IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Guide d'accessagent sur Terminal Server et Citrix Server SC11-7418-01
IBM Security Access Manager for Enterprise Single Sign-On Version 8.2.1 Guide d'accessagent sur Terminal Server et Citrix Server SC11-7418-01
Important Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 21. Deuxième édition - juin 2014 Réf. US : SC27-5668-01 LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu'ils y seront annoncés. Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v http://www.fr.ibm.com (serveur IBM en France) v http://www.can.ibm.com (serveur IBM au Canada) v http://www.ibm.com (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité 17, avenue de l'europe 92275 Bois-Colombes Cedex Remarque : Cette édition s'applique à la version 8.2.1 de IBM Security Access Manager for Enterprise Single Sign-On (numéro de produit 5724 V67) et à toutes les éditions et modifications postérieures jusqu'à indication contraire dans les nouvelles éditions. Copyright IBM Corporation 2002, 2014.
Sommaire Avis aux lecteurs canadiens...... v A propos de cette publication..... vii Accès aux publications et à la terminologie.... vii Accessibilité.............. x Formation technique............ x Informations relatives au support....... xi Déclaration de bonnes pratiques de sécurité.... xi Chapitre 1. AccessAgent sur Citrix Server et Terminal Server....... 1 Chapitre 2. Modèles de déploiement.. 3 Règles pour le choix du modèle de déploiement.. 3 Chapitre 3. Modèle 1 : Configuration de base................ 5 Déploiement de la configuration de base..... 5 Interface utilisateur de la connexion unique.... 6 Chapitre 4. Modèle 2 : configuration Virtual Channel Connector....... 7 Mode standard et mode léger......... 8 Déploiement d'une configuration Virtual Channel Connector............... 8 Déploiement de Virtual Channel Connector sur Citrix Server............. 10 Déploiement de Virtual Channel Connector sur un client Citrix............ 10 Interface utilisateur de la connexion unique.... 11 Chapitre 5. Modèle 3 : session de terminal générique......... 13 Déploiement d'une session de terminal générique. 13 Interface utilisateur de la connexion unique... 14 Interface utilisateur de la connexion unique... 16 Chapitre 7. Personnalisation d'accessagent sur Citrix Server et Terminal Server........... 19 Remarques............. 21 Glossaire.............. 25 A.................. 25 B.................. 26 C.................. 26 D.................. 28 E.................. 28 F.................. 29 G.................. 29 H.................. 29 I.................. 30 J.................. 30 L.................. 31 M................. 31 N.................. 32 O.................. 32 P.................. 32 Q.................. 33 R.................. 33 S.................. 34 T.................. 35 U.................. 35 V.................. 35 W................. 35 Index............... 37 Chapitre 6. Modèle 4 : configuration d'accessagent à deux niveaux.... 15 Déploiement de la configuration AccessAgent à deux niveaux.............. 16 Copyright IBM Corp. 2002, 2014 iii
iv IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Avis aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France ingénieur commercial agence commerciale ingénieur technico-commercial inspecteur IBM Canada représentant succursale informaticien technicien du matériel Claviers Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002, v le code clavier CF. Nomenclature Les touches présentées dans le tableau d'équivalence suivant sont libellées différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier. Copyright IBM Corp. 2002, 2014 v
Brevets Il est possible qu'ibm détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'ibm vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d'utilisation au directeur général des relations commerciales d'ibm, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234. vi IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
A propos de cette publication IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server fournit des informations sur les configurations requises et les flux de travaux pris en charge par les serveurs Citrix Server et Terminal Server. Accès aux publications et à la terminologie Cette section contient : v Une liste des publications contenues dans la «Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On». v Des liens vers «Des publications en ligne», à la page x. v Un lien vers «Site Web de terminologie IBM», à la page x. Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Les documents suivants sont disponibles dans la bibliothèque IBM Security Access Manager for Enterprise Single Sign-On : v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide, CF3T3ML IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide fournit un démarrage rapide pour les principales tâches d'installation et de configuration pour le déploiement et l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement, SC11655306 IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement contient des informations sur la planification du déploiement et la préparation de l'environnement. Il contient une présentation des fonctions et des composants du produit, de l'installation et de la configuration requises ainsi que les différents scénarios de déploiement. Il décrit également comment obtenir une haute disponibilité et la reprise sur sinistre. Lisez ce guide avant d'effectuer toute tâche d'installation ou de configuration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation, GI11737604 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation fournit les procédures détaillées d'installation, de mise à niveau et de désinstallation d'ibm Security Access Manager for Enterprise Single Sign-On. Ce guide vous aide à installer les différents composants du produit et les middlewares qu'ils requièrent. Il comprend également les configurations initiales qui sont requises pour effectuer le déploiement du produit. Il traite des procédures d'utilisation des dispositifs virtuels, des éditions de WebSphere Application Server Base et du déploiement réseau. IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration, GC11670104 IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'ims Server, de l'interface utilisateur d'accessagent et de son comportement. Copyright IBM Corp. 2002, 2014 vii
v v v v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration, SC11655205 Ce guide est destiné aux administrateurs. Il traite des différentes tâches d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration fournit les procédures pour créer et attribuer des modèles de règle, éditer des valeurs de règle, générer des journaux et des rapports et sauvegarder IMS Server et sa base de données. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles, SC11670304 IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles fournit une description détaillée des différentes règles utilisateur, machine et système que les administrateurs peuvent configurer dans AccessAdmin. Utilisez-le en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration. IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistance, SC11655403 Ce guide est destiné aux représentants du service d'assistance. IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistance fournit aux représentants du service d'assistance des informations pour gérer les demandes et requêtes des utilisateurs, portant généralement sur leurs facteurs d'authentification. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation, SC11655105 Ce guide est destiné aux utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation explique comment utiliser AccessAgent et Web Workplace. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support, GC11670203 IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur les problèmes liés à l'installation, la mise à niveau ou l'utilisation du produit. Il traite des problèmes connus et des limitations du produit. Il vous aide à déterminer les symptômes et la solution de contournement d'un problème. Vous y trouverez également des informations sur les correctifs, les bases de connaissances et le support technique. IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur, GC11703802 IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur décrit tous les messages d'information, d'avertissement et d'erreur associés à IBM Security Access Manager for Enterprise Single Sign-On. IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio, SC11655705 IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio fournit des informations sur la création et l'utilisation des profils d'accès. Il fournit des procédures pour la création et l'édition de profils d'accès standard et avancés pour différents types d'application. Il contient également des informations sur la gestion des services d'authentification et des objets application ainsi que des informations sur d'autres fonctions et dispositifs d'accessstudio. viii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
v v v v v v v v v IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile, SC11726101 IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile fournit des informations sur la création et l'utilisation de widgets. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Manager, SC11741400 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Manager explique comment créer et déployer des fixlets pour installer ou mettre à niveau AccessAgent ou gérer ses correctifs. Il comprend également des rubriques sur l'utilisation et la personnalisation du tableau de bord pour afficher des informations sur le déploiement d'accessagent sur les noeuds finaux. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnement, SC11655803 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnement fournit des informations sur les différentes API Java et SOAP pour le provisionnement. Il couvre également les procédures d'installation et de configuration de l'agent Provisioning Agent. IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification, SC11703601 IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'api Web de gestion des données d'identification fournit des informations sur l'installation et la configuration de l'api Web pour la gestion des données d'identification. IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'id série, SC11703501 IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'id série décrit comment intégrer une unité avec des numéros de série et l'utiliser en tant que second facteur d'authentification avec AccessAgent. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic, SC11741700 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'epic fournit des informations sur l'intégration d'ibm Security Access Manager for Enterprise Single Sign-On et d'epic, avec les flux de travaux, les configurations et le déploiement pris en charge. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte, SC11655503 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte fournit des informations sur l'installation, la configuration et le test de la solution intégrée de gestion de contexte sur chaque poste de travail client. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile, SC11741501 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur mobile fournit des informations sur le déploiement et l'utilisation de la connexion unique sur les appareils mobiles. IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle, SC11741601 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur infrastructure de bureau virtuelle fournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau virtuel, ainsi que les différents flux de travaux utilisateur pour accéder au bureau virtuel. A propos de cette publication ix
v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server, SC11741801 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server fournit des informations sur les configurations requises et les flux de travaux pris en charge par les serveurs Citrix Server et Terminal Server. Des publications en ligne IBM poste ses publications lors du lancement du produit et lorsque ces documents sont mis à jour aux emplacements suivants : Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Le site de la documentation du produit (http://pic.dhe.ibm.com/ infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kchomepage.html) affiche la page d'accueil de la bibliothèque et la navigation. IBM Security Systems Documentation Central IBM Security Systems Documentation Central fournit une liste alphabétique de toutes les bibliothèques produit des systèmes de sécurité IBM et des liens vers la documentation en ligne pour les versions spécifiques de chaque produit. IBM Publications Center IBM Publications Center comporte des fonctions de recherche personnalisée pour vous permettre de trouver toutes les publications IBM dont vous avez besoin. Site Web de terminologie IBM Le site Web de terminologie IBM regroupe la terminologie des bibliothèques de logiciels en un seul emplacement. Vous pouvez accéder au site Web de terminologie à l'adresse http://www.ibm.com/software/globalization/terminology. Accessibilité Formation technique Les fonctions d'accessibilité permettent aux utilisateurs présentant un handicap, par exemple les personnes à mobilité réduite ou à déficience visuelle, d'utiliser les produits informatiques. Grâce à ce produit, vous pouvez utiliser des technologies d'assistance aux personnes handicapées pour entendre les sons et naviguer dans l'interface. Vous pouvez également utiliser le clavier au lieu de la souris pour exploiter toutes les fonctions de l'interface graphique. Pour plus d'informations, consultez "Fonctions d'accessibilité" dans IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement. Pour plus d'informations sur la formation technique, voir le site Web de formation IBM à l'adresse suivante : http://www.ibm.com/software/tivoli/education. x IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Informations relatives au support Le support IBM vous offre une assistance dans la résolution de vos problèmes de codes, de routine, d'installation de courte durée et de vos questions liées à l'utilisation. Vous pouvez accéder directement au site de support logiciel IBM à l'adresse http://www.ibm.com/software/support/probsub.html. IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support fournit des informations sur : v Les informations à collecter avant de contacter le support IBM. v Les diverses méthodes permettant de contacter le support IBM. v Comment utiliser IBM Support Assistant. v Les instructions et ressources d'identification de problème permettant d'isoler et résoudre le problème vous-même. Remarque : L'onglet Communauté et support se trouvant dans le centre de documentation du produit peut fournir des ressources de support additionnelles. Déclaration de bonnes pratiques de sécurité La sécurité des systèmes informatiques implique la protection des systèmes et des informations via la prévention, la détection et la réponse en cas d'accès incorrect au sein et à l'extérieur de votre entreprise. Un accès non autorisé peut se traduire par la modification, la destruction ou une utilisation inadéquate ou malveillante de vos systèmes, y compris l'utilisation de ces derniers pour attaquer d'autres systèmes. Aucun système ou produit informatique ne doit être considéré comme étant complètement sécurisé et aucun produit, service ou mesure de sécurité ne peut être entièrement efficace contre une utilisation ou un accès non autorisé. Les systèmes, les produits et les services IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produits ou services pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE TOUS LES SYSTEMES, PRODUITS OU SERVICES SONT A L'ABRI DES CONDUITES MALVEILLANTES OU ILLICITES DE TIERS OU QU'ILS PROTEGERONT VOTRE ENTREPRISE CONTRE CELLES-CI. A propos de cette publication xi
xii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 1. AccessAgent sur Citrix Server et Terminal Server IBM Security Access Manager for Enterprise Single Sign-On prend en charge la connexion unique et les services d'authentification pour les applications hébergées sur Citrix Server et Terminal Server serveurs Citrix XenApp Server ou services Terminal Service. Vous devez installer AccessAgent sur chaque serveur Citrix Server ou Terminal Server. Il y a une instance d'accessagent en fonctionnement pour chaque session distante sur Citrix Server ou Terminal Server. AccessAgent aide les utilisateurs à effectuer une connexion unique à leurs applications dans la session distante concernée. Ils peuvent se reconnecter par la suite à la même session distante sur Citrix Server ou Terminal Server via n'importe quel ordinateur client. Voir les rubriques suivantes : v Chapitre 2, «Modèles de déploiement», à la page 3 v Chapitre 3, «Modèle 1 : Configuration de base», à la page 5 v Chapitre 4, «Modèle 2 : configuration Virtual Channel Connector», à la page 7 v Chapitre 5, «Modèle 3 : session de terminal générique», à la page 13 v Chapitre 6, «Modèle 4 : configuration d'accessagent à deux niveaux», à la page 15 Copyright IBM Corp. 2002, 2014 1
2 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 2. Modèles de déploiement Vous pouvez choisir un modèle de déploiement d'accessagent adapté à vos besoins et votre environnement de services de terminaux. L'interface utilisateur de la connexion unique sur Citrix Server ou Terminal Server varie avec les facteurs suivants : v Comment AccessAgent est déployé v Comment les règles sont configurées Le type de modèle de déploiement dans lequel choisir dépend des considérations de configuration suivantes : v Utilisez-vous des serveurs Terminal Services ou Citrix XenApp? v Utilisez-vous Citrix XenApp Server ou Citrix XenDesktop 7.0? v La synchronisation de mot de passe Active Directory est-elle activée? v Utilisez-vous des clients légers, des postes de travail ou les deux? Remarque : Les clients légers sont les machines sans AccessAgent. Les postes de travail sont les machines avec AccessAgent. v Utilisez-vous une authentification à deux facteurs sur votre serveur? Règles pour le choix du modèle de déploiement Il y a quatre modèles de déploiement pour Citrix Server et Terminal Server. Vous devez déterminer les besoins de services d'annuaire et de connexion unique pour les clients légers, les postes de travail ou les deux. Vous devez également déterminer le type de facteurs d'authentification que vous comptez déployer dans un environnement de services de terminaux. Les règles qui suivent vous aideront à choisir le meilleur modèle de déploiement pour votre environnement de services de terminaux. Copyright IBM Corp. 2002, 2014 3
Figure 1. Règles de choix du modèle de déploiement pour les environnements Citrix Server et Terminal Server Une fois que vous avez choisi un modèle de déploiement, effectuez les opérations de configuration correspondantes : v Chapitre 3, «Modèle 1 : Configuration de base», à la page 5 v Chapitre 4, «Modèle 2 : configuration Virtual Channel Connector», à la page 7 v Chapitre 5, «Modèle 3 : session de terminal générique», à la page 13 v Chapitre 6, «Modèle 4 : configuration d'accessagent à deux niveaux», à la page 15 4 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 3. Modèle 1 : Configuration de base Le modèle de configuration de base consiste à déployer AccessAgent serveur dans Citrix Server ou Terminal Server et à activer ESSO Network Provider. Dans cette configuration, AccessAgent serveur connecte automatiquement l'utilisateur au portefeuille lors de la connexion à la session distante Citrix Server ou Terminal Server. Les modifications du portefeuille dans AccessAgent client ou AccessAgent serveur ne sont pas immédiatement synchronisées entre AccessAgent client et AccessAgent serveur. Déploiement de la configuration de base Vous pouvez déployer la configuration de base sur Terminal Server ou Citrix Server. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 1. Avant de commencer Pour spécifier les options de connexion unique pour le modèle 1, vous devez modifier le fichier SetupHlp.ini avant d'installer AccessAgent serveur. Ce fichier se trouve dans le dossier Config du package d'installation d'accessagent. Modifiez les options suivantes dans le fichier SetupHlp.ini : Option EncentuateNetworkProviderEnabled EncentuateCredentialProviderEnabled et EnginaEnabled Description Spécifiez 1 pour activer ESSO Network Provider. Spécifiez 0 pour désactiver ESSO GINA et ESSO Credential Provider. Procédure 1. Effectuez les opérations suivantes sur le serveur Citrix Server ou Terminal Server : a. Installez AccessAgent sur le serveur Citrix Server ou Terminal Server. b. Connectez-vous à AccessAdmin et mettez la règle pid_en_network_provider_enabled à 1. 2. Configuration de la machine client. Il n'y a pas d'installation ni de configuration à effectuer sur la machine client. 3. Configuration facultative : Il n'y a pas configuration facultative pour le modèle 1. Copyright IBM Corp. 2002, 2014 5
Interface utilisateur de la connexion unique L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration de base, les utilisateurs peuvent se connecter automatiquement au portefeuille, effectuer une connexion unique aux applications profilées et gérer les données d'identification. Dans cette configuration, l'utilisateur peut : v Se connecter à la session distante Citrix Server ou Terminal Server avec les données d'identification Active Directory. L'utilisateur est connecté automatiquement au portefeuille. v Accéder aux applications publiées en mode transparent. L'icône de zone de notification d'accessagent serveur est ajoutée à la barre des tâches du client. v Effectuer une connexion unique aux applications profilées. v Gérer le portefeuille via AccessAgent serveur. 6 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 4. Modèle 2 : configuration Virtual Channel Connector AccessAgent serveur se connecte à AccessAgent client via Virtual Channel Connector pour extraire les données d'identification et authentifier l'utilisateur. Vous devez installer AccessAgent sur le serveur et sur le client. Virtual Channel Connector Le connecteur Virtual Channel Connector entre AccessAgent client et AccessAgent serveur est construit par-dessus le SDK Virtual Channel Connector de Citrix ou de Microsoft. Le schéma suivant montre la communication entre le serveur de terminaux et la machine cliente. Figure 2. Communication entre le serveur de terminaux et la machine cliente Copyright IBM Corp. 2002, 2014 7
Mode standard et mode léger Dans la configuration Virtual Channel Connector, vous pouvez configurer AccessAgent serveur pour qu'il fonctionne en mode léger. Le fonctionnement en mode léger peut réduire l'encombrement mémoire d'accessagent sur un serveur Citrix Server ou Terminal Server et améliorer le temps de démarrage de la connexion unique. Le tableau suivant permet de comparer les deux modes d'accessagent. Fonctions Mode standard (avec canal virtuel) Mode léger Performances Normales Meilleures Interface utilisateur Connexion automatique à AccessAgent serveur avec les données d'identification d'accessagent client Connexion automatique à AccessAgent serveur avec les données d'identification d'accessagent client Facteurs d'authentification supportés par AccessAgent client Synchronisation des changements entre AccessAgent client et AccessAgent serveur Portefeuille AccessAgent mis en cache sur le serveur Comportement d'accessagent lorsque les utilisateurs s'y connectent et s'en déconnectent RFID (Radio Frequency Identification) Oui (via IMS Server) Oui Se déconnecte de l'accessagent distant et déconnecte la session distante Tous les facteurs d'authentification Oui Jamais Déconnecte la session distante Déploiement d'une configuration Virtual Channel Connector Vous pouvez déployer une configuration Virtual Channel Connector sur Citrix Server ou Terminal Server. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 2. Avant de commencer Pour spécifier les options d'installation et de connexion unique pour le modèle 2, vous devez modifier le fichier SetupHlp.ini avant d'installer AccessAgent serveur. Modifiez les options suivantes dans le fichier SetupHlp.ini : Option EncentuateNetworkProviderEnabled EncentuateCredentialProviderEnabled et EnginaEnabled Description Spécifiez 0 pour désactiver ESSO Network Provider. Spécifiez 0 pour désactiver ESSO GINA et ESSO Credential Provider. 8 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Option CitrixVirtualChannelConnectorMode Description S'applique uniquement au déploiement d'un serveur Citrix. Spécifiez 2 pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode standard. Spécifiez 3 pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode léger. Spécifiez 3 pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode léger forcé. Vous devez également modifier le fichier SetupHlp.ini avant d'installer AccessAgent client sur une machine client Citrix. Modifiez les options suivantes dans le fichier SetupHlp.ini : Option CitrixVirtualChannelConnectorMode ICAClientInstallDir Description Spécifiez 1 pour activer Virtual Channel Connector sur l'ordinateur client. Spécifiez le répertoire d'installation du client ICA Citrix. Remarque : Il n'y pas de modifications à apporter au fichier SetupHlp.ini avant d'installer AccessAgent client sur une machine client Terminal Server. Procédure 1. Sur le serveur Citrix Server ou Terminal Server, installez AccessAgent serveur. Si vous rencontrez une erreur en déployant Virtual Channel Connector sur le serveur Citrix, consultez «Déploiement de Virtual Channel Connector sur Citrix Server», à la page 10. 2. Sur la machine client, installez AccessAgent client. Si vous rencontrez une erreur en déployant Virtual Channel Connector sur la machine client Citrix, déployez-le manuellement. Voir «Déploiement de Virtual Channel Connector sur un client Citrix», à la page 10. 3. Facultatif : Passez AccessAgent serveur en mode léger ou en mode standard après l'installation. Pour changer le mode d'accessagent serveur, modifiez la règle Mode TSLightweight dans root\deploymentoptions. Tableau 1. Valeur de la règle Mode TSLightweight Valeur de la règle Mode TSLightweight Description 0 Déploie AccessAgent serveur en mode standard. 1 (par défaut) Déploie AccessAgent serveur en mode léger. 2 Force le mode léger. AccessAgent serveur fonctionne toujours en mode léger. La session AccessAgent serveur ne démarre pas s'il n'y a pas d'accessagent client. Chapitre 4. Modèle 2 : configuration Virtual Channel Connector 9
Déploiement de Virtual Channel Connector sur Citrix Server Vous pouvez déployer Virtual Channel Connector sur Citrix Server en modifiant le fichier SetupHlp.ini et en installant AccessAgent serveur. Si vous rencontrez une erreur durant l'installation, vous pouvez déployer Virtual Channel Connector manuellement sur votre serveur Citrix. Procédure Enregistrez le fichier de connecteur de serveur dans AccessAgent. 1. Sur votre bureau Windows, cliquez sur Démarrer > Exécuter. 2. Dans la zone Ouvrir, entrez regedit et cliquez sur OK. L'Editeur du registre s'ouvre. 3. Ouvrez HKLM\SOFTWARE\IBM\ISAM ESSO. 4. Créez la clé HKLM\SOFTWARE\IBM\ISAM ESSO\AccessAgent\Integration\ TerminalServices\ServerSPI. 5. Dans la clé HKLM\SOFTWARE\IBM\ISAM ESSO\AccessAgent\Integration\ TerminalServices\ServerSPI, créez les valeurs chaîne suivantes : Nom de la valeur ICA Donnée de la valeur ICAVCServer.dll Déploiement de Virtual Channel Connector sur un client Citrix Vous pouvez déployer Virtual Channel Connector sur un client Citrix en modifiant le fichier SetupHlp.ini et en installant AccessAgent client. Si vous rencontrez une erreur durant l'installation, vous pouvez déployer Virtual Channel Connector manuellement sur le client Citrix. Procédure 1. Copiez le fichier DLL de connecteur client. Par exemple : ICAVCClient.dll, du dossier Program Files AccessAgent au dossier d'installation de Citrix XenApp Plug-in. 2. Copiez le fichier EncVcClient.dll du dossier Program Files AccessAgent au dossier d'installation de Citrix XenApp Plug-in. 3. Configurez le registre du client Citrix pour le fichier DLL de connecteur client. a. Sur votre bureau Windows, cliquez sur Démarrer > Exécuter. b. Dans la zone Ouvrir, entrez regedit et cliquez sur OK. L'Editeur du registre s'ouvre. Remarque : v Pour un système d'exploitation Windows 32 bits, la ruche de registre de Citrix est HKEY_LOCAL_MACHINE\SOFTWARE\Citrix. v Pour un système d'exploitation Windows x64, la ruche de registre de Citrix est HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\. c. Modifiez VirtualDriverEx. 1) Sélectionnez <ruche de registre de Citrix>\ICA Client\Engine\ Configuration\Advanced\Modules\ICA 3.0\. 2) Cliquez deux fois sur VirtualDriverEx. 3) Dans la zone Données de la valeur, ajoutez ICAVCClient. 4) Cliquez sur OK. 10 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
d. Créez un ICAVCClient. 1) Ouvrez <ruche de registre de Citrix>\ICA Client\Engine\ Configuration\Advanced\Modules\. 2) Créez la clé <ruche de registre de Citrix>\ICA Client\Engine\ Configuration\Advanced\Modules\ICAVCClient. 3) Dans la clé <ruche de registre de Citrix>\ICA Client\Engine\ Configuration\Advanced\Modules\ICAVCClient\, créez les valeurs chaîne suivantes : Nom de la valeur DriverName DriverNameWin16 DriverNameWin32 Donnée de la valeur ICAVCClient.dll ICAVCClient.dll ICAVCClient.dll Interface utilisateur de la connexion unique L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez Virtual Channel Connector, les utilisateurs sont automatiquement connectés aux sessions distantes lorsqu'ils se connectent à AccessAgent client. Dans cette configuration, l'utilisateur peut : v Se connecter à AccessAgent client. v Démarrer une session Citrix Server ou Terminal Server. AccessAgent client connecte l'utilisateur à la session distante. v En mode standard, AccessAgent serveur démarre et AccessAgent serveur et AccessAgent client sont synchronisés. L'utilisateur est automatiquement connecté à AccessAgent avec l'identité AccessAgent client. L'icône de zone de notification d'accessagent serveur est ajoutée à la barre des tâches du client lorsque l'utilisateur accède à des applications publiées en mode transparent. L'utilisateur peut effectuer une connexion unique aux applications profilées. L'utilisateur peut gérer le portefeuille via AccessAgent client. v Remarque : Si la règle de serveur de terminaux pour l'affichage des nouvelles options dans l'accessagent distant est activée, l'utilisateur peut gérer le portefeuille via AccessAgent client et AccessAgent serveur. En mode léger, AccessAgent serveur n'est pas démarré. L'utilisateur peut effectuer une connexion unique aux applications profilées. L'utilisateur peut gérer le portefeuille via AccessAgent client. Chapitre 4. Modèle 2 : configuration Virtual Channel Connector 11
12 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 5. Modèle 3 : session de terminal générique Une configuration terminal générique consiste en AccessAgent serveur déployé dans une session de terminal générique. Une session de bureau générique est hébergée dans un niveau dédié du serveur Citrix Server ou Terminal Server. Différents utilisateurs peuvent partager l'accès aux applications hébergées dans la session distante à partir d'une machine client léger. Important : Cette configuration est destinée aux utilisateurs à client léger. Dans cette configuration, les machines à client léger sont connectées en pemanence à la session de terminal distante qui est connectée à un compte Active Directory à faibles privilèges générique. AccessAgent serveur est configuré pour fonctionner en mode Bureau partagé pour chaque session de terminal. Les utilisateurs se déverrouillent pour accéder à la session de terminal en se connectant via l'application ESSO GINA ou ESSO Credential Provider d'accessagent serveur. Cette configuration est utile dans les scénarios où : v Des applications sont actives dans chaque session de terminal en raison de leur temps de démarrage important. v AccessAgent connecte et déconnecte automatiquement différents utilisateurs aux/des applications. Dans cette configuration, les utilisateurs peuvent déverrouiller la session distante et se connecter à un portefeuille avec un mot de passe ou une carte RFID. Limitations du modèle 3 Prenez en considération les limitations suivantes pour la connexion unique dans un déploiement de services de terminaux avec des sessions de terminaux génériques : v v Les utilisateurs ne peuvent utiliser qu'une carte RFID comme dispositif de second facteur d'authentification. Les utilisateurs ne peuvent pas être itinérants avec la session de terminal. Déploiement d'une session de terminal générique Vous pouvez déployer les services de connexion unique dans une session de terminal générique. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 3. Avant de commencer Les paramètres qui suivent sont les configurations de serveur de terminaux générique requises pour implémenter le modèle 3. Ces serveurs de terminaux sont dédiés à servir uniquement les machines à client léger. Copyright IBM Corp. 2002, 2014 13
v v v Configurez le serveur de terminaux générique pour qu'il se connecte automatiquement à Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique. Configurez le serveur de terminaux générique pour qu'il autorise un nombre illimité de sessions de terminal pour l'identité Active Directory générique. N'activez pas l'itinérance pour la session client de terminal. Si une session inactive expire, l'écran du bureau doit être verrouillé. Pour spécifier les options de connexion unique pour le modèle 3, vous devez modifier le fichier SetupHlp.ini avant d'installer AccessAgent serveur. Modifiez les options suivantes dans le fichier SetupHlp.ini : Option EncentuateNetworkProviderEnabled EncentuateCredentialProviderEnabled et EnginaEnabled Description Spécifiez 0 pour désactiver ESSO Network Provider. Spécifiez 1 pour activer ESSO GINA et ESSO Credential Provider. Procédure 1. Effectuez les opérations suivantes sur le serveur Citrix Server ou Terminal Server : a. Installez AccessAgent sur le serveur Citrix Server ou Terminal Server. b. Attribuez un modèle de règle de bureau partagé au niveau d'accessagent serveur. 2. Configurez le client léger pour qu'il se connecte automatiquement à Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique. Cette identité est le compte défini pour la connexion automatique sur le serveur de terminaux générique. 3. Facultatif : si vous utilisez RFID comme facteur d'authentification, vous devez effectuer les opérations suivantes : a. Activez la redirection du port série au niveau du client léger et du serveur de terminaux cible. b. Forcez l'authentification à deux facteurs en configurant la règle d'authentification d'utilisateur au niveau d'accessadmin. c. Activez l'authentification par RFID si nécessaire. Voir Chapitre 7, «Personnalisation d'accessagent sur Citrix Server et Terminal Server», à la page 19. Interface utilisateur de la connexion unique L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration session de terminal générique, l'utilisateur se connecte à un écran de verrouillage pour démarrer une session. Dans cette configuration, l'utilisateur peut effectuer les opérations suivantes : v Connexion à l'écran de verrouillage ESSO GINA ou ESSO Credential Provider pour démarrer une session. L'utilisateur peut se connecter à AccessAgent serveur avec son mot de passe ou sa carte RFID. v Connexion unique aux applications profilées. v Gestion du portefeuille via AccessAgent serveur. 14 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 6. Modèle 4 : configuration d'accessagent à deux niveaux Une configuration d'accessagent à deux niveaux est le déploiement combiné de Virtual Channel Connector et d'un bureau distant générique. Ce type de configuration est destiné aux déploiements qui nécessitent une authentication à deux facteurs avec différents types de clients. Une configuration d'accessagent à deux niveaux comprend deux serveurs de terminaux : v Un serveur de terminaux générique destiné aux clients légers v un serveur Citrix Server ou Terminal Server cible pour les postes de travail Un serveur de terminaux générique héberge un bureau distant générique. Il accepte les connexions de client léger et se connecte automatiquement au serveur Citrix Server ou Terminal Server cible, agissant comme un proxy. Le serveur Citrix Server ou Terminal Server cible héberge les sessions Terminal Server et les applications Citrix. Le schéma suivant montre la communication entre les serveurs de terminaux et les machines clientes. Figure 3. Communication entre les serveurs de terminaux et les machines clientes Les utilisateurs à client léger se connectent au serveur de terminaux générique avec la configuration de modèle 3. Le serveur de terminaux générique se connecte alors au serveur Citrix Server ou Terminal Server cible via Virtual Channel Connector ou avec la configuration de modèle 2. Copyright IBM Corp. 2002, 2014 15
Les utilisateurs à client poste de travail se connectent au serveur Citrix Server ou Terminal Server cible via Virtual Channel Connector ou avec la configuration de modèle 2. Déploiement de la configuration AccessAgent à deux niveaux Vous pouvez déployer une configuration AccessAgent à deux niveaux sur Citrix Server ou Terminal Server. Configurez le serveur Citrix Server ou Terminal Server, le serveur de terminaux générique, les clients légers et les postes de travail pour déployer le Modèle 4. Procédure 1. Effectuez les opérations de configuration du serveur Citrix Server ou Terminal Server sur celui-ci comme détaillé pour la configuration de modèle 2. Voir «Déploiement d'une configuration Virtual Channel Connector», à la page 8. 2. Sur le serveur de terminaux générique, vous devez effectuer les opérations suivantes : a. Effectuez les opérations de configuration du serveur de terminaux générique de la configuration de modèle 3, sauf l'installation d'accessagent. Voir «Déploiement d'une session de terminal générique», à la page 13. b. Configurez le serveur de terminaux générique en tant que machine client. Effectuez les opérations de configuration d'une machine client détaillées dans la configuration de modèle 2. Voir «Déploiement d'une configuration Virtual Channel Connector», à la page 8. c. Configurez le serveur générique pour qu'il se connecte automatiquement au serveur Citrix Server ou Terminal Server cible. 3. Sur la machine client léger, configurez le client léger pour qu'il se connecte automatiquement au serveur Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique. Cette identité est celle définie pour la connexion automatique sur le serveur de terminaux générique. 4. Sur la machine client poste de travail, effectuez les opérations de configuration de la machine client détaillées dans la configuration de modèle 2. Voir «Déploiement d'une configuration Virtual Channel Connector», à la page 8. Interface utilisateur de la connexion unique L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration d'accessagent à deux niveaux, l'interface de la connexion unique est similaire entre le modèle 2 et le modèle 3. Utilisateurs sur poste de travail Dans cette configuration, l'interface de la connexion unique pour les utilisateurs sur poste de travail est la même que celle pour la configuration Virtual Channel Connector. Voir Modèle 2 - «Interface utilisateur de la connexion unique», à la page 11. Utilisateurs avec client léger Dans cette configuration, l'interface de la connexion unique pour les utilisateurs avec client léger est la même que celle pour la configuration session de terminal 16 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
générique. Voir Modèle 3 - «Interface utilisateur de la connexion unique», à la page 14. Chapitre 6. Modèle 4 : configuration d'accessagent à deux niveaux 17
18 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Chapitre 7. Personnalisation d'accessagent sur Citrix Server et Terminal Server Vous pouvez personnaliser le comportement d'accessagent lorsque les utilisateurs se connectent à une session sur un serveur Citrix Server ou Terminal Server. Procédure 1. Connectez-vous à AccessAdmin. 2. Accédez à Modèles de règles machine > Attributions des modèles. 3. Cliquez sur un modèle de règle. 4. Accédez à Règles AccessAgent > Règles de Terminal Server. 5. Renseignez les zones suivantes : Option Activer le lancement automatique de l'invite de connexion d'accessagent Utiliser la connexion ESSO GINA ou ESSO Credential Provider s'il n'y a pas de session AccessAgent locale Se déconnecter de l'accessagent distant lors d'une reconnexion à partir du poste de travail sans session AccessAgent locale Option pour l'affichage des options de menu dans l'accessagent distant Description Indique s'il faut ouvrir la boîte de dialogue de connexion d'accessagent si celui-ci n'est pas connecté au lancement d'une application Citrix ou d'une session Terminal Server. S'il faut utiliser la connexion ESSO GINA ou ESSO Credential Provider ou la connexion Microsoft GINA pour la session Terminal Server s'il n'y a pas de session AccessAgent locale. S'il faut se déconnecter de l'accessagent distant lorsque l'utilisateur, s'il n'a pas de session AccessAgent locale, se reconnecte à une session existante sur Citrix Server ou Terminal Server. S'il faut afficher les options de menu dans l'interface utilisateur d'accessagent pour une session Citrix Server ou Terminal Server. 6. Ne renseignez les zones suivantes que si vous voulez que l'authentification RFID soit activée pour les clients légers : Option Activer la redirection du port COM Port COM virtuel de Citrix Server ou Terminal Server Port COM physique de la machine client Description Indique si le mécanisme de surveillance de dispositif doit rediriger le port COM de l'ordinateur client vers Citrix Server ou Terminal Server. Port COM virtuel de Citrix Server ou Terminal Server auquel les données du port COM client doivent être redirigées. Port COM physique du client auquel le dispositif d'authentification, ou le lecteur RFID, est connecté. La redirection s'effectue de ce port au port COM virtuel du serveur Citrix Server ou Terminal Server. 7. Cliquez sur Mettre à jour. Copyright IBM Corp. 2002, 2014 19
8. Affectez le modèle de règles machine mis à jour au serveur Citrix Server ou Terminal Server. 20 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus d'informations sur les produits et les services actuellement disponibles dans votre pays, consultez votre représentant IBM local. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service IBM puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s'il n'enfreint aucun droit d'ibm. Il est de la responsabilité de l'utilisateur d'évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM. IBM peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirez recevoir des informations concernant l'acquisition de licences, veuillez en faire la demande par écrit à l'adresse suivante : IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 U.S.A. Pour le Canada, veuillez adresser votre courrier à : IBM Director of Commercial Relations IBM Canada Ltd. 3600 Steeles Avenue East Markham, Ontario L3R 9Z7 Canada Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l'adresse suivante : Intellectual Property Licensing Loi sur la propriété intellectuelle IBM Japon, Ltd. 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japon Le paragraphe suivant ne s'applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales. LE PRESENT DOCUMENT EST LIVRE "EN L'ETAT". IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE NON-CONTREFAÇONS, VALEUR MARCHANDE OU D'ADAPTATION A VOS BESOINS. Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas l'exclusion ci-dessus ne vous sera pas applicable. Copyright IBM Corp. 2002, 2014 21
Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document. Les références à des sites Web non IBM sont fournies à titre d'information uniquement et n'impliquent en aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l'utilisation de ces sites relève de votre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Les licenciés souhaitant obtenir des informations permettant : (i) l'échange des données entre des logiciels créés de façon indépendante et d'autres logiciels (dont celui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à : IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 U.S.A. Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d'une redevance. Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s'y rapportant sont fournis par IBM conformément aux dispositions du Livret contractuel IBM, des Conditions Internationales d'utilisation de Logiciels IBM ou de tout autre accord équivalent. Les données de performance indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l'environnement d'exploitation utilisé. Certaines mesures évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d'exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou via d'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmer l'exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits. Toute instruction relative aux intentions d'ibm pour ses opérations à venir est susceptible d'être modifiée ou annulée sans préavis, et doit être considérée uniquement comme un objectif. Tous les tarifs indiqués sont les prix de vente actuels suggérés par IBM et sont susceptibles d'être modifiés sans préavis. Les tarifs appliqués peuvent varier selon les revendeurs. 22 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Ces informations sont fournies uniquement à titre de planification. Elles sont susceptibles d'être modifiées avant la mise à disposition des produits décrits. Le présent document peut contenir des exemples de données et de rapports utilisés couramment dans l'environnement professionnel. Pour les illustrer aussi complètement que possible, les exemples incluent les noms des individus, sociétés, marques et produits. Toute ressemblance avec des noms de personnes, de sociétés ou des données réelles serait purement fortuite. LICENCE DE COPYRIGHT : Le présent logiciel contient des exemples de programmes d'application en langage source destinés à illustrer les techniques de programmation sur différentes plateformes d'exploitation. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation des plateformes pour lesquels ils ont été écrits ou aux interfaces de programmation IBM. Ces exemples de programmes n'ont pas été rigoureusement testés dans toutes les conditions. Par conséquent, IBM ne peut garantir expressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnement de ces programmes. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation IBM. Si vous visualisez ces informations en ligne, il se peut que les photographies et illustrations en couleur n'apparaissent pas à l'écran. Marques déposées IBM, le logo IBM et ibm.com sont des marques d'international Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d'ibm ou d'autres sociétés. La liste actualisée de toutes les marques d'ibm est disponible sur la page Web, "Copyright and trademark information" à l'adresse www.ibm.com/legal/copytrade.shtml. Adobe, Acrobat, PostScript et toutes les marques incluant Adobe sont des marques d'adobe Systems Incorporated aux Etats-Unis et/ou dans certains autres pays. IT Infrastructure Library est une marque de The Central Computer and Telecommunications Agency qui fait désormais partie de The Office of Government Commerce. Intel, le logo Intel, Intel Inside, le logo Intel Inside, Intel Centrino, le logo Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium et Pentium sont des marques d'intel Corporation ou de ses filiales aux Etats-Unis et dans certains autres pays. Linux est une marque de Linus Torvalds aux Etats-Unis et/ou dans certains autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. Remarques 23
ITIL est une marque de The Office of Government Commerce et est enregistrée au bureau américain Patent and Trademark Office. UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou dans certains autres pays. Java ainsi que tous les logos et toutes les marques incluant Java sont des marques d'oracle et/ou de ses sociétés affiliées. Cell Broadband Engine est une marque de Sony Computer Entertainment, Inc. aux Etats-Unis et/ou dans certains autres pays, utilisée sous licence. Linear Tape-Open, LTO, le logo LTO, Ultrium et le logoultrium sont des marques d'hp, IBM Corp. et Quantum aux Etats-Unis et dans d'autres pays. Les autres noms de sociétés, de produits et de services peuvent appartenir à des tiers. Remarques sur les règles de confidentialité Les produits logiciels IBM, notamment les solutions SaaS (Software-as-a-Service, solutions de logiciel sous forme de services), ("Offres logicielles") peuvent utiliser des cookies ou d'autres technologies pour collecter des informations sur l'utilisation des produits, afin de contribuer à améliorer l'acquis de l'utilisateur final et de personnaliser les interactions avec celui-ci, ou à d'autres fins. Dans la plupart des cas, aucune information identifiant la personne n'est collectée par les Offres logicielles. Certaines de nos Offres logicielles peuvent vous aider à collecter des informations identifiant la personne. Si cette Offre logicielle utilise des cookies pour collecter des informations identifiant la personne, des informations spécifiques sur l'utilisation de cookies par cette offre sont énoncées ci-dessous. Cette Offre logicielle collecte le nom, le mot de passe ou d'autres informations identifiantes de chaque utilisateur à l'aide d'autres technologies à des fins de gestion de session, d'authentification, de configuration de la connexion unique, de suivi de l'utilisation ou fonctionnelles. Ces technologies peuvent être désactivées, mais ce faisant, vous neutralisez également la fonctionnalité qu'elles procurent. Si les configurations déployées pour cette offre logicielle vous permettent, en tant que client, de collecter des informations identifiant la personne à partir des utilisateurs finals via des cookies et d'autres technologies, vous devez consulter votre conseiller juridique au sujet des lois qui s'appliquent à une telle opération de collecte de données, y compris les exigences en matière de notification et d'accord. Pour plus d'informations sur les différentes technologies, y compris les cookies, utilisées à ces fins, consultez l'article IBM s Privacy Policy (http://www.ibm.com/ privacy) et l'article IBM s Online Privacy Statement (http://www.ibm.com/ privacy/details/us/en), ainsi que la section intitulée «Cookies, Web Beacons and Other Technologies» et l'article «Software Products and Software-as-a-Service Privacy». 24 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Glossaire Ce glossaire comprend des termes et des définitions pour IBM Security Access Manager for Enterprise Single Sign-On. Il utilise les références croisées suivantes : v Voir vous renvoie d'un terme vers un synonyme préféré ou d'un sigle ou d'une abréviation vers la définition de sa forme complète. v Voir aussi vous renvoie vers un terme connexe ou contraire. Pour consulter les glossaires relatifs à d'autres produits IBM, accédez à l'adresse www.ibm.com/software/globalization/ terminology (la page s'ouvre dans une nouvelle fenêtre). A accès à distance sécurisé La solution qui permet une connexion unique basée sur le navigateur Web à toutes les applications de l'extérieure du pare-feu. action Dans le profilage, une opération qui peut être effectuée en réponse à un déclencheur. Par exemple, le remplissage automatique des informations relatives au nom d'utilisateur et au mot de passe dès qu'une fenêtre de connexion s'affiche. Active Directory (AD) Service de répertoires hiérarchique qui permet une gestion centralisée et sécurisée de l'ensemble d'un réseau ; composant central de la plateforme Microsoft Windows. AD Voir Active Directory. administrateur Personne chargée de tâches d'administration, par exemple la gestion de contenu ou des droits d'accès. Les administrateurs peuvent accorder différents niveaux de droits d'accès aux utilisateurs. adresse IP Adresse unique d'un périphérique ou d'une unité logique sur un réseau qui utilise la norme IP (Internet Protocol). Voir aussi nom d'hôte. agent de noeud Agent administratif gérant tous les serveurs d'application sur un noeud et représentant le noeud dans la cellule de gestion. annuaire Fichier contenant les noms et les informations de contrôle d'objets ou d'autres annuaires. annuaire d'entreprise Annuaire des comptes d'utilisateur qui définissent les utilisateurs d'ibm Security Access Manager for Enterprise Single Sign-On. Il valide les données d'identification fournies par l'utilisateur au moment de la connexion si le mot de passe indiqué est identique à celui qu'il contient. Par exemple, Active Directory est un annuaire d'entreprise. annulation des accès d'utilisateur Processus de suppression d'un compte utilisateur d'ibm Security Access Manager for Enterprise Single Sign-On. annuler l'accès Supprimer un service ou un composant. Par exemple, annuler l'accès sur un compte signifie supprimer ce compte d'une ressource. Voir aussi attribuer des accès. API (Application Programming Interface) Voir interface de programme d'application. API de provisionnement Interface permettant à IBM Security Access Manager for Enterprise Single Sign-On de s'intégrer avec des systèmes d'applications d'accès utilisateurs. application Système fournissant l'interface utilisateur pour la lecture ou l'entrée des données d'identification. application publiée Application installée sur le serveur Citrix XenApp, accessible à partir de clients Citrix ICA. Copyright IBM Corp. 2002, 2014 25
audit Processus de journalisation des activités de l'utilisateur, de l'administrateur et du service d'assistance. authentification à deux facteurs L'utilisation de deux facteurs pour authentifier un utilisateur. Par exemple, utilisation d'un mot de passe et d'une carte RFID pour se connecter à AccessAgent. authentification forte Solution qui utilise des périphériques d'authentification multi-facteur afin d'empêcher un accès non autorisé aux données confidentielles et aux réseaux informatiques de l'entreprise, de son périmètre ou de l'extérieur. authentification portable Facteur d'authentification permettant à des utilisateurs de téléphone portable de se connecter en toute sécurité à leurs ressources d'entreprise à partir de n'importe quel endroit du réseau. autorité de certification Organisation ou société tiers sécurisée qui émet des certificats numériques. L'autorité de certification vérifie généralement l'identité des personnes auxquelles le certificat unique est accordé. Voir aussi certificat. autorité de certification racine (root CA) Autorité de certification au sommet de la hiérarchie des autorités, qui vérifie l'identité du détenteur d'un certificat. B basculement Opération automatique qui permet de basculer vers un système ou un noeud redondant ou de secours en cas d'indisponibilité d'un logiciel, d'un matériel ou d'un réseau. bibliothèque de liaison dynamique (DLL) Fichier contenant du code exécutable et des données liés à un programme en phase de chargement ou d'exécution, plutôt qu'en phase de liaison. Le code et les données d'une DLL peuvent être partagés simultanément par plusieurs applications. biométries Identification d'un utilisateur en fonction de ses caractéristiques physiques (par exemple, empreinte digitale, couleur des yeux, visage, voix ou écriture). bureau électronique publié Fonction Citrix XenApp où les utilisateurs disposent d'un accès distant à un bureau Windows complet à partir de n'importe quel appareil, de n'importe où et à tout moment. bureau virtuel Interface utilisateur dans un environnement virtualisé, stockée sur un serveur distant. C CA (Certificate authority) Voir autorité de certification. CAPI (Cryptographic Application Programming Interface) Voir interface de programmation d'application cryptographique. capture automatique Processus permettant à un système de collecter et de réutiliser des données d'identification de l'utilisateur pour différentes applications. Ces données d'identification sont capturées lorsque l'utilisateur saisit des informations pour la première fois, et sont ensuite enregistrées et sécurisées pour une utilisation ultérieure. CA racine (root CA) Voir autorité de certification racine. carte à puce Jeton intelligent intégré dans la puce d'un circuit intégré et qui fournit une capacité de mémoire et des fonctions informatiques. carte à puce hybride Carte à puce conforme à la norme ISO-7816 qui contient une puce à chiffrement à clé publique et une puce RFID. La puce cryptographique est accessible via l'interface de contact. La puce RFID est accessible via l'interface sans contact (RF). carte RFID active Voir identification par radiofréquence active. 26 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
CCOW Voir Clinical Context Object Workgroup. CCOW (Clinical Context Object Workgroup) Norme indépendante du fournisseur, relative à l'échange d'informations entre applications médicales dans l'industrie médicale. cellule Groupe de processus gérés fédérés sur un même gestionnaire de déploiement et pouvant inclure des groupes de base à haute disponibilité. certificat En sécurité informatique, document numérique qui associe une clé publique à l'identité d'un propriétaire de certificat, permettant ainsi l'authentification de ce propriétaire de certificat. Un certificat est émis par une autorité de certification et signé numériquement par cette autorité. Voir aussi autorité de certification. chaîne de service d'accréditation Chaîne de modules qui fonctionnent dans différents modes, comme la validation, le mappage et l'émission de fichier de clés certifiées. chaîne de service d'accréditation de sécurité Groupe d'instances de module configurées pour être utilisées simultanément. Chaque instance de module dans la chaîne est appelée à tour de rôle pour effectuer une fonction spécifique, dans le cadre du processus général d'une requête. changement rapide d'utilisateur Fonction permettant aux utilisateurs de passer d'un compte utilisateur à un autre sur un poste de travail unique sans quitter ni fermer les applications. clé privée En sécurité informatique, partie secrète d'une paire de clés cryptographiques utilisées avec un algorithme de clé publique. La clé privée est uniquement connue de son propriétaire. Des clés privées sont généralement utilisées pour les données associées à une signature numérique et pour déchiffrer des données chiffrées à l'aide de la clé publique correspondante. CLI (Command-Line Interface) Voir interface de ligne de commande. client léger Client ayant peu ou pas de logiciels installés mais ayant accès à des logiciels gérés et fournis par des serveurs réseau connectés à lui. Un client léger est une alternative à un client complet comme un poste de travail. clone lié Copie d'une machine virtuelle qui partage des disques virtuels avec la machine virtuelle parente d'une façon permanente. cluster Ensemble de serveurs d'applications qui collaborent pour l'équilibrage de la charge de travail et le basculement. code confidentiel (PIN) Dans le support de chiffrement, numéro unique affecté par une organisation à un individu et utilisé comme preuve de son identité. Les codes confidentiels sont généralement attribués par les organismes financiers à leurs clients. code d'autorisation Code alphanumérique généré pour des fonctions d'administration, comme réinitialiser un mot de passe ou ignorer l'authentification à deux facteurs. code d'événement Code représentant un événement particulier qui est contrôlé et consigné dans les tableaux du journal d'audit. connecteur de canal virtuel Connecteur utilisé dans un environnement de services de terminal. Le connecteur de canal virtuel établit un canal de communication virtuel pour gérer les sessions distantes entre le composant AccessAgent Client et le composant AccessAgent Serveur. connexion automatique Fonction permettant aux utilisateurs de se connecter au système d'automatisation de connexion et à ce système de connecter l'utilisateur à toutes les autres applications. connexion automatique Technologie utilisant les interfaces utilisateur des applications pour automatiser le processus de connexion pour les utilisateurs. Glossaire 27
connexion unique d'entreprise (ESSO) Mécanisme permettant aux utilisateurs de se connecter à toutes les applications déployées dans l'entreprise en saisissant un ID utilisateur et d'autres données d'identification, par exemple un mot de passe. connexion unique (SSO) Processus d'authentification par lequel un utilisateur peut accéder à plusieurs systèmes ou applications en saisissant un seul ID utilisateur et mot de passe. CSN (Card Serial Number) Voir numéro de série de la carte. CSP (Cryptographic Service Provider) Voir fournisseur de service cryptographique. D déclencheur En profilage, un événement qui provoque des transitions entre les états dans un moteur d'états, tel le chargement d'une page Web ou l'apparition d'une fenêtre sur le bureau. déploiement autonome Déploiement dans lequel IMS Server est déployé dans un profil WebSphere Application Server indépendant. déploiement réseau Déploiement d'un serveur IMS sur un cluster WebSphere Application Server. détecteur de présence Périphérique fixé à l'ordinateur qui détecte lorsqu'une personne s'en éloigne. Cela évite de verrouiller manuellement l'ordinateur lors d'une absence de courte durée. dispositif virtuel Image de machine virtuelle avec un objet applicatif spécifique qui est déployée sur des plateformes de virtualisation. DLL (Dynamic Link Library) Voir bibliothèque DLL. DN Voir nom distinctif. DNS (Domain Name Server) Voir serveur de noms de domaine. données de compte Informations de connexion requises pour vérifier un service d'authentification. Il peut s'agir du nom d'utilisateur, du mot de passe et du service d'authentification pour lesquels les informations de connexion sont stockées. données d'identification Active Directory Nom d'utilisateur et mot de passe Active Directory. données d'identification d'utilisateur Informations acquises pendant l'authentification qui décrivent un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des services tels que l'autorisation, l'audit ou la délégation. Par exemple, l'id utilisateur et le mot de passe sont des données d'identification qui permettent l'accès au réseau et aux ressources du système. droit d'accès Informations acquises pendant l'authentification qui décrivent un utilisateur, des associations de groupes ou d'autres attributs d'identité liés à la sécurité et qui sont utilisées pour effectuer des services tels que l'autorisation, l'audit ou la délégation. Par exemple, un ID utilisateur et un mot de passe sont des données d'identification qui permettent d'accéder aux ressources du réseau et du système. E élément de données de compte Données d'identification permettant à l'utilisateur d'ouvrir une session. émulateur de terminal Programme permettant à un périphérique tel qu'un micro-ordinateur ou un ordinateur personnel d'entrer et de recevoir des données à partir d'un système informatique comme s'il s'agissait d'un type de terminal relié particulier. environnement d'exécution Java Voir environnement d'exécution Java. environnement d'exécution Java (JRE) Sous-ensemble d'un kit de développeur Java qui contient les programmes et fichiers exécutables de base constituant la plateforme Java standard. L'environnement d'exécution Java (JRE) 28 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
inclut la machine virtuelle Java (JVM), les classes de base et les fichiers auxiliaires. équilibrage de charge Surveillance des serveurs d'applications et gestion de la charge de travail sur les serveurs. Si un serveur excède sa charge de travail, les demandes sont transmises à un autre serveur d'une capacité supérieure. ESSO (Enterprise Single Sign-On) Voir connexion unique d'entreprise. état pouvant être fixé Etat d'un widget de profil d'accès qui peut être combiné au profil d'accès principal pour réutiliser la fonction du widget. F facteur d'authentification L'unité, les biométries ou les secrets requis comme données d'identification pour valider des identités numériques. Les facteurs d'authentification sont par exemple les mots de passe, la carte à puce, la carte RFID, les biométries et les jetons de mots de passe à usage unique. facteur d'authentification principal Mot de passe IBM Security Access Manager for Enterprise Single Sign-On ou données d'identification du serveur d'annuaire. fichier de clés En sécurité, fichier ou carte cryptographique matérielle où sont stockées les clés privées et les identités, à des fins d'authentification et de chiffrement. Certains magasins de clés contiennent aussi des clés certifiées ou des clés publiques. Voir aussi fichier de clés certifiées. fichier de clés certifiées Dans le domaine de la sécurité, objet d'archivage (fichier ou carte cryptographique matérielle) où sont stockées ses clés publiques sous forme de certificats sécurisés, à des fins d'authentification lors de transactions Internet. Dans certaines applications, ces certificats sécurisés sont déplacés dans le fichier de clés de l'application pour être stockés avec les clés privées. Voir aussi magasin de clés. FIPS Voir Federal Information Processing Standard. FIPS (Federal Information Processing Standard) Norme créée par le National Institute of Standards and Technology et utilisée lorsqu'il n'existe pas de normes nationales et internationales ou que ces dernières ne répondent pas aux exigences du gouvernement des Etats-Unis. fournisseur de service cryptographique (CSP) Une fonction du système d'exploitation i5/os qui fournit des API. Le fournisseur CSP (Cryptographic Service Provider) CCA permet à un utilisateur d'exécuter des fonctions sur le coprocesseur 4758. FQDN (Fully Qualified Domain Name) Voir nom de domaine complet. G gestion de la durée de validité des mots de passe Fonction de sécurité par laquelle le superutilisateur peut indiquer à quelle fréquence les utilisateurs doivent changer leur mot de passe. gestionnaire de déploiement Serveur qui gère et configure des opérations pour un groupe logique ou une cellule d'autres serveurs. gestionnaire de portefeuille Composant d'interface graphique IBM Security Access Manager for Enterprise Single Sign-On qui permet aux utilisateurs de gérer leurs données d'identification d'application dans le portefeuille d'identités personnelles. GINA Voir identification et authentification graphiques. GPO (Group Policy Objet) Voir objet de stratégie de groupe. groupe de correctifs Ensemble cumulé de correctifs qui est publié entre groupes de correctifs planifiés, correctifs de fabrication ou éditions. Un groupe de correctifs met à jour le système à un niveau de maintenance spécifique. H HA Voir haute disponibilité. Glossaire 29
haute disponibilité (HA) Capacité du service informatique à résister à toutes les indisponibilités et à continuer à traiter les données, conformément à un niveau de service prédéfini. Les indisponibilités couvertes incluent les événements planifiés, par exemple la maintenance et les sauvegardes et les événements non planifiés, comme les pannes logicielles et matérielles, les coupures d'électricité et les sinistres. I identification et authentification graphiques (GINA) Bibliothèque de liaison dynamique qui comporte une interface utilisateur étroitement intégrée aux facteurs d'authentification, qui fournit des options de réinitialisation de mots de passe et de non-prise en compte des facteurs secondaires. identification par radiofréquence active (carte RFID active) Second facteur d'authentification et détecteur de présence. Voir aussi identification par radiofréquence. identification par radiofréquence (RFID) Une technologie d'identification et de capture de données automatique qui identifie les éléments uniques et qui transmet des données par ondes radio. Voir aussi identification par radiofréquence active. identité numérique et authentification forte Grâce à ce type d'identité et d'authentification d'une personne en ligne, il est très difficile de se faire passer pour elle car son profil est sécurisé par des clés privées sauvegardées sur une carte à puce. image de base Modèle pour un bureau virtuel. infrastructure de bureau virtuel Infrastructure constituée de systèmes d'exploitation de bureau hébergés au sein de machines virtuelles sur un serveur centralisé. inscription Demander une ressource. instantané Etat, données et configuration matérielle capturés d'une machine virtuelle en cours d'exécution. interface de ligne de commande (CLI) Interface informatique dans laquelle les données d'entrée et de sortie sont de type texte. interface de programmation d'application cryptographique (CAPI) Une interface de programme d'application qui offre des services permettant aux développeurs de sécuriser des applications à l'aide de la cryptographie. Il s'agit d'un ensemble de bibliothèques reliées de façon dynamique qui fournit une couche abstraction qui isole les programmeurs du code utilisé pour chiffrer les données. interface de programme d'application (API) Interface permettant à un programme d'application écrit en langage évolué d'utiliser des données ou des fonctions spécifiques du système d'exploitation ou d'un autre programme. interface fournisseur de service d'id série Interface de programmes conçue pour l'intégration d'accessagent avec des dispositifs Serial ID tiers utilisés pour l'authentification à deux facteurs. interface SPI (Service Provider Interface) Interface via laquelle les fournisseurs peuvent intégrer des périphériques dotés de numéros de série à IBM Security Access Manager for Enterprise Single Sign-On et les utiliser comme second facteur dans AccessAgent. J Java Management Extensions (JMX) Méthode de gestion de la technologie Java et via cette technologie. JMX est une extension ouverte universelle du langage de programmation Java pour la gestion, qui peut être déployée pour tous les secteurs d'activités, dès lors que de la gestion est nécessaire. jeton OTP Petit périphérique matériel très portable que le propriétaire transporte pour 30 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
autoriser l'accès à des systèmes numériques et/ou à des ressources matérielles. JMX Voir Java Management Extensions. JVM (Java Virtual Machine) Voir machine virtuelle Java. L langue bidirectionnelle Une langue qui utilise un script, tel que l'arabe ou l'hébreu, dont le flux général de texte va horizontalement de droite à gauche, mais les nombres, l'anglais et les autres textes de langue de gauche à droite sont écrits de gauche à droite. LDAP Voir Lightweight Directory Access Protocol. Lightweight Directory Access Protocol (LDAP) Protocole ouvert qui utilise TCP/IP pour fournir un accès à des répertoires qui prennent en charge un modèle X.500. Un protocole LDAP permet de localiser des individus, des organisations et d'autres ressources dans un annuaire Internet ou intranet. M machine virtuelle Java (JVM) Implémentation logicielle d'un processeur qui exécute du code Java compilé (applets et applications). message modal système Boîte de dialogue système généralement utilisée pour afficher des messages importants. Lorsqu'un message modal système est affiché, vous ne pouvez rien sélectionner à l'écran tant que le message n'est pas fermé. middleware de carte à puce Logiciel jouant le rôle d'interface entre des applications de carte à puce et du matériel de carte à puce. Généralement, ce logiciel est constitué de bibliothèques qui mettent en oeuvre la norme PKCS#11 et des interfaces CAPI sur des cartes à puce. mise en cache de portefeuille Processus, lors de la connexion unique pour une application, par lequel AccessAgent extrait les données d'identification de connexion du portefeuille d'identification de l'utilisateur. Le portefeuille d'identification de l'utilisateur est téléchargé sur la machine de l'utilisateur et stocké de manière sécurisée sur le serveur IMS. mode graphique interactif Série de panneaux demandant des informations pour effectuer l'installation. modèle de données de compte Un modèle qui définit le format des données de compte à stocker pour les données d'identification capturées à l'aide d'un profil d'accès spécifique. modèle d'éléments de données de compte Un modèle qui définit les propriétés d'un élément de données de compte. modèle de règle Forme de règle prédéfinie qui permet aux utilisateurs de définir une règle en fournissant les éléments de règle fixes qui ne peuvent pas être modifiés et les éléments de règle variables qui peuvent l'être. mode léger Mode AccessAgent serveur. Le fonctionnement en mode léger réduit l'encombrement mémoire d'accessagent sur serveur Terminal Server ou Citrix et améliore le temps de démarrage de la connexion unique. mode silencieux Méthode d'installation ou de désinstallation d'un composant de produit de la ligne de commande sans affichage de l'interface graphique. En mode silencieux, vous devez indiquer directement les données requises par le programme d'installation ou le programme de désinstallation sur la ligne de commande ou dans fichier (appelé fichier d'options ou fichier de réponses). module de localisation de serveur Une releveur de coordonnées qui regroupe un ensemble connexe d'applications Web nécessitant une authentification par le même service d'authentification. Dans AccessStudio, les modules de localisation de serveur identifient le service d'authentification auquel un écran d'application est associé. mot de passe aléatoire Mot de passe généré de manière arbitraire Glossaire 31
et utilisé pour augmenter la sécurité de l'authentification entre les clients et les serveurs. mot de passe à utilisation unique (OTP) Mot de passe à utilisation unique généré pour un événement d'authentification, parfois transmis entre le client et le serveur via un canal sécurisé. N noeud Regroupement logique de serveurs gérés. Voir aussi noeud géré. noeud géré Noeud fédéré sur un gestionnaire de déploiement, qui contient un agent de noeud et pouvant inclure des serveurs gérés. Voir aussi noeud. nom de domaine qualifié complet En communications Internet, nom d'un système hôte qui comprend tous les sous-noms du nom de domaine. rchland.vnet.ibm.com est un exemple de nom de domaine complètement qualifié. Voir aussi nom d'hôte. nom d'hôte En communication Internet, nom donné à un ordinateur. Le nom d'hôte peut être un nom de domaine complet tel que monordinateur.ville.entreprise.com ou il peut être un sous-nom spécifique comme monordinateur. Voir aussi nom de domaine complet, adresse IP. nom distinctif de base Nom indiquant le point de départ des recherches dans le serveur d'annuaire. nom distinctif de liaison Nom indiquant les données d'identification que le serveur d'applications doit utiliser pour se connecter à un service d'annuaire. Le nom distinctif identifie de manière unique une entrée dans un répertoire. nom distinctif (DN) Nom identifiant de manière unique une entrée dans un répertoire. Un nom distinctif est constitué de paires de valeurs d'attributs, séparées par des virgules. Par exemple, CN=nom de personne et C=pays ou région. numéro de série Numéro unique intégré dans les clés IBM Security Access Manager for Enterprise Single Sign-On. Il yaunnuméro par clé et il ne peut pas être modifié. Numéro de série de la carte (CSN) Elément de donnée unique qui identifie une carte à puce hybride. Il n'est aucunement lié aux certificats installés sur la carte à puce. O objet de stratégie de groupe (GPO) Ensemble de paramètres de stratégie de groupe. Les objets de stratégie de groupe sont des documents créés par le composant logiciel enfichable de stratégie de groupe. Les objets de stratégie de groupe sont stockés au niveau du domaine et affectent les utilisateurs et les ordinateurs contenus dans des sites, domaines et unités organisationnelles. OTP (One-Time Password) Voir mot de passe à utilisation unique. P PIN (Personal Identification Number) Voir code confidentiel. PKCS Voir normes PKCS. pont de provisionnement Processus de distribution des données d'identification IMS Server automatique avec des systèmes de provisionnement tiers qui utilise des bibliothèques API avec une connexion SOAP. pool de bureaux Ensemble de bureaux virtuels de configuration similaire destiné à être utilisés par un groupe d'utilisateurs désigné. portail Point d'accès unique et sécurisé à différentes informations, applications et personnes, qui peut être personnalisé et adapté. portée Fait référence à l'applicabilité d'une règle, au niveau du système, de l'utilisateur ou de la machine. porte-monnaie Magasin de données sécurisé des données d'identification d'accès d'un utilisateur et des informations associées qui inclut les 32 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
ID utilisateur, les mots de passe, les certificats, les clés de chiffrement. profil du gestionnaire de déploiement Environnement d'exécution WebSphere Application Server qui gère des opérations pour un groupe logique ou une cellule d'autres serveurs. protocole de bureau distant (RDP) Protocole facilitant l'affichage et la saisie à distance par connexions réseau pour les applications serveur Windows. RDP prend en charge différentes topologies de réseau et de multiples connexions. provisionnement des utilisateurs Processus d'inscription d'un utilisateur pour l'utilisation d'ibm Security Access Manager for Enterprise Single Sign-On. provisionner Fournir, déployer et suivre un service, un composant, une application ou une ressource. Voir aussi annuler l'accès. Public Key Cryptography Standards (PKCS) Ensemble de protocoles informatiques utilisés pour l'échange d'informations sécurisé sur Internet. Les applications Domino Certificate Authority et Server Certificate Administration peuvent accepter des certificats au format PKCS. Q question secrète Question à laquelle seul l'utilisateur connaît la réponse. Une question secrète est utilisée comme fonction de sécurité pour vérifier l'identité d'un utilisateur. R raccourci-clavier Séquence de touches utilisée pour changer d'opérations entre différentes applications ou entre différentes fonctions d'une application. RADIUS (Remote Authentication Dial-In User Service) Voir service utilisateur d'authentification à distance par appel. RDP Voir protocole de bureau distant. registre Référentiel contenant des informations d'accès et de configuration pour les utilisateurs, les systèmes et les logiciels. règle de complexité du mot de passe Règle indiquant la longueur minimale et maximale du mot de passe, le nombre minimal de caractères numériques et alphabétiques, et s'il faut autoriser un mélange de minuscules et de majuscules. règles d'applications Ensemble de règles et d'attributs régissant l'accès aux applications. réplication Processus de gestion d'un jeu défini de données sur plusieurs emplacements. La réplication implique de copier les modifications indiquées apportées dans un emplacement (source) à un autre emplacement (cible) et de synchroniser les données dans ces deux emplacements. reprise sur sinistre Processus de restauration d'une base de données, d'un système ou de règles après la défaillance partielle ou totale d'un site provoquée par un événement catastrophique tel qu'un tremblement de terre ou un incendie. Généralement, la reprise après sinistre nécessite une sauvegarde totale à un emplacement différent. réseau privé virtuel SSL Voir réseau privé virtuel Secure Sockets Layer. réseau privé virtuel (VPN) Extension d'un intranet d'une société par le biais de l'infrastructure préfabriquée existante d'un réseau public ou privé. Un VPN garantit la sécurisation des données envoyées entre les deux noeuds finaux de sa connexion. réseau privé virtuel (VPN) SSL (Secure Sockets Layer) Sorte de réseau virtuel privé pouvant être utilisé avec un navigateur Web standard. révoquer Retirer un privilège ou un droit à un ID autorisation. RFID (Radio Frequency Identification) Voir identification par radiofréquence. ruche de registre Dans les systèmes Windows, structure des données stockées dans le registre. Glossaire 33
S sac de données de compte Structure de données contenant en mémoire des données d'identification d'utilisateur pendant que la connexion unique est effectuée sur une application. Secure Sockets Layer (SSL) Protocole de sécurité offrant la confidentialité des communications. Le protocole SSL permet aux applications client/serveur de communiquer en les protégeant des écoutes clandestines, de la contrefaçon et de la falsification de messages. Security Token Service (STS) Service Web utilisé pour émettre et échanger des jetons de sécurité. serveur autonome Serveur pleinement opérationnel géré indépendamment de tous les autres serveurs et utilisant sa propre console d'administration. serveur de base de données Programme logiciel utilisant un gestionnaire de base de données pour fournir des services de base de données à d'autres logiciels ou ordinateurs. serveur de noms de domaine (DNS) Programme serveur qui fournit la conversion nom-adresse en mappant des noms de domaine sur des adresses IP. serveur Web Logiciel capable de satisfaire (servir) des demandes HTTP. service d'annuaire Annuaire contenant les noms, les informations de profil et les adresses de machine de chaque utilisateur et ressource du réseau. Gère les comptes des utilisateurs et les autorisations en réseau. Lorsqu'un nom d'utilisateur est envoyé, il renvoie les attributs de cet individu (comme son numéro de téléphone ou son adresse de courrier électronique). Les services de répertoire utilisent des bases de données hautement spécialisées qui sont généralement de type hiérarchique en matière de conception et offrent des fonctions de recherche rapide. service d'authentification Service qui vérifie la validité d'un compte ; les applications effectuent leur authentification avec leur propre magasin d'utilisateurs ou avec un annuaire d'entreprise. service utilisateur d'authentification à distance par appel (RADIUS) Système d'authentification et de statistiques qui utilise des serveurs d'accès pour offrir une gestion centralisée de l'accès aux grands réseaux. service Web Application modulaire intégrée explicite pouvant être publiée, reconnue et appelée sur un réseau utilisant des protocoles réseau standard. En général, le XML est utilisé pour baliser les données, le SOAP pour transférer les données, le WSDL pour décrire les services disponibles et l'uddi pour répertorier les services disponibles. Voir aussi SOAP. signature En profilage, des données d'identification unique pour n'importe quelle application, fenêtre ou zone. Simple Mail Transfer Protocol (SMTP) Protocole d'application Internet pour transférer du courrier entre les utilisateurs d'internet. site de reprise après sinistre Un emplacement secondaire pour l'environnement de production en cas d'incident. SMTP Voir Simple Mail Transfer Protocol. SOAP Protocole simple basé sur XML, permettant d'échanger des informations dans un environnement décentralisé et réparti. SOAP peut être utilisé pour interroger et renvoyer des informations ainsi que pour appeler des services via Internet. Voir aussi service Web. source de données Moyen par lequel une application accède à des données à partir d'une base de données. SPI (Service Provider Interface) Voir interface fournisseur de service. SSL Voir Secure Sockets Layer. SSO (Single Sign-On) Voir connexion unique. STS Voir Security Token Service. 34 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
synchronisation du mot de passe Active Directory Fonction d'ibm Security Access Manager for Enterprise Single Sign-On qui synchronise le mot de passe ISAM ESSO avec le mot de passe Active Directory. système de provisionnement Système offrant un service de gestion du cycle de vie des identités pour les utilisateurs d'applications dans les entreprises et gérant leurs données d'identification. T tableau de bord Interface qui intègre les données de toute une variété de sources et affiche de façon cohérente des informations pertinentes et contextuelles. tty Voir type de terminal. type de terminal (tty) Pilote de périphérique générique pour un affichage de texte. Une unité TTY effectue généralement des entrées et des sorties caractère par caractère. qui fournit des applications dont la fonction sécurisée permet d'accéder à des données d'entité organisationnelle de base telles que les individus, les comptes de connexion et les rôles de sécurité. Visual Basic (VB) Langage de programmation piloté par événement et environnement de développement intégré (IDE) de Microsoft. VMM Voir Virtual Member Manager. VPN (Virtual Private Network) Voir réseau privé virtuel. W WS-Trust Spécification de sécurité de services Web qui définit un cadre pour que les modèles de confiance établissent une relation de confiance entre les services Web. U URI (Uniform Resource Identifier) Chaînes de caractères compacte permettant l'identification d'une ressource abstraite ou physique. utilisateur de recherche Un utilisateur authentifié dans l'annuaire de l'entreprise et qui recherche d'autres utilisateurs. IBM Security Access Manager for Enterprise Single Sign-On se sert de l'utilisateur de recherche pour extraire les attributs utilisateur du référentiel d'entreprise Active Directory ou LDAP. V VB Voir Visual Basic. verrouillage d'écran transparent Fonction qui, lorsqu'elle est activée, permet aux utilisateurs de verrouiller leur écran tout en voyant tout de même le contenu du bureau. Virtual Member Manager (VMM) Composant WebSphere Application Server Glossaire 35
36 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
Index A AccessAgent Citrix Server et Terminal Server considérations relatives au déploiement 1 modèles de déploiement 1 mode léger 8 standard 8 personnalisation authentification RFID 19 règles de serveur de terminaux 19 accessibilité x C clients légers 3 E éducation x en ligne publications vii terminologie vii F fichier SetupHlp.ini 5 EncentuateCredentialProviderEnabled, option 5 EncentuateNetworkProviderEnabled, option 5 EnginaEnabled, option 5, 13 ICAClientInstallDir, option 8 formation x G glossary 25 I IBM service de support logiciel xi Support Assistant xi ICAVCClient, fichier 10 identification de problème xi interface utilisateur de la connexion unique modèle 1 6 modèle 2 11 modèle 3 14 modèle 4 16 M mode léger 8 modèle 1 5 Installation d'accessagent 5 interface utilisateur de la connexion unique 6 modèle 2 7 Installation d'accessagent 8 interface utilisateur de la connexion unique 11 modèle 3 13 installation d'accessagent 13 interface utilisateur de la connexion unique 14 modèle 4 15 Installation d'accessagent 16 interface utilisateur de la connexion unique 16 modèles de déploiement configuration d'accessagent à deux niveaux 15 configuration de base 5 configuration Virtual Channel Connector 7 considérations 3 instructions 3 session de terminal générique 13 P postes de travail 3 publications accès en ligne vii déclaration de bonnes pratiques de sécurité xi liste pour ce produit vii S SetupHlp.ini, fichier CitrixVirtualChannelConnectorMode, option 8 EncentuateCredentialProviderEnabled, option 13 EncentuateNetworkProviderEnabled, option 13 T TSLightweight, règle de mode 8 V Virtual Channel Connector déploiement manuel Citrix Server 10 client Citrix 10 présentation 8 Copyright IBM Corp. 2002, 2014 37
38 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'accessagent sur Terminal Server et Citrix Server
SC11-7418-01