généralement sur leurs facteurs d'authentification. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation, SC Ce guide est destiné aux utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation explique comment utiliser AccessAgent et Web Workplace. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur les problèmes liés à l'installation, la mise à niveau ou l'utilisation du produit. Il traite des problèmes connus et des limitations du produit. Il vous aide à déterminer les symptômes et la solution de contournement d'un problème. Vous y trouverez également des informations sur les correctifs, les bases de connaissances et le support technique. IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur, GC IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur décrit tous les messages d'information, d'avertissement et d'erreur associés à IBM Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio fournit des informations sur la création et l'utilisation des profils d'accès. Il fournit des procédures pour la création et l'édition de profils d'accès standard et avancés pour différents types d'application. Il contient également des informations sur la gestion des services d'authentification et des objets application ainsi que des informations sur d'autres fonctions et dispositifs d'accessstudio. x IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

13 v v v v v v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile fournit des informations sur la création et l'utilisation de widgets. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Manager, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Manager explique comment créer et déployer des fixlets pour installer ou mettre à niveau AccessAgent ou gérer ses correctifs. Il comprend également des rubriques sur l'utilisation et la personnalisation du tableau de bord pour afficher des informations sur le déploiement d'accessagent sur les noeuds finaux. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnement, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnement fournit des informations sur les différentes API Java et SOAP pour le provisionnement. Il couvre également les procédures d'installation et de configuration de l'agent Provisioning Agent. IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification fournit des informations sur l'installation et la configuration de l'api Web pour la gestion des données d'identification. IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'id série, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'id série décrit comment intégrer une unité avec des numéros de série et l'utiliser en tant que second facteur d'authentification avec AccessAgent. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic fournit des informations sur l'intégration d'ibm Security Access Manager for Enterprise Single Sign-On et d'epic, avec les flux de travaux, les configurations et le déploiement pris en charge. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte fournit des informations sur l'installation, la configuration et le test de la solution intégrée de gestion de contexte sur chaque poste de travail client. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile fournit des informations sur le déploiement et l'utilisation de la connexion unique sur les appareils mobiles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle fournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau virtuel, ainsi que les différents flux de travaux utilisateur pour accéder au bureau virtuel. A propos de cette publication xi

14 v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server, SC IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server fournit des informations sur les configurations requises et les flux de travaux pris en charge par les serveurs Citrix Server et Terminal Server. Des publications en ligne IBM poste ses publications lors du lancement du produit et lorsque ces documents sont mis à jour aux emplacements suivants : Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Le site de la documentation du produit ( infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) affiche la page d'accueil de la bibliothèque et la navigation. IBM Security Systems Documentation Central IBM Security Systems Documentation Central fournit une liste alphabétique de toutes les bibliothèques produit des systèmes de sécurité IBM et des liens vers la documentation en ligne pour les versions spécifiques de chaque produit. IBM Publications Center IBM Publications Center comporte des fonctions de recherche personnalisée pour vous permettre de trouver toutes les publications IBM dont vous avez besoin. Site Web de terminologie IBM Le site Web de terminologie IBM regroupe la terminologie des bibliothèques de logiciels en un seul emplacement. Vous pouvez accéder au site Web de terminologie à l'adresse Accessibilité Formation technique Les fonctions d'accessibilité permettent à un utilisateur souffrant d'un handicap physique, comme une mobilité réduite ou une vision limitée, d'utiliser plus facilement les logiciels. Ce produit vous permet d'utiliser des technologies d'assistance pour naviguer dans l'interface à l'aide de fonctions auditives. Vous pouvez également vous servir du clavier au lieu de la souris pour utiliser toutes les fonctions de l'interface graphique. Pour plus d'informations, consultez "Fonctions d'accessibilité" dans IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement. Pour plus d'informations sur la formation technique, voir le site Web de formation IBM à l'adresse suivante : xii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

15 Informations relatives au support Le support IBM vous offre une assistance dans la résolution de vos problèmes de codes, de routine, d'installation de courte durée et de vos questions liées à l'utilisation. Vous pouvez accéder directement au site de support logiciel IBM à l'adresse IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur : v Les informations à collecter avant de contacter le support IBM. v Les diverses méthodes permettant de contacter le support IBM. v Comment utiliser IBM Support Assistant. v Les instructions et ressources d'identification de problème permettant d'isoler et résoudre le problème vous-même. Remarque : L'onglet Communauté et support se trouvant dans le centre de documentation du produit peut fournir des ressources de support additionnelles. Déclaration de bonnes pratiques de sécurité La sécurité des systèmes informatiques implique la protection des systèmes et des informations via la prévention, la détection et la réponse en cas d'accès incorrect au sein et à l'extérieur de votre entreprise. Un accès non autorisé peut se traduire par la modification, la destruction ou une utilisation inadéquate ou malveillante de vos systèmes, y compris l'utilisation de ces derniers pour attaquer d'autres systèmes. Aucun système ou produit informatique ne doit être considéré comme étant complètement sécurisé et aucun produit, service ou mesure de sécurité ne peut être entièrement efficace contre une utilisation ou un accès non autorisé. Les systèmes, les produits et les services IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produits ou services pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE TOUS LES SYSTEMES, PRODUITS OU SERVICES SONT A L'ABRI DES CONDUITES MALVEILLANTES OU ILLICITES DE TIERS OU QU'ILS PROTEGERONT VOTRE ENTREPRISE CONTRE CELLES-CI. A propos de cette publication xiii

16 xiv IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

17 Chapitre 1. Présentation Une infrastructure Virtual Desktop Infrastructure est constituée de systèmes d'exploitation de bureau hébergés dans des machines virtuelles sur un serveur centralisé. IBM Security Access Manager for Enterprise Single Sign-On prend en charge la connexion unique aux bureaux Virtual Desktop et aux applications sur les bureaux Virtual Desktop via AccessAgent. Les utilisateurs peuvent accéder aux bureaux Virtual Desktop et aux applications à partir d'un PC client de bureau ou d'un client léger. Séquence du support par AccessAgent des infrastructures de bureau virtuel Le diagramme suivant présente la séquence du support de Virtual Desktop Infrastructure. Copyright IBM Corp. 2002,

18 Infrastructure de bureau virtuel L'infrastructure Virtual Desktop Infrastructure est constituée de plusieurs composants. Le tableau suivant répertorie les différents composants de VMware Virtual Desktop Infrastructure et de Citrix Virtual Desktop Infrastructure. Composant Logiciel client Agent image de base VMware Virtual Desktop Infrastructure VMware View Client Ce composant est installé sur tous les ordinateurs et clients légers à partir desquels vous souhaitez accéder aux bureaux Virtual Desktop. VMware View Agent Ce composant est installé sur tous les modèles de bureau Virtual Desktop. Citrix Virtual Desktop Infrastructure Citrix Receiver for Citrix XenDesktop : Ce composant fournit aux utilisateurs l'accès Web à leurs bureaux Virtual Desktop. Virtual Desktop Agent for Citrix XenDesktop versions 5.5 et 5.6 Virtual Delivery Agent for Citrix XenDesktop versions 7.0 et 7.1 Serveur de connexion VMware View Composer Ce composant sert à rééquilibrer, recomposer ou actualiser les images de bureau régulièrement. Installé sur les systèmes d'exploitation de serveur ou de poste de travail. Virtual Desktop Agent permet des connexions pour les bureaux et les applications. Controller for Citrix XenDesktop versions 5.5 et 5.6 Delivery Controller for Citrix XenDesktop versions 7.0 et 7.1 Console d'administration VMware View Administrator Ce composant se trouve sur l'ordinateur sur lequel vous avez installé VMware View Connection Server. Ce composant crée et gère les bureaux Virtual Desktop pour les utilisateurs. Desktop Studio for Citrix XenDesktop versions 5.5 et 5.6 Studio for Citrix XenDesktop versions 7.0 et 7.1 Console à partir de laquelle les administrateurs peuvent installer, configurer, créer et gérer les bureaux Virtual Desktop et publier des applications. 2 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

19 Chapitre 2. Configurations et limitations pour une infrastructure de bureau virtuel La connexion unique dans une infrastructure Virtual Desktop Infrastructure nécessite une configuration. Vous devez connaître les configurations, les systèmes d'exploitation et les applications pris en charge ainsi que les limitations existantes avant de procéder à la configuration. Règles de configuration d'accessagent La configuration suivante est prise en charge : v AccessAgent prend en charge : VMware View versions bits et 64 bits, et bits Citrix XenDesktop versions 5.5 et 5.6, 32 bits et 64 bits Citrix XenDesktop version 7.0 et bits v L'image de base du bureau Virtual Desktop peut être n'importe lequel des systèmes d'exploitation suivants : Windows 7 32 bits et 64 bits Windows 8 32 bits et 64 bits (pour Citrix XenDesktop versions 7.0 et 7.1 uniquement) v Le bureau Virtual Desktop peut se connecter à IMS Server. v L'utilisateur est enregistré auprès d'ibm Security Access Manager for Enterprise Single Sign-On. v La synchronisation de mot de passe Active Directory est activée. v EnNetworkProvider est activé. v Le mode bureau personnel est pris en charge. Pour plus d'informations, voir IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement. v Les services de connexion unique et d'authentification pour les applications hébergées sur Citrix Server sont pris en charge. Voir IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server. Pour gérer vos bureaux virtuels, procédez comme suit : v Veillez à configurer VDIGroupName et MachineTag dans les paramètres de registre. Voir Chapitre 6, «Paramètres de registre VDI», à la page 17. v Vérifiez que le nom de groupe VDI que vous avez spécifié dans le fichier de registre est utilisé comme nom d'hôte pour la gestion des règles dans AccessAdmin. v Tous les ordinateurs sous le même pool ou catalogue sont affichés et gérés sous la forme d'une machine unique. Pour obtenir de bonnes performances : v Veillez à utiliser la règle Option de mise en cache du portefeuille correcte dans le modèle de règle de machine. Pour les déploiements dotés de bureaux persistants et d'une affectation fixe de bureau virtuel à l'utilisateur, paramétrez la règle Option de mise en cache du portefeuille sur 2 ou sur Toujours mettre en cache. Copyright IBM Corp. 2002,

20 v Pour les déploiements dotés de bureaux non persistants, paramétrez la règle Option de mise en cache du portefeuille sur 0 ou sur Interdire la mise en cache. Pour les déploiements dotés de bureaux persistants et d'une affectation aléatoire de bureau virtuel à l'utilisateur, paramétrez la règle Option de mise en cache du portefeuille sur 0 ou sur Interdire la mise en cache. Assurez-vous que la règle Activer la sécurité de portefeuille en cache n'est pas activée. La règle Activer la sécurité de portefeuille en cache sert à lier les portefeuilles à des machines physiques ayant des caractéristiques exclusives. Elle ne convient pas pour l'infrastructure Virtual Desktop Infrastructure avec le provisionnement. Cette règle ne peut pas être outrepassée via un paramètre du registre. v Toutes les N semaines, recomposez le modèle de bureau Virtual Desktop après la synchronisation d'accessagent avec IMS Server afin que les dernières données système soient mises en cache dans l'image de base mise à jour. Des synchronisations de données inutiles sont évitées lors de l'activation de nouveaux bureaux Virtual Desktop. Cette étape est importante pour les bureaux non persistants. v Pour les déploiements avec des bureaux non persistants : Allouez davantage de capacité de serveur afin qu'accessagent puisse télécharger le portefeuille de l'utilisateur à chaque connexion. Exécutez le script d'élagage des portefeuilles en cache pour supprimer les portefeuilles en cache ayant expiré ou dupliqués ayant plus de 30 jours dans la base de données d'ims Server. Limitations Cette configuration prise en charge a les limitations suivantes : v L'authentification à deux facteurs n'est pas prise en charge sur le bureau Virtual Desktop. v EnGINA et EnCredentialProvider ne sont pas pris en charge sur le bureau Virtual Desktop. 4 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

21 Chapitre 3. Configuration de la connexion unique Les tâches de configuration de la connexion unique sont différentes pour VMware View et Citrix XenDesktop. Suivez la feuille de route qui correspond à votre infrastructure Virtual Desktop Infrastructure. Pour configurer la prise en charge de la connexion unique dans une infrastructure Virtual Desktop Infrastructure, les administrateurs doivent effectuer les opérations suivantes : Tableau 1. Configuration de la connexion unique VMware View 1. Vérifier l'environnement VDI. 2. Créer le modèle de règle machine VDI pour l'image de base. 3. Configurer l'image de base. 4. Créer des pools de bureaux virtuels. Pour une documentation complète, voir "Création de pools de bureaux" à partir du site 51/index.jsp?topic= %2Fcom.vmware.ICbase%2FPDF %2Fic_pdf.html. Opérations facultatives : v Mettre à jour l'image de base après des modifications dans AccessAgent. v Personnaliser les profils d'accès. Citrix XenDesktop 1. Vérifier l'environnement VDI. 2. Créer le modèle de règle machine VDI pour l'image de base. 3. Configurer l'image de base. 4. Créer un catalogue de machines. Opérations facultatives : v Mettre à jour l'image de base après des modifications dans AccessAgent. v Personnaliser les profils d'accès. Vérification de l'environnement VDI Un administrateur doit vérifier l'environnement VDI avant la préparation de l'image de base et des bureaux Virtual Desktop. Si vous utilisez VMware View Préparez les composants VMware View. Pour la documentation du produit, voir 1. Vérifiez que View Connection Server est en fonctionnement. 2. Vérifiez que les paramètres de VMware vcenter Server et ceux de View Composer sont corrects. Si vous utilisez Citrix XenDesktop Préparez les composants de Citrix XenDesktop. v Pour Citrix XenDesktop version 5.5 et 5.6, voir proddocs/topic/xendesktop-rho/cds-install-wrapper-rho.html v Pour Citrix XenDesktop versions 7.0 et 7.1, voir proddocs/topic/xendesktop-7/cds-install-config-intro.html Vérifiez que Citrix XenController est en cours d'exécution. Copyright IBM Corp. 2002,

22 Création du modèle de règle machine VDI pour l'image de base Utilisez un modèle de règle machine pour appliquer un ensemble de règles spécifique pour la prise en charge de Virtual Desktop Infrastructure. Procédure 1. Connectez-vous à AccessAdmin. 2. Sélectionnez Modèles de règles de la machine > Nouveau modèle. 3. Définissez le nom du nouveau modèle à VDI BaseImage MPT. Remarque : Etant donné qu'il est sensible à la casse, Exemple et exemple sont deux noms de modèles différents. 4. Spécifiez un critère pour affecter un modèle de règle machine. Par exemple : étiquette de machine. Remarque : v Si vous utilisez une étiquette de machine, attribuez-lui un nom. Le nom d'étiquette de machine doit être identique à la valeur spécifiée dans le fichier VDI_config.reg. La valeur par défaut est vdi_tag_example. v Vous pouvez également utiliser d'autres critères comme l'adresse IP ou le nom d'hôte. Voir "Définition des critères de machine" dans le manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration. 5. Activez le fournisseur réseau dans ce modèle de règles machine. a. Accédez à Règles AccessAgent > Règles de connexion/déconnexion. b. Mettez la valeur de Activer le fournisseur réseau à Oui. 6. Cliquez sur Ajouter pour sauvegarder les nouveaux paramètres. 7. Sous Attributions de modèle de règles machine, sélectionnez le modèle VDI BaseImage MPT et cliquez sur l'icône flèche vers le haut jusqu'à ce que VDI BaseImage MPT soit en haut de la liste Attributions de modèle de règles machine. 8. Vérifiez que le nom de machine de l'image de base est supprimé d'ims Server via AccessAdmin. Configuration d'accessagent dans l'image de base Un administrateur doit configurer AccessAgent dans l'image de base pour la prise en charge de la connexion unique dans une infrastructure Virtual Desktop Infrastructure. Avant de commencer v Assurez-vous d'avoir créé le modèle de règles machine VDI BaseImage MPT. Voir «Création du modèle de règle machine VDI pour l'image de base». v Effectuez la «Vérification de l'environnement VDI», à la page 5. v Veillez à ce que l'agent VDI soit installé sur la machine virtuelle avant AccessAgent. Pour VMware View : VMware View Agent Pour Citrix XenDesktop : Virtual Desktop Agent v Vérifiez que l'image de base peut communiquer avec le serveur VMware View ou Citrix XenDesktop. Par exemple : ping <nom du serveur> v Faites une copie des fichiers suivants ou notez leur emplacement : Programme d'installation d'accessagent 6 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

23 v VDI_config.reg. Pour le contenu de ce fichier, voir Chapitre 6, «Paramètres de registre VDI», à la page 17. Vérifiez que le nom de machine de l'image de base est supprimé d'ims Server via AccessAdmin. Pourquoi et quand exécuter cette tâche Tous les bureaux Virtual Desktop sont créés à partir d'une image de base. Chaque pool de bureaux utilise une image de base différente. Cette tâche comprend les opérations suivantes : v Préconfiguration et installation d'accessagent. v Configuration et application des paramètres du registre. Procédure 1. Configurez le fichier SetupHlp.ini dans le programme d'installation d'accessagent. a. Ouvrez le fichier <programme_installation_accessagent>\config\ SetupHlp.ini avec n'importe quel éditeur de texte. b. Mettez EnginaEnabled à 0. La valeur par défaut est 1. c. Mettez EncentuateCredentialProviderEnabled à 0. La valeur par défaut est 1. d. Mettez DisableWin7CAD à 0. La valeur par défaut est 1. e. Assurez-vous que EncentuateNetworkProviderEnabled soit à 1. C'est la valeur par défaut. f. Enregistrez le fichier. 2. Copiez le fichier VDI_config.reg dans le dossier <programme_installation_accessagent>\reg. Important : v Assurez-vous que le nom MachineTag dans ce fichier de registre soit identique au critère d'étiquette de machine spécifié dans le modèle de règle machine VDI BaseImage MPT. Voir l'étape 4, à la page 6 de «Création du modèle de règle machine VDI pour l'image de base», à la page 6. v Attribuez un nom de groupe VDI dans le fichier de registre. Ce nom de groupe peut être le nom de votre pool VDI. Le nom de groupe VDI que vous spécifiez dans le fichier de registre est utilisé comme nom d'hôte pour la gestion des règles dans AccessAdmin. 3. Installez AccessAgent. a. Définissez l'emplacement d'ims Server. b. Vérifiez que le portefeuille machine est téléchargé. Remarque : Le portefeuille machine n'est pas téléchargé tant que vous ne redémarrez pas l'ordinateur. AccessAgent applique automatiquement les paramètres de SetupHlp.ini et les paramètres de registre à l'image de base. 4. Vérifiez que le bon modèle de règle machine VDI BaseImage MPT est affecté à l'image de base. a. Connectez-vous à AccessAdmin. b. Effectuez une recherche sur la machine et vérifiez le modèle attribué. Chapitre 3. Configuration de la connexion unique 7

24 5. Redémarrez l'ordinateur. 6. Installez le dernier groupe de correctifs (le cas échéant). 7. Connectez-vous à l'ordinateur via la connexion Windows avec un compte de domaine enregistré dans IMS Server. 8. Vérifiez que vous êtes automatiquement connecté à AccessAgent avec le compte de domaine que vous avez utilisé lors de la connexion Windows. 9. Arrêtez l'ordinateur. 10. Prenez un instantané de la machine virtuelle sur laquelle vous avez préconfiguré et installé AccessAgent. a. Attribuez un nom à l'instantané de la machine virtuelle et fournissez-en une description. b. Cliquez sur OK. c. Vérifiez que l'instantané est terminé avant de créer un pool de bureaux virtuels. Résultats AccessAgent est installé, avec les règles nécessaires configurées. Vous avez créé l'image de base à utiliser pour les bureaux Virtual Desktop. Que faire ensuite v Pour VMware View : Créez un pool de bureaux virtuels. v Pour Citrix XenDesktop : Créez un catalogue de machines. Création de pools de bureaux virtuels Créez des pools de bureaux pour fournir aux utilisateurs l'accès aux bureaux View. Vous pouvez choisir entre pool automatique et pool manuel. Avant de commencer Effectuez les opérations suivantes : v «Vérification de l'environnement VDI», à la page 5. v «Configuration d'accessagent dans l'image de base», à la page 6. Pourquoi et quand exécuter cette tâche Cette tâche est destinée aux administrateurs. Les administrateurs doivent consulter les sections "Création de pools de bureaux" et "Autorisation des utilisateurs et des groupes" dans view-51/index.jsp?topic=%2fcom.vmware.icbase%2fpdf%2fic_pdf.html pour les étapes et les explications détaillées. Les instructions suivantes sont une procédure de haut niveau pour VMware Virtual Desktop Infrastructure. Procédure 1. Connectez-vous à VMware View Administrator avec un compte utilisateur de domaine. 2. Sélectionnez Inventaire > Pools. 3. Cliquez sur Ajouter pour démarrer l'assistant Ajouter un pool. 8 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

25 4. Suivez les instructions de l'assistant. Sélectionnez les paramètres en fonction de vos besoins. 5. Lors de la configuration des paramètres de vcenter, sélectionnez l'instantané de l'image de base qui a l'installation d'accessagent. 6. Suivez les instructions de l'assistant. Sélectionnez les paramètres en fonction de vos besoins. 7. Cliquez deux fois sur le pool de bureaux que vous avez créé pour afficher les détails et d'autres paramètres. 8. Sélectionnez les utilisateurs autorisés à accéder aux bureaux du pool que vous avez créé. 9. Cliquez sur OK. Résultats Le pool de bureaux est créé et les utilisateurs lui sont affectés. Les utilisateurs peuvent commencer à accéder aux bureaux Virtual Desktop créés à partir du pool de bureaux. Création d'un catalogue de machines Dans Citrix XenDesktop, créez un Catalogue de machines et de groupes de bureaux pour fournir des bureaux aux utilisateurs. Avant de commencer Effectuez les opérations suivantes : v «Vérification de l'environnement VDI», à la page 5. v «Configuration d'accessagent dans l'image de base», à la page 6. Pourquoi et quand exécuter cette tâche Cette tâche est destinée aux administrateurs. Pour les étapes détaillées et des explications, consultez les liens suivants : v Pour Citrix XenDesktop version 5.5 et 5.6, voir proddocs/topic/xendesktop-rho/cds-create-new-scheme-rho.html. v Pour Citrix XenDesktop versions 7.0 et 7.1, voir proddocs/topic/xendesktop-7/cds-create-new-scheme-rho.html. Les instructions suivantes sont une procédure de haut niveau pour Citrix XenDesktop. Procédure 1. Connectez-vous à Citrix Desktop Studio avec un compte utilisateur de domaine. 2. Cliquez sur Machines > Créer un catalogue. 3. Suivez les instructions de l'assistant. Sélectionnez les paramètres en fonction de vos besoins. Remarque : v Si vous sélectionnez l'option de bureau aléatoire dans la page Desktop Experience, l'utilisateur est affecté à une machine aléatoire lors de la Chapitre 3. Configuration de la connexion unique 9

26 connexion. Toutes les modifications apportées pendant la session, telles que les journaux d'accessagent, sont ignorées après la fermeture de la session. v Si vous sélectionnez le bureau statique, l'utilisateur est systématiquement connecté à la même machine pendant l'ouverture de session. L'utilisateur peut personnaliser le bureau et stocker des fichiers sur la machine. 4. Sur la page Image maître, sélectionnez l'instantané de l'image de base qui a l'installation d'accessagent. 5. Suivez les instructions de l'assistant. Sélectionnez les paramètres en fonction de vos besoins. Résultats Vous disposez un Catalogue de machines. Pour fournir des bureaux aux utilisateurs à partir du Catalogue, allouez-leur les machines en créant des groupes de bureaux ou des groupes de livraisons. v v Pour Citrix XenDesktop version 5.5 et 5.6, voir proddocs/topic/xendesktop-rho/cds-create-desktops-t-rho.html. Pour Citrix XenDesktop versions 7.0 et 7.1, voir proddocs/topic/xendesktop-7/cds-create-desktops-t-rho.html. Les utilisateurs peuvent commencer à accéder aux bureaux Virtual Desktop créés à partir de votre Catalogue. Mise à jour de l'image de base après des modifications dans AccessAgent Mettez à jour AccessAgent dans l'image de base pour appliquer un groupe de correctifs ou changer une règle de registre. Pourquoi et quand exécuter cette tâche Cette tâche est destinée aux administrateurs. Pour plus d'informations sur la mise à jour des bureaux des utilisateurs, voir topic/xendesktop-rho/cds-update-master-vm-rho.html. Procédure 1. Connectez-vous à la machine virtuelle que vous avez utilisée pour l'image de base. 2. Mettez à jour AccessAgent dans l'image de base. Vous pouvez le mettre à jour comme suit : v en appliquant son dernier groupe de correctifs. v en mettant à jour les règles de registre. Voir Chapitre 6, «Paramètres de registre VDI», à la page 17 pour les règles configurables. 3. Attendez qu'accessagent se synchronise avec toutes les modifications des règles système et des profils d'accès. 4. Prenez un instantané de la machine virtuelle sur laquelle vous avez appliqué le groupe de correctifs. 5. Si vous utilisez VMware View, procédez comme suit : a. Connectez-vous à VMware View Administrator. b. Sélectionnez le profil d'accès (pool de bureaux). c. Il ouvre VMware View Composer. 10 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

27 d. Cliquez sur Recomposer pour appliquer les nouvelles versions de l'image de base à tous les utilisateurs ou à un sous-ensemble des clones liés. 6. Si vous utilisez Citrix XenDesktop, procédez comme suit : a. Connectez-vous à Citrix Desktop Studio. b. Cliquez sur Machines. c. Sélectionnez votre Catalogue. d. Cliquez sur Mettre à jour la machine. Profils d'accès de connexion unique pour portail VDI La connexion unique automatique de l'utilisateur au portail VDI se fait avec un profil d'accès. Le profil d'accès peut être utilisé si AccessAgent est installé sur l'ordinateur client. Il est utilisé avec AccessAgent pour effectuer la connexion unique de l'utilisateur au portail VDI. Le profil d'accès utilise le service d'authentification automatique. Vous pouvez le personnaliser pour utiliser le service d'authentification de domaine. Tableau 2. profils d'accès profil d'accès for VMware View Citrix XenDesktop versions 5.5 et 5.6 Citrix XenDesktop versions 7.0 et 7.1 Nom de fichier VMwareViewClient.eas XenDesktopWebAccess.eas XenDesktop7-Receiver4_1.eas Important : Si vous utilisez Citrix XenDesktop, mettez à jour le profil XenDesktopWebAccess.eas. Modifiez la signature du site pour qu'elle corresponde à l'url Citrix Web Access réelle. Pour connaître la procédure à suivre, reportez-vous au manuel IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio. Chapitre 3. Configuration de la connexion unique 11

28 12 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

29 Chapitre 4. Workflows utilisateur pour accéder au bureau virtuel Les utilisateurs peuvent se connecter à un bureau virtuel à partir d'un ordinateur disposant d'accessagent ou à partir d'un client léger. Les rubriques qui suivent décrivent les différences entre ces workflows. v «Accès au bureau virtuel à partir d'un ordinateur client avec AccessAgent» v «Accès au bureau virtuel à partir d'un ordinateur client sans AccessAgent», à la page 14 Accès au bureau virtuel à partir d'un ordinateur client avec AccessAgent Si les utilisateurs utilisent un ordinateur local disposant d'accessagent, ils peuvent se connecter automatiquement à la machine virtuelle et sur le bureau Virtual Desktop sélectionné. Accès via VMware View 1. Vérifiez que vous avez installé ces composants sur l'ordinateur client : v VMware View Client v AccessAgent 2. Vérifiez que vous disposez d'un profil d'accès VMware View. 3. Sur votre ordinateur local, connectez-vous à AccessAgent. 4. Ouvrez VMware View Client. 5. Spécifiez l'adresse IP ou le nom d'hôte du Serveur de connexion. 6. Cliquez sur Connexion. La fenêtre Se connecter s'affiche. 7. Sélectionnez le bureau virtuel que vous voulez utiliser. 8. Cliquez sur Connecter. Accès via Citrix XenDesktop 1. Vérifiez que vous avez installé ces composants sur l'ordinateur client : v Citrix Receiver v AccessAgent (facultatif) 2. Assurez-vous d'avoir un profil d'accès Citrix XenDesktop. 3. Assurez-vous d'avoir installé le plug-in Citrix. Si ce n'est pas le cas, vous serez invité à l'installer lorsque vous vous connecterez à Citrix Web Access. 4. Ouvrez Citrix Web Access. Par exemple : Citrix\StoreWeb. 5. Pour Citrix XenDesktop versions 5.5 et 5.6, sélectionnez le bureau Virtual Desktop ou le groupe de bureaux. 6. Pour Citrix XenDesktop versions 7.0 et 7.1, accédez aux applications fournies par le bureau Virtual Desktop en procédant comme suit : a. Vérifiez qu'accessagent est installé sur Citrix Receiver. b. Connectez-vous à Citrix Receiver. Copyright IBM Corp. 2002,

30 Remarque : Si AccessAgent est installé, vous êtes automatiquement connecté Citrix Receiver. c. Sélectionnez l'application fournie par le bureau Virtual Desktop. Résultats Vous êtes connecté au bureau Virtual Desktop sélectionné. L'application fournie par le bureau Virtual Desktop s'affiche sur l'ordinateur client Vous êtes connecté automatiquement à AccessAgent sur le bureau Virtual Desktop. L'icône AccessAgent de la machine virtuelle s'ajoute à la barre des tâches de votre système local. Si AccessAgent est installé sur votre ordinateur local, deux icônes AccessAgent s'affichent dans la barre des tâches de votre système local. Vous pouvez effectuer une connexion unique aux applications du bureau Virtual Desktop. Accès au bureau virtuel à partir d'un ordinateur client sans AccessAgent Les utilisateurs peuvent accéder à un bureau Virtual Desktop à partir d'un client léger ou d'un ordinateur local sans AccessAgent. Dans ce scénario, les utilisateurs ne sont pas connectés automatiquement à la machine virtuelle. Accès via VMware View 1. Vérifiez que VMware View Client est installé. 2. Ouvrez VMware View Client. 3. Spécifiez l'adresse IP ou le nom d'hôte du Serveur de connexion. 4. Click Connexion. La fenêtre Se connecter s'affiche. 5. Entrez le mot de passe de votre compte utilisateur de domaine. 6. Cliquez sur Connexion. 7. Sélectionnez le bureau Virtual Desktop à utiliser. 8. Cliquez sur Connecter. Accès via Citrix XenDesktop 1. Vérifiez que Citrix Online Plug-in ou Citrix Receiver est installé. 2. Assurez-vous d'avoir installé le plug-in Citrix. Si ce n'est pas le cas, vous serez invité à l'installer lorsque vous vous connecterez à Citrix Web Access. 3. Ouvrez Citrix Web Access. Par exemple : Citrix\StoreWeb. 4. Connectez-vous avec votre nom d'utilisateur et votre mot de passe. 5. Sélectionnez le bureau Virtual Desktop ou le groupe de bureaux virtuels. Résultats Vous êtes connecté au bureau Virtual Desktop sélectionné. Vous êtes connecté automatiquement à AccessAgent sur le bureau Virtual Desktop. Vous pouvez effectuer une connexion unique aux applications du bureau Virtual Desktop. 14 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

31 Chapitre 5. Résolution des problèmes de bureau virtuel Vous pouvez rencontrer des problèmes en vous connectant à Windows dans le bureau Virtual Desktop. Ils peuvent être dus à une mauvaise configuration. Problèmes de mauvaise configuration Problème 1 : La connexion à Windows réussit. La connexion à AccessAgent avec EnNetworkProvider échoue. Symptôme : Lorsque l'utilisateur se connecte au bureau Virtual Desktop, VMware View Client le connecte automatiquement à Windows. Mais l'utilisateur n'est pas automatiquement connecté à AccessAgent. Cause : Ce problème peut être dû aux facteurs suivants : v La synchronisation de mot de passe Active Directory n'est pas activée. v Le modèle de règles machine VDI BaseImage MPT n'est pas appliqué dans l'image de base. v Les paramètres de registre nécessaires ne sont pas appliqués dans l'image de base. Voir Chapitre 6, «Paramètres de registre VDI», à la page 17. v La machine virtuelle ne peut pas se connecter à IMS Server et il n'y a pas de portefeuille en cache. Solution v Vérifiez que la synchronisation de mot de passe Active Directory est activée. v Vérifiez qu'ennetworkprovider est activé dans le modèle de règle machine VDI BaseImage MPT et que ce modèle est appliqué à l'image de base et aux bureaux Virtual Desktop. Voir «Création du modèle de règle machine VDI pour l'image de base», à la page 6. v Vérifiez que le modèle de règle machine VDI BaseImage MPT se trouve en première position de la liste des affectations de modèle de règle machine. Voir l'étape 7, à la page 6 de «Création du modèle de règle machine VDI pour l'image de base», à la page 6. v Vérifiez que la connexion automatique réussit dans l'image de base. v La machine virtuelle peut se connecter à IMS Server. Problème 2 : La connexion à Windows échoue. ESSO GINA ou ESSO Credential Provider s'affiche. Symptôme : Lorsque l'utilisateur se connecte au bureau Virtual Desktop via VMware View Client, il n'est pas connecté automatiquement à Windows. ESSO GINA ou ESSO Credential Provider s'affiche. Copyright IBM Corp. 2002,

32 Cause : Les paramètres nécessaires du programme d'installation d'accessagent n'ont pas été configurés avant l'installation d'accessagent dans l'image de base. Solution : 1. Désinstallez AccessAgent de l'image de base. 2. Reconfigurez l'image de base. Important : Assurez-vous que les paramètres EnginaEnabled et EncentuateCredentialProviderEnabled dans le programme d'installation d'accessagent soient à Connectez-vous à VMware View Administrator. 4. Sélectionnez le pool de bureaux. 5. Ouvrez VMware View Composer. 6. Cliquez sur Recomposer pour appliquer les nouvelles versions de l'image de base à tous les utilisateurs ou à un sous-ensemble des clones liés. Problème 3 : La connexion à Windows échoue. Microsoft Credential Provider s'affiche. Symptôme : Lorsque l'utilisateur se connecte au bureau Virtual Desktop via VMware View Client, il n'est pas connecté automatiquement. Microsoft Credential Provider s'affiche. Ce problème ne se produit qu'avec Windows 7. Cause : Le paramètre DisableWin7CAD dans le programme d'installation d'accessagent n'est pas configuré correctement. Solution : Dans l'image de base : 1. Ouvrez la console des règles de sécurité locales. a. Cliquez sur le menu Démarrer. b. Tapez Règles de sécurité locales. c. Appuyez sur Entrée. 2. Développez les Règles locales. 3. Cliquez sur Options de sécurité. 4. Cliquez deux fois sur Connexion interactive : ne pas nécessiter CTRL+ALT+SUPPR. 5. Sélectionnez Désactivé. 6. Cliquez sur OK. 7. Connectez-vous à VMware View Administrator. 8. Sélectionnez le pool de bureaux. 9. Ouvrez VMware View Composer. 10. Cliquez sur Recomposer pour appliquer les nouvelles versions de l'image de base à tous les utilisateurs ou à un sous-ensemble des clones liés. 16 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

33 Chapitre 6. Paramètres de registre VDI Assurez-vous d'appliquer les paramètres de registre requis pour la prise en charge des infrastructures Virtual Desktop Infrastructure. Paramètres de registre requis Les paramètres suivants sont nécessaires pour la prise en charge des infrastructures Virtual Desktop Infrastructure : [HKEY_LOCAL_MACHINE\SOFTWARE\IBM\ISAM ESSO\DeploymentOptions] "VDIGroupName"="vdi_pool_example" "MachineTag"="vdi_tag_example" Copyright IBM Corp. 2002,

35 Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus d'informations sur les produits et les services actuellement disponibles dans votre pays, consultez votre représentant IBM local. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service IBM puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s'il n'enfreint aucun droit d'ibm. Il est de la responsabilité de l'utilisateur d'évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM. IBM peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirez recevoir des informations concernant l'acquisition de licences, veuillez en faire la demande par écrit à l'adresse suivante : IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY U.S.A. Pour le Canada, veuillez adresser votre courrier à : IBM Director of Commercial Relations IBM Canada Ltd Steeles Avenue East Markham, Ontario L3R 9Z7 Canada Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l'adresse suivante : Intellectual Property Licensing Loi sur la propriété intellectuelle IBM Japon, Ltd , Nihonbashi-Hakozakicho, Chuo-ku Tokyo , Japon Le paragraphe suivant ne s'applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales. LE PRESENT DOCUMENT EST LIVRE "EN L'ETAT". IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE NON-CONTREFAÇONS, VALEUR MARCHANDE OU D'ADAPTATION A VOS BESOINS. Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas l'exclusion ci-dessus ne vous sera pas applicable. Copyright IBM Corp. 2002,

36 Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document. Les références à des sites Web non IBM sont fournies à titre d'information uniquement et n'impliquent en aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l'utilisation de ces sites relève de votre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Les licenciés souhaitant obtenir des informations permettant : (i) l'échange des données entre des logiciels créés de façon indépendante et d'autres logiciels (dont celui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à : IBM Corporation 2Z4A/ Burnet Road Austin, TX U.S.A. Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d'une redevance. Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s'y rapportant sont fournis par IBM conformément aux dispositions du Livret contractuel IBM, des Conditions Internationales d'utilisation de Logiciels IBM ou de tout autre accord équivalent. Les données de performance indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l'environnement d'exploitation utilisé. Certaines mesures évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d'exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou via d'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmer l'exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits. Toute instruction relative aux intentions d'ibm pour ses opérations à venir est susceptible d'être modifiée ou annulée sans préavis, et doit être considérée uniquement comme un objectif. Tous les tarifs indiqués sont les prix de vente actuels suggérés par IBM et sont susceptibles d'être modifiés sans préavis. Les tarifs appliqués peuvent varier selon les revendeurs. 20 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

37 Ces informations sont fournies uniquement à titre de planification. Elles sont susceptibles d'être modifiées avant la mise à disposition des produits décrits. Le présent document peut contenir des exemples de données et de rapports utilisés couramment dans l'environnement professionnel. Ces exemples mentionnent des noms fictifs de personnes, de sociétés, de marques ou de produits à des fins illustratives ou explicatives uniquement. Toute ressemblance avec des noms de personnes, de sociétés ou des données réelles serait purement fortuite. LICENCE DE COPYRIGHT : Le présent logiciel contient des exemples de programmes d'application en langage source destinés à illustrer les techniques de programmation sur différentes plateformes d'exploitation. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation des plateformes pour lesquels ils ont été écrits ou aux interfaces de programmation IBM. Ces exemples de programmes n'ont pas été rigoureusement testés dans toutes les conditions. Par conséquent, IBM ne peut garantir expressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnement de ces programmes. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation IBM. Si vous visualisez ces informations en ligne, il se peut que les photographies et illustrations en couleur n'apparaissent pas à l'écran. Marques déposées IBM, le logo IBM et ibm.com sont des marques d'international Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d'ibm ou d'autres sociétés. La liste actualisée de toutes les marques d'ibm est disponible sur la page Web, "Copyright and trademark information" à l'adresse Adobe, Acrobat, PostScript et toutes les marques incluant Adobe sont des marques d'adobe Systems Incorporated aux Etats-Unis et/ou dans certains autres pays. IT Infrastructure Library est une marque de The Central Computer and Telecommunications Agency qui fait désormais partie de The Office of Government Commerce. Intel, le logo Intel, Intel Inside, le logo Intel Inside, Intel Centrino, le logo Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium et Pentium sont des marques d'intel Corporation ou de ses filiales aux Etats-Unis et dans certains autres pays. Linux est une marque de Linus Torvalds aux Etats-Unis et/ou dans certains autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. Remarques 21

38 ITIL est une marque et une marque communautaire de The Office of Government Commerce et est enregistrée U.S. Patent and Trademark Office. UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou dans certains autres pays. Java ainsi que tous les logos et toutes les marques incluant Java sont des marques d'oracle et/ou de ses sociétés affiliées. Cell Broadband Engine est une marque de Sony Computer Entertainment, Inc. aux Etats-Unis et/ou dans certains autres pays, utilisée sous licence. Linear Tape-Open, LTO, le logo LTO, Ultrium et le logoultrium sont des marques d'hp, IBM Corp. et Quantum aux Etats-Unis et dans d'autres pays. Les autres noms de sociétés, de produits et de services peuvent appartenir à des tiers. Remarques sur les règles de confidentialité Les produits logiciels IBM, notamment les solutions SaaS (Software-as-a-Service, solutions de logiciel sous forme de services), ("Offres logicielles") peuvent utiliser des cookies ou d'autres technologies pour collecter des informations sur l'utilisation des produits, afin de contribuer à améliorer l'acquis de l'utilisateur final et de personnaliser les interactions avec celui-ci, ou à d'autres fins. Dans la plupart des cas, aucune information identifiant la personne n'est collectée par les Offres logicielles. Certaines de nos Offres logicielles peuvent vous aider à collecter des informations identifiant la personne. Si cette Offre logicielle utilise des cookies pour collecter des informations identifiant la personne, des informations spécifiques sur l'utilisation de cookies par cette offre sont énoncées ci-dessous. Cette Offre logicielle collecte le nom, le mot de passe ou d'autres informations identifiantes de chaque utilisateur à l'aide d'autres technologies à des fins de gestion de session, d'authentification, de configuration de la connexion unique, de suivi de l'utilisation ou fonctionnelles. Ces technologies peuvent être désactivées, mais ce faisant, vous neutralisez également la fonctionnalité qu'elles procurent. Si les configurations déployées pour cette offre logicielle vous permettent, en tant que client, de collecter des informations identifiant la personne à partir des utilisateurs finals via des cookies et d'autres technologies, vous devez consulter votre conseiller juridique au sujet des lois qui s'appliquent à une telle opération de collecte de données, y compris les exigences en matière de notification et d'accord. Pour plus d'informations sur les différentes technologies, y compris les cookies, utilisées à ces fins, consultez l'article IBM s Privacy Policy ( privacy) et l'article IBM s Online Privacy Statement ( privacy/details/us/en), ainsi que la section intitulée «Cookies, Web Beacons and Other Technologies» et l'article «Software Products and Software-as-a-Service Privacy». 22 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

39 Glossaire Ce glossaire comprend des termes et des définitions pour IBM Security Access Manager for Enterprise Single Sign-On. Il utilise les références croisées suivantes : v Voir vous renvoie d'un terme vers un synonyme préféré ou d'un sigle ou d'une abréviation vers la définition de sa forme complète. v Voir aussi vous renvoie vers un terme connexe ou contraire. Pour consulter les glossaires relatifs à d'autres produits IBM, accédez à l'adresse terminology (la page s'ouvre dans une nouvelle fenêtre). A accès à distance sécurisé La solution qui permet une connexion unique basée sur le navigateur Web à toutes les applications de l'extérieure du pare-feu. action Dans le profilage, une opération qui peut être effectuée en réponse à un déclencheur. Par exemple, le remplissage automatique des informations relatives au nom d'utilisateur et au mot de passe dès qu'une fenêtre de connexion s'affiche. Active Directory (AD) Service de répertoires hiérarchique qui permet une gestion centralisée et sécurisée de l'ensemble d'un réseau ; composant central de la plateforme Microsoft Windows. AD Voir Active Directory. administrateur Personne chargée de tâches d'administration, par exemple la gestion de contenu ou des droits d'accès. Les administrateurs peuvent accorder différents niveaux de droits d'accès aux utilisateurs. adresse IP Adresse unique d'un périphérique ou d'une unité logique sur un réseau qui utilise la norme IP (Internet Protocol). Voir aussi nom d'hôte. agent de noeud Agent administratif gérant tous les serveurs d'application sur un noeud et représentant le noeud dans la cellule de gestion. annuaire Fichier contenant les noms et les informations de contrôle d'objets ou d'autres annuaires. annuaire d'entreprise Annuaire des comptes d'utilisateur qui définissent les utilisateurs d'ibm Security Access Manager for Enterprise Single Sign-On. Il valide les données d'identification fournies par l'utilisateur au moment de la connexion si le mot de passe indiqué est identique à celui qu'il contient. Par exemple, Active Directory est un annuaire d'entreprise. annulation des accès d'utilisateur Processus de suppression d'un compte utilisateur d'ibm Security Access Manager for Enterprise Single Sign-On. annuler l'accès Supprimer un service ou un composant. Par exemple, annuler l'accès sur un compte signifie supprimer ce compte d'une ressource. Voir aussi attribuer des accès. API (Application Programming Interface) Voir interface de programme d'application. API de provisionnement Interface permettant à IBM Security Access Manager for Enterprise Single Sign-On de s'intégrer avec des systèmes d'applications d'accès utilisateurs. application Système fournissant l'interface utilisateur pour la lecture ou l'entrée des données d'identification. application publiée Application installée sur le serveur Citrix XenApp, accessible à partir de clients Citrix ICA. Copyright IBM Corp. 2002,

40 audit Processus de journalisation des activités de l'utilisateur, de l'administrateur et du service d'assistance. authentification à deux facteurs L'utilisation de deux facteurs pour authentifier un utilisateur. Par exemple, utilisation d'un mot de passe et d'une carte RFID pour se connecter à AccessAgent. authentification forte Solution qui utilise des périphériques d'authentification multi-facteur afin d'empêcher un accès non autorisé aux données confidentielles et aux réseaux informatiques de l'entreprise, de son périmètre ou de l'extérieur. authentification portable Facteur d'authentification permettant à des utilisateurs de téléphone portable de se connecter en toute sécurité à leurs ressources d'entreprise à partir de n'importe quel endroit du réseau. autorité de certification Organisation ou société tiers sécurisée qui émet des certificats numériques. L'autorité de certification vérifie généralement l'identité des personnes auxquelles le certificat unique est accordé. Voir aussi certificat. autorité de certification racine (root CA) Autorité de certification au sommet de la hiérarchie des autorités, qui vérifie l'identité du détenteur d'un certificat. B basculement Opération automatique qui permet de basculer vers un système ou un noeud redondant ou de secours en cas d'indisponibilité d'un logiciel, d'un matériel ou d'un réseau. bibliothèque de liaison dynamique (DLL) Fichier contenant du code exécutable et des données liés à un programme en phase de chargement ou d'exécution, plutôt qu'en phase de liaison. Le code et les données d'une DLL peuvent être partagés simultanément par plusieurs applications. biométries Identification d'un utilisateur en fonction de ses caractéristiques physiques (par exemple, empreinte digitale, couleur des yeux, visage, voix ou écriture). bureau électronique publié Fonction Citrix XenApp où les utilisateurs disposent d'un accès distant à un bureau Windows complet à partir de n'importe quel appareil, de n'importe où et à tout moment. bureau virtuel Interface utilisateur dans un environnement virtualisé, stockée sur un serveur distant. C CA (Certificate authority) Voir autorité de certification. CAPI (Cryptographic Application Programming Interface) Voir interface de programmation d'application cryptographique. capture automatique Processus permettant à un système de collecter et de réutiliser des données d'identification de l'utilisateur pour différentes applications. Ces données d'identification sont capturées lorsque l'utilisateur saisit des informations pour la première fois, et sont ensuite enregistrées et sécurisées pour une utilisation ultérieure. CA racine (root CA) Voir autorité de certification racine. carte à puce Jeton intelligent intégré dans la puce d'un circuit intégré et qui fournit une capacité de mémoire et des fonctions informatiques. carte à puce hybride Carte à puce conforme à la norme ISO-7816 qui contient une puce à chiffrement à clé publique et une puce RFID. La puce cryptographique est accessible via l'interface de contact. La puce RFID est accessible via l'interface sans contact (RF). carte RFID active Voir identification par radiofréquence active. 24 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

41 CCOW Voir Clinical Context Object Workgroup. CCOW (Clinical Context Object Workgroup) Norme indépendante du fournisseur, relative à l'échange d'informations entre applications médicales dans l'industrie médicale. cellule Groupe de processus gérés fédérés sur un même gestionnaire de déploiement et pouvant inclure des groupes de base à haute disponibilité. certificat En sécurité informatique, document numérique qui associe une clé publique à l'identité d'un propriétaire de certificat, permettant ainsi l'authentification de ce propriétaire de certificat. Un certificat est émis par une autorité de certification et signé numériquement par cette autorité. Voir aussi autorité de certification. chaîne de service d'accréditation Chaîne de modules qui fonctionnent dans différents modes, comme la validation, le mappage et l'émission de fichier de clés certifiées. chaîne de service d'accréditation de sécurité Groupe d'instances de module configurées pour être utilisées simultanément. Chaque instance de module dans la chaîne est appelée à tour de rôle pour effectuer une fonction spécifique, dans le cadre du processus général d'une requête. changement rapide d'utilisateur Fonction permettant aux utilisateurs de passer d'un compte utilisateur à un autre sur un poste de travail unique sans quitter ni fermer les applications. clé privée En sécurité informatique, partie secrète d'une paire de clés cryptographiques utilisées avec un algorithme de clé publique. La clé privée est uniquement connue de son propriétaire. Des clés privées sont généralement utilisées pour les données associées à une signature numérique et pour déchiffrer des données chiffrées à l'aide de la clé publique correspondante. CLI (Command-Line Interface) Voir interface de ligne de commande. client léger Client ayant peu ou pas de logiciels installés mais ayant accès à des logiciels gérés et fournis par des serveurs réseau connectés à lui. Un client léger est une alternative à un client complet comme un poste de travail. clone lié Copie d'une machine virtuelle qui partage des disques virtuels avec la machine virtuelle parente d'une façon permanente. cluster Ensemble de serveurs d'applications qui collaborent pour l'équilibrage de la charge de travail et le basculement. code confidentiel (PIN) Dans le support de chiffrement, numéro unique affecté par une organisation à un individu et utilisé comme preuve de son identité. Les codes confidentiels sont généralement attribués par les organismes financiers à leurs clients. code d'autorisation Code alphanumérique généré pour des fonctions d'administration, comme réinitialiser un mot de passe ou ignorer l'authentification à deux facteurs. code d'événement Code représentant un événement particulier qui est contrôlé et consigné dans les tableaux du journal d'audit. connecteur de canal virtuel Connecteur utilisé dans un environnement de services de terminal. Le connecteur de canal virtuel établit un canal de communication virtuel pour gérer les sessions distantes entre le composant AccessAgent Client et le composant AccessAgent Serveur. connexion automatique Fonction permettant aux utilisateurs de se connecter au système d'automatisation de connexion et à ce système de connecter l'utilisateur à toutes les autres applications. connexion automatique Technologie utilisant les interfaces utilisateur des applications pour automatiser le processus de connexion pour les utilisateurs. Glossaire 25

42 connexion unique d'entreprise (ESSO) Mécanisme permettant aux utilisateurs de se connecter à toutes les applications déployées dans l'entreprise en saisissant un ID utilisateur et d'autres données d'identification, par exemple un mot de passe. connexion unique (SSO) Processus d'authentification par lequel un utilisateur peut accéder à plusieurs systèmes ou applications en saisissant un seul ID utilisateur et mot de passe. CSN (Card Serial Number) Voir numéro de série de la carte. CSP (Cryptographic Service Provider) Voir fournisseur de service cryptographique. D déclencheur En profilage, un événement qui provoque des transitions entre les états dans un moteur d'états, tel le chargement d'une page Web ou l'apparition d'une fenêtre sur le bureau. déploiement autonome Déploiement dans lequel IMS Server est déployé dans un profil WebSphere Application Server indépendant. déploiement réseau Déploiement d'un serveur IMS sur un cluster WebSphere Application Server. détecteur de présence Périphérique fixé à l'ordinateur qui détecte lorsqu'une personne s'en éloigne. Cela évite de verrouiller manuellement l'ordinateur lors d'une absence de courte durée. dispositif virtuel Image de machine virtuelle avec un objet applicatif spécifique qui est déployée sur des plateformes de virtualisation. DLL (Dynamic Link Library) Voir bibliothèque DLL. DN Voir nom distinctif. DNS (Domain Name Server) Voir serveur de noms de domaine. données de compte Informations de connexion requises pour vérifier un service d'authentification. Il peut s'agir du nom d'utilisateur, du mot de passe et du service d'authentification pour lesquels les informations de connexion sont stockées. données d'identification Active Directory Nom d'utilisateur et mot de passe Active Directory. données d'identification d'utilisateur Informations acquises pendant l'authentification qui décrivent un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des services tels que l'autorisation, l'audit ou la délégation. Par exemple, l'id utilisateur et le mot de passe sont des données d'identification qui permettent l'accès au réseau et aux ressources du système. droit d'accès Informations acquises pendant l'authentification qui décrivent un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des services tels que l'autorisation, l'audit ou la délégation. Par exemple, un ID utilisateur et un mot de passe sont des données d'identification qui permettent d'accéder aux ressources du réseau et du système. E élément de données de compte Données d'identification permettant à l'utilisateur d'ouvrir une session. émulateur de terminal Programme permettant à un périphérique tel qu'un micro-ordinateur ou un ordinateur personnel d'entrer et de recevoir des données à partir d'un système informatique comme s'il s'agissait d'un type de terminal relié particulier. environnement d'exécution Java Voir environnement d'exécution Java. environnement d'exécution Java (JRE) Sous-ensemble d'un kit de développeur Java qui contient les programmes et fichiers exécutables de base constituant la plateforme Java standard. L'environnement d'exécution Java (JRE) 26 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

43 inclut la machine virtuelle Java (JVM), les classes de base et les fichiers auxiliaires. équilibrage de charge Surveillance des serveurs d'applications et gestion de la charge de travail sur les serveurs. Si un serveur excède sa charge de travail, les demandes sont transmises à un autre serveur d'une capacité supérieure. ESSO (Enterprise Single Sign-On) Voir connexion unique d'entreprise. état pouvant être fixé Etat d'un widget de profil d'accès qui peut être combiné au profil d'accès principal pour réutiliser la fonction du widget. F facteur d'authentification L'unité, les biométries ou les secrets requis comme données d'identification pour valider des identités numériques. Les facteurs d'authentification sont par exemple les mots de passe, la carte à puce, la carte RFID, les biométries et les jetons de mots de passe à usage unique. facteur d'authentification principal Mot de passe IBM Security Access Manager for Enterprise Single Sign-On ou données d'identification du serveur d'annuaire. fichier de clés En sécurité, fichier ou carte cryptographique matérielle où sont stockées les clés privées et les identités, à des fins d'authentification et de chiffrement. Certains magasins de clés contiennent aussi des clés certifiées ou des clés publiques. Voir aussi fichier de clés certifiées. fichier de clés certifiées Dans le domaine de la sécurité, objet d'archivage (fichier ou carte cryptographique matérielle) où sont stockées ses clés publiques sous forme de certificats sécurisés, à des fins d'authentification lors de transactions Internet. Dans certaines applications, ces certificats sécurisés sont déplacés dans le fichier de clés de l'application pour être stockés avec les clés privées. Voir aussi magasin de clés. FIPS Voir Federal Information Processing Standard. FIPS (Federal Information Processing Standard) Norme créée par le National Institute of Standards and Technology et utilisée lorsqu'il n'existe pas de normes nationales et internationales ou que ces dernières ne répondent pas aux exigences du gouvernement des Etats-Unis. fournisseur de service cryptographique (CSP) Une fonction du système d'exploitation i5/os qui fournit des API. Le fournisseur CSP (Cryptographic Service Provider) CCA permet à un utilisateur d'exécuter des fonctions sur le coprocesseur FQDN (Fully Qualified Domain Name) Voir nom de domaine complet. G gestion de la durée de validité des mots de passe Fonction de sécurité par laquelle le superutilisateur peut indiquer à quelle fréquence les utilisateurs doivent changer leur mot de passe. gestionnaire de déploiement Serveur qui gère et configure des opérations pour un groupe logique ou une cellule d'autres serveurs. gestionnaire de portefeuille Composant d'interface graphique IBM Security Access Manager for Enterprise Single Sign-On qui permet aux utilisateurs de gérer leurs données d'identification d'application dans le portefeuille d'identités personnelles. GINA Voir identification et authentification graphiques. GPO (Group Policy Objet) Voir objet de stratégie de groupe. groupe de correctifs Ensemble cumulé de correctifs qui est publié entre groupes de correctifs planifiés, correctifs de fabrication ou éditions. Un groupe de correctifs met à jour le système à un niveau de maintenance spécifique. H HA Voir haute disponibilité. Glossaire 27

44 haute disponibilité (HA) Capacité du service informatique à résister à toutes les indisponibilités et à continuer à traiter les données, conformément à un niveau de service prédéfini. Les indisponibilités couvertes incluent les événements planifiés, par exemple la maintenance et les sauvegardes et les événements non planifiés, comme les pannes logicielles et matérielles, les coupures d'électricité et les sinistres. I identification et authentification graphiques (GINA) Bibliothèque de liaison dynamique qui comporte une interface utilisateur étroitement intégrée aux facteurs d'authentification, qui fournit des options de réinitialisation de mots de passe et de non-prise en compte des facteurs secondaires. identification par radiofréquence active (carte RFID active) Second facteur d'authentification et détecteur de présence. Voir aussi identification par radiofréquence. identification par radiofréquence (RFID) Une technologie d'identification et de capture de données automatique qui identifie les éléments uniques et qui transmet des données par ondes radio. Voir aussi identification par radiofréquence active. identité numérique et authentification forte Grâce à ce type d'identité et d'authentification d'une personne en ligne, il est très difficile de se faire passer pour elle car son profil est sécurisé par des clés privées sauvegardées sur une carte à puce. image de base Modèle pour un bureau virtuel. infrastructure de bureau virtuel Infrastructure constituée de systèmes d'exploitation de bureau hébergés au sein de machines virtuelles sur un serveur centralisé. inscription Demander une ressource. instantané Etat, données et configuration matérielle capturés d'une machine virtuelle en cours d'exécution. interface de ligne de commande (CLI) Interface informatique dans laquelle les données d'entrée et de sortie sont de type texte. interface de programmation d'application cryptographique (CAPI) Une interface de programme d'application qui offre des services permettant aux développeurs de sécuriser des applications à l'aide de la cryptographie. Il s'agit d'un ensemble de bibliothèques reliées de façon dynamique qui fournit une couche abstraction qui isole les programmeurs du code utilisé pour chiffrer les données. interface de programme d'application (API) Interface permettant à un programme d'application écrit en langage évolué d'utiliser des données ou des fonctions spécifiques du système d'exploitation ou d'un autre programme. interface fournisseur de service d'id série Interface de programmes conçue pour l'intégration d'accessagent avec des dispositifs Serial ID tiers utilisés pour l'authentification à deux facteurs. interface SPI (Service Provider Interface) Interface via laquelle les fournisseurs peuvent intégrer des périphériques dotés de numéros de série à IBM Security Access Manager for Enterprise Single Sign-On et les utiliser comme second facteur dans AccessAgent. J Java Management Extensions (JMX) Méthode de gestion de la technologie Java et via cette technologie. JMX est une extension ouverte universelle du langage de programmation Java pour la gestion, qui peut être déployée pour tous les secteurs d'activités, dès lors que de la gestion est nécessaire. jeton OTP Petit périphérique matériel très portable que le propriétaire transporte pour 28 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

45 autoriser l'accès à des systèmes numériques et/ou à des ressources matérielles. JMX Voir Java Management Extensions. JVM (Java Virtual Machine) Voir machine virtuelle Java. L langue bidirectionnelle Une langue qui utilise un script, tel que l'arabe ou l'hébreu, dont le flux général de texte va horizontalement de droite à gauche, mais les nombres, l'anglais et les autres textes de langue de gauche à droite sont écrits de gauche à droite. LDAP Voir Lightweight Directory Access Protocol. Lightweight Directory Access Protocol (LDAP) Protocole ouvert qui utilise TCP/IP pour fournir un accès à des répertoires qui prennent en charge un modèle X.500. Un protocole LDAP permet de localiser des individus, des organisations et d'autres ressources dans un annuaire Internet ou intranet. M machine virtuelle Java (JVM) Implémentation logicielle d'un processeur qui exécute du code Java compilé (applets et applications). message modal système Boîte de dialogue système généralement utilisée pour afficher des messages importants. Lorsqu'un message modal système est affiché, vous ne pouvez rien sélectionner à l'écran tant que le message n'est pas fermé. middleware de carte à puce Logiciel jouant le rôle d'interface entre des applications de carte à puce et du matériel de carte à puce. Généralement, ce logiciel est constitué de bibliothèques qui mettent en oeuvre la norme PKCS#11 et des interfaces CAPI sur des cartes à puce. mise en cache de portefeuille Processus, lors de la connexion unique pour une application, par lequel AccessAgent extrait les données d'identification de connexion du portefeuille d'identification de l'utilisateur. Le portefeuille d'identification de l'utilisateur est téléchargé sur la machine de l'utilisateur et stocké de manière sécurisée sur le serveur IMS. mode graphique interactif Série de panneaux demandant des informations pour effectuer l'installation. modèle de données de compte Un modèle qui définit le format des données de compte à stocker pour les données d'identification capturées à l'aide d'un profil d'accès spécifique. modèle d'éléments de données de compte Un modèle qui définit les propriétés d'un élément de données de compte. modèle de règle Forme de règle prédéfinie qui permet aux utilisateurs de définir une règle en fournissant les éléments de règle fixes qui ne peuvent pas être modifiés et les éléments de règle variables qui peuvent l'être. mode léger Mode AccessAgent serveur. Le fonctionnement en mode léger réduit l'encombrement mémoire d'accessagent sur serveur Terminal Server ou Citrix et améliore le temps de démarrage de la connexion unique. mode silencieux Méthode d'installation ou de désinstallation d'un composant de produit de la ligne de commande sans affichage de l'interface graphique. En mode silencieux, vous devez indiquer directement les données requises par le programme d'installation ou le programme de désinstallation sur la ligne de commande ou dans fichier (appelé fichier d'options ou fichier de réponses). module de localisation de serveur Une releveur de coordonnées qui regroupe un ensemble connexe d'applications Web nécessitant une authentification par le même service d'authentification. Dans AccessStudio, les modules de localisation de serveur identifient le service d'authentification auquel un écran d'application est associé. mot de passe aléatoire Mot de passe généré de manière arbitraire Glossaire 29

46 et utilisé pour augmenter la sécurité de l'authentification entre les clients et les serveurs. mot de passe à utilisation unique (OTP) Mot de passe à utilisation unique généré pour un événement d'authentification, parfois transmis entre le client et le serveur via un canal sécurisé. N noeud Regroupement logique de serveurs gérés. Voir aussi noeud géré. noeud géré Noeud fédéré sur un gestionnaire de déploiement, qui contient un agent de noeud et pouvant inclure des serveurs gérés. Voir aussi noeud. nom de domaine qualifié complet En communications Internet, nom d'un système hôte qui comprend tous les sous-noms du nom de domaine. rchland.vnet.ibm.com est un exemple de nom de domaine complètement qualifié. Voir aussi nom d'hôte. nom d'hôte En communication Internet, nom donné à un ordinateur. Le nom d'hôte peut être un nom de domaine complet tel que monordinateur.ville.entreprise.com ou il peut être un sous-nom spécifique comme monordinateur. Voir aussi nom de domaine complet, adresse IP. nom distinctif de base Nom indiquant le point de départ des recherches dans le serveur d'annuaire. nom distinctif de liaison Nom indiquant les données d'identification que le serveur d'applications doit utiliser pour se connecter à un service d'annuaire. Le nom distinctif identifie de manière unique une entrée dans un répertoire. nom distinctif (DN) Nom identifiant de manière unique une entrée dans un répertoire. Un nom distinctif est constitué de paires de valeurs d'attributs, séparées par des virgules. Par exemple, CN=nom de personne et C=pays ou région. numéro de série Numéro unique intégré dans les clés IBM Security Access Manager for Enterprise Single Sign-On. Il yaunnuméro par clé et il ne peut pas être modifié. Numéro de série de la carte (CSN) Elément de donnée unique qui identifie une carte à puce hybride. Il n'est aucunement lié aux certificats installés sur la carte à puce. O objet de stratégie de groupe (GPO) Ensemble de paramètres de stratégie de groupe. Les objets de stratégie de groupe sont des documents créés par le composant logiciel enfichable de stratégie de groupe. Les objets de stratégie de groupe sont stockés au niveau du domaine et affectent les utilisateurs et les ordinateurs contenus dans des sites, domaines et unités organisationnelles. OTP (One-Time Password) Voir mot de passe à utilisation unique. P PIN (Personal Identification Number) Voir code confidentiel. PKCS Voir normes PKCS. pont de provisionnement Processus de distribution des données d'identification IMS Server automatique avec des systèmes de provisionnement tiers qui utilise des bibliothèques API avec une connexion SOAP. pool de bureaux Ensemble de bureaux virtuels de configuration similaire destiné à être utilisés par un groupe d'utilisateurs désigné. portail Point d'accès unique et sécurisé à différentes informations, applications et personnes, qui peut être personnalisé et adapté. portée Fait référence à l'applicabilité d'une règle, au niveau du système, de l'utilisateur ou de la machine. porte-monnaie Magasin de données sécurisé des données d'identification d'accès d'un utilisateur et des informations associées qui inclut les 30 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

47 ID utilisateur, les mots de passe, les certificats, les clés de chiffrement. profil du gestionnaire de déploiement Environnement d'exécution WebSphere Application Server qui gère des opérations pour un groupe logique ou une cellule d'autres serveurs. protocole de bureau distant (RDP) Protocole facilitant l'affichage et la saisie à distance par connexions réseau pour les applications serveur Windows. RDP prend en charge différentes topologies de réseau et de multiples connexions. provisionnement des utilisateurs Processus d'inscription d'un utilisateur pour l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. provisionner Fournir, déployer et suivre un service, un composant, une application ou une ressource. Voir aussi annuler l'accès. Public Key Cryptography Standards (PKCS) Ensemble de protocoles informatiques utilisés pour l'échange d'informations sécurisé sur Internet. Les applications Domino Certificate Authority et Server Certificate Administration peuvent accepter des certificats au format PKCS. Q question secrète Question à laquelle seul l'utilisateur connaît la réponse. Une question secrète est utilisée comme fonction de sécurité pour vérifier l'identité d'un utilisateur. R raccourci-clavier Séquence de touches utilisée pour changer d'opérations entre différentes applications ou entre différentes fonctions d'une application. RADIUS (Remote Authentication Dial-In User Service) Voir service utilisateur d'authentification à distance par appel. RDP Voir protocole de bureau distant. registre Référentiel contenant des informations d'accès et de configuration pour les utilisateurs, les systèmes et les logiciels. règle de complexité du mot de passe Règle indiquant la longueur minimale et maximale du mot de passe, le nombre minimal de caractères numériques et alphabétiques, et s'il faut autoriser un mélange de minuscules et de majuscules. règles d'applications Ensemble de règles et d'attributs régissant l'accès aux applications. réplication Processus de gestion d'un jeu défini de données sur plusieurs emplacements. La réplication implique de copier les modifications indiquées apportées dans un emplacement (source) à un autre emplacement (cible) et de synchroniser les données dans ces deux emplacements. reprise sur sinistre Processus de restauration d'une base de données, d'un système ou de règles après la défaillance partielle ou totale d'un site provoquée par un événement catastrophique tel qu'un tremblement de terre ou un incendie. Généralement, la reprise après sinistre nécessite une sauvegarde totale à un emplacement différent. réseau privé virtuel SSL Voir réseau privé virtuel Secure Sockets Layer. réseau privé virtuel (VPN) Extension d'un intranet d'une société par le biais de l'infrastructure préfabriquée existante d'un réseau public ou privé. Un VPN garantit la sécurisation des données envoyées entre les deux noeuds finaux de sa connexion. réseau privé virtuel (VPN) SSL (Secure Sockets Layer) Sorte de réseau virtuel privé pouvant être utilisé avec un navigateur Web standard. révoquer Retirer un privilège ou un droit à un ID autorisation. RFID (Radio Frequency Identification) Voir identification par radiofréquence. ruche de registre Dans les systèmes Windows, structure des données stockées dans le registre. Glossaire 31

48 S sac de données de compte Structure de données contenant en mémoire des données d'identification d'utilisateur pendant que la connexion unique est effectuée sur une application. Secure Sockets Layer (SSL) Protocole de sécurité offrant la confidentialité des communications. Le protocole SSL permet aux applications client/serveur de communiquer en les protégeant des écoutes clandestines, de la contrefaçon et de la falsification de messages. Security Token Service (STS) Service Web utilisé pour émettre et échanger des jetons de sécurité. serveur autonome Serveur pleinement opérationnel géré indépendamment de tous les autres serveurs et utilisant sa propre console d'administration. serveur de base de données Programme logiciel utilisant un gestionnaire de base de données pour fournir des services de base de données à d'autres logiciels ou ordinateurs. serveur de noms de domaine (DNS) Programme serveur qui fournit la conversion nom-adresse en mappant des noms de domaine sur des adresses IP. serveur Web Logiciel capable de satisfaire (servir) des demandes HTTP. service d'annuaire Annuaire contenant les noms, les informations de profil et les adresses de machine de chaque utilisateur et ressource du réseau. Gère les comptes des utilisateurs et les autorisations en réseau. Lorsqu'un nom d'utilisateur est envoyé, il renvoie les attributs de cet individu (comme son numéro de téléphone ou son adresse de courrier électronique). Les services de répertoire utilisent des bases de données hautement spécialisées qui sont généralement de type hiérarchique en matière de conception et offrent des fonctions de recherche rapide. service d'authentification Service qui vérifie la validité d'un compte ; les applications effectuent leur authentification avec leur propre magasin d'utilisateurs ou avec un annuaire d'entreprise. service utilisateur d'authentification à distance par appel (RADIUS) Système d'authentification et de statistiques qui utilise des serveurs d'accès pour offrir une gestion centralisée de l'accès aux grands réseaux. service Web Application modulaire intégrée explicite pouvant être publiée, reconnue et appelée sur un réseau utilisant des protocoles réseau standard. En général, le XML est utilisé pour baliser les données, le SOAP pour transférer les données, le WSDL pour décrire les services disponibles et l'uddi pour répertorier les services disponibles. Voir aussi SOAP. signature En profilage, des données d'identification unique pour n'importe quelle application, fenêtre ou zone. Simple Mail Transfer Protocol (SMTP) Protocole d'application Internet pour transférer du courrier entre les utilisateurs d'internet. site de reprise après sinistre Un emplacement secondaire pour l'environnement de production en cas d'incident. SMTP Voir Simple Mail Transfer Protocol. SOAP Protocole simple basé sur XML, permettant d'échanger des informations dans un environnement décentralisé et réparti. SOAP peut être utilisé pour interroger et renvoyer des informations ainsi que pour appeler des services via Internet. Voir aussi service Web. source de données Moyen par lequel une application accède à des données à partir d'une base de données. SPI (Service Provider Interface) Voir interface fournisseur de service. SSL Voir Secure Sockets Layer. SSO (Single Sign-On) Voir connexion unique. STS Voir Security Token Service. 32 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle

49 synchronisation du mot de passe Active Directory Fonction d'ibm Security Access Manager for Enterprise Single Sign-On qui synchronise le mot de passe ISAM ESSO avec le mot de passe Active Directory. système de provisionnement Système offrant un service de gestion du cycle de vie des identités pour les utilisateurs d'applications dans les entreprises et gérant leurs données d'identification. T tableau de bord Interface qui intègre les données de toute une variété de sources et affiche de façon cohérente des informations pertinentes et contextuelles. tty Voir type de terminal. type de terminal (tty) Pilote de périphérique générique pour un affichage de texte. Une unité TTY effectue généralement des entrées et des sorties caractère par caractère. qui fournit des applications dont la fonction sécurisée permet d'accéder à des données d'entité organisationnelle de base telles que les individus, les comptes de connexion et les rôles de sécurité. Visual Basic (VB) Langage de programmation piloté par événement et environnement de développement intégré (IDE) de Microsoft. VMM Voir Virtual Member Manager. VPN (Virtual Private Network) Voir réseau privé virtuel. W WS-Trust Spécification de sécurité de services Web qui définit un cadre pour que les modèles de confiance établissent une relation de confiance entre les services Web. U URI (Uniform Resource Identifier) Chaînes de caractères compacte permettant l'identification d'une ressource abstraite ou physique. utilisateur de recherche Un utilisateur authentifié dans l'annuaire de l'entreprise et qui recherche d'autres utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On se sert de l'utilisateur de recherche pour extraire les attributs utilisateur du référentiel d'entreprise Active Directory ou LDAP. V VB Voir Visual Basic. verrouillage d'écran transparent Fonction qui, lorsqu'elle est activée, permet aux utilisateurs de verrouiller leur écran tout en voyant tout de même le contenu du bureau. Virtual Member Manager (VMM) Composant WebSphere Application Server Glossaire 33

51 Index A AccessAgent image de base 6, 10 prise en charge des infrastructures de bureau virtuel, présentation 1 accessibilité xii Activer la sécurité de portefeuille en cache 3 B bureau virtuel 14, 15 AccessAgent 13 connexion unique 13 VMWare View 8 C catalogue de machines Citrix XenDesktop 9 Citrix XenDesktop catalogue de machines 9 Citrix Receiver 2 configuration de la connexion unique 5 Controller 2 Delivery Controller 2 Desktop Studio 2 environnement de bureau virtuel 5 profil d'accès 11 Studio 2 Virtual Delivery Agent 2 Virtual Desktop Agent 2 connexion unique configuration 5 flux de travaux 13 E éducation xii en ligne publications ix terminologie ix F formation xii image de base 6 AccessAgent 10 infrastructure de bureau virtuel AccessAgent, configurations 3 AccessAgent, limitations 3 Citrix XenDesktop 2 paramètres du Registre 17 prise en charge par AccessAgent 1 VMWare View 2 M modèle de règle machine image de base AccessAgent 6 N Nom de groupe VDI 3 P profil d'accès connexion Citrix XenDesktop 11 connexion VMWare View 11 publications accès en ligne ix déclaration de bonnes pratiques de sécurité xiii liste pour ce produit ix R Règle Option de mise en cache du portefeuille 3 V VMWare View Administrateur 2 Agent 2 bureaux virtuels, pool 8 Client 2 Composer 2 configuration de la connexion unique 5 environnement de bureau virtuel 5 profil d'accès 11 G glossary 23 I IBM service de support logiciel xiii Support Assistant xiii identification de problème xiii Copyright IBM Corp. 2002,

53

54 SC

Montrer encore