Flexible Identity Bronze

Transcription

1 guide d'administration 09/08/12

2 Table des matières 1 références Introduction Présentation Portail d administration Flexible Identity Accès Vue «gestionnaire de compte» Vue «opérateur» Personnalisation de l'environnement Flexible Identity Apparence et image de marque Communications Paramètres SMS Paramètres Messages SMS Messages Politiques utilisateur Politiques de tokens Politiques d'automatisation Règles d approvisionnement Politique Self-service Politique d'auto-enregistrement Règles d approvisionnement SAML Gestion de l inventaire Statut de l inventaire Attribution Gestion des tokens attribués Gestion des utilisateurs Création de comptes utilisateurs Raccourci «Create User» Raccourci «Import Users» Synchronisation LDAP Gestion des groupes d'utilisateurs Module «Group Maintenance» Module Group Membership Module RADIUS Attribute (Group) Gestion des conteneurs Module Container Maintenance Module Container Members Règles d'autorisation et de pré-authentification Gestion des tokens Approvisionnement utilisateurs Approvisionnement groupé Approvisionnement automatique Approvisionnement manuel Attribution manuelle Gestion d'un token approvisionné/attribué Suspend (suspendre un token) Unlock (débloquer un token) New PIN (nouveau PIN)...47 copyright, Equant 2009 Tous droits réservés. Les informations contenues dans ce document sont la propriété d'equant et de ses sociétés affiliées et filiales membres du groupe Equant (individuellement ou collectivement). Aucune partie de ce document ne peut être reproduite, enregistrée dans un système de récupération, ou transmise sous quelque forme que ce soit ou par tout moyen ; électronique, mécanique, photocopie, enregistrement ou autre, sans l'autorisation préalable écrite d'equant. Une action en justice sera intentée en cas de violation. Equant fait partie du groupe France Telecom et réalise ses prestations sous le nom d'orange Business Services. 2 sur 91

3 8.2.4 Resync (resynchroniser) Revoke (révoquer) Gestion des Auth Nodes Gestion des services SAML Ajout de fournisseurs de service SAML Approvisionnement des services SAML Approvisionnement manuel Règles d'auto-approvisionnement Gestion des rapports de service Accéder aux modules de rapports Compte Serveur virtuel Module «Available Reports» (rapports disponibles) Module «My Report List» Module «My Scheduled Reports» Module «My Report Output» Superviser votre service Résumé des informations Page «User management» (gestion utilisateur) Demandes de modification appendix A: personnalisation de l apparence et de l image A.1 Personnaliser les polices de caractère...67 A.2 Personnaliser les couleurs...69 A.3 Personnaliser les boutons...71 A.4 Personnaliser les logos...72 A.5 Personnaliser les titres...75 A.6 Personnaliser les étiquettes...77 appendix B: personnalisation des communications B.1 Balises messages SMS...78 B.2 Liste des messages SMS...78 B.3 Balises messages s...79 B.4 Liste des messages s...80 appendix C: source CCS SAML par défaut sur 91

4 1 références LDAP synchronization agent configuration guide... Réf 1 Présentation MSCT... Réf 2 SAML Authentication with SAS Cloud... Réf 3 4 sur 91

5 2 Introduction Votre société a choisi d'utiliser le service afin de sécuriser l accès à ses ressources internes ou cloud. est un service d authentification multi-facteurs qui permet de sécuriser les accès distants et l accès aux applications critiques de l entreprise avec des moyens d authentification adaptés à l importance de la ressource à protéger (SMS, token logiciel, token physique, token grille). À propos de ce document Ce document est destiné aux administrateurs clients de Flexible Identity. Ci-dessous une présentation des chapitres de ce guide et leur contenu : Chapitre 3: Présentation décrit certains principes de base du service. Du chapitre 4 au chapitre 12 : gestion de vos services décrit comment vous pouvez utiliser le portail d administration pour gérer les comptes utilisateurs, l'approvisionnement de tokens, la gestion des groupes, les autorisations, les politiques, personnaliser vos portails Flexible Identity et le contenu des messages du service, visualiser les rapports, etc. Chapitre 13 : demande de modifications décrit comment demander des modifications qui ne peuvent pas être réalisées en utilisant votre portail d administration Flexible Identity. 5 sur 91

6 3 Présentation garantit l'authentification forte des utilisateurs qui accèdent aux ressources de l'entreprise via une connexion à distance. L'authentification forte combine «ce que vous savez» (nom d'utilisateur et code PIN) et «ce que vous avez (code token), contrairement à l'authentification simple, qui est composée uniquement de «ce que vous savez» (nom d'utilisateur et mot de passe). Le mot de passe de l'utilisateur, appelé OTP (One Time Password), est composé d'un code PIN (entre 4 et 8 caractères numériques) immédiatement suivis du code token (les chiffres affichés par le token). Identifiant : identifiant utilisateur OTP : code PIN + code token Chaque code token est unique et il est impossible de prédire la valeur d'un futur code token. Exemple : Le service Flexible Identity est mis en œuvre sur la plateforme cloud SafeNet Authentication Service. Chaque client dispose de serveurs virtuels sur cette plateforme. 6 sur 91

7 Orange Business Services vous propose les tokens SafeNet suivants : Tokens physiques type token image autonomie batterie utilisation porte-clés métal (KT 4) illimitée (remplaçable) utilisation très fréquente, idéale en milieu industriel agressif porte-clés plastique (KT 5) porte-clés plastique léger (crystal) 5 à 7 ans utilisation fréquente 3 à 5 ans utilisation normale Tokens logiciels Les codes tokens logiciels sont générés par l'application Cryptocard MP-1 sur l'équipement de l'utilisateur. Les tokens logiciels Cryptocard peuvent fonctionner sur quasiment tous les appareils communs (PC Windows, iphone, ipad, Androïd, Blackberry, téléphones Symbian, Java). token logiciel image Application MP-1 pour PC Application MP-1 pour Smartphone Les tokens Cryptocard peuvent être configurés pour code PIN côté token : code PIN à saisir dans le token avant qu'un OTP soit généré code PIN côté serveur : code PIN ajouté à l'otp et validé par le serveur. Orange Business Services fournit des tokens Cryptocard configurés code PIN côté serveur par défaut. 7 sur 91

8 Portails d administration et portail self-service Trois portails sont fournis avec Flexible Identity : Le portail d administration vous permet de réaliser des activités de gestion au jour le jour, comme la création de comptes utilisateurs, l'attribution de tokens à des utilisateurs, la suspension de tokens, la visualisation de rapports. Pour une description détaillée de l'utilisation du portail d administration Flexible Identity, consulter le chapitre 4. Le portail self-service permet aux utilisateurs finaux de réaliser des opérations d'authentification forte telles que : - modifier leur code PIN - resynchroniser leurs tokens pour vérifier qu'ils fonctionnent correctement et en synchronisation avec le serveur. - Demande SMS OTP : cette fonctionnalité n'est pas disponible pour le moment. Le portail self-service Flexible Identity est disponible à l'url fournie dans l' d'autoenregistrement de l'utilisateur. Managed Service Change Tool (MSCT) permet aux administrateurs client de commander des tokens et demander des modifications qui ne peuvent pas être réalisées avec le portail d administration (consulter le chapitre 13). 8 sur 91

9 4 Portail d administration Flexible Identity 4.1 Accès Avant la connexion au portail d administration Flexible Identity : 1. vous devez ouvrir le courriel «Self-enrollment» dans votre messagerie (il se peut que ce courriel soit classé dans le dossier «spam») et suivre les instructions pour vous enregistrer et télécharger/activer le token logiciel MP que vous utiliserez pour vous authentifier sur le portail d administration Flexible Identity. 2. une fois que vous avez effectué avec succès le processus d'enregistrement, vous recevez un second courriel intitulé « validation» : ouvrez-le et suivez les instructions (avant de pouvoir vous connecter au portail d administration Flexible Identity, vous devez confirmer être le propriétaire de l adresse mail associée à votre identifiant Flexible Identity). 4.2 Vue «gestionnaire de compte» Une fois connecté au portail d administration, vous accédez à la vue «gestionnaire de compte» : En haut à droite de la page, vous avez un message de bienvenue qui affiche le nom de votre compte «Service Provider» créé par Orange Business Services (pour les administrateurs Flexible Identity de votre société) suivi de votre identifiant utilisateur (adresse mail). Cliquez sur l'onglet «ON-BOARDING» : Un autre compte s'affiche dans le module Account : il s'agit d'un compte «Subscriber» créé par Orange Business Services également, mais destiné aux utilisateurs de votre société qui utiliseront Flexible 9 sur 91

10 Identity. Parfois, plusieurs comptes Subscriber peuvent être répertoriés dans le module Account, mais généralement, il y a un seul compte Service Provider (appelé «company» dans les exemples et copies d écran de ce document) et un compte Subscriber (appelé «company-sas» dans les exemples et copies d écran de ce document) pour chaque société. Cliquez sur l'onglet «VIRTUAL SERVERS» : Chaque compte dispose d'un serveur virtuel, y compris votre compte Service Provider. 4.3 Vue «opérateur» En sélectionnant un compte dans la liste de comptes sur l'onglet «VIRTUAL SERVERS», une seconde rangée d'onglets (appelés sous-onglets dans ce document) apparaît et vous permet de gérer la partie Serveur Virtuel du compte que vous venez de sélectionner (le nom du compte géré est affiché au-dessus de cette rangée de sous-onglets). Vue opérateur de compte Service Provider : 10 sur 91

11 Vue opérateur du compte Subscriber : Notez que les options de configuration sont plus limitées pour le serveur virtuel de votre compte Service Provider : cela s'explique par le fait que ce serveur virtuel est en grande partie géré par Orange Business Services car il est lié aux comptes administrateurs. 11 sur 91

12 5 Personnalisation de l'environnement Flexible Identity Nous vous recommandons fortement de personnaliser l'environnement Flexible Identity avant de commencer à distribuer les tokens à vos utilisateurs. 5.1 Apparence et image de marque Par défaut, l'apparence et l'image de marque des comptes Service Provider et Subscriber sont héritées d'orange Business Services. La personnalisation du compte Service Provider concerne : les pages de votre portail d administration Flexible Identity (y compris celle de login). le portail self-service destiné aux administrateurs Flexible Identity de votre société. les pages d'enregistrement envoyées aux administrateurs Flexible Identity de votre société. La personnalisation du compte Subscriber concerne : le portail self-service destiné aux utilisateurs Flexible Identity de votre société. les pages d enregistrement envoyées aux utilisateurs Flexible Identity de votre société. Par défaut, l'apparence et l'image de marque des comptes Service Provider et Subscriber sont héritées d'orange Business Services. Si vous souhaitez personnaliser les comptes Service Provider et Subscriber de la même façon, il vous suffit de personnaliser le compte Service Provider : l'apparence et l'image de marque du compte Subscriber seront dérivées de celles du compte Service Provider. Allez au module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien du compte dont vous souhaitez personnaliser l'apparence et l'image de marque et allez au module «Custom Branding» du sous-onglet «COMMS». Consultez l'annexe «personnalisation de l apparence et de l image» page sur 91

13 5.2 Communications Par défaut, les paramètres de communication des comptes Service Provider et Subscriber sont dérivés d'orange Business Services. Seuls les paramètres de communication de votre compte Subscriber peuvent être personnalisés (les paramètres de communication de votre compte Service Provider sont directement gérés par Orange Business Service). La personnalisation de votre compte Subscriber concerne : les paramètres SMS (plugin SMS) les paramètres s (serveur SMTP) les messages SMS (texte et mise en forme). les messages s (texte et mise en forme). Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber et allez dans le module «Communications» du sous-onglet «COMMS» Paramètres SMS Les passerelles SMS sont utilisées pour envoyer des SMS/OTP et des alertes. Deux options sont disponibles pour envoyer des messages SMS : Par défaut : les messages SMS sont envoyés via la passerelle SMS de Flexible Identity. Personnalisation : les messages SMS sont envoyés via un service de passerelle auquel votre société a souscrit ou un modem SMS installé sur votre site. Cliquez sur le lien «SMS Settings» pour définir un plugin SMS personnalisé pour votre compte Subscriber. 13 sur 91

14 Sélectionnez l'option «Custom». Complétez le formulaire «SMS settings». Les options de configuration dépendront du choix de votre plugin SMS. Votre fournisseur de passerelle SMS vous donnera les informations nécessaires à sa configuration. D'autres options de configuration peuvent être disponibles, en fonction de votre fournisseur de réseau et de passerelle SMS : Use Proxy : si vous envoyez des messages SMS via un serveur Proxy, sélectionnez l'option «Yes» et ajoutez l'url Proxy, le numéro du port, le nom d'utilisateur et le mot de passe. Use Flash SMS : utilisez cette option si la passerelle prend en charge les SMS Flash et si vous ne souhaitez pas que les messages SMS soient enregistrés sur l'appareil destinataire. Use Overwrite SMS : utilisez cette option si la passerelle prend en charge l'écrasement de SMS, qui fait que le dernier SMS enregistré sur l'appareil destinataire est écrasé par chaque nouveau message. SMS Mobile Number : vous pouvez vérifier la capacité à envoyer des messages SMS en entrant le numéro de l'appareil capable de recevoir les messages SMS dans ce champ. Les numéros de téléphone SMS doivent contenir uniquement des chiffres et doivent commencer par un indicatif pays. Cliquez sur le bouton «Apply» pour appliquer les modifications Paramètres Les serveurs SMTP sont utilisés pour envoyer des messages d enregistrement et des alertes. Il existe deux options pour envoyer des messages s : 14 sur 91

15 Par défaut : les messages seront envoyés via le serveur SMTP de Flexible Identity. Notez que l' envoyé via ce serveur n'apparaîtra pas comme venant de votre compte Subscriber. En outre, tous les envois infructueux (par ex. adresse invalide) seront envoyés au serveur SMTP de Flexible Identity. Personnalisation : sélectionnez cette option pour envoyer les messages via votre propre serveur SMTP. L' envoyé via ce serveur apparaîtra comme venant de votre compte Subscriber. Toute notification d'échec d'envoi sera envoyée à votre propre serveur SMTP. Cliquez sur le lien « settings» pour définir un serveur SMTP pour votre compte Subscriber. Sélectionnez l'option «Custom». Complétez le formulaire « Settings» : From address : c'est le nom du compte émetteur de votre serveur SMTP à partir duquel l' sera envoyé. Par exemple : Administrateur système (account@mycompany.com). SMTP server and port number : c'est le nom du serveur SMTP ou l'adresse IP et le numéro du port (par ex. smtp.mycompany.com Port #: 25). SMTP user and SMTP password : si le serveur SMTP nécessite une authentification, saisissez un compte utilisateur et un mot de passe dans ces champs. SSL : sélectionnez cette option si le serveur SMTP est configuré pour utiliser SSL. Test To Address : vous pouvez vérifier la capacité du serveur virtuel de votre compte Subscriber à envoyer des messages en saisissant une adresse valide dans ce champ et en cliquant ensuite sur le bouton Test. Cliquez sur le bouton «Apply» pour appliquer les modifications Messages SMS Vous pouvez personnaliser les divers messages SMS/OTP qui sont envoyés par le serveur virtuel de votre compte Subscriber. 15 sur 91

16 Cliquez sur le lien «SMS Messages» et sélectionnez un «SMS Message Type» dans la liste déroulante (le contenu du message est affiché dans la fenêtre «Message»). Le contenu du message peut être modifié si nécessaire, toutefois les messages SMS de plus de 160 caractères (espaces compris) seront divisés en deux messages, voire plus. Veuillez consulter : l'annexe «Balises messages SMS» page 78 pour plus d'informations sur les balises utilisées pour insérer des informations depuis le serveur virtuel de votre compte Subscriber dans le contenu de votre message SMS. l'annexe «Liste des messages SMS» page 78 pour des informations sur la liste de messages SMS Messages Vous pouvez personnaliser les divers messages qui sont envoyés par le serveur virtuel de votre compte Subscriber. Cliquez sur le lien « Messages» et sélectionnez un « Message Type» dans la liste déroulante (le contenu du message est affiché dans la fenêtre «Body»). Le contenu du message peut être modifié si besoin. Sélectionnez l'option texte ou HTML pour envoyer respectivement du contenu en utilisant du texte plein ou HTML. Veuillez consulter : 16 sur 91

17 l'annexe «Balises messages s» page 79 pour des informations sur les balises utilisées pour insérer des informations depuis le serveur virtuel de votre compte Subscriber dans le contenu de votre message . l'annexe «Liste des messages s» page 80 pour des informations sur la liste de messages e- mail. 5.3 Politiques utilisateur Seuls les paramètres de politiques utilisateur de votre compte Subscriber peuvent être personnalisés (ceux de votre compte Service Provider sont directement gérés par Orange Business Service). Les politiques d'utilisation s appliquent à vos comptes utilisateurs, en vous permettant de déterminer comment gérer les échecs successifs de tentatives de connexion. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber et allez dans le module «User Policies» du sous-onglet «POLICY». Cliquez sur le lien «Account Lockout/Unlock Policy» Complétez le formulaire «Thresholds and Actions» : Account lock threshold : c'est le nombre maximal d'échecs successifs de tentatives de connexion autorisé pour un utilisateur. En cas de dépassement de cette valeur, le compte sera bloqué. Régler cette valeur à 0 revient à désactiver cette fonction. Valeur par défaut : 3 Alert Operator on account lockout: si cette option est cochée, une alerte concernant le compte utilisateur bloqué sera envoyée à un opérateur. Alert User on account lockout : si cette option est cochée, une alerte concernant le compte utilisateur bloqué sera envoyée par à l'utilisateur. 17 sur 91

18 Alert Operator on account unlock : si cette option est cochée, une alerte concernant le compte utilisateur bloqué sera envoyée à un opérateur. Alert User on account unlock : si cette option est cochée, une alerte concernant le compte utilisateur débloqué sera envoyée par à l'utilisateur. Account lock duration : c'est la durée en secondes, en minutes ou en heures qui doit s'écouler après le blocage du compte, au bout de laquelle le compte utilisateur sera débloqué automatiquement. Si cette option est réglée sur 0, le compte ne sera pas débloqué automatiquement. Valeur par défaut : 15 minutes. Cliquez sur le bouton «Apply» pour appliquer les modifications. 5.4 Politiques de tokens Seuls les paramètres de politiques de tokens de votre compte Subscriber peuvent être personnalisés (ceux de votre compte Service Provider sont directement gérés par Orange Business Service). Lors de la commande du service Flexible Identity, votre société a rempli le document SRF2 Orange Business Service, à partir duquel les paramètres de politiques de tokens ont été configurés par Orange Business Services. Si vous souhaitez modifier ces paramètres, veuillez utiliser l'outil MSCT (consultez le chapitre «Demandes de modification» page 66). Dans ce cas, les nouveaux paramètres prendront effet après le nouvel enregistrement du token. Vous disposez d'un accès en lecture seule aux politiques de tokens : allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber et allez dans le module «Token Policies» du sous-onglet «POLICY». 5.5 Politiques d'automatisation Seuls les paramètres des politiques d'automatisation de votre compte Subscriber peuvent être personnalisés (ceux de votre compte Service Provider sont gérés directement par Orange Business Service). Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber et allez dans le module «Automation Policies» du sous-onglet «POLICY». 18 sur 91

19 5.5.1 Règles d approvisionnement Consultez le chapitre «Approvisionnement automatique» page Politique Self-service Cette politique indique l'url par défaut et personnalisée à laquelle l'utilisateur peut accéder aux fonctions self-service comme la gestion du code PIN, la resynchronisation et le renvoi d OTP SMS. Ne modifiez pas l'url Self-service ou l URL Self-service Unique si vous n'avez pas installé un serveur Web self-service autonome Politique d'auto-enregistrement Cette politique contrôle les seuils et alertes d'auto-enregistrement. Cliquez sur le lien «Self-enrollment Policy». Complétez le formulaire «Self-enrollment settings» : Self enrollment base URL : c'est l'url vers laquelle l'utilisateur sera dirigé lors d une demande d approvisionnement. Cette URL est affichée dans l' d enregistrement envoyé à l'utilisateur. Ne modifiez pas cette valeur à moins que vous n'ayez installé votre propre serveur web d enregistrement. 19 sur 91

20 Self enrolment over SSL : si cette option est cochée, l'enregistrement doit se faire via une connexion SSL. Ne modifiez pas cette valeur à moins que vous n'ayez installé votre propre serveur web d enregistrement. Activation code format : cette option détermine la complexité du code d'activation contenu dans le message d enregistrement et encodé dans l'url d enregistrement. Il est possible d'utiliser des formats numériques, alphabétiques ou alphanumériques. Reservation time to live : c'est le nombre maximum de jours qu'a l'utilisateur pour s enregistrer à partir de la date de l envoi de la demande d approvisionnement. Cette valeur est ajoutée à la date de d envoi de la demande d approvisionnement pour obtenir la date d'arrêt de la tâche d approvisionnement. Si elle est à 0, la tâche d approvisionnement n'expirera jamais. La valeur par défaut est de 10 jours. Enrollment lockout after : cette valeur détermine le nombre d'échecs de tentatives d enregistrement pour un utilisateur. Lorsque ce seuil est dépassé, l'utilisateur ne peut plus enregistrer son token. Cliquez sur le bouton «Apply» pour appliquer les modifications Règles d approvisionnement SAML Consultez le chapitre «Règles d'auto-approvisionnement» page sur 91

21 6 Gestion de l inventaire 6.1 Statut de l inventaire La première chose à faire est de vérifier le statut de l'inventaire de votre compte Subscriber, car vous ne pouvez pas fournir à vos utilisateurs des tokens et méthodes d'authentification si cet inventaire n'est pas suffisant. Allez dans le module Account de l'onglet «ON-BOARDING» et cliquez sur le lien de votre compte Subscriber. Le module «allocation» affiche un tableau indiquant la capacité (nombre maximal de tokens pouvant être utilisés/attribués aux utilisateurs) et la quantité de tous les tokens et types d'authentification attribués au serveur virtuel de votre compte Subscriber : Maximum : cette colonne indique le total par capacité, token et méthode d'authentification, attribué au serveur virtuel de votre compte Subscriber. In Use : indique la capacité, les tokens et méthodes d'authentification utilisées par le serveur virtuel de votre compte Subscriber. Available : indique la capacité, les tokens et les méthodes d'authentification non utilisés et donc disponibles. Deallocate : indique la quantité par type qui peut être retirée du serveur virtuel de votre compte Subscriber et retournée à l'inventaire de votre compte Service Provider. Si vous pensez que la quantité de capacité, tokens et méthodes d'authentification non utilisée est suffisante pour terminer l approvisionnement de vos utilisateurs, vous pouvez aller directement au chapitre «Gestion des utilisateurs» page 26. Dans le cas contraire, il y a deux possibilités : L'inventaire de votre compte Service Provider a suffisamment de capacité, tokens et méthodes d'authentification disponibles. La seule chose à faire est de les attribuer au serveur virtuel de votre compte Subscriber. L'inventaire de votre compte Service Provider ne dispose pas de suffisamment de capacité, tokens et méthodes d'authentification. Dans ce cas, vous devez commander de nouveaux tokens à Orange Business Services en utilisant l'outil MSCT (consultez le chapitre «Demandes de modification» page 66). Notez que vous pouvez afficher l'inventaire de votre compte Service Provider en allant dans le module Inventory de l'onglet DASHBOARD. Malheureusement, cet inventaire contient non seulement la capacité, les tokens et les méthodes d'authentification mais aussi les tokens logiciels MP et la capacité déjà utilisés par les administrateurs Flexible Identity de votre société. Cependant, le processus d'attribution décrit ci-dessous concerne uniquement la capacité, les tokens et les méthodes d'authentification qui sont vraiment disponibles. 6.2 Attribution Allez dans le module «Account» de l'onglet «ON-BOARDING», cliquez sur le lien de votre compte Subscriber, allez dans le module «Allocation» et cliquez sur le bouton «Allocate». 21 sur 91

22 Sélectionnez «Sale», utilisez la liste déroulante pour sélectionner le type de token que vous souhaitez attribuer (KT, MP ou GrIDsure), cochez «Automatically add Capacity with this allocation» (ajouter automatiquement la capacité lors de cette attribution) et cliquez sur le bouton «Next» (suivant). Sélectionnez le conteneur «Default», saisissez la quantité de tokens que vous souhaitez attribuer (cette valeur doit être égale ou inférieure à la valeur indiquée dans le champ «Available», cliquez sur le bouton «Search», sélectionnez tous les tokens en cochant la case de la première ligne (cellule grisée) et cliquez sur le bouton «Next». 22 sur 91

23 Remplissez le «Billing References form», cliquez sur le bouton «Next», puis sur le bouton «Finish». 6.3 Gestion des tokens attribués Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Tokens» du sous-onglet «TOKENS». Utilisez le bouton «Search» pour rafraîchir la liste des tokens attribués au serveur virtuel de votre compte Subscriber, basée sur une combinaison des critères suivants : Token Type: ce critère de recherche restreint la liste à un type spécifique de token. Si «All» (tous) est sélectionné, alors tous les tokens seront répertoriés indépendamment de leur type. State (état) : ces critères restreignent la liste aux tokens dans l état sélectionné: - Inventory (inventaire) : le token est disponible pour attribution aux utilisateurs 23 sur 91

24 - Initialize (initialiser) : token matériel dans l'inventaire qui doit être initialisé avant d'être disponible pour attribution. - Assigned (attribué) : le token n'est plus dans l'inventaire. Soit il a été attribué manuellement à un utilisateur mais n'a pas été activé, soit il fait partie d'une opération d approvisionnement générale et n'a pas encore été enregistré par un utilisateur. - Active (actif) : le token est attribué à un utilisateur et a été enregistré ou est utilisé pour l authentification. - Suspended (suspendu) : indique qu'un opérateur a mis le token en suspend, le rendant invalide pour l'authentification, mais le laissant attribué à un utilisateur. Cela se fait généralement s'il y a un problème de sécurité par exemple si le token perdu. Les tokens suspendus peuvent être réactivés par un opérateur lorsque le problème de sécurité a été résolu. - Locked (bloqué) : cet état apparaît lorsqu'un utilisateur dépasse le seuil d'échecs successifs de tentatives de connexion. Un token bloqué peut être réactivé par un opérateur. Le blocage/déblocage automatique des tokens est contrôlé par la politique de blocage/déblocage de compte. - Lost/Failed (perdu/défectueux) : état appliqué par un opérateur pour révoquer un token. Les tokens révoqués sont renvoyés à l'inventaire dans cet état où ils peuvent être définitivement retirés ou s'il s'avère que le token fonctionne correctement, il peut être réinitialisé à l'état d'inventaire. - Expired (expiré) : lorsque le token a expiré. Cela concerne uniquement les tokens non-safenet importés dans le serveur. Serial # (numéro de série) : recherche par numéro de série partiel ou complet pour trouver une plage ou un token spécifique. Container (conteneur) : répertorie uniquement les tokens qui sont contenus dans le conteneur sélectionné. Le résultat d'une recherche est affiché dans la liste des tokens. Dans la liste, vous pouvez : Move tokens (déplacer les tokens) : cette option est utilisée pour déplacer les tokens sélectionnés vers un autre conteneur. Reset PIN (réinitialiser code PIN) : cette option est utilisée pour appliquer la politique «code PIN côté serveur» à la plage de tokens sélectionnée. Notez que cette fonction n'est pas disponible pour les tokens initialisés avec les «codes PIN côté token». Les tokens doivent être en état Inventory (inventaire). Cliquez sur le lien du numéro de série du token : affiche les paramètres du token, les statistiques d'utilisation. Cliquez sur le lien de l'identifiant utilisateur : donne accès aux fonctions d'enregistrement et de gestion utilisateur. Cela revient à sélectionner l'identifiant utilisateur depuis le module Search du sous-onglet ASSIGNMENT. 24 sur 91

25 Le bouton «Change Log» dans l'onglet Tokens affiche jusqu'aux cinq dernières opérations de gestion des tokens. Le journal affiche une ligne pour chaque opération réalisée, avec le numéro de série du token, l'opération ou action réalisée, la date/l'heure de l'opération, le nom de l'opérateur qui a réalisé l'action, l'organisation à laquelle l'opérateur appartient (c'est-à-dire votre société ou Orange Business Services) et tout commentaire saisi par l'opérateur. 25 sur 91

26 7 Gestion des utilisateurs Vous pouvez uniquement gérer les utilisateurs du serveur virtuel de votre compte Subscriber (utilisateurs finaux). Les utilisateurs du serveur virtuel de votre compte Service Provider (administrateurs Flexible Identity de votre société) sont gérés directement par Orange Business Service). 7.1 Création de comptes utilisateurs Il existe trois façons de créer des comptes utilisateurs: Manuellement, un utilisateur à la fois en utilisant le raccourci «Create User». Manuellement, en important un ou plusieurs dossiers d'utilisateur depuis un fichier. Automatiquement par une synchronisation avec votre annuaire d entreprise. Vous pouvez ajouter des utilisateurs en utilisant les méthodes manuelles et automatiques, dans la mesure où les identifiants utilisateurs sont uniques. Cela vous permet d'étendre l'authentification aux utilisateurs qui existent dans votre annuaire comme les employés de votre entreprise, mais aussi les partenaires ou les prestataires de service Raccourci «Create User» Allez au module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le volet gauche «Shortcuts» (raccourcis) du sous-onglet «ASSIGNMENT» et cliquez sur le raccourci «Create User» (créer utilisateur). Les informations minimum pour ajouter un utilisateur sont «First Name» (prénom), «Last Name» (nom de famille), «User ID» (identifiant utilisateur) et adresse « ». Le bouton «Add» (ajouter) est désactivé jusqu'à ce que ces champs soient renseignés. User ID : doit être unique. Si un identifiant utilisateur identique existe déjà, un message d'erreur apparaît. 26 sur 91

27 l'adresse est requise. Elle est utilisée pour l approvisionnement et l'auto-enregistrement. Mobile/SMS : c'est un champ non-obligatoire. Seuls les chiffres sont autorisés dans ce champ. Phone (téléphone) : c'est un champ non-obligatoire qui peut contenir des espaces, des points (.), des tirets (-) et des signes plus (+), en plus des chiffres Custom #1, Custom #2 and Custom #3 (personnalisation 1, personnalisation 2 et personnalisation 3) : ce sont des champs non-obligatoires qui peuvent être utilisés pour enregistrer des données supplémentaires relatives à l'utilisateur. Container (conteneur) : utilisez cette option pour placer l'utilisateur dans un conteneur. Une fois les quatre champs requis remplis, cliquez sur le bouton «Add» pour créer l utilisateur et ouvrir la page «User Management» (gestion utilisateur) Raccourci «Import Users» L'importation groupée d'utilisateurs est une façon pratique d'ajouter de nombreux utilisateurs en une seule opération. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le volet gauche «Shortcuts» du sous-onglet «ASSIGNMENT» et cliquez sur le raccourci «Import Users» (importer utilisateurs). 27 sur 91

28 Sélectionnez le format du fichier d'importation, les indicateurs de champ (le cas échéant) et cliquez ensuite sur le bouton «Next». Naviguez et sélectionnez le fichier d'importation des données utilisateurs en utilisant la case à cocher, désactivez l'option «File has a header row» (le fichier comporte une ligne de titre) si le fichier à importer n'inclut pas de ligne de titre, puis cliquez sur le bouton «Next». 28 sur 91

29 Dans le volet «Confirm Field Mapping and Import», sélectionnez le «Database Field» approprié pour chaque champ «Import Data». Il y a quatre «Database fields» requis dans le volet «Confirm Field Mappings and Import» : «FirstName», «LastName», «UserID» et « », chacun marqué d'un astérisque (*). Les entrées «UserID» doivent être uniques. Éventuellement, utilisez le bouton «Add Field» (ajouter champ) et sélectionnez le nom du champ inutilisé approprié dans la liste déroulante pour ajouter des lignes supplémentaires. Le bouton «Add field» peut être utilisé pour entrer des données non contenues dans le fichier d'importation dans la base de données. Des valeurs par défaut peuvent être créées pour tous les champs ajoutés. Les données saisies dans l'un des champs «Default Values» seront utilisées pour peupler les paramètres utilisateurs qui ne sont pas renseignés dans le champ du fichier d'importation correspondant. Cliquez sur le bouton «Next». Sélectionnez le conteneur dans lequel les utilisateurs doivent être importés. L'option «Do not import if the UserID exists in the database» (ne pas importer si l'identifiant utilisateur existe dans la base de données) empêche un utilisateur d'être importé s'il existe déjà dans la base de données. 29 sur 91

30 L'option «Update user record if the UserID exists in the database» (mettre à jour l utilisateur si l'identifiant utilisateur existe dans la base de données) écrasera les champs dans la base de données avec les données du fichier d'importation si un identifiant utilisateur correspondant est trouvé dans la base de données. Notez que les champs renseignés dans la base de données ne seront pas écrasés si un champ correspondant n'est pas inclus dans le fichier d'importation. Cliquez sur le bouton «Import» pour terminer le processus. Une fois l'importation terminée, le serveur affichera le résultat de l'importation, en montrant les utilisateurs qui ont été importés et/ou les erreurs survenues Synchronisation LDAP Les utilisateurs peuvent être ajoutés, suspendus ou retirés automatiquement de votre serveur virtuel en utilisant l'agent de synchronisation LDAP, supprimant alors la nécessité de créer et gérer manuellement les utilisateurs. L'agent inclut une aide pour Active Directory standard, edirectory et SunOne. L'agent peut être configuré pour prendre en charge les schémas non-standard. Cette méthode nécessite l'installation d'un agent de synchronisation, normalement dans le même réseau que l annuaire AD/LDAP. L'agent est configuré pour surveiller les changements des conteneurs LDAP (DN) spécifiés et des groupes, tels que l'ajout ou le retrait d'un utilisateur, puis la synchroniser et appliquer ces modifications sur Flexible Identity. Notez que Flexible Identity permet la création manuelle d'utilisateurs lorsque la synchronisation LDAP est activée. Dans ce cas, les utilisateurs créés manuellement ne seront en aucun cas modifiés par la synchronisation LDAP dans la mesure où il n'y a pas de chevauchement d'identifiant utilisateur (UserID). En cas de chevauchement, tous les tokens attribués à l'utilisateur créé manuellement sont révoqués et marqués comme perdus avec un commentaire et l'identifiant de l utilisateur créé manuellement est remplacé par l'identifiant utilisateur LDAP. Pour configurer votre système pour la synchronisation LDAP, consultez le guide de configuration de l'agent de synchronisation LDAP [Réf 1]. 30 sur 91

31 7.2 Gestion des groupes d'utilisateurs Les groupes sont des attributs qui peuvent être rattachés à un identifiant utilisateur et utilisés pour autorisation pendant le processus d'authentification. Les attributs de groupes donnent un moyen de distinguer les utilisateurs valides (tous les utilisateurs qui peuvent s'authentifier) et ceux qui doivent être autorisés à s'authentifier pour avoir accès à une ressource particulière. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur lien de votre compte Subscriber, allez dans le sous-onglet «GROUPS». Ce sous-onglet donne accès à toutes les fonctions nécessaires pour : Créer et gérer les groupes (module «Group Maintenance») Gérer les appartenances aux groupes utilisateurs (module «Group Membership») Appliquer les attributs RADIUS aux groupes (module «RADIUS Attribute (Group)») Module «Group Maintenance» Ce module est utilisé pour créer, modifier ou supprimer des groupes utilisateurs. Selon la façon dont vous créez les comptes d'utilisateurs, deux types de groupes sont disponibles : Interne (lorsque les comptes utilisateurs ont été créés manuellement). Pour créer un groupe interne, cliquez sur le bouton «New» (nouveau) du module «Group Maintenance» (après avoir sélectionné le type de groupe «Internal»), saisissez un nom de groupe et une brève description de son objectif et cliquez sur le bouton «Add». Synchronisé (lorsque les comptes utilisateurs ont été créés automatiquement). Ces groupes sont synchronisés dans le serveur virtuel de votre compte Subscriber depuis votre annuaire par l'agent de synchronisation et ne peuvent pas être créés localement depuis le portail d administration Flexible Identity. 31 sur 91

32 La synchronisation LDAP synchronise non seulement les groupes, mais aussi l appartenance des utilisateurs à un groupe Module Group Membership Ce module est utilisé pour afficher tous les membres d'un groupe ou pour modifier les appartenances d'un ou plusieurs utilisateurs. Pour visualiser l'appartenance à un groupe, sélectionnez l'onglet «Search Internal Groups» (rechercher les groupes internes) ou l'onglet «Search synchronized groups» (rechercher les groupes synchronisés) du module «Group Membership», puis utilisez la fonction «Search» avec : l'option «Is a member of» (est un membre de) : cela affine la liste aux utilisateurs qui sont membres de n importe quel groupe ou d'un groupe spécifique. L'option «Is not a member of» (n'est pas un membre de) : cela donne une liste d'utilisateurs qui n'appartiennent à aucun groupe ou qui n appartiennent pas à un groupe spécifique. Vous pouvez encore affiner la liste en ajoutant le nom de l'utilisateur ou l'identifiant utilisateur aux critères de recherche. Le lien «UserID» peut être utilisé pour afficher les paramètres de l utilisateur correspondant. Si vous gérez un groupe interne : cochez la(les) case(s) pour sélectionner un ou plusieurs utilisateurs. Pour ajouter des membres, cliquez sur le bouton «New», utilisez la liste déroulante pour sélectionner le groupe à ajouter à l utilisateur, puis cliquez sur le bouton «Add» (pour supprimer les membres, cliquez sur le bouton «Remove» (supprimer) au lieu de «New»). Si vous gérez un groupe synchronisé : les membres ne peuvent pas être ajoutés ou retirés depuis le portail d administration Flexible Identity, ils doivent être ajoutés/retirés directement dans votre annuaire. Les modifications seront appliquées au serveur virtuel de votre compte Subscriber pendant le cycle de synchronisation suivant Module RADIUS Attribute (Group) Ce module permet aux attributs RADIUS d'être attaché à un groupe. L'attribut sera renvoyé pour chaque membre du groupe lors de son authentification. Notez que les attributs affectés aux utilisateurs prévalent sur les attributs affectés à un groupe auquel l'utilisateur appartient. Pour définir les attributs RADIUS, sélectionnez le groupe «Internal» ou «Synchronized» dans le module «RADIUS Attribute (Group)» et cliquez sur le bouton «New». Les options et valeurs d'entrée varieront selon votre sélection dans les diverses listes déroulantes (consultez la documentation de votre équipement réseau pour une aide sur les attributs à utiliser). Une fois l'attribut défini, cliquez sur le bouton «Add» : cela ajoutera l'attribut au Groupe (répétez si nécessaire pour ajouter plusieurs attributs). Pour visualiser les attributs RADIUS, sélectionnez le groupe en utilisant l'option de groupe «Internal» ou «Synchronized» et cliquez sur le bouton Search. Une liste des attributs affectés au groupe s'affiche. Le lien «Edit» (modifier) pour chaque attribut peut être utilisé pour modifier l'attribut correspondant (de même, le lien «Remove» est utilisé pour retirer l'attribut du groupe). 32 sur 91

33 7.3 Gestion des conteneurs Les conteneurs sont utilisés pour séparer les objets (utilisateurs, tokens ou les deux) à des fins de gestion. Les objets ne peuvent se trouver que dans un seul conteneur à la fois. Lorsqu'un utilisateur est déplacé dans un conteneur, tous les tokens affectés à l'utilisateur sont déplacés en même temps. Les conteneurs définissent la portée de l'opérateur - ce qu'il peut gérer. Si un conteneur n'est pas dans la portée d un opérateur, alors les objets de ce conteneur ne sont pas non plus dans la portée de cet opérateur et ne peuvent donc pas être visualisés ou gérés par cet opérateur Module Container Maintenance Ce module est utilisé pour créer, modifier ou supprimer un conteneur. Pour créer un nouveau conteneur, cliquez sur le bouton «New», puis saisissez un nom de conteneur unique et une brève description de son objectif, puis cliquez sur le bouton «Add». Le nouveau conteneur apparaîtra dans la «Containers List». Cliquez sur le lien «Edit» ou «Remove» pour modifier ou supprimer les informations du conteneur. Notez que tous les objets doivent être retirés d'un conteneur avant qu'il puisse être supprimé Module Container Members Ce module permet de visualiser les conteneurs et leurs membres, et de déplacer les membres d un conteneur à un autre. L'écran des conteneurs inclut deux onglets : «Users» et «Unassigned tokens» (tokens non attribués). Pour visualiser les objets par type, sélectionnez l'onglet approprié. Les tokens attribués aux utilisateurs résident toujours dans le conteneur avec l'utilisateur. Pour visualiser les membres d'un conteneur, sélectionnez le «Source Container» (conteneur source) approprié et cliquez sur le bouton «Search». Cela donne une liste qui affiche tous les objets du conteneur. En cliquant sur le lien «UserID» ou «Serial Number», les détails de l'objet s'affichent. Pour déplacer les objets dans un conteneur différent, sélectionnez les objets dans la liste en utilisant l'option à cocher, puis sélectionnez le conteneur cible dans la liste déroulante «Move to Container» (déplacer vers conteneur), puis cliquez sur le bouton «Move». 7.4 Règles d'autorisation et de pré-authentification Ce n'est pas parce qu'un utilisateur peut fournir un mot de passe valide une fois qu'il peut obtenir un accès au réseau. D'autres conditions comme le point d'accès au réseau, l'appartenance à un groupe, le statut du compte ou d'autres attributs peuvent être importants pour autoriser ou refuser l'accès. Les règles de pré-authentification peuvent être utilisées afin d'appliquer des conditions supplémentaires à remplir pour que l'authentification fonctionne. 33 sur 91

34 Les principaux avantages des règles de pré-authentification sont les règles peuvent être appliquées aux attributs de compte utilisateur LDAP/Active Directory. les règles peuvent être appliquées aux comptes utilisateurs conservés dans la source de données utilisateurs SQL internes. les règles peuvent être appliquées à partir des points d'accès réseau (source IP, Agen). les règles peuvent être utilisées pour modifier la séquence d'authentification (OTP, LDAP, LDAP + OTP). les modifications des attributs utilisateurs faites dans l annuaire LDAP ou la source de données utilisateurs internes sont appliquées immédiatement sur le serveur virtuel. les règles peuvent avoir une date de début et/ou de fin fixe ; une caractéristique utile pour la transition des mots de passe statiques à l'authentification OTP. Il y a peu de limites quant à la façon dont les règles de pré-authentification peuvent être utilisées. Les règles peuvent être relativement simples, en vérifiant qu'un simple attribut comme la durée de restrictions en jour, ou complexes comme l'appartenance à un groupe, le point d'accès réseau ou l'état de token. L'authentification se fait de la façon suivante : 1. l'identifiant utilisateur est validé. S'il est valide : 2. les règles de pré-authentification sont appliquées. Si toutes les règles sont satisfaites : 3. le mot de passe est validé. S'il est validé, l'accès est accordé. Les règles de pré-authentification peuvent être configurées par Orange Business Services pour vous (veuillez consulter Demandes de modification à la p. 66). Notez qu'au départ, votre serveur virtuel est configuré avec une règle «Allow All» (autoriser tous). 34 sur 91

35 8 Gestion des tokens 8.1 Approvisionnement utilisateurs Vous pouvez uniquement approvisionner les utilisateurs du serveur virtuel de votre compte Subscriber (utilisateurs finaux). Les utilisateurs du serveur virtuel de votre compte Service Provider (administrateurs Flexible Identity de votre société) sont approvisionnés directement par Orange Business Service). Il existe plusieurs façons d'approvisionner vos utilisateurs en tokens : approvisionnement groupé : n importe qu elle quantité d'utilisateurs est approvisionné en une seule étape, simplement et rapidement. approvisionnement automatique : les règles sont utilisées pour déterminer si utilisateur doit recevoir un token et quel type de token. Si la règle s'avère vraie pour un utilisateur, un token est émis. Sinon, le token est révoqué. approvisionnement manuel : utilisé pour approvisionner manuellement les utilisateurs, un utilisateur à la fois attribution manuelle : utilisée pour attribuer manuellement les tokens aux utilisateurs, un utilisateur à la fois. Ce processus peut être utilisé lors de l'émission de tokens matériels aux utilisateurs, un utilisateur à la fois et généralement quand le token peut être remis à l'utilisateur. Dans la plupart des cas, l'approvisionnement doit être utilisé à la place de l'attribution Notez que l'approvisionnement représente un gain de temps majeur pour les administrateurs, c est la méthode recommandée pour attribuer un token à un utilisateur Approvisionnement groupé Ce processus est utilisé pour fournir à tous les utilisateurs un token par un simple clic. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Search User» du sous-onglet «ASSIGNMENT» et cliquez sur le bouton «Search». 35 sur 91

36 Cochez les cases pour sélectionner un ou plusieurs utilisateurs, cliquez sur le bouton «Provision» (approvisionnement), une fois que vous avez vérifié la liste des utilisateurs sélectionnés, cliquez sur le bouton «Provision» à nouveau, et sélectionnez le type de token à émettre à chacun des utilisateurs de la liste. Cliquez sur le bouton «Provision» à nouveau et cliquez sur le bouton «Confirm» pour terminer le processus et créer une tâche d'approvisionnement. Chaque utilisateur dans la tâche d'approvisionnement recevra un avec les instructions pour l'enregistrement. Le contenu de l' varie en fonction du type de token. Les tâches d'approvisionnement peuvent être modifiées ou rappelées pour une partie ou la totalité des utilisateurs en cliquant sur le lien «Provisioning tasks» (tâches d'approvisionnement) du volet gauche «Shortcuts». 36 sur 91

37 8.1.2 Approvisionnement automatique Les règles d'approvisionnement font partie des caractéristiques les plus importantes du service. Elles déterminent sous quelles conditions les tokens seront automatiquement émis et révoqués. L'application des règles est déclenchée lorsque les appartenances au groupe et les attributs utilisateurs changent. Cela signifie que si un utilisateur devient un membre d'un groupe inclus dans une règle, l'utilisateur recevra un token. Inversement, si l'utilisateur n'est plus membre d'un groupe, le token sera automatiquement révoqué. Les règles d'approvisionnement peuvent être utilisées avec des groupes internes ou des groupes synchronisés LDAP. En combinant les règles d'approvisionnement et la synchronisation LDAP, le serveur peut émettre et révoquer automatiquement les tokens à partir des modifications faites dans votre annuaire d entreprise. En d'autres termes, un opérateur n'a pas besoin de se connecter au portail d administration Flexible Identity pour créer des utilisateurs et approvisionner les utilisateurs en tokens car la combinaison des règles de synchronisation et d'approvisionnement LDAP peut donner le même résultat. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Automation Policies» du sous-onglet «POLICY». Cliquez sur le lien «Provisioning Rules» et ensuite sur le bouton «New Rule» (nouvelle règle). 37 sur 91

38 «Rule Name» (nom de règle) : il s'agit d'un nom unique décrivant la règle. «Token Type» (type de token) : c'est le type de token à fournir lorsque la règle s'avère vraie. «Issue Duplicate Types» : si décochée, un utilisateur ne sera pas approvisionné avec le type de token sélectionné s'il en a déjà un du même type suite à une attribution manuelle de token ou à une règle différente s'avérant vraie. «Auto Revoke» (révocation automatique) : si cochée, le token émis par cette règle sera révoqué si la règle devient fausse pour l'utilisateur, par exemple lorsqu'un utilisateur a été supprimé des groupes surveillés par la synchronisation. «Container» (conteneur) : l'utilisateur doit résider dans le conteneur sélectionné pour que la règle s avère vraie. «Require Expiring» (nécessite expiration) : activez cette option pour remplacer les tokens RSA attribués aux utilisateurs avant leur expiration. Cette option vérifie la date d'expiration pour tous les tokens RSA attribués aux utilisateurs dans les Groupes de règles et donne automatiquement un nouveau token X jours avant l'expiration. - «Provisioning X days before expiration» (approvisionnement X jours avant expiration) : cette valeur détermine le nombre de jours avant l'expiration de l'approvisionnement d'un token de remplacement. 38 sur 91

39 - «Auto-revoke token being replaced on successful enrollment» (token auto-révoqué remplacé sur enregistrement réussi) : si sélectionnée, cette option supprime automatiquement le token expirant dès que l'utilisateur termine l'enregistrement du token de remplacement. «Groups Filter» (filtre groupes) : utilisez cette option avec astérisque «*» pour limiter les groupes affichés dans la liste des groupes. «Groups» (groupes) : une liste des groupes internes et synchronisés. Les «Server Groups» représentent les groupes qui ne sont pas utilisés par la règle alors que les groupes «Rule» (règle) représentent les groupes auxquels les utilisateurs doivent appartenir pour que la règle s'avère vraie. Surlignez un groupe et utilisez la flèche appropriée pour le déplacer entre les fenêtres de groupe Approvisionnement manuel Notez que le processus d'approvisionnement manuel est le même que celui d'approvisionnement groupé, sauf qu'il concerne uniquement un utilisateur. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Search User» du sous-onglet «ASSIGNMENT» et cliquez sur le bouton «Search». Pour fournir un token manuellement à un utilisateur, cliquez sur son lien «UserID», cliquez sur le bouton «Provision» dans le module «Tokens», sélectionnez le type de token à émettre pour l'utilisateur et cliquez à nouveau sur le bouton «Provision» pour terminer le processus et créer une tâche d'approvisionnement. L'utilisateur dans la tâche d'approvisionnement recevra un avec les instructions pour l'enregistrement. Le contenu de l' varie en fonction du type de token. Les tâches d'approvisionnement peuvent être modifiées ou rappelées pour une partie ou la totalité des utilisateurs en cliquant sur le lien «Provisioning tasks» (tâches d'approvisionnement) du volet gauche «Shortcuts» Attribution manuelle Utilisez le processus d'attribution manuelle uniquement pour les tokens matériels ou si l'utilisateur a déjà installé l'application «token logiciel». Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Search User» du sous-onglet «ASSIGNMENT» et cliquez sur le bouton «Search». Pour attribuer manuellement un token à un utilisateur, cliquez sur son «UserID», cliquez sur le bouton «Assign» dans le module «Tokens», affinez la liste de tokens disponibles pour attribution en sélectionnant dans la liste déroulante «Token Type» ou en saisissant un numéro de série partiel dans le champ «Serial #» avant de cliquer sur le bouton «Search». 39 sur 91

40 Cliquez sur le lien «Select» correspondant au token à attribuer, cliquez sur le bouton «Assign» pour valider. Le token est désormais affecté à l'utilisateur. En cas de token matériel, vous devez donner ceci à l'utilisateur avec le PIN initial indiqué dans la dernière colonne de la liste. La politique par défaut nécessite que l'utilisateur change ce PIN à la première utilisation du token pour une valeur connue de lui seul. La valeur dans le champ «Initial PIN» est effacée lorsque l'utilisateur effectue la modification du PIN. En cas de token logiciel, vous devez vous assurer que l'application «token logiciel» est installée sur l équipement de l utilisateur (PC, BlackBerry, iphone etc) avant la procédure, puis : Cliquez sur le lien «Manage» et sur le bouton «Issue». Choisissez la méthode de livraison pour le profil de token, avant de cliquer sur le bouton «Issue» pour valider. 40 sur 91

41 BlackBerry : si cet option est sélectionnée, le serveur envoie deux s à l'utilisateur, l un contenant le PIN initial et l'autre contenant le profil du token. Cette méthode est idéale lors de l'utilisation d'un serveur BES pour installer l'application «token logiciel» sur l équipement de l utilisateur avant l'attribution. Save the token file : cela sauvegarde le profil de token à un emplacement que vous avez spécifié. Le fichier doit être transféré sur l équipement utilisateur. the token and PIN to the user : choisissez cette option pour envoyer par le token et le PIN initial à l'utilisateur. Généralement, cette méthode est utilisée pour l'installation du token logiciel MP sur un ordinateur portable. 41 sur 91

42 8.2 Gestion d'un token approvisionné/attribué Vous pouvez gérer les tokens approvisionnés/attribués des serveurs virtuels des comptes Service Provider et Subscriber sauf pour l'option de révocation de votre Service Provider qui est gérée par Orange Business Services. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien du compte pour lequel vous souhaitez gérer un token spécifique, allez dans le module «Search User» du sous-onglet «ASSIGNMENT», cliquez sur le bouton «Search». Cliquez sur le lien «User ID» correspondant à l'utilisateur auquel le token a été approvisionné/attribué. Le module «Tokens» affiche toutes les méthodes d'authentification à la disposition de l'utilisateur, généralement un ou plusieurs tokens. Chaque entrée donne les informations suivantes : «Type» : affiche le type du token («MP», «KT», etc.). «Serial #» (numéro de série) : le lien du numéro de série du token affiche les paramètres correspondants et les statistiques d'utilisation lorsqu'on clique dessus. «State» : état du token / de la méthode d'authentification avec : - Active (actif) : la méthode d'authentification correspondante peut être utilisée pour authentifier - Suspended (suspendu) : la méthode d'authentification est associée à l'utilisateur mais a été suspendue par un opérateur, l'empêchant d'être utilisée pour authentifier jusqu'à ce que la méthode soit réactivée par un opérateur. 42 sur 91

43 - Locked (bloqué) : indique que l'utilisateur a dépassé le nombre maximal d'échecs de tentatives de connexion. Le token restera bloqué jusqu'à ce que la politique de déblocage soit déclenchée ou qu'un opérateur réactive le token. - Assigned (attribué) : indique que le token a été attribué à l'utilisateur mais n'a pas encore été utilisé pour authentification. - Suspended (suspendu) : cela indique qu'un opérateur a mis le token en suspens, le rendant invalide pour l'authentification, mais le laissant attribué à un utilisateur. Cela se fait généralement s'il y a un problème de sécurité comme avec un token perdu ou déplacé. Les tokens suspendus peuvent être réactivés par un opérateur lorsque le problème de sécurité a été résolu. - Locked (bloqué) : cet état apparaît lorsqu'un utilisateur dépasse le seuil d'échecs successifs de tentatives de connexion. Un token bloqué peut être réactivé par un opérateur. Le blocage/déblocage automatique des tokens est contrôlé par la politique de blocage/déblocage de compte. - Lost/Failed (perdu/défectueux) : est l'état appliqué par un opérateur pour révoquer un token. Les tokens révoqués sont renvoyés à l'inventaire dans cet état où ils peuvent être définitivement retirés ou s'il s'avère que le token fonctionne correctement, il peut être réinitialisé à l'état d'inventaire. - Expired (expiré) : lorsque le token a expiré. Cela concerne uniquement les tokens non-safenet importés dans le serveur. «Initial PIN» (PIN initial) : la valeur du PIN initial à donner à l'utilisateur lors de l'utilisation d'«assign» pour émettre un token. Par défaut, la valeur du PIN initial doit être modifiée par l'utilisateur lors de la première authentification. Cliquez sur le lien «Manage» correspondant au token à gérer. Une ligne de boutons indique les options de gestion de token : un bouton en surbrillance indique une option disponible (sinon, le bouton est grisé). Les options de gestion de token incluent : Suspend (suspendu) : utilisez cette option pour suspendre le token, en le rendant invalide à l'authentification mais en le laissant attribué à l'utilisateur. La suspension d'un token est utile pour les situations où l'utilisateur a oublié son token car cela l'empêche d'être utilisé jusqu'à ce que l'opérateur le réactive. 43 sur 91

44 Notez que le bouton «Suspend» est désactivé si le token n'est pas à l'état «Active». Unlock (débloquer) : utilisez cette option pour réactiver un token qui est bloqué en le rendant valide pour l'authentification. New PIN (nouveau PIN) : utilisez cette option pour établir une nouvelle valeur PIN pour un token conformément à la politique de PIN configurée. Resync (resynchroniser) : utilisez cette option pour resynchroniser un token ou tester le token en cas d'échecs répétés de tentatives d'authentification avec ce token. Issue (émission) : utilisez ce bouton pour créer un profil de token logiciel MP (paramètres de création et de fonctionnement de token) en conjonction avec la fonction «Assign». Revoke (révoquer) : la révocation est utilisée pour rompre la relation entre l'utilisateur et le token Suspend (suspendre un token) Le processus de suspension de token permet l'attribution d'un mot de passe provisoire, qui peut être utilisé pour s authentifier à la place du token jusqu'à ce que le token soit réactivé : «No Static Password» (pas de mot de passe statique) : le token de l'utilisateur sera suspendu et l'utilisateur n'aura pas de mot de passe statique provisoire. «Accept LDAP Password» (accepter mot de passe LDAP) : le token de l'utilisateur sera suspendu et l'utilisateur sera autorisé à utiliser son mot de passe LDAP pour s'authentifier. Notez que cette option nécessite l'intégration LDAP. «Set Temporary Static Password» (définir un mot de passe statique provisoire) : le token de l'utilisateur sera suspendu et l'utilisateur se verra attribuer un mot de passe statique provisoire pouvant être utilisé pour l'authentification : - «Generate» (générer) : génère un mot de passe statique conforme à la politique établie - «Change static password on first use» (modifier le mot de passe statique à la première utilisation) : si cette case est cochée, l'utilisateur doit modifier le mot de passe statique provisoire par une nouvelle valeur connue de lui seul et conforme à la politique établie. - «No Static Password after» (pas de mot de passe statique après) : utilisez cette option pour limiter la durée de validité du mot de passe provisoire. 44 sur 91

45 - «Comment» : utilisez cette zone pour saisir une explication brève de la suspension du token. Cela fait partie du dossier du token permanent et peut être visualisé par d'autres opérateurs gérant ce compte utilisateur. 45 sur 91

46 8.2.2 Unlock (débloquer un token) Son utilisation varie en fonction de la politique de gestion du code PIN : PIN côté serveur : si le token est bloqué en raison de trop nombreux échecs de tentatives d'authentification, le token sera réactivé en cliquant sur «Unlock». Cochez l'option «Set a New PIN» (définir un nouveau PIN) pour créer un nouveau PIN pour l'utilisateur pour ce token ou utilisez le bouton «Random» (aléatoire) pour générer un PIN conforme à la politique. PIN côté token : un token initialisé avec un PIN côté token qui a été bloqué par l'utilisateur en dépassant le nombre de tentatives maximal autorisé peut être débloqué en utilisant cette fonction, dans la mesure où le token a été initialisé avec l'option déblocage de token activée. Cette fonction doit uniquement être utilisée si vous êtes certains que la personne en possession du token en est le propriétaire légitime. Pour utiliser cette fonction, l'utilisateur doit générer une vérification de déblocage. La méthode pour cela dépend du type de token. Saisissez cette valeur dans le champ «Challenge displayed on token» (vérification affichée sur token), cliquez sur le bouton «Unlock» pour afficher un code de déblocage, donnez-le à l'utilisateur pour saisie dans son token. S'il est correctement saisi, l'utilisateur devra générer un nouveau PIN, après quoi le token pourra être utilisé pour authentification. 46 sur 91

47 8.2.3 New PIN (nouveau PIN) Notez que cette option est disponible lorsque le PIN est évalué par le serveur (PIN côté serveur). Utilisez le bouton «Generate» pour créer automatiquement un nouveau PIN qui répond aux exigences minimales de la politique. Notez que la politique par défaut nécessite que l'utilisateur modifie ce PIN à la première utilisation Resync (resynchroniser) Utilisez cette option pour resynchroniser un token ou tester le token en cas d'échecs répétés de tentatives d'authentification avec ce token. En règle générale, la resynchronisation n'est pas nécessaire. La resynchronisation nécessite que l'utilisateur ou opérateur révèle le PIN associé au token. Demandez à l'utilisateur de saisir la vérification dans son token après avoir activé la resynchronisation pour générer une réponse. Saisissez la réponse reçue dans le champ «Response» et cliquez ensuite sur le bouton «Resync». La réponse fournie par le token de l'utilisateur pour la vérification affichée doit donner lieu à un test réussi. Si c'est le cas, le token fonctionne correctement et est en synchronisation avec le serveur Revoke (révoquer) Lorsque les tokens logiciels MP sont révoqués, ils sont automatiquement renvoyés dans l'inventaire d'où ils peuvent être attribués à d'autres utilisateurs. Notez qu'à chaque fois qu'un token logiciel MP est attribué, le modèle de token MP et la politique de PIN sont appliqués et de nouvelles clés d'encryptage sont générées. Cela signifie que rien n est récupéré de l utilisateur du token précédent, et que tout logiciel toujours en sa possession n'est plus valide pour authentification. Cela signifie également que les tokens logiciels MP (ainsi que les tokens matériels) peuvent être émis et révoqués aussi souvent que souhaité. Pendant la révocation, en fonction du type de token, des options vous sont présentées pour : Return to Inventory, Initialization required (retour à l'inventaire, réinitialisation requise) : utilisez cette option si la révocation d'un token matériel est configurée en mode PIN côté token. Dans la plupart des cas, cela s'applique uniquement aux tokens RB sur 91

48 Return to Inventory (retour à l'inventaire) : utilisez cette option pour révoquer des tokens configurés en mode PIN côté serveur ou sans PIN. Cela suppose que les tokens matériels ont été récupérés et peuvent être réutilisés. Lost (perdu) : cette option doit être utilisée avec les tokens matériels et uniquement s'ils n'ont pas été récupérés. Les tokens perdus apparaîtront toujours dans la liste d'inventaire de tokens, mais avec le statut «Lost». Faulty (défectueux) : cette option est utilisée pour indiquer qu'un token est défectueux. Ce choix est utile pour les réclamations de garantie. Un commentaire comme la raison de la révocation du token peut être ajouté à une transaction de suspension de token. Les commentaires font partie de l'historique permanent du token et sont également affichés dans les détails du token. 48 sur 91

49 9 Gestion des Auth Nodes Un Auth Node est tout client RADIUS qui envoie des demandes d'authentification à Flexible Identity. Vous pouvez gérer les Auth Nodes des serveurs virtuels des comptes Service Provider et Subscriber, néanmoins les Auth Node doivent être créés au niveau du serveur virtuel du compte Service Provider et partagés ensuite avec le serveur virtuel du compte Subscriber. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Service Provider et allez dans le module «Auth Node» du sous-onglet «COMMS». Cliquez sur le lien «Auth Nodes». Les Auth Nodes déjà configurés sont répertoriés et vous avez la possibilité de les modifier ou les supprimer en cliquant sur les liens appropriés. Une entrée dans le tableau d Auth Nodes doit être créée pour chaque Auth Node. Le nombre d Auth Nodes ne doit pas dépasser le nombre autorisé (100). Le serveur virtuel ne procèdera pas aux demandes d'authentification reçues depuis des équipements qui ne sont pas dans la liste. 49 sur 91

50 Pour ajouter un Auth Node, cliquez sur le bouton «Add». Remplissez au moins les champs suivants : «Agent Description» : nom descriptif du client RADIUS. «Host Name» : hostname du client RADIUS. «Low IP Address In Range» (adresse IP inférieure à portée) : adresse IP du client RADIUS «Shared Secret/Confirm Shared Secret» (secret partagé/confirmer le secret partagé) : secret partagé RADIUS (cela doit être identique dans Flexible Identity et le client RADIUS). Certains clients RADIUS ne sont pas entièrement conformes RADIUS et ne supportent pas le «Challenge-Response» qui est nécessaire aux modifications du code PIN côté serveur. Si votre client RADIUS ne prend pas en charge le «Challenge-Response» et si votre compte Flexible Identity est configuré avec une politique de PIN côté serveur, cochez «Exclude from PIN change requests» (exclure des demandes de modification de PIN) pour empêcher une modification de PIN forcée avec un client RADIUS non-conforme. Les Auth Nodes deviennent actifs en quelques minutes de configuration. L Auth Node devant être partagé avec le compte Subscriber, cliquez sur l'onglet «Sharing and Realms». Configurez comme nécessaire avant de cliquer sur le bouton «Save» (sauvegarder) pour enregistrer la configuration. 50 sur 91

51 «Allow account lookup based on user name» (autoriser la recherche de compte à partir du nom de l'utilisateur) : l identifiant utilisateur sera utilisé pour authentifier l'utilisateur. Le serveur virtuel cherchera dans la liste «Shared Auth Node» (Auth Node partagé) dans l'ordre descendant. Le premier identifiant utilisateur qui correspond sera utilisé pour authentifier l'utilisateur. Utilisez les flèches haut/bas pour déplacer un Realm sélectionné vers le haut ou le bas dans la liste de priorité. Cela signifie que tous les identifiants utilisateurs doivent être uniques à travers tous les Realms. «Enable realms» (activer les realms) : utilisez cette option lorsque les identifiants utilisateurs ne sont pas forcément uniques au sein de l'ensemble des realms. Si cette option est activée, des informations supplémentaires seront utilisées pour déterminer à quel realm l'utilisateur appartient. Par exemple, l adresse sera utilisée comme identifiant. Utilisez cette fonction en combinaison avec les options «Selected Account» et «Realm Identifier». «Strip realm from userid» (enlever le realm de l'identifiant utilisateur) : enlève toutes les données en commançant par le caractère de délimitation. Cela permet à un identifiant utilisateur soumis comme une adresse (UserID@myco.com) d'être authentifié en tant qu'identifiant utilisateur (UserID). «Delimiter instance» : utilise la première occurrence de délimiteur (gauche à droite) ou la dernière occurence de délimiteur (droite à gauche). Par exemple, si deux utilisateurs ont un identifiant identique BSmith, l'un appartenant à ACME (acme.com), l'autre à International Light (IL.com). Configurés de la façon suivante : - Realms enabled - Strip realm from userid - délimiteur : «@» - realm sélectionné = International Light, identifiant du realm = IL.COM - on aura : BSmith@acme.com s authentifiera sur le serveur virtuel Acme avec comme identifiant BSmith, alors que BSmith@IL.com s authentifiera sur le serveur virtuel International Light avec BSmith comme identifiant 51 sur 91

52 10 Gestion des services SAML Vous pouvez uniquement gérer les services SAML du serveur virtuel de votre compte Subscriber. Les services SAML du serveur virtuel de votre compte Service Provider sont directement gérés par Orange Business Service Ajout de fournisseurs de service SAML Les fournisseurs de service SAML (comme Google Apps, Salesforce, Box.net ) peuvent utiliser Flexible Identity pour l'authentification. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber et allez dans le module «SAML Service Providers» du sous-onglet «COMMS». Les informations affichées sous le bouton «Add» seront nécessaires pour votre Service Provider. 52 sur 91

53 Cliquez sur le bouton «Add» pour insérer un nouveau fournisseur de service dans la liste avec : «Friendly Name» (nom convivial) : c'est un nom que vous attribuez à la partie utilisatrice pour faciliter l'identification. Ce nom apparaîtra dans les listes de services SAML sur le module «SAML Services» du sous-onglet «ASSIGNMENT» et dans «SAML Provisioning Rules» du module «Automation Policies» du sous-onglet «POLICY». SAML 2.0 Metadata : - «Upload existing Metadata file» (téléchargement fichier métadonnées existant) : c'est un fichier XML qui est généré par votre fournisseur de service SAML. - «Create new Metadata file» (créer un nouveau fichier de métadonnées) : certains fournisseurs de service SAML ne fournissent pas de fichier métadonnées mais fournissent plutôt leur identifiant et emplacement entité (essentiellement les ressources consultées). Utilisez cette option pour que le serveur virtuel crée et ajoute un fichier métadonnées à partir de ces informations. «Entity ID» (identifiant d entité) : c'est l'«entity ID» du fournisseur de service SAML, en général (mais pas toujours) sous la forme d'une URL. Cette valeur sera fournie par le fournisseur de service SAML ou peut être extraite des métadonnées (fichier XML) fourni par le fournisseur de service SAML. Par exemple : <?xml version="1.0" encoding="utf-8"?> <md:entitydescriptor xmlns:md="urn:oasis:names:tc:saml:2.0:metadata" entityid= Les options restantes sont utilisées pour personnaliser l'apparence de la page de connexion présentée à l'utilisateur : «Custom Logo» (personnaliser le logo) : c'est le logo que vous souhaitez faire apparaître sur le formulaire de connexion présenté à vos utilisateurs pendant l'authentification «Custom CCS» (personnaliser CCS) : modifiez les CCS par défaut puis télécharger pour modifier l'apparence de la page (consultez l'annexe «source CCS SAML» page 90). «Custom Button Image» (personnaliser le bouton image) : il s'agit de l'image utilisée pour le bouton de connexion. 53 sur 91

54 «Custom Page Title» (personnaliser le titre de la page) : il s'agit du titre de la page affiché sur l'onglet de navigation. «Custom Icon» (personnaliser l icône) : il s'agit de l'icône affiché sur l'onglet de navigation. «Custom Login Header Text» (personnaliser le texte d en-tête du login) : il s'agit du texte affiché dans l'en-tête du formulaire de login. «Custom Login Button Text» (personnaliser le texte du bouton de login) : il s'agit du texte affiché sur le bouton de login. «Login message» (message de login) : c'est le texte, contenant généralement des instructions, affiché entre le texte d'en-tête de login et le champ du nom d'utilisateur. «Custom Username Text» (personnaliser le texte nom d'utilisateur) : c'est l'étiquette pour le champ du nom d'utilisateur. «Custom Password Text» (personnaliser le texte mot de passe) : c'est l'étiquette pour le champ mot de passe. Cliquez sur le bouton «Apply» pour enregistrer les modifications Approvisionnement des services SAML Approvisionnement manuel Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Search User» du sous-onglet «ASSIGNMENT» et cliquez sur le bouton «Search». Cliquez sur le lien «User ID» correspondant à l'utilisateur auquel le service SAML doit être fourni. Le module «SAML Services» répertorie les services SAML déjà configurés et vous avez la possibilité de les modifier ou supprimer en cliquant sur les liens appropriés. Cliquez sur le bouton «Add». 54 sur 91

55 Complétez le formulaire «Add SAML Service» avant de cliquer sur le bouton «Add» : «Service» : répertorie tous les fournisseurs de service SAML configurés. SAML Login ID (identifiant connexion SAML) : c'est l'identifiant utilisateur qui sera renvoyé au fournisseur de service dans l'assertion SAML en cas d'authentification réussie. Par exemple, si votre fournisseur de service (par ex. Salesforce) a besoin d'un identifiant utilisateur de name@domain.com et qu'il est identique à l'adresse de l'utilisateur, choisissez l'option . Cela permet à l'utilisateur d'utiliser constamment son identifiant utilisateur pour l'authentification quelles que soient les exigences du fournisseur de service. Dans la plupart des cas, un fournisseur de service demandera soit l'identifiant utilisateur, soit l' . Pour tous les autres cas, choisissez l'option Custom et saisissez l'identifiant utilisateur à renvoyer Règles d'auto-approvisionnement Les règles d'approvisionnement SAML automatisent l'ajout ou la suppression du droit des utilisateurs à s'authentifier auprès des fournisseurs de service SAML configurés. Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien de votre compte Subscriber, allez dans le module «Automation Policy» du sous-onglet «POLICY». Cliquez sur le lien «SAML Provisioning Rules» et cliquez sur le bouton «New Rule» (nouvelle règle). 55 sur 91

56 Complétez le formulaire «Add SAML Auto-create Role» avant de cliquer sur le bouton «Add». «Rule Name» (nom de la règle) : il s'agit d'un nom qui décrit la règle. «User is in container» (l'utilisateur est dans un conteneur) : les utilisateurs affectés à cette règle doivent être dans un conteneur sélectionné. «Groups Filter» : utilisez cette option avec astérisque «*» pour limiter les groupes affichés dans la liste «Groups». «Server Groups» : les utilisateurs dans ces groupes ne sont pas affectés par cette règle. «Rule Groups» : les utilisateurs doivent être un ou plusieurs dans ces groupes à être affectés par cette règle. «Relying Parties» (parties utilisatrices) : Les fournisseurs de service dans cette section ne sont pas affectés par cette règle. «Rule Parties» : les utilisateurs qui appartiennent à un ou plusieurs des «Rule Groups» pourront s'authentifier par rapport aux fournisseurs de service dans cette section. 56 sur 91

57 «SAML Login ID» : il s'agit de l'identifiant utilisateur qui sera renvoyé au fournisseur de service dans l'assertion SAML. 57 sur 91

58 11 Gestion des rapports de service Les rapports sont disponibles au niveau du compte et du serveur virtuel du compte. Vous pouvez gérer les rapports de service depuis les comptes Service Provider et Subscriber et les serveurs virtuels correspondants. Les modules de rapports de compte et les modules de serveur virtuel de compte sont à des endroits différents, les rapports disponibles sont également différents. Cependant, les modules de gestion des rapports sont les mêmes pour les deux : «Available Reports» (rapports disponibles) : ce module répertorie tous les rapports standards disponibles. Les rapports de cette liste peuvent être personnalisés et copiés dans le module «My Reports List». «My Report List» (ma liste de rapports) : ce module répertorie tous les rapports qui peuvent être exécutés. Les rapports dans ce module peuvent être planifiés pour s exécuter une seule fois ou de façon périodique à intervalles réguliers et prédéfinis. Les options de mise à disposition des rapports et leurs destinataires sont définis dans ce module. «My Schedule Reports» (mes rapports planifiés) : tous les rapports planifiés apparaissent dans la liste «My Scheduled Reports». Les planifications peuvent être modifiées et les rapports peuvent être exécutés «Now» (maintenant) sans modifier la planification habituelle. «My Report Output» (mes sorties de rapports) : ce module répertorie tous les rapports qui sont en cours d'exécution ou terminés. Depuis cette liste, les opérateurs peuvent visualiser ou télécharger les rapports dans divers formats Accéder aux modules de rapports Compte Allez dans le module «Administration» de l'onglet «ADMINISTRATION». Cliquez sur le lien «Report and Billing Management» 58 sur 91

59 Serveur virtuel Allez dans le module «Manage» de l'onglet «VIRTUAL SERVERS», cliquez sur le lien du compte pour lequel vous souhaitez gérer le rapport du serveur virtuel correspondant et allez au sous-onglet «REPORTS». 59 sur 91

60 11.2 Module «Available Reports» (rapports disponibles) Tous les rapports disponibles sont répertoriés dans ce module. Pour visualiser toute la liste des rapports disponibles, utilisez les commandes de navigation sous la liste ou étendez le nombre de lignes affichées en utilisant l'icône de personnalisation dans la barre du module. La liste déroulante du rapport sélectionne les rapports correspondant à : «Security Policy» (politique de sécurité) : ce groupe de rapport traite de l'historique d'alertes, de la gestion de conteneur, des rôles et de la portée de l'opérateur, des Auth Nodes et des attributs RADIUS. «Compliance» (conformité) : ce groupe de rapports couvre l'activité d'authentification des utilisateurs, l'activité de l'opérateur et d'autres facteurs importants pour les auditeurs de sécurité internes et externes. 60 sur 91

61 «Billing» (facturation) : ce groupe de rapport fournit des détails sur toutes les transactions y compris la capacité, les tokens, les crédits SMS et leur conditions de facturation. «Inventory» (inventaire) : ce groupe de rapports fournit des informations détaillées sur les tokens, les propriétaires des tokens, les états et autres informations d'inventaire générales. Pour ajouter un rapport au module «My Report List», sélectionnez un rapport dans la liste «Available Reports», puis cliquez sur le bouton «Add». Personnalisez ensuite le rapport. Les options de personnalisation varient en fonction du type de rapport sélectionné. En général : «Report section» : personnaliser le nom du rapport et sa description. Ces modifications apparaitront dans le module My Reports List. Notez que les noms des rapports doivent être uniques. «Filter» (filtre) : si disponible, les filtres fournissent un moyen de limiter la portée d'un rapport. «Report Columns» (colonnes du rapport) : cela montre les champs inclus par défaut dans le rapport. Pour inclure/exclure des champs, sélectionner/désélectionner les champs en utilisant les cases à cocher correspondantes. «Authorization» : le champ «Access to Report not Enabled» (accès au rapport non activé) répertorie tous les opérateurs qui sont des destinataires potentiels du rapport. Le champ «Access to Report Enabled» répertorie tous les opérateurs qui recevront les rapports. Pour ajouter ou supprimer de la liste des destinataires, mettez en surbrillance les opérateurs (CTRL et clic pour sélectionner plusieurs opérateurs) et cliquez ensuite sur la flèche appropriée pour déplacer. «External Authorization» (autorisation externe) : le champ «Access to Report not Enabled» contient votre fournisseur de service qui est destinataire potentiel du rapport. Le champ «Access to Report Enabled» répertorie les fournisseurs de service qui recevront les rapports. Pour ajouter ou supprimer de la liste des destinataires, mettez en surbrillance les fournisseurs des service (CTRL et clic pour sélectionner plusieurs fournisseurs) et cliquez ensuite sur la flèche appropriée pour déplacer. « recipients» (destinataires ) : le serveur peut envoyer le rapport par aux adresses dans la liste des destinataires. Pour ajouter des destinataires, saisissez leur adresse , puis cliquez sur le bouton Add. Pour supprimer des destinataires, mettez en surbrillance leur adresse e- mail, puis cliquez sur le bouton Remove. Cliquez sur le bouton «Finish» pour enregistrer les personnalisations et ajouter le rapport au module «My Report List» Module «My Report List» Ce module répertorie tous les rapports personnalisés. C'est à partir de cette liste que vous planifiez les rapports à exécuter. Pour planifier un rapport, sélectionnez-le, puis cliquez sur le bouton «Schedule». Les options de rapport planifié sont : «Run Now» (exécuter maintenant) : l'option Run Now ajoute le rapport à la file de traitement. Les rapports dans la file sont exécutés dans l'ordre chronologique. «Schedule Begins» (début de planification) : le rapport ne sera pas exécuté avant cette date. 61 sur 91

62 «Frequency» (fréquence) : les rapports peuvent être planifiés pour être exécutés des jours spécifiques de la semaine en sélectionnant l'option Days/Week et en sélectionnant ensuite les jours spécifiques. Sinon, le rapport peut être planifié pour exécution sur une base mensuelle en sélectionnant l'option Months/Year et en sélectionnant ensuite les mois spécifiques. Si Months/Year est sélectionné, l'option On day est activée. Utilisez cette option pour préciser un jour de chaque mois au cours duquel le rapport doit être exécuté. Les rapports ne seront pas exécutés après une date spécifiée dans Expiration Date. Par défaut, les planifications de rapport n'expirent pas. «Run Time» (heure d'exécution) : l'heure à laquelle le rapport doit être exécuté. «Expiration» : la date après laquelle le rapport doit être retiré de la liste «My Scheduled Reports». Pour enregistrer la planification des rapports, cliquez sur le bouton «Finish». Cela ajoute le rapport au module «My Scheduled Reports». Le rapport peut être modifié ou supprimé en utilisant le lien «Edit» ou «Remove» correspondant Module «My Scheduled Reports» Les rapports planifiés auquel l'opérateur a droit apparaissent dans la liste «My Scheduled Reports». La liste montre le nom du rapport, la fréquence d'exécution, l'heure d'exécution et la date d'expiration. Cliquez sur le lien «Report Name» pour afficher ou modifier les critères du rapport. Cliquez sur «Edit» pour mettre à jour la planification du rapport. Sélectionnez un rapport planifié et cliquez sur le bouton «Run» (exécuter) pour ajouter le rapport à la file de traitement. Les rapports dans la file sont exécutés dans l'ordre chronologique. Le service de rapport vérifie la file toutes les 5 minutes et après chaque génération de rapport. Cela signifie que tous les rapports seront traités dans l'ordre. Cependant si aucun rapport n'est détecté, 5 minutes peuvent s'écouler avant que le service ne vérifie la file pour ajouter de nouveaux rapports. Un clic sur le bouton «Run» ne modifie pas la planification régulière des rapports Module «My Report Output» Tous les rapports en cours d'exécution ou terminés auxquels l'opérateur a droit sont répertoriés dans le tableau «Report Output». Les rapports peuvent être visualisés dans le navigateur en cliquant sur le lien du nom du rapport. Sinon, ils peuvent être téléchargés pour traitement local en cliquant sur l'un des liens CSV, Tab ou HTLM. Les rapports qui ne sont plus nécessaires peuvent être supprimés de la liste en cliquant sur le lien de suppression. 62 sur 91

63 12 Superviser votre service 12.1 Résumé des informations L'onglet Snapshot (aperçu) vous donne un résumé des informations concernant votre serveur virtuel (votre compte Service Provider ou Subscriber, en fonction du serveur virtuel sur lequel vous êtes), y compris l'historique d'authentification, les mesures et l'inventaire. Module Authentication Activity (activité d'authentification) : répertorie jusqu'à 100 des authentifications les plus récentes y compris les informations de diagnostic. Module Authentication Metrics (mesures d'authentification) : affiche les mesures d'activité d'authentification sur diverses périodes de temps. Module Token States (états des tokens) : affiche tous les tokens enregistrés dans le serveur virtuel par état. Module Allocation (attribution) : un listing complet de la capacité du serveur virtuel et inventaire des tokens, avec détail des transactions. Module References : affiche les liens vers la documentation du service Flexible Identity et des agents dont vous pouvez avoir besoin. 63 sur 91

64 12.2 Page «User management» (gestion utilisateur) Module User Detail (détails utilisateur) : ce module présente les informations de base des utilisateurs. Les données relatives à l'utilisateur peuvent être modifiées pour tous les utilisateurs qui ont été créés manuellement ou importés. Les comptes utilisateurs créés par intégration / synchronisation LDAP doivent être modifiés dans l annuaire LDAP. Module Tokens : utilisez ce module pour attribuer, approvisionner et gérer tous les tokens associés à un seul utilisateur. Module Authentication Metrics (mesures d'authentification) : affiche les mesures d'authentification de l'utilisateur à diverses périodes. Module Authentication Activity (activité d'authentification) : affiche l'historique d'authentification jusqu'à la centième authentification la plus récentes. Module Access Restrictions (restrictions d'accès) : utilisez cette option pour établir des heures/jours et périodes spécifiques durant lesquels l'utilisateur a le droit de s'authentifier ou inversement pour empêcher un utilisateur d'être authentifié. 64 sur 91

65 Module appartenance groupe : utilisez ce module pour ajouter ou supprimer les appartenances au groupe pour l'utilisateur sélectionné. Les groupes peuvent être utilisés pour automatiser l'approvisionnement et/ou déterminer si l'utilisateur a le droit de s'authentifier et/ou d'accéder à des ressources spécifiques. Notez que pour modifier les appartenances de nombreux utilisateurs à la fois, vous devez utiliser le module Group Membership sur l'onglet Groups Module Radius Attributes (attributs Radius) : utilisez ce module pour appliquer les attributs RADIUS à l'utilisateur sélectionné. Notez que les attributs utilisateurs prévalent sur les attributs appliqués aux groupes auxquels l'utilisateur appartient. 65 sur 91

66 13 Demandes de modification Toutes les modifications qui ne peuvent pas être faites en utilisant votre portail d administration Flexible Identity doivent être effectuées via l'outil Managed Services Change Tool (MSCT). Ces modifications incluent la commande de token initiale et la demande de création de règles de préauthentification. MSCT est disponible à l'url ci-dessous, utilisant HTTPS, toutes les transactions étant ainsi chiffrées : Orange Business Services vous fournira votre login et votre mot de passe MSCT pour vous connecter. Veuillez consulter la présentation MSCT [Réf 2] pour plus de détails. 66 sur 91

67 appendix A: personnalisation de l apparence et de l image Pour personnaliser, cliquez sur le lien Set Customization Inherit (définir personnalisation héritée), effacez l'option Use Customizations Inherit (utiliser personnalisation héritée) et cliquez ensuite sur Apply. Le module affichera désormais les options pour la personnalisation des polices, couleurs, boutons et logos. Inversement, pour effacer les personnalisations, cochez l'option Set customization inherit. si Use Cutomizations Inherit est réactivé, le serveur virtuel hérite des paramètres par défaut d'orange Business Services A.1 Personnaliser les polices de caractère Cliquez sur le lien Custom Fonts (personnaliser les polices de caractère) et sélectionner la famille de police dans la liste déroulante. 67 sur 91

68 Personnaliser les polices - page de connexion du portail d administration Flexible Identity Personnaliser les polices - portail self-service 68 sur 91

69 Personnaliser les polices - pages d'auto-enregistrement A.2 Personnaliser les couleurs Cliquez sur le lien Custom Colours (personnaliser les couleurs), sélectionnez la famille de police dans la liste déroulante, saisissez les couleurs en entrant les noms standard (rouge, vert, bleu, etc.) ou utilisez les valeurs hex (#F80000, #CC6600 etc.) 69 sur 91

70 Personnaliser les couleurs - page de connexion du portail d administration Flexible Identity Personnaliser les couleurs - pages portail d administration Flexible Identity 70 sur 91

71 Personnaliser les couleurs - portail self-service Personnaliser les couleurs - pages d'auto-enregistrement A.3 Personnaliser les boutons Cliquez sur le lien Custom Buttons (personnaliser les boutons). Pour sélectionner un bouton graphique prédéfini, cliquez sur le bouton correspondant et ensuite sur Apply. Pour utiliser un bouton HTML, entrez une valeur couleur (rouge, vert ) ou une valeur HEX (#F80000, #00C800 ). 71 sur 91

72 Pour une taille de texte de bouton normale et d'infobulle, la couleur et le poids peuvent être personnalisés en configurant les options Button Text (bouton texte) et Button Hover (bouton infobulle). Comme cidessus, utilisez les valeurs de couleurs standard ou entrez une valeur HEX comme couleur de police. Il est également possible d'utiliser la personnalisation de boutons graphiques. Les boutons doivent faire 120 x 28 px en format.png,.jpg ou.gif. Téléchargez d'abord le bouton dans le module Custom Logo Images (personnaliser images logo), puis revenez à cette page et sélectionnez le bouton, texte, infobulle, etc. Cliquez sur Apply pour enregistrer les modifications. A.4 Personnaliser les logos Cliquez sur le lien Custom Logo Images (personnaliser les logos). Sélectionnez les images, puis cliquez sur le bouton Upload (télécharger). Les images peuvent être remplacées par les images par défaut en cliquant sur le «X» à droite de l'image personnalisée ou remplacée en téléchargeant simplement une nouvelle image. Custom Console Logo (logo du portail d administration) ne doit pas dépasser 400 x 100 px et être au format.png,.jpg ou.gif. 72 sur 91

73 Self-Service Logo (logo self-service) ne doit pas dépasser 162 x 70 px et être au format.png,.jpg ou.gif. Self-Service Banner (bannière self-service) doit faire 688 x 70 px et être au format.png,.jpg ou.gif. Alert Icon (icône d'alerte) doit faire 30 x 30 px et être au format.png,.jpg ou.gif. La dimension du fond recommandé est de 1800 x 1100 px au format.png,.jpg ou.gif. Pour préserver la vitesse de chargement de la page, l'image doit faire moins de 50 kb. Personnaliser les logos - page de connexion portail d administration Flexible Identity Personnaliser les logos - pages portail d administration Flexible Identity 73 sur 91

74 Personnaliser les logos - portail self-service Personnaliser les logos - pages d'auto-enregistrement 74 sur 91

75 A.5 Personnaliser les titres Modifiez le texte dans les champs correspondants pour remplacer les titres sur les pages de login du portail d administration, d'auto-enregistrement et de self-service. Personnaliser les titres - page de login du portail d administration Flexible Identity 75 sur 91

76 Personnaliser les titres - portail self-service Personnaliser les titres - pages d'auto-enregistrement 76 sur 91

77 A.6 Personnaliser les étiquettes Utilisez ce module pour modifier les étiquettes affichées dans le portail d administration Flexible Identity avec : User custom Fait référence aux étiquettes de champs Custom #1, Custom #2 et Custom #3 affichées dans le détail des données utilisateur et dans les rapports et tableaux liés à l'utilisateur. Un exemple d'utilisation serait de modifier Custom #1 par un numéro d'employé ou autre identifiant qui pourrait être utilisé pour lier les rapports et informations utilisateurs à un système externe. Account custom Fait référence aux étiquettes de champs Custom #1, Custom #2 et Custom #3 affichées dans les rapports et tableaux liés au compte. Un exemple d'utilisation consisterait à modifier Custom #1 par un numéro de compte ou autre identifiant qui pourrait être utilisé pour lier les rapports et informations de compte à un système externe. 77 sur 91